Udostępnij za pośrednictwem

Błąd, gdy komputery klienckie szyfrują plik w domenie systemu Windows Server 2003: Zasady odzyskiwania skonfigurowane dla tego systemu zawierają nieprawidłowy certyfikat odzyskiwania

Ten artykuł zawiera rozwiązanie błędu występującego, gdy komputery klienckie szyfrują plik w domenie systemu Microsoft Windows Server 2003.

Dotyczy: Windows Server 2003
Oryginalny numer KB: 937536

Symptomy

Gdy komputer kliencki używa systemu szyfrowania plików (EFS) do szyfrowania pliku przechowywanego na komputerze zdalnym w domenie systemu Microsoft Windows Server 2003, może zostać wyświetlony komunikat o błędzie na komputerze podobnym do następującego:

Zasady odzyskiwania skonfigurowane dla tego systemu zawierają nieprawidłowy certyfikat odzyskiwania.

Przyczyna

Ten problem występuje, jeśli zasady odzyskiwania systemu szyfrowania plików zaimplementowane na komputerze klienckim zawierają co najmniej jeden certyfikat agenta odzyskiwania systemu szyfrowania plików, które wygasły. Komputery klienckie nie mogą szyfrować żadnych nowych dokumentów, dopóki nie będzie dostępny prawidłowy certyfikat agenta odzyskiwania.

Rozwiązanie

Aby rozwiązać ten problem, wykonaj następujące kroki:

  1. Zaloguj się do kontrolera domeny przy użyciu konta użytkownika, w ramach którego ma zostać uruchomiony agent odzyskiwania systemu szyfrowania plików.

  2. Użyj systemu Windows Server 2003 narzędzia szyfrowania wraz z przełącznikiem /r , aby utworzyć nowy certyfikat odzyskiwania plików z podpisem własnym i klucz prywatny. Narzędzie szyfrowania generuje nowy publiczny certyfikat odzyskiwania plików (plik .cer) i plik pfx. Utwórz kopie tych plików, a następnie zapisz je w bezpiecznej lokalizacji. Aby wygenerować nowy certyfikat odzyskiwania plików, wykonaj następujące kroki:

    1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz cmd, a następnie kliknij przycisk OK.

    2. W wierszu polecenia wpisz cipher /r: file_name, a następnie naciśnij ENTER.

      Uwaga 16.

      file_name reprezentuje nazwę pliku, którego chcesz użyć. Użyj nazwy pliku, która jest dla Ciebie zrozumiała. Nie należy dodawać rozszerzenia do nazwy pliku. Upewnij się, że nowe pliki .cer i PFX są tworzone w tym samym folderze.

    3. Po wyświetleniu monitu o podanie hasła w celu ochrony pliku PFX wpisz hasło, które będzie łatwo zapamiętane.

  3. Wyeksportuj stary certyfikat agenta odzyskiwania SYSTEMU PLIKÓW. W tym celu wykonaj następujące kroki:

    1. Zaloguj się do kontrolera domeny przy użyciu konta z poświadczeniami administracyjnymi domeny. Kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Użytkownicy i komputery usługi Active Directory.

    2. Kliknij prawym przyciskiem myszy Domain_name, a następnie kliknij polecenie Właściwości.

    3. Kliknij kartę Zasady grupy, kliknij domyślny obiekt zasad grupy zasad domeny (GPO), a następnie kliknij przycisk Edytuj.

    4. Rozwiń węzeł Konfiguracja komputera, rozwiń węzeł Ustawienia systemu Windows, Rozwiń węzeł Ustawienia zabezpieczeń, rozwiń węzeł Zasady klucza publicznego, a następnie kliknij pozycję Szyfruj system plików.

    5. Kliknij prawym przyciskiem myszy bieżący certyfikat agenta odzyskiwania EFS, wskaż pozycję Wszystkie zadania, a następnie kliknij polecenie Eksportuj.

    6. Postępuj zgodnie z instrukcjami w Kreatorze eksportu certyfikatów, aby wyeksportować stary certyfikat agenta odzyskiwania EFS.

      Uwaga 16.

      Upewnij się, że certyfikat starego agenta odzyskiwania systemu szyfrowania plików został wyeksportowany wraz z kluczem prywatnym do pliku .cer. Zachowaj nowy plik pfx agenta odzyskiwania SYSTEMU PLIKÓW i stary plik pfx agenta odzyskiwania SYSTEMU PLIKÓW w bezpiecznej lokalizacji.

  4. Kliknij prawym przyciskiem myszy stary certyfikat agenta odzyskiwania EFS, kliknij przycisk Usuń, a następnie kliknij przycisk Tak.

  5. Zaloguj się do kontrolera domeny przy użyciu konta z poświadczeniami administracyjnymi domeny, a następnie zaimportuj nowy certyfikat agenta odzyskiwania SYSTEMU PLIKÓW. W tym celu wykonaj następujące kroki:

    1. Kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Użytkownicy i komputery usługi Active Directory.
    2. Kliknij prawym przyciskiem myszy Domain_name, a następnie kliknij polecenie Właściwości.
    3. Kliknij kartę Zasady grupy, kliknij domyślny obiekt zasad grupy zasad domeny, a następnie kliknij przycisk Edytuj.
    4. Rozwiń węzeł Konfiguracja komputera, rozwiń węzeł Ustawienia systemu Windows, rozwiń węzeł Ustawienia zabezpieczeń, rozwiń węzeł Zasady klucza publicznego, a następnie kliknij pozycję Szyfruj system plików.
    5. Kliknij prawym przyciskiem myszy folder Szyfruj system plików, a następnie kliknij przycisk Dodaj.
    6. Kliknij przycisk Dalej w Kreatorze dodawania agenta odzyskiwania, a następnie kliknij przycisk Przeglądaj foldery.
    7. Zaimportuj nowy plik .cer utworzony w kroku 2b, a następnie kliknij przycisk Otwórz.

    Uwaga 16.

    Po otwarciu pliku .cer zobaczysz USER_UNKNOWN w polu Agenci odzyskiwania. Ten komunikat jest oczekiwany. Ponadto zostanie wyświetlony komunikat ostrzegawczy Kreatora dodawania agenta odzyskiwania, że certyfikat nie jest zaufany.

  6. Zaimportuj nowy plik .cer utworzony w kroku 2b do folderu : Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authorities.

  7. Jeśli masz wiele kontrolerów domeny, wpisz gpupdate /force w wierszu polecenia, aby zaktualizować zasady grupy.

  8. Sprawdź, czy komputery klienckie mogą pomyślnie szyfrować pliki.