Erro quando computadores cliente criptografam um arquivo em um domínio do Windows Server 2003: a política de recuperação configurada para este sistema contém certificado de recuperação inválido

  • Artigo

Este artigo fornece uma solução para um erro que ocorre quando computadores cliente criptografam um arquivo em um domínio do Microsoft Windows Server 2003.

Aplica-se a: Windows Server 2003
Número de KB original: 937536

Sintomas

Quando um computador cliente usa o EFS (Encrypting File System) para criptografar um arquivo armazenado em um computador remoto em um domínio do Microsoft Windows Server 2003, você pode receber uma mensagem de erro no computador que se assemelha ao seguinte:

A política de recuperação configurada para esse sistema contém certificado de recuperação inválido.

Motivo

Esse problema ocorrerá se a política de recuperação do EFS implementada no computador cliente contiver um ou mais certificados do agente de recuperação EFS que expiraram. Os computadores cliente não podem criptografar nenhum novo documento até que um certificado válido do agente de recuperação esteja disponível.

Resolução

Para resolver este problema, execute as seguintes etapas:

  1. Faça logon em um controlador de domínio usando a conta de usuário na qual você deseja que o agente de recuperação do EFS seja executado.

  2. Use a versão do Windows Server 2003 da ferramenta Cipher junto com a opção /r para criar um novo certificado de recuperação de arquivo autoassinado e uma chave privada. A ferramenta Cipher gera um novo certificado de recuperação de arquivo público (um arquivo .cer) e um arquivo .pfx. Faça cópias desses arquivos e salve-os em um local seguro. Para gerar o novo certificado de recuperação de arquivo, siga estas etapas:

    1. Clique em Iniciar, clique em Executar, digite cmd e clique em OK.

    2. No prompt de comando, digite cipher /r: file_namee pressione ENTER.

      Observação

      file_name representa o nome do arquivo que você deseja usar. Use um nome de arquivo que seja significativo para você. Não adicione uma extensão ao nome do arquivo. Verifique se os novos arquivos .cer e .pfx são criados na mesma pasta.

    3. Quando você receber uma senha para proteger o arquivo .pfx, digite uma senha que você lembrará facilmente.

  3. Exporte o antigo certificado do agente de recuperação do EFS. Para fazer isso, siga estas etapas:

    1. Faça logon no controlador de domínio usando uma conta que tenha credenciais administrativas de domínio. Clique em Iniciar, aponte para Programas, Ferramentas administrativas e clique em Usuários e computadores do Active Directory.

    2. Clique com o botão direito do mouse em Domain_name e clique em Propriedades.

    3. Clique na guia Política de Grupo, clique no OBJETO Política de Grupo de Política de Domínio Padrão (GPO) e clique em Editar.

    4. Expanda Configuração do Computador, expanda Configurações do Windows, Expanda Configurações de Segurança, expanda Políticas de Chave Pública e clique em Criptografar Sistema de Arquivos.

    5. Clique com o botão direito do mouse no certificado atual do agente de recuperação do EFS, aponte para Todas as Tarefas e clique em Exportar.

    6. Siga as instruções no Assistente de Exportação de Certificados para exportar o certificado do agente de recuperação EFS antigo.

      Observação

      Certifique-se de exportar o certificado antigo do agente de recuperação do EFS junto com a chave privada para um arquivo .cer. Mantenha o novo arquivo .pfx do agente de recuperação EFS e o antigo arquivo .pfx do agente de recuperação do EFS em um local seguro.

  4. Clique com o botão direito do mouse no certificado antigo do agente de recuperação do EFS, clique em Excluir e clique em Sim.

  5. Faça logon no controlador de domínio usando uma conta que tenha credenciais administrativas de domínio e importe o novo certificado do agente de recuperação do EFS. Para fazer isso, siga estas etapas:

    1. Clique em Iniciar, aponte para Programas, Ferramentas administrativas e clique em Usuários e computadores do Active Directory.
    2. Clique com o botão direito do mouse em Domain_name e clique em Propriedades.
    3. Clique na guia Política de Grupo, clique no GPO da Política de Domínio Padrão e clique em Editar.
    4. Expanda Configuração do Computador, expanda Configurações do Windows, expanda Configurações de Segurança, expanda Políticas de Chave Pública e clique em Criptografar Sistema de Arquivos.
    5. Clique com o botão direito do mouse na pasta Criptografar Sistema de Arquivos e clique em Adicionar.
    6. Clique em Avançar no Assistente adicionar agente de recuperação e clique em Procurar Pastas.
    7. Importe o novo arquivo .cer que você criou na etapa 2b e clique em Abrir.

    Observação

    Ao abrir o arquivo .cer, você verá USER_UNKNOWN no campo Agentes de Recuperação. Essa mensagem é esperada. Além disso, você recebe uma mensagem de aviso do Assistente de Adicionar Agente de Recuperação de que o certificado não é confiável.

  6. Importe o novo arquivo .cer que você criou na etapa 2b para a pasta: Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authorities.

  7. Se você tiver vários controladores de domínio, digite gpupdate /force em um prompt de comando para atualizar o Política de Grupo.

  8. Verifique se os computadores cliente podem criptografar arquivos com êxito.