Erro quando os computadores clientes criptografam um arquivo em um domínio do Windows Server 2003: a política de recuperação configurada para este sistema contém um certificado de recuperação inválido

Este artigo fornece uma solução para um erro que ocorre quando computadores cliente criptografam um arquivo em um domínio do Microsoft Windows Server 2003.

Aplica-se a: Windows Server 2003
Número original do KB: 937536

Sintomas

Quando um computador cliente usa o EFS (Sistema de Arquivos com Criptografia) para criptografar um arquivo armazenado em um computador remoto em um domínio do Microsoft Windows Server 2003, você pode receber uma mensagem de erro no computador semelhante à seguinte:

A política de recuperação configurada para este sistema contém um certificado de recuperação inválido.

Causa

Esse problema ocorrerá se a política de recuperação do EFS implementada no computador cliente contiver um ou mais certificados do agente de recuperação do EFS que expiraram. Os computadores clientes não podem criptografar novos documentos até que um certificado válido do agente de recuperação esteja disponível.

Solução

Para resolver esse problema, siga estas etapas:

1. Faça logon em um controlador de domínio usando a conta de usuário na qual você deseja que o agente de recuperação do EFS seja executado.

2. Use a versão do Windows Server 2003 da ferramenta Cipher junto com a /r opção para criar um novo certificado de recuperação de arquivo autoassinado e uma chave privada. A ferramenta Cipher gera um novo certificado de recuperação de arquivo público (um arquivo .cer) e um arquivo .pfx. Faça cópias desses arquivos e salve-os em um local seguro. Para gerar o novo certificado de recuperação de arquivo, siga estas etapas:

   1. Clique em Iniciar, Executar, digite cmde clique em OK.

   2. No prompt de comando, digite cipher /r: file_namee pressione ENTER.

      Observação

      file_name representa o nome do arquivo que você deseja usar. Use um nome de arquivo que seja significativo para você. Não adicione uma extensão ao nome do arquivo. Verifique se os novos arquivos .cer e .pfx foram criados na mesma pasta.

   3. Quando for solicitada uma senha para proteger o arquivo .pfx, digite uma senha que você lembrará facilmente.

3. Exporte o certificado antigo do agente de recuperação do EFS. Para fazer isso, siga estas etapas:

   1. Faça logon no controlador de domínio usando uma conta que tenha credenciais administrativas de domínio. Clique em Iniciar, aponte para Programas, Ferramentas administrativas e clique em Usuários e computadores do Active Directory.

   2. Clique com o botão direito do mouse em Domain_name e clique em Propriedades.

   3. Clique na guia Política de Grupo, clique no objeto de Política de Grupo (GPO) da Diretiva de Domínio Padrão e clique em Editar.

   4. Expanda Configuração do Computador, Configurações do Windows, Configurações de Segurança, Políticas de Chave Pública e clique em Sistema de Arquivos com Criptografia.

   5. Clique com o botão direito do mouse no certificado atual do agente de recuperação do EFS, aponte para Todas as tarefas e clique em Exportar.

   6. Siga as instruções no Assistente de Exportação de Certificado para exportar o certificado antigo do agente de recuperação do EFS.

      Observação

      Certifique-se de exportar o certificado antigo do agente de recuperação do EFS junto com a chave privada para um arquivo .cer. Mantenha o novo arquivo .pfx do agente de recuperação do EFS e o arquivo .pfx do agente de recuperação do EFS antigo em um local seguro.

4. Clique com o botão direito do mouse no certificado antigo do agente de recuperação do EFS, clique em Excluir e em Sim.

5. Faça logon no controlador de domínio usando uma conta que tenha credenciais administrativas de domínio e importe o novo certificado do agente de recuperação do EFS. Para fazer isso, siga estas etapas:

   1. Clique em Iniciar, aponte para Programas, Ferramentas administrativas e clique em Usuários e computadores do Active Directory.
   2. Clique com o botão direito do mouse em Domain_name e clique em Propriedades.
   3. Clique na guia Diretiva de Grupo, clique no GPO Diretiva de Domínio Padrão e clique em Editar.
   4. Expanda Configuração do Computador, Configurações do Windows, Configurações de Segurança, Diretivas de Chave Pública e clique em Sistema de Arquivos com Criptografia.
   5. Clique com o botão direito do mouse na pasta Sistema de Arquivos com Criptografia e clique em Adicionar.
   6. Clique em Avançar no Assistente para Adicionar Agente de Recuperação e clique em Procurar Pastas.
   7. Importe o novo arquivo .cer que você criou na etapa 2b e clique em Abrir.

   Observação

   Ao abrir o arquivo .cer, você verá USER_UNKNOWN no campo Agentes de Recuperação. Essa mensagem é esperada. Além disso, você recebe uma mensagem de aviso do Assistente para Adicionar Agente de Recuperação informando que o certificado não é confiável.

6. Importe o novo arquivo .cer que você criou na etapa 2b para a pasta: Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authorities.

7. Se você tiver vários controladores de domínio, digite gpupdate /force em um prompt de comando para atualizar a Política de Grupo.

8. Verifique se os computadores cliente podem criptografar arquivos com êxito.