客户端计算机加密 Windows Server 2003 域中的文件时出错:为此系统配置的恢复策略包含无效的恢复证书

本文提供了一个解决方案,用于解决客户端计算机加密 Microsoft Windows Server 2003 域中的文件时发生的错误。

适用于: Windows Server 2003
原始 KB 数: 937536

现象

当客户端计算机使用加密文件系统(EFS)加密存储在 Microsoft Windows Server 2003 域中的远程计算机上的文件时,你可能会在计算机上收到如下所示的错误消息:

为此系统配置的恢复策略包含无效的恢复证书。

原因

如果在客户端计算机上实现的 EFS 恢复策略包含已过期的一个或多个 EFS 恢复代理证书,则会出现此问题。 在有效的恢复代理证书可用之前,客户端计算机无法加密任何新文档。

解决方法

若要解决该问题,请执行以下步骤:

  1. 使用要运行 EFS 恢复代理的用户帐户登录到域控制器。

  2. 使用 Windows Server 2003 版本的密码工具以及 /r 开关创建新的自签名文件恢复证书和私钥。 密码工具生成新的公共文件恢复证书(.cer文件)和 .pfx 文件。 创建这些文件的副本,然后将其保存到安全位置。 若要生成新的文件恢复证书,请执行以下步骤:

    1. 单击“开始” ,再单击“运行” ,键入 cmd,然后单击“确定”

    2. 在命令提示符下,键入 cipher /r: file_name,然后按 Enter。

      注意

      file_name 表示要使用的文件名。 使用有意义的文件名。 不要向文件名添加扩展名。 请确保在同一文件夹中创建了新的.cer和 .pfx 文件。

    3. 当系统提示输入密码以保护 .pfx 文件时,请键入容易记住的密码。

  3. 导出旧的 EFS 恢复代理证书。 为此,请按照下列步骤进行操作:

    1. 使用具有域管理凭据的帐户登录到域控制器。 单击“开始”,依次指向“程序”、“管理工具”,然后单击“Active Directory 用户和计算机”

    2. 右键单击 Domain_name,然后单击“ 属性”。

    3. 单击“组策略”选项卡,单击“默认域策略组策略”对象(GPO),然后单击“编辑”。

    4. 依次展开“计算机配置”、“Windows 设置”、“安全设置”、“公钥策略”,然后单击“加密文件系统”。

    5. 右键单击当前的 EFS 恢复代理证书,指向 “所有任务”,然后单击“ 导出”。

    6. 按照证书导出向导中的说明导出旧的 EFS 恢复代理证书。

      注意

      请确保将旧的 EFS 恢复代理证书连同私钥一起导出到.cer文件。 将新的 EFS 恢复代理 .pfx 文件和旧的 EFS 恢复代理 .pfx 文件保存在安全的位置。

  4. 右键单击旧的 EFS 恢复代理证书,单击“删除,然后单击“”。

  5. 使用具有域管理凭据的帐户登录到域控制器,然后导入新的 EFS 恢复代理证书。 为此,请按照下列步骤进行操作:

    1. 单击“开始”,依次指向“程序”、“管理工具”,然后单击“Active Directory 用户和计算机”
    2. 右键单击 Domain_name,然后单击“ 属性”。
    3. 单击“组策略”选项卡,单击“默认域策略 GPO”,然后单击“编辑”。
    4. 依次展开“计算机配置”、“Windows 设置”、“安全设置”、“公钥策略”,然后单击“加密文件系统”。
    5. 右键单击“ 加密文件系统 ”文件夹,然后单击“ 添加”。
    6. 单击“ 添加恢复代理向导”上的“下一步 ”,然后单击“ 浏览文件夹”。
    7. 导入在步骤 2b 中创建的新.cer文件,然后单击“ 打开”。

    注意

    打开.cer文件时,可在“恢复代理”字段中看到USER_UNKNOWN。 此消息是正常的。 此外,你从“添加恢复代理向导”收到警告消息,指出证书不受信任。

  6. 将步骤 2b 中创建的新.cer文件导入到文件夹中: Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authorities

  7. 如果有多个域控制器,请在命令提示符处键入 gpupdate /force 以更新组策略。

  8. 验证客户端计算机是否可以成功加密文件。