本文提供了一个解决方案,用于解决客户端计算机加密 Microsoft Windows Server 2003 域中的文件时发生的错误。
适用于: Windows Server 2003
原始 KB 数: 937536
现象
当客户端计算机使用加密文件系统(EFS)加密存储在 Microsoft Windows Server 2003 域中的远程计算机上的文件时,你可能会在计算机上收到如下所示的错误消息:
为此系统配置的恢复策略包含无效的恢复证书。
原因
如果在客户端计算机上实现的 EFS 恢复策略包含已过期的一个或多个 EFS 恢复代理证书,则会出现此问题。 在有效的恢复代理证书可用之前,客户端计算机无法加密任何新文档。
解决方法
若要解决该问题,请执行以下步骤:
使用要运行 EFS 恢复代理的用户帐户登录到域控制器。
使用 Windows Server 2003 版本的密码工具以及
/r
开关创建新的自签名文件恢复证书和私钥。 密码工具生成新的公共文件恢复证书(.cer文件)和 .pfx 文件。 创建这些文件的副本,然后将其保存到安全位置。 若要生成新的文件恢复证书,请执行以下步骤:单击“开始” ,再单击“运行” ,键入 cmd,然后单击“确定” 。
在命令提示符下,键入
cipher /r: file_name
,然后按 Enter。注意
file_name 表示要使用的文件名。 使用有意义的文件名。 不要向文件名添加扩展名。 请确保在同一文件夹中创建了新的.cer和 .pfx 文件。
当系统提示输入密码以保护 .pfx 文件时,请键入容易记住的密码。
导出旧的 EFS 恢复代理证书。 为此,请按照下列步骤进行操作:
使用具有域管理凭据的帐户登录到域控制器。 单击“开始”,依次指向“程序”、“管理工具”,然后单击“Active Directory 用户和计算机”。
右键单击 Domain_name,然后单击“ 属性”。
单击“组策略”选项卡,单击“默认域策略组策略”对象(GPO),然后单击“编辑”。
依次展开“计算机配置”、“Windows 设置”、“安全设置”、“公钥策略”,然后单击“加密文件系统”。
右键单击当前的 EFS 恢复代理证书,指向 “所有任务”,然后单击“ 导出”。
按照证书导出向导中的说明导出旧的 EFS 恢复代理证书。
注意
请确保将旧的 EFS 恢复代理证书连同私钥一起导出到.cer文件。 将新的 EFS 恢复代理 .pfx 文件和旧的 EFS 恢复代理 .pfx 文件保存在安全的位置。
右键单击旧的 EFS 恢复代理证书,单击“删除”,然后单击“是”。
使用具有域管理凭据的帐户登录到域控制器,然后导入新的 EFS 恢复代理证书。 为此,请按照下列步骤进行操作:
- 单击“开始”,依次指向“程序”、“管理工具”,然后单击“Active Directory 用户和计算机”。
- 右键单击 Domain_name,然后单击“ 属性”。
- 单击“组策略”选项卡,单击“默认域策略 GPO”,然后单击“编辑”。
- 依次展开“计算机配置”、“Windows 设置”、“安全设置”、“公钥策略”,然后单击“加密文件系统”。
- 右键单击“ 加密文件系统 ”文件夹,然后单击“ 添加”。
- 单击“ 添加恢复代理向导”上的“下一步 ”,然后单击“ 浏览文件夹”。
- 导入在步骤 2b 中创建的新.cer文件,然后单击“ 打开”。
注意
打开.cer文件时,可在“恢复代理”字段中看到USER_UNKNOWN。 此消息是正常的。 此外,你从“添加恢复代理向导”收到警告消息,指出证书不受信任。
将步骤 2b 中创建的新.cer文件导入到文件夹中:
Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authorities
如果有多个域控制器,请在命令提示符处键入
gpupdate /force
以更新组策略。验证客户端计算机是否可以成功加密文件。