Fehler beim Verschlüsseln einer Datei in einer Windows Server 2003-Domäne durch Clientcomputer: Die für dieses System konfigurierte Wiederherstellungsrichtlinie enthält ein ungültiges Wiederherstellungszertifikat.

Dieser Artikel bietet eine Lösung für einen Fehler, der auftritt, wenn Clientcomputer eine Datei in einer Microsoft Windows Server 2003-Domäne verschlüsseln.

Gilt für: Windows Server 2003
Ursprüngliche KB-Nummer: 937536

Symptome

Wenn ein Clientcomputer das verschlüsselnde Dateisystem (Encrypting File System, EFS) verwendet, um eine Datei zu verschlüsseln, die auf einem Remotecomputer in einer Microsoft Windows Server 2003-Domäne gespeichert ist, wird auf dem Computer möglicherweise eine Fehlermeldung angezeigt, die der folgenden ähnelt:

Die für dieses System konfigurierte Wiederherstellungsrichtlinie enthält ein ungültiges Wiederherstellungszertifikat.

Ursache

Dieses Problem tritt auf, wenn die EFS-Wiederherstellungsrichtlinie, die auf dem Clientcomputer implementiert ist, ein oder mehrere abgelaufene EFS-Wiederherstellungs-Agent-Zertifikate enthält. Clientcomputer können keine neuen Dokumente verschlüsseln, bis ein gültiges Wiederherstellungs-Agent-Zertifikat verfügbar ist.

Lösung

Gehen Sie wie folgt vor, um das Problem zu beheben:

1. Melden Sie sich bei einem Domänencontroller mit dem Benutzerkonto an, unter dem der EFS-Wiederherstellungs-Agent ausgeführt werden soll.

2. Verwenden Sie die Windows Server 2003-Version des Verschlüsselungstools zusammen mit dem /r Switch, um ein neues selbstsigniertes Dateiwiederherstellungszertifikat und einen privaten Schlüssel zu erstellen. Das Verschlüsselungstool generiert ein neues öffentliches Dateiwiederherstellungszertifikat (eine .cer-Datei) und eine PFX-Datei. Erstellen Sie Kopien dieser Dateien, und speichern Sie sie dann an einem sicheren Speicherort. Führen Sie die folgenden Schritte aus, um das neue Dateiwiederherstellungszertifikat zu generieren:

   1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie cmd ein, und klicken Sie dann auf OK.

   2. Geben Sie an der Eingabeaufforderung ein cipher /r: file_name, und drücken Sie dann die EINGABETASTE.

      Hinweis

      file_name stellt den Dateinamen dar, den Sie verwenden möchten. Verwenden Sie einen Dateinamen, der für Sie aussagekräftig ist. Fügen Sie dem Dateinamen keine Erweiterung hinzu. Stellen Sie sicher, dass die neuen .cer- und PFX-Dateien im selben Ordner erstellt werden.

   3. Wenn Sie zur Eingabe eines Kennworts aufgefordert werden, um die PFX-Datei zu schützen, geben Sie ein Kennwort ein, das Sie sich leicht merken können.

3. Exportieren Sie das alte EFS-Wiederherstellungs-Agent-Zertifikat. Gehen Sie dazu wie folgt vor:

   1. Melden Sie sich beim Domänencontroller mit einem Konto an, das über Domänenadministratoranmeldeinformationen verfügt. Klicken Sie auf Start, zeigen Sie auf Programme und dann auf Verwaltung, und klicken Sie auf Active Directory-Benutzer und -Computer.

   2. Klicken Sie mit der rechten Maustaste auf Domain_name, und klicken Sie dann auf Eigenschaften.

   3. Klicken Sie auf die Registerkarte Gruppenrichtlinie, klicken Sie auf standard domain policy Gruppenrichtlinie object (GPO), und klicken Sie dann auf Bearbeiten.

   4. Erweitern Sie Computerkonfiguration, erweitern Sie Windows-Einstellungen, Erweitern Sie Sicherheitseinstellungen, erweitern Sie Richtlinien für öffentliche Schlüssel, und klicken Sie dann auf Verschlüsselndes Dateisystem.

   5. Klicken Sie mit der rechten Maustaste auf das aktuelle EFS-Wiederherstellungs-Agent-Zertifikat, zeigen Sie auf Alle Aufgaben, und klicken Sie dann auf Exportieren.

   6. Befolgen Sie die Anweisungen im Zertifikatexport-Assistenten, um das alte EFS-Wiederherstellungs-Agent-Zertifikat zu exportieren.

      Hinweis

      Stellen Sie sicher, dass Sie das alte EFS-Wiederherstellungs-Agent-Zertifikat zusammen mit dem privaten Schlüssel in eine .cer-Datei exportieren. Bewahren Sie die neue PFX-Datei des EFS-Wiederherstellungs-Agents und die alte PFX-Datei des EFS-Wiederherstellungs-Agents an einem sicheren Speicherort auf.

4. Klicken Sie mit der rechten Maustaste auf das alte EFS-Wiederherstellungs-Agent-Zertifikat, klicken Sie auf Löschen, und klicken Sie dann auf Ja.

5. Melden Sie sich mit einem Konto mit Domänenadministratoranmeldeinformationen beim Domänencontroller an, und importieren Sie dann das neue EFS-Wiederherstellungs-Agent-Zertifikat. Gehen Sie dazu wie folgt vor:

   1. Klicken Sie auf Start, zeigen Sie auf Programme und dann auf Verwaltung, und klicken Sie auf Active Directory-Benutzer und -Computer.
   2. Klicken Sie mit der rechten Maustaste auf Domain_name, und klicken Sie dann auf Eigenschaften.
   3. Klicken Sie auf die Registerkarte Gruppenrichtlinie, klicken Sie auf das Standarddomänenrichtlinien-GPO, und klicken Sie dann auf Bearbeiten.
   4. Erweitern Sie Computerkonfiguration, erweitern Sie Windows-Einstellungen, erweitern Sie Sicherheitseinstellungen, erweitern Sie Richtlinien für öffentliche Schlüssel, und klicken Sie dann auf Verschlüsselndes Dateisystem.
   5. Klicken Sie mit der rechten Maustaste auf den Ordner Verschlüsselndes Dateisystem , und klicken Sie dann auf Hinzufügen.
   6. Klicken Sie im Assistenten zum Hinzufügen des Wiederherstellungs-Agents auf Weiter , und klicken Sie dann auf Ordner durchsuchen.
   7. Importieren Sie die neue .cer Datei, die Sie in Schritt 2b erstellt haben, und klicken Sie dann auf Öffnen.

   Hinweis

   Wenn Sie die .cer-Datei öffnen, wird im Feld Wiederherstellungs-Agents USER_UNKNOWN angezeigt. Diese Meldung wird erwartet. Außerdem erhalten Sie eine Warnmeldung vom Assistenten zum Hinzufügen des Wiederherstellungs-Agents, dass das Zertifikat nicht vertrauenswürdig ist.

6. Importieren Sie die neue .cer-Datei, die Sie in Schritt 2b erstellt haben, in den Ordner . Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authorities

7. Wenn Sie über mehrere Domänencontroller verfügen, geben gpupdate /force Sie an einer Eingabeaufforderung ein, um die Gruppenrichtlinie zu aktualisieren.

8. Stellen Sie sicher, dass Clientcomputer Dateien erfolgreich verschlüsseln können.