Fehler beim Verschlüsseln einer Datei in einer Windows Server 2003 Domäne durch Clientcomputer: die für dieses System konfigurierte Wiederherstellungsrichtlinie enthält ein ungültiges Wiederherstellungszertifikat.

Dieser Artikel bietet eine Lösung für einen Fehler, der auftritt, wenn Clientcomputer eine Datei in einer Microsoft Windows Server 2003 Domäne verschlüsseln.

Original Version des Produkts:   Windows Server 2003
Ursprüngliche KB-Nummer:   937536

Problembeschreibung

Wenn ein Clientcomputer das verschlüsselnde Datei System (Encrypting File System, EFS) zum Verschlüsseln einer Datei verwendet, die auf einem Remotecomputer in einer Microsoft Windows Server 2003-Domäne gespeichert ist, wird möglicherweise eine Fehlermeldung auf dem Computer angezeigt, die der folgenden ähnelt:

Die für dieses System konfigurierte Wiederherstellungsrichtlinie enthält ein ungültiges Wiederherstellungszertifikat.

Ursache

Dieses Problem tritt auf, wenn die auf dem Clientcomputer implementierte EFS-Wiederherstellungsrichtlinie mindestens ein Zertifikat für einen EFS-Wiederherstellungs-Agent enthält, das abgelaufen ist. Client Computer können keine neuen Dokumente verschlüsseln, bis ein gültiges Wiederherstellungs-Agent-Zertifikat verfügbar ist.

Lösung

Führen Sie die folgenden Schritte aus, um dieses Problem zu beheben:

  1. Melden Sie sich mit dem Benutzerkonto, unter dem der EFS-Wiederherstellungs-Agent ausgeführt werden soll, bei einem Domänencontroller an.

  2. Verwenden Sie die Windows Server 2003 Version des Cipher-Tools zusammen mit der /r Option, um ein neues selbstsigniertes Dateiwiederherstellungszertifikat und einen privaten Schlüssel zu erstellen. Das Cipher-Tool generiert ein neues öffentliches Dateiwiederherstellungszertifikat (eine CER-Datei) und eine PFX-Datei. Erstellen Sie Kopien dieser Dateien, und speichern Sie Sie an einem sicheren Ort. Führen Sie die folgenden Schritte aus, um das neue Dateiwiederherstellungszertifikat zu generieren:

    1. Klicken Sie auf Start, dann auf Ausführen, geben Sie cmdein, und klicken Sie dann auf OK.

    2. Geben Sie an der Eingabeaufforderung cipher /r: file_name ein, und drücken Sie dann die EINGABETASTE.

      Hinweis

      file_name steht für den Dateinamen, den Sie verwenden möchten. Verwenden Sie einen für Sie sinnvollen Dateinamen. Fügen Sie dem Dateinamen keine Erweiterung hinzu. Stellen Sie sicher, dass die neuen CER-und PFX-Dateien im gleichen Ordner erstellt werden.

    3. Wenn Sie zur Eingabe eines Kennworts aufgefordert werden, um die PFX-Datei zu schützen, geben Sie ein Kennwort ein, das Sie sich leicht merken können.

  3. Exportieren Sie das alte Zertifikat des EFS-Wiederherstellungs-Agents. Gehen Sie dazu wie folgt vor:

    1. Melden Sie sich beim Domänencontroller mit einem Konto an, das über Administratoranmeldeinformationen für die Domäne verfügt. Klicken Sie im Startmenüauf Programme, dann auf Verwaltung, und klicken Sie dann auf Benutzer und Computer Active Directory.

    2. Klicken Sie mit der rechten Maustaste auf * * * * Domain_name * * * *, und klicken Sie dann auf Eigenschaften.

    3. Klicken Sie auf die Registerkarte Gruppenrichtlinie , klicken Sie auf das Gruppenrichtlinienobjekt Standarddomänenrichtlinie (Group Policy Object, GPO), und klicken Sie dann auf Bearbeiten.

    4. Erweitern Sie Computer Konfiguration, erweitern Sie Windows-Einstellungen, erweitern Sie Sicherheitseinstellungen, erweitern Sie Richtlinien für öffentliche Schlüssel, und klicken Sie dann auf Datei System verschlüsseln.

    5. Klicken Sie mit der rechten Maustaste auf das aktuelle Zertifikat des EFS-Wiederherstellungs-Agents, dann auf alle Aufgaben, und klicken Sie dann auf exportieren.

    6. Befolgen Sie die Anweisungen im Zertifikatexport-Assistenten, um das alte Zertifikat des EFS-Wiederherstellungs-Agents zu exportieren.

      Hinweis

      Stellen Sie sicher, dass Sie das alte Zertifikat des EFS-Wiederherstellungs-Agents zusammen mit dem privaten Schlüssel in eine CER-Datei exportieren. Bewahren Sie die PFX-Datei des neuen EFS-Wiederherstellungs-Agents und die alte PFX-Datei für den EFS-Wiederherstellungs-Agent an einem sicheren Ort auf.

  4. Klicken Sie mit der rechten Maustaste auf das alte Zertifikat des EFS-Wiederherstellungs-Agents, klicken Sie auf Löschenund dann auf Ja.

  5. Melden Sie sich mit einem Konto, das über Administratoranmeldeinformationen für die Domäne verfügt, beim Domänencontroller an, und importieren Sie dann das Zertifikat des neuen EFS-Wiederherstellungs-Agents. Gehen Sie dazu wie folgt vor:

    1. Klicken Sie im Startmenüauf Programme, dann auf Verwaltung, und klicken Sie dann auf Benutzer und Computer Active Directory.
    2. Klicken Sie mit der rechten Maustaste auf Domain_name, und klicken Sie dann auf Eigenschaften.
    3. Klicken Sie auf die Registerkarte Gruppenrichtlinie , klicken Sie auf das GPO Standarddomänenrichtlinie , und klicken Sie dann auf Bearbeiten.
    4. Erweitern Sie Computer Konfiguration, erweitern Sie Windows-Einstellungen, erweitern Sie Sicherheitseinstellungen, erweitern Sie Richtlinien für öffentliche Schlüssel, und klicken Sie dann auf Datei System verschlüsseln.
    5. Klicken Sie mit der rechten Maustaste auf den Ordner Encrypting File System , und klicken Sie dann auf Hinzufügen.
    6. Klicken Sie im Assistenten zum Hinzufügen von Wiederherstellungs-Agents auf weiter , und klicken Sie dann auf Ordner durchsuchen.
    7. Importieren Sie die neue CER-Datei, die Sie in Schritt 2B erstellt haben, und klicken Sie dann auf Öffnen.

    Hinweis

    Wenn Sie die CER-Datei öffnen, sehen Sie USER_UNKNOWN im Feld Wiederherstellungs-Agents. Diese Meldung wird erwartet. Außerdem erhalten Sie eine Warnmeldung vom Assistenten zum Hinzufügen von Wiederherstellungs-Agents, dass das Zertifikat nicht vertrauenswürdig ist.

  6. Importieren Sie die neue CER-Datei, die Sie in Schritt 2B erstellt haben, in den Ordner: Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authorities .

  7. Wenn Sie über mehrere Domänencontroller verfügen, geben Sie gpupdate /force an einer Eingabeaufforderung ein, um die Gruppenrichtlinie zu aktualisieren.

  8. Stellen Sie sicher, dass die Clientcomputer erfolgreich Dateien verschlüsseln können.