Erreur lorsque les ordinateurs clients chiffrent un fichier dans un domaine Windows Server 2003 : la stratégie de récupération configurée pour ce système contient un certificat de récupération non valide.

Cet article fournit une solution à une erreur qui se produit lorsque des ordinateurs clients chiffrent un fichier dans un domaine Microsoft Windows Server 2003.

Version du produit d’origine :   Windows Server 2003
Numéro de la base de connaissances initiale :   937536

Symptômes

Lorsqu’un ordinateur client utilise le système de fichiers de chiffrement (EFS) pour chiffrer un fichier stocké sur un ordinateur distant dans un domaine Microsoft Windows Server 2003, vous pouvez recevoir un message d’erreur semblable à celui-ci :

La stratégie de récupération configurée pour ce système contient un certificat de récupération non valide.

Cause

Ce problème se produit si la stratégie de récupération EFS qui est implémentée sur l’ordinateur client contient un ou plusieurs certificats d’agent de récupération EFS ayant expiré. Les ordinateurs clients ne peuvent pas chiffrer de nouveaux documents tant qu’un certificat d’agent de récupération valide n’est pas disponible.

Résolution

Pour résoudre ce problème, procédez comme suit :

  1. Ouvrez une session sur un contrôleur de domaine à l’aide du compte d’utilisateur sous lequel vous souhaitez que l’agent de récupération EFS s’exécute.

  2. Utilisez la version Windows Server 2003 de l’outil Cipher avec le /r commutateur pour créer un certificat de récupération de fichier auto-signé et une clé privée. L’outil Cipher génère un nouveau certificat de récupération de fichiers publics (un fichier. cer) et un fichier. pfx. Effectuez des copies de ces fichiers, puis enregistrez-les dans un emplacement sûr. Pour générer le nouveau certificat de récupération de fichier, procédez comme suit :

    1. Cliquez sur Démarrer, sur exécuter, tapez cmd, puis cliquez sur OK.

    2. À l’invite de commandes, tapez cipher /r: file_name , puis appuyez sur entrée.

      Notes

      file_name représente le nom de fichier que vous souhaitez utiliser. Utilisez un nom de fichier significatif pour vous. N’ajoutez pas d’extension au nom de fichier. Assurez-vous que les nouveaux fichiers. cer et. pfx sont créés dans le même dossier.

    3. Lorsque vous êtes invité à entrer un mot de passe pour protéger le fichier. pfx, tapez un mot de passe facile à mémoriser.

  3. Exportez l’ancien certificat d’agent de récupération EFS. Pour cela, procédez comme suit :

    1. Ouvrez une session sur le contrôleur de domaine à l’aide d’un compte disposant d’informations d’identification d’administrateur de domaine. Cliquez sur Démarrer, pointez sur programmes, sur Outils d’administration, puis cliquez sur utilisateurs et ordinateurs Active Directory.

    2. Cliquez avec le bouton droit sur * * * * Domain_name * * * *, puis cliquez sur Propriétés.

    3. Cliquez sur l’onglet stratégie de groupe , cliquez sur l’objet de stratégie de groupe stratégie de domaine par défaut , puis cliquez sur modifier.

    4. Développez Configuration ordinateur, Paramètres Windows, paramètres de sécurité, stratégies de clé publique, puis cliquez sur système de fichiers de chiffrement.

    5. Cliquez avec le bouton droit sur le certificat actuel de l’agent de récupération EFS, pointez sur toutes les tâches, puis cliquez sur Exporter.

    6. Suivez les instructions de l’Assistant exportation de certificat pour exporter l’ancien certificat d’agent de récupération EFS.

      Notes

      Assurez-vous que vous exportez l’ancien certificat d’agent de récupération EFS avec la clé privée vers un fichier. cer. Conservez le nouveau fichier. pfx de l’agent de récupération EFS et l’ancien fichier. pfx de l’agent de récupération EFS dans un emplacement sécurisé.

  4. Cliquez avec le bouton droit sur l’ancien certificat d’agent de récupération EFS, cliquez sur supprimer, puis cliquez sur Oui.

  5. Ouvrez une session sur le contrôleur de domaine à l’aide d’un compte disposant d’informations d’identification d’administration du domaine, puis importez le nouveau certificat d’agent de récupération EFS. Pour cela, procédez comme suit :

    1. Cliquez sur Démarrer, pointez sur programmes, sur Outils d’administration, puis cliquez sur utilisateurs et ordinateurs Active Directory.
    2. Cliquez avec le bouton droit sur Domain_name, puis cliquez sur Propriétés.
    3. Cliquez sur l’onglet stratégie de groupe , cliquez sur l’objet GPO stratégie de domaine par défaut , puis cliquez sur modifier.
    4. Développez Configuration ordinateur, Paramètres Windows, paramètres de sécurité, stratégies de clé publique, puis cliquez sur système de fichiers de chiffrement.
    5. Cliquez avec le bouton droit sur le dossier système de fichiers de chiffrement , puis cliquez sur Ajouter.
    6. Cliquez sur suivant dans l’Assistant Ajout d’un agent de récupération, puis cliquez sur Parcourir les dossiers.
    7. Importez le nouveau fichier. cer que vous avez créé à l’étape 2B, puis cliquez sur ouvrir.

    Notes

    Lorsque vous ouvrez le fichier. cer, vous voyez USER_UNKNOWN dans le champ agents de récupération. Ce message est attendu. En outre, vous recevez un message d’avertissement de l’Assistant Ajout d’un agent de récupération que le certificat n’est pas approuvé.

  6. Importez le nouveau fichier. cer que vous avez créé à l’étape 2b dans le dossier : Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authorities .

  7. Si vous avez plusieurs contrôleurs de domaine, tapez gpupdate /force à l’invite de commandes pour mettre à jour la stratégie de groupe.

  8. Vérifiez que les ordinateurs clients peuvent chiffrer les fichiers avec succès.