クライアント コンピューターがサーバー 2003 ドメイン内のWindowsを暗号化する場合のエラー: このシステム用に構成された回復ポリシーに無効な回復証明書が含まれている

この記事では、クライアント コンピューターが Microsoft サーバー 2003 ドメイン内のファイルを暗号化するときに発生するWindowsを提供します。

適用対象:  WindowsServer 2003
元の KB 番号:   937536

現象

クライアント コンピューターが暗号化ファイル システム (EFS) を使用して、Microsoft Windows Server 2003 ドメイン内のリモート コンピューターに保存されているファイルを暗号化すると、次のようなエラー メッセージがコンピューターに表示されることがあります。

このシステム用に構成された回復ポリシーには、無効な回復証明書が含まれている。

原因

この問題は、クライアント コンピューターに実装されている EFS 回復ポリシーに有効期限が切れた 1 つ以上の EFS 回復エージェント証明書が含まれている場合に発生します。 クライアント コンピューターは、有効な回復エージェント証明書が使用可能になるまで、新しいドキュメントを暗号化できません。

解決方法

この問題を解決するには、次の手順を実行します。

  1. EFS 回復エージェントを実行するユーザー アカウントを使用して、ドメイン コントローラーにログオンします。

  2. スイッチとWindowsサーバー 2003 バージョンの暗号ツールを使用して、新しい自己署名証明書とプライベート キー /r を作成します。 暗号ツールは、新しいパブリック ファイル回復証明書 (.cer ファイル) と .pfx ファイルを生成します。 これらのファイルのコピーを作成し、安全な場所に保存します。 新しいファイル回復証明書を生成するには、次の手順を実行します。

    1. [**スタート] ボタン、[**ファイル名を指定して実行] をクリックし 、「cmd」 と入力し 、[OK] をクリックします

    2. コマンド プロンプトで、「」と cipher /r: file_name 入力し、Enter キーを押します。

      注意

      file_name は、使用するファイル名を表します。 ユーザーにとって意味のあるファイル名を使用します。 ファイル名に拡張子を追加しない。 新しい .cer ファイルと .pfx ファイルが同じフォルダーに作成されます。

    3. .pfx ファイルを保護するためのパスワードの入力を求めるメッセージが表示されたら、覚えやすいパスワードを入力します。

  3. 古い EFS 回復エージェント証明書をエクスポートします。 そのためには、次の手順に従います。

    1. ドメイン管理者資格情報を持つアカウントを使用して、ドメイン コントローラーにログオンします。 [ スタート] ボタンをクリックし、[ プログラム] をポイント し、[管理ツール] ポイントし 、[Active Directory ユーザーとコンピューター] をクリックします

    2. Domain_name を右クリックし、[プロパティ] を クリックします

    3. [グループ ポリシー ] タブをクリック し、既定の ドメイン ポリシー グループ ポリシー オブジェクト (GPO) をクリックし、[編集] を クリックします

    4. [**コンピューターの構成]** 展開し、[セキュリティ Windows 設定] を展開 設定[公開 キー ポリシー] を展開し、[ファイル システムの暗号化]をクリックします

    5. 現在の EFS 回復エージェント証明書を右クリックし、[すべてのタスク] をポイントし、[エクスポート] を クリックします

    6. 証明書エクスポート ウィザードの指示に従って、古い EFS 回復エージェント証明書をエクスポートします。

      注意

      古い EFS 回復エージェント証明書を、プライベート キーと共に .cer ファイルにエクスポートしてください。 新しい EFS 回復エージェント .pfx ファイルと、古い EFS 回復エージェント .pfx ファイルを安全な場所に保管します。

  4. 古い EFS 回復エージェント証明書を右クリックし、[削除] をクリックし、[はい] を クリックします

  5. ドメイン管理者資格情報を持つアカウントを使用してドメイン コントローラーにログオンし、新しい EFS 回復エージェント証明書をインポートします。 そのためには、次の手順に従います。

    1. [ スタート] ボタンをクリックし、[ プログラム] をポイント し、[管理ツール] ポイントし 、[Active Directory ユーザーとコンピューター] をクリックします
    2. [プロパティ] を 右Domain_name し、[プロパティ] を クリックします
    3. [グループ ポリシー ] タブをクリック し、[既定の ドメイン ポリシー GPO] をクリックし、[編集] を クリックします
    4. [コンピューターの構成] を展開し 、[Windows 設定] を展開し、[セキュリティ 設定] を展開し 、[公開キー ポリシー] を展開し、[ファイル システムの暗号化]をクリックします
    5. [ファイル システムの暗号化] フォルダーを右クリックし 、[追加] を クリックします
    6. 回復 エージェントの追加 ウィザードで [次へ] をクリックし、[フォルダーの参照] をクリックします
    7. 手順 2b で作成した新しい .cer ファイルをインポートし、[開く] を クリックします

    注意

    .cer ファイルを開きますと、[回復エージェント] フィールドUSER_UNKNOWNが表示されます。 このメッセージが予期されます。 また、回復エージェントの追加ウィザードから、証明書が信頼されていないという警告メッセージが表示されます。

  6. 手順 2b で作成した新しい .cer ファイルをフォルダーにインポートします Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authorities

  7. 複数のドメイン コントローラーがある場合は、コマンド プロンプト gpupdate /force に入力してグループ ポリシーを更新します。

  8. クライアント コンピューターがファイルを正常に暗号化できると確認します。