客户端计算机加密 Windows Server 2003 域中的文件时出错:为此系统配置的恢复策略包含无效的恢复证书

本文提供了一种解决客户端计算机对 Microsoft Windows Server 2003 域中的文件进行加密时发生的错误的解决方案。

适用于:  WindowsServer 2003
原始 KB 编号:   937536

症状

当客户端计算机使用加密文件系统 (EFS) 加密存储在 Microsoft Windows Server 2003 域中的远程计算机上的文件时,您可能会在类似于以下的计算机上收到错误消息:

为此系统配置的恢复策略包含无效的恢复证书。

原因

如果在客户端计算机上实施的 EFS 恢复策略包含一个或多个已过期的 EFS 恢复代理证书,则会出现此问题。 客户端计算机无法加密任何新文档,直到有效的恢复代理证书可用。

解决方案

若要解决此问题,请按照以下步骤操作:

  1. 使用希望 EFS 恢复代理运行使用的用户帐户登录到域控制器。

  2. 将 Windows Server 2003 版本的加密工具与开关一起用于创建新的自签名文件恢复证书和 /r 私钥。 密码工具会生成一个新的公用文件恢复证书, (.cer) .pfx 文件。 复制这些文件,然后将这些文件保存到安全的位置。 若要生成新的文件恢复证书,请按照以下步骤操作:

    1. 单击 "开始",单击 "运行",键入 cmd, 然后单击"确定 "。

    2. 在命令提示符下,键入 cipher /r: file_name ,然后按 Enter。

      备注

      file_name 表示想要使用的文件名。 使用对你有意义的文件名。 不要向文件名添加扩展名。 确保在同一文件夹中创建了新的 .cer 和 .pfx 文件。

    3. 当系统提示你输入用于保护 .pfx 文件的密码时,请键入一个容易记住的密码。

  3. 导出旧的 EFS 恢复代理证书。 为此,请按照下列步骤操作:

    1. 使用具有域管理凭据的帐户登录到域控制器。 单击 "开始",指向 "程序",指向"管理工具",然后单击 "Active Directory 用户和计算机"。

    2. 右键单击"Domain_name",然后单击"属性 "。

    3. 单击组 策略 选项卡,单击默认 策略组策略对象 (GPO) , 然后单击编辑

    4. 展开 计算机配置,展开 Windows 设置、 展开 安全 设置、公钥 策略,然后单击 加密文件系统

    5. 右键单击当前 EFS 恢复代理证书,指向"所有任务",然后单击"导出 "。

    6. 按照证书导出向导中的说明导出旧的 EFS 恢复代理证书。

      备注

      请确保将旧的 EFS 恢复代理证书与私钥一起导出到 .cer 文件。 将新的 EFS 恢复代理 .pfx 文件和旧的 EFS 恢复代理 .pfx 文件保留到安全位置。

  4. 右键单击旧的 EFS 恢复代理证书,单击 "删除",然后单击"是 "。

  5. 使用具有域管理凭据的帐户登录到域控制器,然后导入新的 EFS 恢复代理证书。 为此,请按照下列步骤操作:

    1. 单击 "开始",指向 "程序",指向"管理工具",然后单击 "Active Directory 用户和计算机"。
    2. 右键单击 "Domain_name", 然后单击"属性 "。
    3. 单击"组策略" 选项卡,单击"默认域策略 GPO",然后单击"编辑 "。
    4. 展开 计算机配置,展开 Windows 设置, 展开 安全 设置,展开 公钥 策略,然后单击 加密文件系统
    5. 右键单击 "加密文件系统" 文件夹,然后单击"添加 "。
    6. 单击 "添加 恢复代理向导"上的"下一步",然后单击"浏览文件夹"。
    7. 导入在步骤 2b 中创建的新 .cer 文件,然后单击"打开 "。

    备注

    打开 .cer 文件时,可以看到USER_UNKNOWN代理"字段中有一个证书。 此消息是预期消息。 此外,您从"添加恢复代理向导"收到一条警告消息,指出证书不可信。

  6. 将步骤 2b 中创建的新 .cer 文件导入文件夹 Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authorities :。

  7. 如果有多个域控制器,在命令提示符下键入 gpupdate /force 以更新组策略。

  8. 验证客户端计算机能否成功加密文件。