none
ファイル・フォルダの暗号化指定時のエラー RRS feed

  • 質問

  • こんにちは。いつも大変お世話になっています。

    WindowsServerのファイル暗号化について、基本的なことですが教えて下さい。

    サーバー上の特定のフォルダを暗号化したいと思い、プロパティ-詳細設定で、「内容を暗号化してデータをセキュリティで保護する」にチェックを入れ、「ファイルとその親フォルダを暗号化」したのですが、どのファイル・フォルダを指定しても、同じエラーが出て暗号化に失敗します。

    ファイルの属性の適用中にエラーが発生しました。このシステムに対して構成された回復ポリシーに無知な回復証明書が含まれています。

    というエラーです。「内容を暗号化してデータをセキュリティで保護する」時に「詳細」ボタンがクレーアウトしていて押すことができません。

    なお、対象ファイル・フォルダの書き込み権限を持っているAdministratorで設定を行っています。

    また、Windows7上でローカルファイルに対しても同じことを行ってみましたが、同じエラーが出ました。

    もしかすると、前提条件として暗号化を行うためには何かのインストール等が必要なのでしょうか?

    2015年10月26日 9:19

回答

  • チャブーンです。

    もしドメイン環境で発生している状況ならですが、[Default Domain Policy]の[公開キーのポリシー]-[暗号化ファイルシステム]にある、データ回復エージェントの証明書に問題があるため、かもしれません。たとえば、証明書の有効期限が切れている、などが考えられます。

    その場合ですが、以下の操作を行う必要があると思います。

    1. PDCエミュレータ役割のドメインコントローラ上で[グループポリシーの管理]ツールから、[Default Domain Policy]の[公開キーのポリシー]-[暗号化ファイルシステム]を表示させる(PDCエミュレータ以外のドメインコントローラでは、次以降の手順が実施できません)
    2. データ回復エージェント証明書の[プロパティ]-[エクスポート]から「秘密鍵を含めたエクスポート」を行う(秘密鍵を含めたエクスポートができないと、このキーで暗号化したEFSファイルを復号できなくなります)
    3. 正しくエクスポートできたら、その証明書を削除したうえ、[暗号化ファイルシステム]のプロパティ-[データ回復エージェントの作成]で新しくデータ回復エージェント証明書をセットアップする

    こうすることで、EFSデータ回復エージェント証明書が正常化し、エラーが出なくなるように思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2015年10月27日 2:22
    モデレータ

すべての返信

  • チャブーンです。

    もしドメイン環境で発生している状況ならですが、[Default Domain Policy]の[公開キーのポリシー]-[暗号化ファイルシステム]にある、データ回復エージェントの証明書に問題があるため、かもしれません。たとえば、証明書の有効期限が切れている、などが考えられます。

    その場合ですが、以下の操作を行う必要があると思います。

    1. PDCエミュレータ役割のドメインコントローラ上で[グループポリシーの管理]ツールから、[Default Domain Policy]の[公開キーのポリシー]-[暗号化ファイルシステム]を表示させる(PDCエミュレータ以外のドメインコントローラでは、次以降の手順が実施できません)
    2. データ回復エージェント証明書の[プロパティ]-[エクスポート]から「秘密鍵を含めたエクスポート」を行う(秘密鍵を含めたエクスポートができないと、このキーで暗号化したEFSファイルを復号できなくなります)
    3. 正しくエクスポートできたら、その証明書を削除したうえ、[暗号化ファイルシステム]のプロパティ-[データ回復エージェントの作成]で新しくデータ回復エージェント証明書をセットアップする

    こうすることで、EFSデータ回復エージェント証明書が正常化し、エラーが出なくなるように思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2015年10月27日 2:22
    モデレータ
  • こんにちは、hatsujiro さん
    フォーラムオペレータの佐伯 玲 です。

    チャブーンさんからご参考になりそうな情報が寄せられておりましたので私のほうから「回答としてマーク」とさせていただきました。
    もしhatsujiro さんの環境でアドバイスが当てはまらなかった場合には回答マークを解除することも可能ですので
    ご確認いただけましたらその後の状況をこちらのスレッドへお知らせくださいね。


    宜しくお願い致します。

    TechNet Community Support 佐伯 玲

    2015年11月5日 5:08
  • お世話になります。

    質問した時点が、ドメイン移行中という不完全な状況だったため、完全に移行が終わってからと思い、アドバイスの内容に従って対処することが遅れてしまいました。申し訳ありません。

    やったことは下記の通りで、DC上でAdministrator権限で実施しています。

    ①回復エージェント証明書再作成  cipher /r:xxx  → .cer .pfxファイルの作成

    ②cerファイルのインストール ウィザードに従って.pfx(証明書)ファイルをインポート → 正常終了

    ③pfxファイルのインストール ローカルセキュリティポリシーを開き、公開キーのポリシー-暗号化ファイルシステムより、データ回復エージェントの追加ウィザードに従って、pfxファイルをインポート → 正常終了し、有効期限は 10年後の日付になりました。

    しかしながら、暗号化は相変わらずできません。

    グループポリシーエディタで、Default Domain Policyの中にリンクされているポリシーで、
    Windowsの設定-セキュリティの設定-公開キーのポリシー/ファイル システムの暗号化表示 を見ると、証明書の有効期限は元のまま変わっておらず、切れている状態です。

    十分に理解が足りていないとは思いますが、何か作業が足りないのでしょうか?


    • 編集済み hatsujiro 2016年1月13日 10:25
    2016年1月13日 10:24
  • チャブーンです。

    ③pfxファイルのインストール ローカルセキュリティポリシーを開き、公開キーのポリシー-暗号化ファイルシステムより、データ回復エージェントの追加ウィザードに従って、pfxファイルをインポート → 正常終了し、有効期限は 10年後の日付になりました。

    「ドメインレベルでの」データ回復エージェントはDefault Domain Policyで設定する必要があります。ローカルセキュリティポリシーへの設定は意味がないことに注意してください。この際、(Default Domain Policy上の)既存のデータ回復エージェントは削除しないと、設定が残って更新が完了しません。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答の候補に設定 佐伯玲 2016年1月20日 8:04
    2016年1月19日 9:07
    モデレータ
  • チャブーン様

    再度のコメント有難うございました。

    確かにそうですね。ドメインのグループポリシーでないと意味の無いことは判りました。

    Default Domain Policy の中にあるセキュリティポリシーの中の暗号化ファイルシステムに設定し直してみました。

    正常に2115/12/29という証明書ファイルを作った日の100年後の日付で登録されたことを確認した後に、旧証明書を削除しました。

    同じように、サーバー上の特定のフォルダについて、プロパティ-詳細設定で、「内容を暗号化してデータをセキュリティで保護する」にチェックを入れたのですが、OKもしくは適用ボタンを押したタイミングで、

    ファイルの属性の適用中にエラーが発生しました。このシステムに対して構成された回復ポリシーに無知な回復証明書が含まれています。

    という全く同じメッセージが出てきます。

    フルコントロール権限で、オーナーであるadministratorでこの操作を行っているのですが、まだ旧証明書の設定が生きているようです。

    時期を見て再起動を行いたいと思います。

    2016年1月20日 10:31
  • 質問者です。操作をした翌日、特に再起動もしていませんが、暗号化が出来るようになりました。

    反映まで少し時間が掛かるようですね。

    無事解決しました。

    チャブーン様 どうも有難うございました。

    2016年1月20日 23:36