Logo GNT
Actualités Tests & Guides Bons Plans
Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11
Entraide Windows Windows XP Discussions Générales Cryptage EFS avec Xp pro sur domaine 2000 server

Cryptage EFS avec Xp pro sur domaine 2000 server

8 réponses
Avatar
Bastien
Bonjour,

Je fais parti d'un support technique informatique.
Une personne nous a appelé car elle ne pouvait crypter des fichiers sous
Windows XP Professionnel.
Voici sa configuration:
2 pc portable neuf Dell avec XP pro, faisant parti d'un domaine Windows 2000
Server.
Sur tous les autres postes, où il y a Windows 2000, le cryptage fonctionne
sans problème.
Mais une fois que la personne connecte les Windows XP pro sur le domaine, et
qu'il veut crypter, il obtient cette erreur:
"une erreur s'est produite en appliquant des attributs au fichier
La stratégie de récupération configurée pour ce système contient un
certificat de récupération non valide."
Parmi tous les tests que nous avons effectué, notamment avec la console mmc
et cette kb: http://support.microsoft.com/kb/887414 , l'erreur reste
présente.
Connaissez vous la raison de cette impossibilité de crypter, ou avez vous
déjà rencontrer ce problème?

Je vous remercie pour vos réponses,

Bastien
Signaler un problème avec ce contenu

8 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Avatar
Fabrice [MVP]
"Bastien" a écrit dans le message de news:

Bonjour,

Je fais parti d'un support technique informatique.
Une personne nous a appelé car elle ne pouvait crypter des fichiers sous
Windows XP Professionnel.
Voici sa configuration:
2 pc portable neuf Dell avec XP pro, faisant parti d'un domaine Windows
2000 Server.
Sur tous les autres postes, où il y a Windows 2000, le cryptage fonctionne
sans problème.
Mais une fois que la personne connecte les Windows XP pro sur le domaine,
et qu'il veut crypter, il obtient cette erreur:
"une erreur s'est produite en appliquant des attributs au fichier
La stratégie de récupération configurée pour ce système contient un
certificat de récupération non valide."
Parmi tous les tests que nous avons effectué, notamment avec la console
mmc et cette kb: http://support.microsoft.com/kb/887414 , l'erreur reste
présente.
Connaissez vous la raison de cette impossibilité de crypter, ou avez vous
déjà rencontrer ce problème?

Je vous remercie pour vos réponses,

Bastien


Bonjour,


Ce qui est indiqué ici :
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/b2485418-2b3b-483e-8f70-34c3c2b9d802.mspx?mfr=true

Fonctionne ou pas ?

Fabrice
Microsoft MVP
http://www.fab3d.fr.st
Faq Windows XP :
http://a.vouillon.online.fr/faq-winxp.htm

Avatar
Jean-Claude BELLAMY
Dans le message :,
Bastien a pris la peine d'écrire ce qui
suit :
Bonjour,

Je fais parti d'un support technique informatique.
Une personne nous a appelé car elle ne pouvait crypter des fichiers
sous Windows XP Professionnel.
Voici sa configuration:
2 pc portable neuf Dell avec XP pro, faisant parti d'un domaine
Windows 2000 Server.
Sur tous les autres postes, où il y a Windows 2000, le cryptage
fonctionne sans problème.
Mais une fois que la personne connecte les Windows XP pro sur le
domaine, et qu'il veut crypter, il obtient cette erreur:
"une erreur s'est produite en appliquant des attributs au fichier
La stratégie de récupération configurée pour ce système contient un
certificat de récupération non valide."
Parmi tous les tests que nous avons effectué, notamment avec la
console mmc et cette kb: http://support.microsoft.com/kb/887414 ,
l'erreur reste présente.
Connaissez vous la raison de cette impossibilité de crypter, ou avez
vous déjà rencontrer ce problème?


Apparemment, c'est clair :
"La stratégie de récupération configurée pour ce système
contient un certificat de récupération non valide."

Donc as-tu regardé quel était le DRA (Data Recovery Agent) ?
http://www.bellamyjc.org/fr/cryptoagent.html

Si le DRA n'est pas valide, il faut en recréer un.
ATTENTION : dans un domaine, la procédure est différente de celle mise en
pratique dans un workgroup ou PC isolé!
http://www.bellamyjc.org/fr/cryptoagent.html#compdomain


Par ailleurs, j'ai énuméré les principaux cas de refus de chiffrement :
http://www.bellamyjc.org/fr/cryptoprobleme.html#nocryptaccessdenied


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr

Avatar
Jean Pierre
Après lecture du lien
"http://www.bellamyjc.org/fr/cryptoagent.html#compdomain", j'ai constaté que
le "Serveur de Certificats" n'était pas installé sur le serveur de Domaine
sous Windows 200 Serveur.
J'ai donc installé ce serveur.
Depuis le portable, sur la cession utilisateur (Administrateur du portable
sur le réseau) je me suis connecté à http://SERV.../certsrv/ et j'ai suivi
la procédure pour demander un certificat sur le serveur de Domaine.
La procédure se déroule parfaitement, le certificat est bien créé, mais le
cryptage des fichiers ne fonctionne toujours pas.
Le message d'erreur est toujours le même: "Une erreur s'est produite en
applicant des attributs au fichier: nom fichier....
La stratégie de récupération configurée pour ce système contient un
certificat de récupération non valide"

Merci d'avance pour votre aide

Jean Pierre Balmes



Dans le message :,
Bastien a pris la peine d'écrire ce qui
suit :
Bonjour,

Je fais parti d'un support technique informatique.
Une personne nous a appelé car elle ne pouvait crypter des fichiers
sous Windows XP Professionnel.
Voici sa configuration:
2 pc portable neuf Dell avec XP pro, faisant parti d'un domaine
Windows 2000 Server.
Sur tous les autres postes, où il y a Windows 2000, le cryptage
fonctionne sans problème.
Mais une fois que la personne connecte les Windows XP pro sur le
domaine, et qu'il veut crypter, il obtient cette erreur:
"une erreur s'est produite en appliquant des attributs au fichier
La stratégie de récupération configurée pour ce système contient un
certificat de récupération non valide."
Parmi tous les tests que nous avons effectué, notamment avec la
console mmc et cette kb: http://support.microsoft.com/kb/887414 ,
l'erreur reste présente.
Connaissez vous la raison de cette impossibilité de crypter, ou avez
vous déjà rencontrer ce problème?


Apparemment, c'est clair :
"La stratégie de récupération configurée pour ce système
contient un certificat de récupération non valide."

Donc as-tu regardé quel était le DRA (Data Recovery Agent) ?
http://www.bellamyjc.org/fr/cryptoagent.html

Si le DRA n'est pas valide, il faut en recréer un.
ATTENTION : dans un domaine, la procédure est différente de celle mise en
pratique dans un workgroup ou PC isolé!
http://www.bellamyjc.org/fr/cryptoagent.html#compdomain


Par ailleurs, j'ai énuméré les principaux cas de refus de chiffrement :
http://www.bellamyjc.org/fr/cryptoprobleme.html#nocryptaccessdenied


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr






Avatar
Jean-Claude BELLAMY
Dans le message :,
Jean Pierre <Jean a pris la peine d'écrire
ce qui suit :
Après lecture du lien
"http://www.bellamyjc.org/fr/cryptoagent.html#compdomain", j'ai
constaté que le "Serveur de Certificats" n'était pas installé sur le
serveur de Domaine sous Windows 200 Serveur.
J'ai donc installé ce serveur.
Depuis le portable, sur la cession utilisateur (Administrateur du
portable sur le réseau)
???

Comment as-tu ouvert une session?
En local (admin local) ou sur le domaine (admin du domaine)?

je me suis connecté à
http://SERV.../certsrv/ et j'ai suivi la procédure pour demander un
certificat sur le serveur de Domaine.
La procédure se déroule parfaitement, le certificat est bien créé,
mais le cryptage des fichiers ne fonctionne toujours pas.


Question bête :
Après avoir créé le certificat, as-tu pensé à l'installer ?
C'est dans les dernières captures du paragraphe :
"Ordinateur appartenant à un domaine"
http://www.bellamyjc.org/fr/cryptoagent.html#compdomain


Le message d'erreur est toujours le même: "Une erreur s'est produite
en applicant des attributs au fichier: nom fichier....
La stratégie de récupération configurée pour ce système contient un
certificat de récupération non valide"


Sur le SERVEUR de domaine, as-tu ouvert la MMC
"Paramètres de sécurité du domaine par défaut "
NB: dans la liste des outils d'administration, MS a trouvé bon de ne pas
donner le même titre au raccourci !
Dans le menu, c'est "Stratégie de sécurité du domaine"

Le nom du fichier de la MMC est
%systemroot%system32DOMPOL.MSC
mais il faut ajouter des paramètres qui dépendent du domaine considéré !
Chez moi, c'est :
/gpobject:"LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=jcb,DC=org"

Chez toi ce sera évidemment différent au niveau des noms du domaine.
Les trois 1ers noms canoniques (CN=...) ne changent pas.

Si on lance DOMPOL.MSC avec au moins l'un de ces paramètres manquant, une
injurebox disant qu'on n'a pas les droits suffisants va apparaitre !
http://support.microsoft.com/kb/832214/en-us

NB: "{31B2F340-016D-11D2-945F-00C04FB984F9}" est *LE* CLSID associé à la
Stratégie de sécurité du domaine.(C'est toujours le même, quelles que soient
les installations)



Je te conseille d'aller y faire un tour, et de développer la branche :
Paramètres Windows
Paramètres de sécurité
Stratégie de clé publique
Système de fichiers EFS
et examiner ce qu'il y a dans le tableau de droite.

Et tiens nous au courant.

--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr

Avatar
Jean Pierre
J'ai ouvert une session sur le portable,en utilisant le compte de
l'utilisateur local qui est administrateur sur le portable et utilisateur
autorisé sur le domaine. (Pas avec le compte administrateur local du poste)
Oui j'ai bien installé le certificat.
J'ai vérifié, il y a de nouveaux certificats qui sont apparus dans la
console mmc "Certificats" dans les branches "personnel --> Certificats" (Le
certificat porte le nom de l'utilisateu) et dans "Autorités de certification
racines de confiance --> Certificats" (Le nouveau certificat porte le Nom du
Domaine), puis dans "Objet utilisateur Active Directory --> Certificats" (Le
certificat porte le nom de l'utilisateur)

J'ai ouvert la MMC du serveur "Stratégie de sécurité de Domaine" DOMPOL.MSC
Je n'ai pas eu de message d'erreur à l'ouverture de cet élément

Dans "Paramètres de sécurité" j'ai une clé "Stratégie de clé publique" et
dans cette clé j'ai 4 entrées:
- Agents de récupération de données cryptées
- Paramétres de demande automatique de certificats
- Autorités de certification racines de confiance
- Approbation de l'entreprise

Il n'y a pas de clé: "Système de fichiers EFS".

Petit détail supplémentaire:
Le serveur de Domaine n'est pas serveur de fichier. Peut-il y avoir un
problème à ce niveau?

Merci pour ton aide

jpb


Dans le message :,
Jean Pierre <Jean a pris la peine d'écrire
ce qui suit :
Après lecture du lien
"http://www.bellamyjc.org/fr/cryptoagent.html#compdomain", j'ai
constaté que le "Serveur de Certificats" n'était pas installé sur le
serveur de Domaine sous Windows 200 Serveur.
J'ai donc installé ce serveur.
Depuis le portable, sur la cession utilisateur (Administrateur du
portable sur le réseau)
???

Comment as-tu ouvert une session?
En local (admin local) ou sur le domaine (admin du domaine)?

je me suis connecté à
http://SERV.../certsrv/ et j'ai suivi la procédure pour demander un
certificat sur le serveur de Domaine.
La procédure se déroule parfaitement, le certificat est bien créé,
mais le cryptage des fichiers ne fonctionne toujours pas.


Question bête :
Après avoir créé le certificat, as-tu pensé à l'installer ?
C'est dans les dernières captures du paragraphe :
"Ordinateur appartenant à un domaine"
http://www.bellamyjc.org/fr/cryptoagent.html#compdomain


Le message d'erreur est toujours le même: "Une erreur s'est produite
en applicant des attributs au fichier: nom fichier....
La stratégie de récupération configurée pour ce système contient un
certificat de récupération non valide"


Sur le SERVEUR de domaine, as-tu ouvert la MMC
"Paramètres de sécurité du domaine par défaut "
NB: dans la liste des outils d'administration, MS a trouvé bon de ne pas
donner le même titre au raccourci !
Dans le menu, c'est "Stratégie de sécurité du domaine"

Le nom du fichier de la MMC est
%systemroot%system32DOMPOL.MSC
mais il faut ajouter des paramètres qui dépendent du domaine considéré !
Chez moi, c'est :
/gpobject:"LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=jcb,DC=org"

Chez toi ce sera évidemment différent au niveau des noms du domaine.
Les trois 1ers noms canoniques (CN=...) ne changent pas.

Si on lance DOMPOL.MSC avec au moins l'un de ces paramètres manquant, une
injurebox disant qu'on n'a pas les droits suffisants va apparaitre !
http://support.microsoft.com/kb/832214/en-us

NB: "{31B2F340-016D-11D2-945F-00C04FB984F9}" est *LE* CLSID associé à la
Stratégie de sécurité du domaine.(C'est toujours le même, quelles que soient
les installations)



Je te conseille d'aller y faire un tour, et de développer la branche :
Paramètres Windows
Paramètres de sécurité
Stratégie de clé publique
Système de fichiers EFS
et examiner ce qu'il y a dans le tableau de droite.

Et tiens nous au courant.

--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr






Avatar
Jean-Claude BELLAMY
Dans le message :,
Jean Pierre a pris la peine d'écrire
ce qui suit :
J'ai ouvert une session sur le portable,en utilisant le compte de
l'utilisateur local qui est administrateur sur le portable et
utilisateur autorisé sur le domaine. (Pas avec le compte
administrateur local du poste) Oui j'ai bien installé le certificat.
J'ai vérifié, il y a de nouveaux certificats qui sont apparus dans la
console mmc "Certificats" dans les branches "personnel -->
Certificats" (Le certificat porte le nom de l'utilisateu) et dans
"Autorités de certification racines de confiance --> Certificats" (Le
nouveau certificat porte le Nom du Domaine), puis dans "Objet
utilisateur Active Directory --> Certificats" (Le certificat porte
le nom de l'utilisateur)

J'ai ouvert la MMC du serveur "Stratégie de sécurité de Domaine"
DOMPOL.MSC Je n'ai pas eu de message d'erreur à l'ouverture de cet
élément

Dans "Paramètres de sécurité" j'ai une clé "Stratégie de clé
publique" et dans cette clé j'ai 4 entrées:
- Agents de récupération de données cryptées
- Paramétres de demande automatique de certificats
- Autorités de certification racines de confiance
- Approbation de l'entreprise

Il n'y a pas de clé: "Système de fichiers EFS".


C'est la dénomination Windows 2003
Elle se substitue à "Agents de récupération de données cryptées" de Windows
2000

C'est çà l'important.
Qu'y-a-t'il dedans ?


Petit détail supplémentaire:
Le serveur de Domaine n'est pas serveur de fichier. Peut-il y avoir un
problème à ce niveau?


NON
C'est totalement indépendant.

D'ailleurs, "serveur de fichier" est une notion purement INFORMELLE.
N'importe quelle machine (station, serveur autonome, serveur de domaine,
contrôleur de domaine,..) peut faire office de serveur de fichiers !
Ne serait-ce qu'au niveau des partages administratifs.


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr

Avatar
Jean Pierre

Dans le message :,
Jean Pierre a pris la peine d'écrire
ce qui suit :
J'ai ouvert une session sur le portable,en utilisant le compte de
l'utilisateur local qui est administrateur sur le portable et
utilisateur autorisé sur le domaine. (Pas avec le compte
administrateur local du poste) Oui j'ai bien installé le certificat.
J'ai vérifié, il y a de nouveaux certificats qui sont apparus dans la
console mmc "Certificats" dans les branches "personnel -->
Certificats" (Le certificat porte le nom de l'utilisateu) et dans
"Autorités de certification racines de confiance --> Certificats" (Le
nouveau certificat porte le Nom du Domaine), puis dans "Objet
utilisateur Active Directory --> Certificats" (Le certificat porte
le nom de l'utilisateur)

J'ai ouvert la MMC du serveur "Stratégie de sécurité de Domaine"
DOMPOL.MSC Je n'ai pas eu de message d'erreur à l'ouverture de cet
élément

Dans "Paramètres de sécurité" j'ai une clé "Stratégie de clé
publique" et dans cette clé j'ai 4 entrées:
- Agents de récupération de données cryptées
- Paramétres de demande automatique de certificats
- Autorités de certification racines de confiance
- Approbation de l'entreprise

Il n'y a pas de clé: "Système de fichiers EFS".


C'est la dénomination Windows 2003
Elle se substitue à "Agents de récupération de données cryptées" de Windows
2000

C'est çà l'important.
Qu'y-a-t'il dedans ?


Dans cette entrée, il y avait un certificat Administrateur qui n'était
valable que jusqu'à Juin 2005.
Je l'ai supprimé et j'en ai créé un nouveau sur le compte administrateur
valide jusqu'à Juillet 2007

Cela a créé un entrée dans "Paramètres de demande automatique de
certificats": "Contrôleur de domaine"

Cela a créé aussi une entrée dans "Autorités de certification racines de
confiance": "Serignac" (Nom du domaine) valable jusqu'au 24/07/2008.

Suite à ces modifications, j'ai recréé un nouveau certificat sur le portable
mais j'ai toujours la même erreur.


Petit détail supplémentaire:
Le serveur de Domaine n'est pas serveur de fichier. Peut-il y avoir un
problème à ce niveau?


NON
C'est totalement indépendant.

D'ailleurs, "serveur de fichier" est une notion purement INFORMELLE.
N'importe quelle machine (station, serveur autonome, serveur de domaine,
contrôleur de domaine,..) peut faire office de serveur de fichiers !
Ne serait-ce qu'au niveau des partages administratifs.


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr






Avatar
Jean Pierre




Dans le message :,
Jean Pierre a pris la peine d'écrire
ce qui suit :
J'ai ouvert une session sur le portable,en utilisant le compte de
l'utilisateur local qui est administrateur sur le portable et
utilisateur autorisé sur le domaine. (Pas avec le compte
administrateur local du poste) Oui j'ai bien installé le certificat.
J'ai vérifié, il y a de nouveaux certificats qui sont apparus dans la
console mmc "Certificats" dans les branches "personnel -->
Certificats" (Le certificat porte le nom de l'utilisateu) et dans
"Autorités de certification racines de confiance --> Certificats" (Le
nouveau certificat porte le Nom du Domaine), puis dans "Objet
utilisateur Active Directory --> Certificats" (Le certificat porte
le nom de l'utilisateur)

J'ai ouvert la MMC du serveur "Stratégie de sécurité de Domaine"
DOMPOL.MSC Je n'ai pas eu de message d'erreur à l'ouverture de cet
élément

Dans "Paramètres de sécurité" j'ai une clé "Stratégie de clé
publique" et dans cette clé j'ai 4 entrées:
- Agents de récupération de données cryptées
- Paramétres de demande automatique de certificats
- Autorités de certification racines de confiance
- Approbation de l'entreprise

Il n'y a pas de clé: "Système de fichiers EFS".


C'est la dénomination Windows 2003
Elle se substitue à "Agents de récupération de données cryptées" de Windows
2000

C'est çà l'important.
Qu'y-a-t'il dedans ?


Dans cette entrée, il y avait un certificat Administrateur qui n'était
valable que jusqu'à Juin 2005.
Je l'ai supprimé et j'en ai créé un nouveau sur le compte administrateur
valide jusqu'à Juillet 2007

Cela a créé un entrée dans "Paramètres de demande automatique de
certificats": "Contrôleur de domaine"

Cela a créé aussi une entrée dans "Autorités de certification racines de
confiance": "Serignac" (Nom du domaine) valable jusqu'au 24/07/2008.

Suite à ces modifications, j'ai recréé un nouveau certificat sur le portable
mais j'ai toujours la même erreur.

Toulouse 11h10
J'ai réussi à faire fonctionner le cryptage.



J'ai supprimé tous les certificats existants, j'ai recréé de nouveaux
certificats par connection Internet sur le serveur, j'ai redémarré la machine
et le cryptage se fait.

MERCI INFINIMENT POUR VOTRE AIDES 0 TOUS

JPB
Petit détail supplémentaire:
Le serveur de Domaine n'est pas serveur de fichier. Peut-il y avoir un
problème à ce niveau?


NON
C'est totalement indépendant.

D'ailleurs, "serveur de fichier" est une notion purement INFORMELLE.
N'importe quelle machine (station, serveur autonome, serveur de domaine,
contrôleur de domaine,..) peut faire office de serveur de fichiers !
Ne serait-ce qu'au niveau des partages administratifs.


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr