我做一些咨询工作,所以对于我的家庭/家庭办公室网络,我使用 Windows SBS 2008 服务器,在我的桌面和 PC 上使用 Windows 7 客户端。
自从设置了 SBS 后,我就有了用户文件夹重定向,一切运行正常。Windows 7 客户端正确使用了该设置,Windows 设置了脱机文件,服务器启用了脱机文件加密。
我突然遇到一个问题,在离线可用文件夹(例如“我的文档”)中创建的新文件允许创建,但尝试立即访问它们会导致拒绝访问错误。现有文件没有问题。
我禁用了桌面上的脱机文件并完全清除了脱机文件缓存。我重新启用了它,并尝试再次同步我的文档,但现在每个文件都显示“拒绝访问”消息。我可以正常查看共享上的文件,错误来自文件的缓存副本。
我没有改变任何东西,这个问题只是有一天出现的。
关于如何让我的离线文件缓存再次工作,您有什么想法吗?
答案1
你可能有一个EFS 数据恢复代理证书已过期为您的域名。
使用以下步骤测试是否是这种情况:
- 在工作站上保存一个文本文件(例如 c:\temp\myfile.txt)
- 编辑其属性并加密文件
如果恢复代理无效,您将无法加密文件,并且您将收到一条错误,指示恢复代理存在问题。
要解决此问题,请替换过期的证书并更新受影响的工作站上的组策略。
查找证书
在服务器上,找到并打开
Default Domain Policy
导航至Computer Configuration -> Windows Settings -> Public Key Policies -> Encrypting File System
在右侧窗格中,右键单击过期的证书并选择
All Tasks | Export
创建新证书
- 从工作站运行命令
cipher /r:<filename-without-extension>
并在出现提示时输入所需的任何密码 - 将生成的 .CER 和 .PFX 文件复制到您的服务器
导入证书并刷新组策略
- 返回服务器,重新找到默认域策略,突出显示
Encrypting File System
,然后选择Add Data Recovery Agent
- 浏览您刚刚复制的 .CER 和 .PFX 文件,并回答
YES
有关撤销的警告或提示您安装证书的情况。 - 将证书添加到域受信任根存储(计算机配置 -> Windows 设置 -> 公钥策略 -> 受信任的根证书颁发机构)
gpupdate /force
使用命令提示符强制更新组策略
确认现有文件已使用新的 DRA 证书进行更新
- 检查加密文件的高级属性,并将 DRA 的指纹与刚刚创建的证书的指纹进行比较。