脱机文件 - 拒绝访问

Question

我做一些咨询工作，所以对于我的家庭/家庭办公网络，我使用的是 Windows SBS 2008 服务器，在我的台式机和 PC 上使用 Windows 7 客户端。

自从我设置了 SBS 后，我就进行了用户文件夹重定向，并且一切正常。Windows 7 客户端正确使用该设置，Windows 设置脱机文件，服务器启用脱机文件加密。

我突然开始遇到一个问题，在离线可用文件夹（例如我的文档）中创建的新文件将允许创建文件，但尝试立即访问它们会导致拒绝访问错误。现有文件没问题。

我禁用了桌面上的离线文件并完全清除了离线文件缓存。我重新启用它，并尝试再次同步我的文档，但是现在每个文件都会导致访问被拒绝消息。我可以看到共享上的文件很好，错误来自文件的缓存副本。

我没有改变任何东西，这个问题只是有一天出现。

关于如何让我的离线文件缓存再次工作的任何想法？

Answer 1

您的域的EFS 数据恢复代理证书可能已过期。

使用以下过程测试是否是这种情况：

• 在您的工作站上保存一个文本文件（例如 c:\temp\myfile.txt）
• 编辑其属性并加密文件

如果恢复代理无效，您将无法加密文件，并且您将收到一条错误消息，指示恢复代理存在问题。

要解决此问题，请替换过期的证书并更新受影响工作站上的组策略。

来自Microsoft 目录服务团队博客：

查找证书

• 在服务器上，找到并打开Default Domain Policy导航到Computer Configuration -> Windows Settings -> Public Key Policies -> Encrypting File System

• 在右侧窗格中，右键单击过期的证书并选择 All Tasks | Export

创建新证书

• 从工作站运行命令cipher /r:<filename-without-extension>并在出现提示时使用您希望的任何密码
• 将生成的 .CER 和 .PFX 文件复制到您的服务器

导入证书并刷新组策略

• 返回服务器，重新定位默认域策略，突出显示Encrypting File System，并选择Add Data Recovery Agent
• 浏览您刚刚复制的 .CER 和 .PFX 文件，YES如果您收到有关吊销的警告或提示安装证书，请回答。
• 将证书添加到域受信任的根存储（计算机配置 -> Windows 设置 -> 公钥策略 -> 受信任的根证书颁发机构）
• gpupdate /force在命令提示符下使用强制更新组策略

确认您的现有文件已使用新的 DRA 证书进行更新

• 检查加密文件的高级属性并将 DRA 的指纹与您刚刚创建的证书的指纹进行比较。