J & J - 정성태의 닷넷 이야기

사용자

메뉴

최근 덧글

[정성태] VT sequences to "CONOUT$" vs. STD_O...[정성태] NetCoreDbg is a managed code debugg...[정성태] Evaluating tail call elimination in...[정성태] What’s new in System.Text.Json in ....[정성태] What's new in .NET 9: Cryptography ...[정성태] 아... 제시해 주신 "https://akrzemi1.wordp...[정성태] 다시 질문을 정리할 필요가 있을 것 같습니다. 제가 본문에...[이승준] 완전히 잘못 짚었습니다. 댓글 지우고 싶네요. 검색을 해보...[정성태] 우선 답글 감사합니다. ^^ 그런데, 사실 저 예제는 (g...[이승준] 수정이 안되어서... byteArray는 BYTE* 타입입니다...

글쓰기

제목

이름

암호

전자우편

HTML

홈페이지

유형

내용

<div style='display: inline'>
 
<div style='font-family: 맑은 고딕, Consolas; font-size: 20pt; color: #006699; text-align: center; font-weight: bold'>파일 암호화 오류 - Recovery policy configured for this system contains invalid recovery certificate</div> 
 
어느 순간부터, 탐색기에서 제공되는 파일 암호화(EFS: Encrypting File System)를 할 때 다음과 같은 오류가 발생하엿습니다. 
 
[그림 1: 파일 암호화 오류] 
<img alt='recovery_policy_configure_error_1.png' src='/SysWebRes/bbs/recovery_policy_configure_error_1.png' /> 
<img alt='recovery_policy_configure_error_8.png' src='/SysWebRes/bbs/recovery_policy_configure_error_8.png' /> 
 

" 
An error occurred applying attributes to the file: 
 
...[폴더 경로]... 
 
Recovery policy configured for this system contains invalid recovery certificate. 
 
파일에 특성을 적용하는 중 오류가 발생했습니다. 
 
...[폴더 경로]... 
 
이 시스템에 대해 구성된 복구 정책에 올바르지 않은 복구 인증서가 포함되어 있습니다. 
" 
 
이상하지요... EFS에 사용되는 인증서는 self-signed 유형으로 이미 생성해 놓았고, 해보신 분들은 아시겠지만 비스타가 만들어주는 인증서는 그 만료기간이 무척 길게(100년) 만들어지니 웬만해선 별다른 문제가 있을 수도 없습니다. 
 
할 수 없이, 또 구글링을 하기 시작했고, 도움이 될 만한 토픽을 2가지 정도 발견했습니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; width: 800px; background-color: #fbedbb; overflow-x: scroll; font-family: Consolas, Verdana;' >
How do I get EFS working on a domain joined computer?
; <a target='_tab' href='http://social.technet.microsoft.com/Forums/en-US/winserverfiles/thread/5c0bf259-a1eb-4cae-b812-b43584007337/'>http://social.technet.microsoft.com/Forums/en-US/winserverfiles/thread/5c0bf259-a1eb-4cae-b812-b43584007337/</a>

Error message when client computers encrypt a file in a Windows Server 2003 domain: “Recovery policy configured for this system contains invalid recovery certificate” 
; <a target='_tab' href='http://support.microsoft.com/?kbid=937536'>http://support.microsoft.com/?kbid=937536</a>
</pre>
 
도메인 이야기가 나오길래 떠오르는 것이 있었는데, 최근 무선랜 관련해서 회사에 문제가 있어 모든 컴퓨터를 도메인에 가입한 적이 있었다는 점. 우선, 제 계정에 연결된 EFS 인증서는 문제가 없었기 때문에 도메인 컨트롤러 측의 그룹 정책 편집기를 확인해 보았습니다. 역시나,,, 기본 제공되어 있던 "Administrator" 인증서가 이미 만료된 것이었습니다. 
 
그래서, 위의 2번째 링크에 제공된 KB937536에 제시된 방법을 이용해서 다음과 같이 새로운 인증서를 생성했습니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; width: 800px; background-color: #fbedbb; overflow-x: scroll; font-family: Consolas, Verdana;' >
C:\Temp\csp&gt;cipher /r:themyth_file_enc_v2
Please type in the password to protect your .PFX file:
Please retype the password to confirm:

Your .CER file was created successfully.
Your .PFX file was created successfully.

C:\Temp\csp&gt;dir
 Volume in drive C has no label.
 Volume Serial Number is C6E7-7F99

Directory of C:\Temp\csp

2008-12-23  오전 09:21    &lt;DIR&gt;          .
2008-12-23  오전 09:21    &lt;DIR&gt;          ..
2008-12-23  오전 09:21               844 themyth_file_enc_v2.CER
2008-12-23  오전 09:21             2,630 themyth_file_enc_v2.PFX
               2 File(s)          3,474 bytes
               2 Dir(s)   8,988,729,344 bytes free

C:\Temp\csp&gt;
</pre>
 
이렇게 생성된 새로운 인증서를 "[그림 2]"에서 보는 것처럼 "Default Domain Policy GPO" 의 "Computer Configuration" / "Windows Settings" / "Security Settings" / "Public Key Policies" / "Encrypting File System" 안에서 "Add Recovery Agent Wizard"를 이용해서 연결했습니다. (한글 윈도우즈의 경우: "컴퓨터 구성" / "Windows 설정" / "보안 설정" / "공개 키 정책" / "암호화 파일 시스템") 
 
[그림 2: "Add Recovery Agent Wizard" 경로] 
<img alt='recovery_policy_configure_error_2.png' src='/SysWebRes/bbs/recovery_policy_configure_error_2.png' /> 
(위의 이미지는, 보안상 도메인 컨트롤러의 GPO 화면이 아닌, 제 컴퓨터의 GPO 화면을 올렸습니다. 하지만 구성 경로는 동일합니다.) 
 
그리고, "gpupdate /force"를 실행하고, 제 로컬 컴퓨터를 다시 재부팅했습니다. 
 
그걸로 문제 해결 끝!

<hr />[이 토픽에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]
</div>

첨부파일

스팸 방지용 인증 번호

1612 (왼쪽의 숫자를 입력해야 합니다.)