Benutzer meldet, dass er auf dem EFS-Filestore keine Dateien mehr verschlüsseln kann.
Kurz nachgeschaut und festgestellt, dass das Zertifikat des Recovery-Agenten abgelaufen ist. Damit verweigert Windows die Verschlüsselung neuer Dokumente.
und was ist mit dem privaten Schlüssel des Agents zum entschlüsseln, für den Fall, dass ein Benutzer seinen privaten Schlüssel verloren hat? Glücklicherweise ist der abgelaufene Schlüssel immer noch brauchbar zum entschlüsseln von Daten:

Ein abgelaufenes DRA-Zertifikat (privater Schlüssel) kann auch weiterhin zur Entschlüsselung von zuvor verschlüsselten Dateien verwendet werden, bei neuen oder aktualisierten verschlüsselten Dateien kann das abgelaufene Zertifikat (öffentlicher Schlüssel) jedoch nicht verwendet werden.

Also sollte man das abgelaufene Zertifikat verlängern bzw. wenn es bereits abgelaufen ist, einen neuen Schlüssel anfordern, aber das alte .p12-File tunlichst ebenfalls im Tresor behalten, damit alte verschlüsselte Dokumente notfalls wieder entschlüsselt werden können.
Alternativ mit ‚cipher /U …‘ alle verschlüsselten Dateien einmal anfassen und damit den Recovery-Agenten erneuern.

Wie oft taucht die Zeichenkette „schlüssel“ im obigen Text auf? Der Gewinner wird benachrichtigt. 😉