클라이언트 인증서 해지 확인 실패

Microsoft.ActiveDirectoryFederationServices20.TokenIssuanceClientCertificateCrlCheckFailureRule (Rule)

Knowledge Base article:

요약

손도장(Thumbprint)으로 식별되는 클라이언트 인증서의 인증서 체인을 만드는 동안 오류가 발생했습니다.

원인

이 이벤트의 가능한 원인은 다음과 같습니다.

클라이언트 인증서가 해지되었습니다.
클라이언트 인증서의 해지 설정에 지정된 대로 인증서 체인을 확인할 수 없습니다.
클라이언트 인증서가 유효 기간을 초과했습니다.

참고

클라이언트 인증서에 대한 해지 설정을 구성하려면 AD FS 2.0용 Windows PowerShell에서 ProxyCertRevocationCheck 매개 변수와 함께 Set-ADFSProperties cmdlet을 사용하면 됩니다.

해결 방법

이 이벤트의 가능한 해결 방법은 다음과 같습니다.

클라이언트 암호화 인증서가 유효하고 해지되지 않았는지 확인합니다.
해지 설정이 "none" 또는 "cache only" 설정으로 지정되지 않은 경우 AD FS 2.0에서 인증서 해지 목록에 액세스할 수 있는지 확인합니다.
HTTP 프록시 서버 설정을 확인합니다. HTTP 프록시 서버 설정을 확인하는 방법에 대한 자세한 내용은 AD FS 2.0 troubleshooting guide(AD FS 2.0 문제 해결 가이드)의 "Things to Check Before Troubleshooting AD FS 2.0(AD FS 2.0 문제 해결 전에 확인할 사항)" 섹션을 참조하십시오.

Element properties:

Target

Microsoft.ActiveDirectoryFederationServices20.TokenIssuance

Category

ConfigurationHealth

Enabled

True

Event_ID

319

Alert Generate

True

Alert Severity

Warning

Alert Priority

Normal

Remotable

True

Alert Message

클라이언트 인증서 해지 확인 실패

손 도장(Thumbprint) '{0}'(으)로 식별되는 클라이언트 인증서의 인증서 체인을 만드는 동안 오류가 발생했습니다.

Event Log

$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices20.FederationServer"]/ADFSEventLog$

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default

Source Code:

<Rule ID="Microsoft.ActiveDirectoryFederationServices20.TokenIssuanceClientCertificateCrlCheckFailureRule" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices20.TokenIssuance" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>ConfigurationHealth</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices20.FederationServer"]/ADFSEventLog$</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">319</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <RegExExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>MatchesMOM2005RegularExpression</Operator>

              <Pattern>(^AD FS$)|(^AD FS 2.0$)</Pattern>

            </RegExExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>1</Severity>

      <AlertOwner/>

      <AlertMessageId>$MPElement[Name="Microsoft.ActiveDirectoryFederationServices20.TokenIssuanceClientCertificateCrlCheckFailureRule.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/Params/Param[1]$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/Params/Param[1]$</SuppressionValue>

      </Suppression>

      <Custom1/>

      <Custom2/>

      <Custom3/>

      <Custom4/>

      <Custom5/>

      <Custom6/>

      <Custom7/>

      <Custom8/>

      <Custom9/>

      <Custom10/>

    </WriteAction>

  </WriteActions>

</Rule>