정책 모듈에서 오류가 발생했습니다.
정책 모듈에는 발급, 갱신 및 인증서 해지를 규정하는 규칙 집합이 들어 있습니다. 이 정책은 하드 코드된 값, 레지스트리 설정 및 인증서 템플릿(엔터프라이즈 CA(인증 기관)를 사용할 경우)에서 작성됩니다. 정책 모듈은 인증서 요청을 승인 또는 거부로 표시할지, 관리자가 승인 또는 거부하도록 보류 중으로 표시할지 결정합니다. 정책 모듈에서 감지한 문제는 CA가 시작되지 않도록 하거나 작동을 멈추도록 만들 수 있습니다.
정책 모듈 처리 오류 해결
MSG_NO_CA_OBJECT, MSG_NO_DOMAIN
MSG_NO_CERT_TYPES
MSG_DOMAIN_INIT
이러한 오류 메시지에 특정 정보가 포함되어 있지 않은 경우 이 오류 이전 또는 이후에 표시되는 관련된 추가 오류를 확인하여 문제를 해결합니다.
관련된 증상을 해결했는데도 계속해서 경고가 표시되고 정책 모듈 관련 문제가 있는 경우:
타사 정책 모듈의 경우 정책 모듈 제공업체에 문의하십시오.
Microsoft 정책 모듈의 경우 Microsoft 고객 서비스 및 지원 센터에 문의하십시오. 자세한 내용은 http://go.microsoft.com/fwlink/?LinkId=89446을 참조하세요.
MSG_NO_CA_OBJECT, MSG_NO_DOMAIN
이 오류 코드는 CA(인증 기관)가 Active Directory 도메인 서비스에 연결할 수 없거나, 필요한 Active Directory 정보를 찾을 수 없음을 나타냅니다. 일반적으로 네트워크 연결 문제 또는 권한 문제로 인해 도메인 컨트롤러에 연결할 수 없습니다.
잠재적인 연결 문제를 확인하고 해결하려면:
Active Directory 서비스가 각 도메인 컨트롤러에서 실행 중인지 확인하여 AD DS가 실행되고 있는지 확인합니다. Active Directory 모니터링에 대한 자세한 내용은 Active Directory Management Pack for MOM(MOM용 Active Directory 관리 팩)( http://go.microsoft.com/fwlink/?LinkID=95697)을 참조하세요.
Ping 및 Nltest 명령줄 도구와 같은 네트워크 진단 도구를 사용하여 CA(인증 기관)와 AD DS의 네트워크 연결 상태를 확인합니다.
아래의 필수 AD DS 컨테이너 및 개체에 대한 권한 확인 절차에 따라 CA에 AD DS의 개체 및 컨테이너에 대해 올바른 권한이 있는지 확인합니다.
MSG_NO_CERT_TYPES
이 오류 코드는 CA가 AD DS의 CertificateTemplates 컨테이너에서 인증서 템플릿 목록을 찾아보았지만 목록을 찾을 수 없었거나 목록이 비어 있는 경우를 나타냅니다.
잠재적인 인증서 템플릿 문제를 확인하고 해결하려면:
인증서 템플릿 구성 및 가용성 확인 절차에 따라 인증서 템플릿에 대한 권한 및 기타 설정과 해당 인증서 템플릿이 CA에 추가되었는지 확인합니다.
MSG_DOMAIN_INIT
이 오류 코드는 CA가 AD DS에 연결할 수 없음을 나타냅니다. 이 실패는 네트워크 연결 문제 또는 권한 문제로 인한 결과일 수 있습니다.
DOMAIN_INIT 문제를 확인하고 해결하려면:
Ping 및 Nltest 명령줄 도구와 같은 네트워크 진단 도구를 사용하여 CA와 AD DS의 네트워크 연결 상태를 확인합니다.
아래의 필수 AD DS 컨테이너 및 개체에 대한 권한 확인 절차에 따라 CA에 AD DS의 개체 및 컨테이너에 대해 올바른 권한이 있는지 확인합니다.
이러한 절차를 수행하려면 CA 관리 권한이 있거나 적절한 권한을 위임받아야 합니다.
인증서 템플릿 구성 및 가용성 확인
인증서 템플릿 구성 및 가용성을 확인하려면:
시작을 클릭하고 certtmpl.msc를 입력한 다음 Enter 키를 누릅니다.
이 오류와 관련된 인증서 템플릿을 선택합니다.
CA가 인증서 템플릿을 기반으로 인증서를 발급할 수 없도록 방지하는 모든 보안 권한 또는 기타 구성 문제를 해결하고 확인을 클릭합니다.
인증 기관 스냅인을 열고 CA 이름을 두 번 클릭합니다.
인증서 템플릿을 마우스 오른쪽 단추로 클릭하고 새로 만들기를 클릭한 다음 발급할 인증서 템플릿을 클릭합니다.
인증서 템플릿을 선택하고 확인을 클릭합니다.
필수 AD DS 컨테이너 및 개체에 대한 권한 확인
CA에 AD DS 컨테이너와 해당 컨테이너 내의 개체에 대한 필수 권한이 있는지 확인하려면:
도메인 컨트롤러에서 시작을 클릭하고 관리 도구를 가리킨 다음 Active Directory 사이트 및 서비스를 클릭합니다.
Active Directory 사이트 및 서비스 [도메인 이름]을(를) 클릭합니다.
보기 메뉴에서 서비스 노드 표시를 클릭합니다.
Services 및 Public Key Services를 차례로 두 번 클릭한 다음 아래에 나열된 각 컨테이너 또는 컨테이너 내에 나열된 개체를 마우스 오른쪽 단추로 클릭한 후 속성을 클릭합니다.
보안 탭에서 필요한 권한을 확인합니다.
다음은 CA를 호스트하는 컴퓨터에 필요한 모든 Active Directory 권한입니다. 이러한 권한 중 일부는 Cert Publishers 그룹의 구성원이어야 얻을 수 있습니다.
등록 서비스 컨테이너 CA 컴퓨터에는 고유 개체에 대한 읽기 및 쓰기 권한이 있습니다.
AIA 컨테이너 Cert Publishers 그룹에는 AIA 컨테이너에 대한 모든 권한이 있고 CA 컴퓨터에는 AIA 컨테이너 내의 고유 개체에 대한 모든 권한이 있습니다.
CDP 컨테이너 Cert Publishers 그룹에는 CDP 컨테이너 아래에 있는 CA 컨테이너에 대한 모든 권한이 있고 CA 컴퓨터에는 고유 컨테이너의 모든 CRL(인증 해지 목록) 개체에 대한 모든 권한이 있습니다.
인증 기관 컨테이너 Cert Publishers 그룹에는 이 컨테이너 내의 개체에 대한 모든 권한이 있습니다.
인증서 템플릿 컨테이너 Enterprise Admins 및 Domain Admins 그룹(CA 컴퓨터 아님)에는 이 컨테이너 및 컨테이너 내의 대부분의 개체에 대한 모든 권한 또는 읽기 및 쓰기 권한이 있습니다.
KRA 컨테이너 CA 컴퓨터에는 고유 개체에 대한 모든 권한이 있습니다.
OID 컨테이너 Enterprise Admins 및 Domain Admins 그룹(CA 컴퓨터 아님)에는 이 컨테이너 및 이 컨테이너 내의 대부분의 개체에 대한 모든 권한 또는 읽기 및 쓰기 권한이 있습니다.
NTAuthCertificates 개체 Enterprise Admins 및 Domain Admins 그룹(CA 컴퓨터 아님)에는 모든 권한 또는 읽기 및 쓰기 권한이 있습니다.
도메인 컴퓨터 및 도메인 사용자 컨테이너 Cert Publishers 그룹에는 AD CS가 배포된 포리스트에 있는 각 사용자의 userCertificate 속성 및 컴퓨터 개체에 대한 읽기 및 쓰기 권한이 있습니다.
정책 모듈이 작동하는지 확인하려면:
CA를 호스트하는 컴퓨터에서 시작을 클릭하고 관리 도구를 가리킨 후 서비스를 클릭합니다.
AD CS(Active Directory 인증서 서비스) 서비스를 마우스 오른쪽 단추로 클릭하고 다시 시작을 클릭합니다.
이벤트 로그를 열고 정책 모듈과 관련된 어떠한 오류도 없는지 확인합니다.
정책 모듈과 관련된 오류는 다음과 같습니다.
이벤트 9: 원본: Microsoft-Windows-CertificationAuthority. "Active Directory 인증서 서비스가 시작되지 않았습니다. 정책 모듈을 로드할 수 없습니다."
이벤트 43: Microsoft-Windows-CertificationAuthority. ""%1" 정책 모듈의 "%2" 메서드 때문에 %4 주소에서 예외가 발생했습니다. 예외 코드는 %3입니다."
이벤트 44: Microsoft-Windows-CertificationAuthority. ""%1" 정책 모듈의 "%2" 메서드가 오류를 반환했습니다. %5 반환된 상태 코드는 %3입니다. %4"
이벤트 77: Microsoft-Windows-CertificationAuthority. ""%1" 정책 모듈에서 다음 경고를 기록했습니다. %2"
이벤트 78: Microsoft-Windows-CertificationAuthority. ""%1" 정책 모듈에서 다음 오류를 기록했습니다. %2"
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 43 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.43" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">43</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID58c5cd3e83434b31b92618cd2dcd109f"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>