원본이 CertificationAuthority이고 ID가 59인 이벤트에 대한 수집 규칙

Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.59 (Rule)

인증서 서비스가 Active Directory에 연결하지 못했습니다.

Knowledge Base article:

요약

AD CS(Active Directory 인증서 서비스)에는 AD DS(Active Directory 도메인 서비스)의 특정 개체에 대해 적어도 읽기 권한이 필요하며 경우에 따라서는 쓰기 권한이 필요합니다. 이러한 Active Directory 개체에 액세스하지 못하면 AD CS가 시작되지 않을 수 있습니다.

해결 방법

AD CS를 사용하여 Active Directory 도메인 서비스에서 필요한 시작 정보 얻기

이 문제를 해결하려면:

AD DS(Active Directory 도메인 서비스)에 대한 네트워크 연결을 확인합니다.
CA(인증 기관)에 필수 AD DS 컨테이너 및 개체에 대한 필수 권한이 있는지 확인합니다.
연결 및 권한을 확인한 후에 CA를 다시 시작합니다.

이 절차를 수행하려면 Domain Admins 그룹의 구성원이거나 적절한 권한을 위임받아야 합니다.

AD DS에 대한 AD CS 연결 확인

AD CS(Active Directory 인증서 서비스)가 AD DS에 연결되어 있는지 확인하려면:

CA에서 명령 프롬프트 창을 엽니다.
ping <server_FQDN>을 입력한 다음 <Enter> 키를 누릅니다. 여기서 server_FQDN은 도메인 컨트롤러의 FQDN(정규화된 도메인 이름)이며 server1.contoso.com과 같을 수 있습니다.
ping 결과가 성공적이면 다음과 유사한 응답을 받습니다.

IP_address의 응답: 바이트=32 시간=3ms TTL=59

IP_address의 응답: 바이트=32 시간=20ms TTL=59

IP_address의 응답: 바이트=32 시간=3ms TTL=59

IP_address의 응답: 바이트=32 시간=6ms TTL=59 3

명령 프롬프트에서 ping <IP_address>를 입력한 다음 <Enter> 키를 누릅니다. 여기서 IP_address는 도메인 컨트롤러의 IP 주소입니다.
IP 주소로 도메인 컨트롤러에 성공적으로 연결할 수 있지만 FQDN으로는 연결할 수 없습니다. 이는 DNS(도메인 이름 시스템) 호스트 이름 확인에 문제가 있는 것입니다. IP 주소로 도메인 컨트롤러에 성공적으로 연결할 수 없으면 네트워크 연결, 방화벽 구성 또는 IPsec(인터넷 프로토콜 보안) 구성에 문제가 있을 수 있습니다.
필수 AD DS 컨테이너 및 개체에 대한 권한 확인

AD DS 컨테이너 및 개체에 대한 권한 확인

CA에 AD DS 컨테이너 및 해당 컨테이너 내의 개체에 대한 필수 권한이 있는지 확인하려면:

도메인 컨트롤러에서 시작을 클릭한 다음 관리 도구를 가리키고 Active Directory 사이트 및 서비스를 클릭합니다.
Active Directory 사이트 및 서비스 [도메인 이름]을 클릭합니다. 여기서 [도메인 이름]은 사용자 도메인 이름입니다.
보기 메뉴에서 서비스 노드 표시를 클릭합니다.
Services 및 Public Key Services를 차례로 두 번 클릭한 다음 아래에 나열된 각 컨테이너 또는 컨테이너 내에 나열된 개체를 마우스 오른쪽 단추로 클릭한 후 속성을 클릭합니다.
보안 탭에서 필요한 권한을 확인합니다.

다음은 CA를 호스트하는 컴퓨터에 필요한 모든 Active Directory 권한입니다. 이러한 권한 중 일부는 Cert Publishers 그룹의 구성원이어야 얻을 수 있습니다.

등록 서비스 컨테이너 CA 컴퓨터에는 고유 개체에 대한 읽기 및 쓰기 권한이 있습니다.
AIA 컨테이너 Cert Publishers 그룹에는 AIA 컨테이너에 대한 모든 권한이 있고 CA 컴퓨터에는 AIA 컨테이너 내의 고유 개체에 대한 모든 권한이 있습니다.
CDP 컨테이너 Cert Publishers 그룹에는 CDP 컨테이너 아래에 있는 CA 컨테이너에 대한 모든 권한이 있고 CA 컴퓨터에는 고유 컨테이너의 모든 CRL(인증 해지 목록) 개체에 대한 모든 권한이 있습니다.
인증 기관 컨테이너 Cert Publishers 그룹에는 이 컨테이너 내의 개체에 대한 모든 권한이 있습니다.
인증서 템플릿 컨테이너 Enterprise Admins 및 Domain Admins 그룹(CA 컴퓨터 아님)에는 이 컨테이너 및 컨테이너 내의 대부분의 개체에 대한 모든 권한 또는 읽기 및 쓰기 권한이 있습니다.
KRA 컨테이너 CA 컴퓨터에는 고유 개체에 대한 모든 권한이 있습니다.
OID 컨테이너 Enterprise Admins 및 Domain Admins 그룹(CA 컴퓨터 아님)에는 이 컨테이너 및 이 컨테이너 내의 대부분의 개체에 대한 모든 권한 또는 읽기 및 쓰기 권한이 있습니다.
NTAuthCertificates 개체 Enterprise Admins 및 Domain Admins 그룹(CA 컴퓨터 아님)에는 모든 권한 또는 읽기 및 쓰기 권한이 있습니다.
도메인 컴퓨터 및 도메인 사용자 컨테이너 Cert Publishers 그룹에는 AD CS가 배포된 포리스트에 있는 각 사용자의 userCertificate 속성 및 컴퓨터 개체에 대한 읽기 및 쓰기 권한이 있습니다.

CA 다시 시작

CA를 다시 시작하려면:

CA를 호스트하는 컴퓨터에서 시작을 클릭하고 관리 도구를 가리킨 다음 인증 기관을 클릭합니다.
CA 이름을 선택하고 [다시 시작]을 클릭합니다.

추가 정보

CA 및 AD DS(Active Directory 도메인 서비스) 간의 연결을 확인하려면:

CA를 호스트하는 컴퓨터에서 명령 프롬프트 창을 엽니다.
nltest /sc_verify: [도메인 이름]을 입력하고 <Enter> 키를 누릅니다.
다음 절차에 따라 필수 AD DS 컨테이너 및 개체에 대한 권한을 확인합니다.

[도메인 이름]을 CA가 설치된 네임스페이스의 이름으로 바꿉니다.

필수 AD DS 컨테이너 및 개체에 대한 권한 확인

이 절차를 수행하려면 Domain Admins 그룹의 구성원이거나 적절한 권한을 위임받아야 합니다.

CA에 AD DS 컨테이너 및 해당 컨테이너 내의 개체에 대한 필수 권한이 있는지 확인하려면:

도메인 컨트롤러에서 시작을 클릭한 다음 관리 도구를 가리키고 Active Directory 사이트 및 서비스를 클릭합니다.
Active Directory 사이트 및 서비스 [도메인 이름]을 클릭합니다. 여기서 [도메인 이름]은 사용자 도메인 이름입니다.
보기 메뉴에서 서비스 노드 표시를 클릭합니다.
Services 및 Public Key Services를 차례로 두 번 클릭한 다음 아래에 나열된 각 컨테이너 또는 컨테이너 내에 나열된 개체를 마우스 오른쪽 단추로 클릭한 후 속성을 클릭합니다.
보안 탭에서 필요한 권한을 확인합니다.

다음은 CA를 호스트하는 컴퓨터에 필요한 모든 Active Directory 권한입니다. 이러한 권한 중 일부는 Cert Publishers 그룹의 구성원이어야 얻을 수 있습니다.

등록 서비스 컨테이너 CA 컴퓨터에는 고유 개체에 대한 읽기 및 쓰기 권한이 있습니다.
AIA 컨테이너 Cert Publishers 그룹에는 AIA 컨테이너에 대한 모든 권한이 있고 CA 컴퓨터에는 AIA 컨테이너 내의 고유 개체에 대한 모든 권한이 있습니다.
CDP 컨테이너 Cert Publishers 그룹에는 CDP 컨테이너 아래에 있는 CA 컨테이너에 대한 모든 권한이 있고 CA 컴퓨터에는 고유 컨테이너의 모든 CRL(인증 해지 목록) 개체에 대한 모든 권한이 있습니다.
인증 기관 컨테이너 Cert Publishers 그룹에는 이 컨테이너 내의 개체에 대한 모든 권한이 있습니다.
인증서 템플릿 컨테이너 Enterprise Admins 및 Domain Admins 그룹(CA 컴퓨터 아님)에는 이 컨테이너 및 컨테이너 내의 대부분의 개체에 대한 모든 권한 또는 읽기 및 쓰기 권한이 있습니다.
KRA 컨테이너 CA 컴퓨터에는 고유 개체에 대한 모든 권한이 있습니다.
OID 컨테이너 Enterprise Admins 및 Domain Admins 그룹(CA 컴퓨터 아님)에는 이 컨테이너 및 이 컨테이너 내의 대부분의 개체에 대한 모든 권한 또는 읽기 및 쓰기 권한이 있습니다.
NTAuthCertificates 개체 Enterprise Admins 및 Domain Admins 그룹(CA 컴퓨터 아님)에는 모든 권한 또는 읽기 및 쓰기 권한이 있습니다.
도메인 컴퓨터 및 도메인 사용자 컨테이너 Cert Publishers 그룹에는 AD CS가 배포된 포리스트에 있는 각 사용자의 userCertificate 속성 및 컴퓨터 개체에 대한 읽기 및 쓰기 권한이 있습니다.

Element properties:

Target

Microsoft.Windows.CertificateServices.CARole.2016

Category

EventCollection

Enabled

True

Event_ID

Event Source

Microsoft-Windows-CertificationAuthority

Alert Generate

True

Alert Severity

Error

Alert Priority

High

Remotable

True

Alert Message

AD CS Active Directory 도메인 서비스 연결 - AD에 연결할 수 없음

이벤트 설명: {0}

Event Log

Application

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default
WriteToCertSvcEvents	WriteAction	Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher	Default
WriteToDB	WriteAction	Microsoft.SystemCenter.CollectEvent	Default

Source Code:

<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.59" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">59</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-CertificationAuthority</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>2</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="AlertMessageID5aa3d6eee7fc40d191bfff0780d8d5a2"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>

        <SuppressionValue>$Data/PublisherName$</SuppressionValue>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>