원본이 CertificationAuthority이고 ID가 44인 이벤트에 대한 수집 규칙

요약

정책 모듈에는 발급, 갱신 및 인증서 해지를 규정하는 규칙 집합이 들어 있습니다. 이 정책은 하드 코드된 값, 레지스트리 설정 및 인증서 템플릿(엔터프라이즈 CA(인증 기관)를 사용할 경우)에서 작성됩니다. 정책 모듈은 인증서 요청을 승인 또는 거부로 표시할지, 관리자가 승인 또는 거부하도록 보류 중으로 표시할지 결정합니다. 정책 모듈에서 감지한 문제는 CA가 시작되지 않도록 하거나 작동을 멈추도록 만들 수 있습니다.

해결 방법

정책 모듈 처리 오류 해결

이 오류를 어떻게 수정할지 결정하려면 이벤트 로그 메시지의 오류 코드 보고를 확인하십시오.

이벤트 로그 메시지에는 다음 코드가 포함될 수 있습니다.

• MSG_NO_CA_OBJECT, MSG_NO_DOMAIN

• MSG_NO_CERT_TYPES

• MSG_DOMAIN_INIT

이러한 오류 메시지에 특정 정보가 포함되어 있지 않은 경우 이 오류 이전 또는 이후에 표시되는 관련된 추가 오류를 확인하여 문제를 해결합니다.

관련된 증상을 해결했는데도 계속해서 경고가 표시되고 정책 모듈 관련 문제가 있는 경우:

• 타사 정책 모듈의 경우 정책 모듈 제공업체에 문의하십시오.

• Microsoft 정책 모듈의 경우 Microsoft 기술 지원 서비스에 문의하십시오. 자세한 내용은  http://go.microsoft.com/fwlink/?LinkId=89446을 참조하십시오.

MSG_NO_CA_OBJECT, MSG_NO_DOMAIN

이 오류 코드는 CA(인증 기관)가 Active Directory 도메인 서비스에 연결할 수 없거나 필요한 Active Directory 정보를 찾을 수 없음을 나타냅니다. 일반적으로 네트워크 연결 문제 또는 권한 문제로 인해 도메인 컨트롤러에 연결할 수 없습니다. 

잠재적인 연결 문제를 확인하고 해결하려면:

• Active Directory 서비스가 각 도메인 컨트롤러에서 실행 중인지 확인하여 AD DS가 실행되고 있는지 확인합니다. Active Directory 모니터링에 대한 자세한 내용은 MOM용 Active Directory 관리 팩( http://go.microsoft.com/fwlink/?LinkID=95697)을 참조하십시오.  

• Ping 및 Nltest 명령줄 도구와 같은 네트워크 진단 도구를 사용하여 CA(인증 기관)와 AD DS의 네트워크 연결 상태를 확인합니다.

• 아래의 필수 AD DS 컨테이너 및 개체에 대한 권한 확인 절차에 따라 CA에 AD DS의 개체 및 컨테이너에 대해 올바른 권한이 있는지 확인합니다.

MSG_NO_CERT_TYPES

이 오류 코드는 CA가 AD DS의 CertificateTemplates 컨테이너에서 인증서 템플릿 목록을 찾아보았지만 목록을 찾을 수 없었거나 목록이 비어 있는 경우를 나타냅니다.

잠재적인 인증서 템플릿 문제를 확인하고 해결하려면:

인증서 템플릿 구성 및 가용성 확인 절차에 따라 인증서 템플릿에 대한 권한 및 기타 설정과 해당 인증서 템플릿이 CA에 추가되었는지 확인합니다.

MSG_DOMAIN_INIT

이 오류 코드는 CA가 AD DS에 연결할 수 없음을 나타냅니다. 이 실패는 네트워크 연결 문제 또는 권한 문제로 인한 결과일 수 있습니다.

DOMAIN_INIT 문제를 확인하고 해결하려면:

• Ping 및 Nltest 명령줄 도구와 같은 네트워크 진단 도구를 사용하여 CA와 AD DS의 네트워크 연결 상태를 확인합니다.

• 아래의 필수 AD DS 컨테이너 및 개체에 대한 권한 확인 절차에 따라 CA에 AD DS의 개체 및 컨테이너에 대해 올바른 권한이 있는지 확인합니다.

이러한 절차를 수행하려면 CA 관리 권한이 있거나 적절한 권한을 위임받아야 합니다.

인증서 템플릿 구성 및 가용성 확인

인증서 템플릿 구성 및 가용성을 확인하려면:

• 시작을 클릭하고 certtmpl.msc를 입력한 다음 Enter 키를 누릅니다.

• 이 오류와 관련된 인증서 템플릿을 선택합니다.

• CA가 인증서 템플릿을 기반으로 인증서를 발급할 수 없도록 방지하는 모든 보안 권한 또는 기타 구성 문제를 해결하고 확인을 클릭합니다.

• 인증 기관 스냅인을 열고 CA 이름을 두 번 클릭합니다.

• 인증서 템플릿을 마우스 오른쪽 단추로 클릭하고 새로 만들기를 클릭한 다음 발급할 인증서 템플릿을 클릭합니다.

• 인증서 템플릿을 선택하고 확인을 클릭합니다.

필수 AD DS 컨테이너 및 개체에 대한 권한 확인

CA에 AD DS 컨테이너와 해당 컨테이너 내의 개체에 대한 필수 권한이 있는지 확인하려면:

• 도메인 컨트롤러에서 시작을 클릭하고 관리 도구를 가리킨 다음 Active Directory 사이트 및 서비스를 클릭합니다.

• Active Directory 사이트 및 서비스 [도메인 이름]을(를) 클릭합니다.

• 보기 메뉴에서 서비스 노드 표시를 클릭합니다.

• 서비스 및 공용 키 서비스를 차례로 두 번 클릭한 다음 아래에 나열된 각 컨테이너 또는 컨테이너 내에 나열된 개체를 마우스 오른쪽 단추로 클릭한 후 속성을 클릭합니다. 

• 보안 탭에서 필요한 권한을 확인합니다.

다음은 CA를 호스트하는 컴퓨터에 필요한 모든 Active Directory 권한입니다. 이러한 권한 중 일부는 Cert Publishers 그룹의 구성원이어야 얻을 수 있습니다.

• 등록 서비스 컨테이너 CA 컴퓨터에는 고유 개체에 대한 읽기 및 쓰기 권한이 있습니다.

• AIA 컨테이너 Cert Publishers 그룹에는 AIA 컨테이너에 대한 모든 액세스 권한이 있고 CA 컴퓨터에는 AIA 컨테이너 내의 고유 개체에 대한 모든 액세스 권한이 있습니다.

• CDP 컨테이너 Cert Publishers 그룹에는 CDP 컨테이너 아래에 있는 CA 컨테이너에 대한 모든 액세스 권한이 있고 CA 컴퓨터에는 고유 컨테이너의 모든 CRL(인증 해지 목록) 개체에 대한 모든 액세스 권한이 있습니다.

• 인증 기관 컨테이너 Cert Publishers 그룹에는 이 컨테이너 내의 개체에 대한 모든 권한이 있습니다.

• 인증서 템플릿 컨테이너 엔터프라이즈 관리자 및 도메인 관리자 그룹(CA 컴퓨터 아님)에는 이 컨테이너 및 컨테이너 내의 대부분의 개체에 대한 모든 권한 또는 읽기 및 쓰기 권한이 있습니다.

• KRA 컨테이너 CA 컴퓨터에는 고유 개체에 대한 모든 권한이 있습니다. 

• OID 컨테이너 엔터프라이즈 관리자 및 도메인 관리자 그룹(CA 컴퓨터 아님)에는 이 컨테이너 및 이 컨테이너 내의 대부분의 개체에 대한 모든 액세스 권한 또는 읽기 및 쓰기 권한이 있습니다.

• NTAuthCertificates 개체 엔터프라이즈 관리자 및 도메인 관리자 그룹(CA 컴퓨터 아님)에는 모든 권한 또는 읽기 및 쓰기 권한이 있습니다.

• 도메인 컴퓨터 및 도메인 사용자 컨테이너 Cert Publishers 그룹에는 AD CS가 배포된 포리스트에 있는 각 사용자의 userCertificate 속성 및 컴퓨터 개체에 대한 읽기 및 쓰기 권한이 있습니다.

추가 정보

정책 모듈이 작동하는지 확인하려면:

• CA를 호스트하는 컴퓨터에서 시작을 클릭하고 관리 도구를 가리킨 후 서비스를 클릭합니다.

• AD CS(Active Directory 인증서 서비스) 서비스를 마우스 오른쪽 단추로 클릭하고 다시 시작을 클릭합니다.

• 이벤트 로그를 열고 정책 모듈과 관련된 어떠한 오류도 없는지 확인합니다.