이 섹션에서는 온라인 응답자 스냅인을 사용하거나 온라인 응답자 배열 작업을 할 때 발생할 수 있는 몇 가지 일반적인 문제를 나열합니다. 온라인 응답자 관련 문제 해결에 대한 자세한 내용은 Active Directory 인증서 서비스 문제 해결(
현재 어떤 문제가 있습니까?
온라인 응답자 서비스가 시작되지 않았습니다.
-
원인: 레지스트리 정보가 손상되었거나 시스템 리소스가 부족하여 온라인 응답자 서비스가 시작되지 않을 수 있습니다.
-
해결 방법: 서비스 스냅인(Services.msc)에서 온라인 응답자 서비스를 다시 시작해 보십시오. 온라인 응답자 서비스가 시작되지 않으면 이벤트 로그에서 이 오류와 연관이 있을 수 있는 다른 오류를 확인하십시오. 시스템 리소스가 부족하여 온라인 응답자 서비스를 시작할 수 없으면 컴퓨터를 다시 시작하거나 시스템 리소스를 확보하십시오. 레지스트리 정보가 손상된 경우에는 서버 관리자를 사용하여 온라인 응답자 서비스를 제거한 후 다시 설치해야 합니다.
온라인 응답자의 서명 인증서를 찾을 수 없습니다.
-
원인: OCSP 응답 서명 인증서가 컴퓨터 계정에 대한 개인 인증서 저장소에 없거나 서명 인증서를 자동 등록을 통해 발급했지만 자동 등록이 완료되지 않았습니다.
-
해결 방법: OCSP 응답 서명 인증서가 로컬 컴퓨터의 개인 인증서 저장소에 없고 해지 구성이 수동 OCSP 응답 서명 인증서 등록 또는 자동 검색 방식으로 설정된 경우 인증서를 수동으로 등록해야 합니다. 온라인 응답자 서비스에서 인증서를 등록하는 구성의 경우 수동 등록은 작동하지 않으며, 자동 등록이 작동하지 않는 이유를 확인해야 합니다. 가능한 이유는 다음과 같습니다.
-
온라인 응답자 서비스가 실행되는 컴퓨터에서 OCSP 응답 서명 템플릿을 기반으로 인증서를 발급하도록 구성된 CA(인증 기관)에 연결할 수 없습니다.
-
온라인 응답자에 OCSP 응답 서명 템플릿에 대한 읽기 및 등록 권한이 없으며 자동 등록이 사용되고 있는 경우 자동 등록 권한이 없습니다.
-
온라인 응답자 서비스가 실행되는 컴퓨터에서 OCSP 응답 서명 템플릿을 기반으로 인증서를 발급하도록 구성된 CA(인증 기관)에 연결할 수 없습니다.
해지 구성을 만들려고 했으나 실패했습니다.
-
원인: 해지 구성을 만들려고 했으나 "배열 컨트롤러의 잘못된 서명 인증서" 메시지가 표시되며 실패했습니다.
-
해결 방법: OCSP 응답 서명 인증서 템플릿이 올바르게 구성되었는지 확인하십시오. 그렇지 않은 경우 이러한 서명 인증서에 대해 수동 등록을 허용하도록 인증서 템플릿을 구성하십시오.
온라인 응답자 구성에 대한 서명 인증서가 곧 만료됩니다.
-
원인: 자동 등록이 사용되고 있지 않을 경우 인증서의 지정된 수명 비율(기본적으로 총 유효 기간의 10%)이 남아 있을 때 만료될 인증서를 갱신하라는 미리 알림이 자동으로 생성됩니다. 인증서 스냅인을 통해 컴퓨터의 개인 인증서 저장소 또는 온라인 응답자 서비스에서 OCSP 응답 서명 인증서를 검토하여 현재 서명 인증서의 남아 있는 시간을 확인할 수 있습니다.
-
해결 방법: OCSP 응답 서명 인증서 템플릿이 자동 등록 및 갱신 방식으로 구성되어 있으면 추가 작업이 필요하지 않을 수 있습니다. 수동으로 구성한 경우에는 인증서 스냅인 및 인증서 갱신 마법사를 사용하여 서명 인증서를 갱신할 수 있습니다.
해지 구성에 대한 서명 인증서가 만료되었습니다.
-
원인: 만료일 전에 서명 인증서의 자동 갱신이 실패했거나 수동 인증서 갱신을 완료하지 못했습니다.
-
해결 방법: 온라인 응답자 서비스에서 인증서를 등록하는 구성의 경우 수동 등록은 작동하지 않으며, 자동 등록이 작동하지 않는 이유를 확인해야 합니다. 가능한 이유는 다음과 같습니다.
-
온라인 응답자 서비스가 실행되는 컴퓨터에서 OCSP 응답 서명 템플릿을 기반으로 인증서를 발급하도록 구성된 CA에 연결할 수 없습니다.
-
온라인 응답자에 OCSP 응답 서명 템플릿에 대한 읽기, 등록 및 자동 등록 권한이 없습니다.
해지 구성이 OCSP 응답 서명 인증서 수동 등록 방식으로 설정된 경우 온라인 응답자 컴퓨터의 로컬 컴퓨터 개인 인증서 저장소에서 서명 인증서를 찾습니다.
수동으로 구성한 경우에는 인증서 스냅인 및 인증서 갱신 마법사를 사용하여 서명 인증서를 갱신할 수 있습니다.
원본 OCSP 응답 서명 인증서를 서명하는 데 사용한 CA 키가 갱신되어 더 이상 사용할 수 없기 때문에 OCSP 응답 서명 인증서를 갱신하지 못한 것일 수도 있습니다. 이 문제를 해결하려면 OCSP 응답 서명 인증서를 기존 키로 갱신할 수 있도록 허용해야 합니다. 자세한 내용은 기존 키를 사용하여 OCSP 응답 서명 인증서 갱신을 참조하십시오.
-
온라인 응답자 서비스가 실행되는 컴퓨터에서 OCSP 응답 서명 템플릿을 기반으로 인증서를 발급하도록 구성된 CA에 연결할 수 없습니다.
온라인 응답자 해지 구성을 로드할 수 없습니다.
-
원인: 해지 구성이 손상되었습니다.
-
해결 방법: 온라인 응답자 스냅인을 사용하여 해지 구성을 삭제한 후 다시 만드십시오. 이 문제가 배열 구성원에서 발생하는 경우 해당 배열 구성원에서 손상된 구성을 삭제한 다음 배열을 동기화하여 해지 구성을 다시 만들 수 있습니다. 이 문제가 배열 컨트롤러에서 발생하는 경우 임시로 다른 컴퓨터를 배열 컨트롤러로 설정하고 배열을 동기화한 다음 원래 컴퓨터를 배열 컨트롤러로 다시 설정합니다.
온라인 응답자 서비스가 지정된 해지 구성에 대한 CRL을 검색할 수 없습니다.
-
원인: CRL(인증서 해지 목록)을 게시할 수 없거나 CRL 배포 지점이 잘못되었거나, 온라인 응답자 서비스에서 게시된 CRL에 액세스할 수 없습니다.
-
해결 방법: 온라인 응답자에 대한 CRL 검색 문제를 식별하고 해결하려면 다음을 수행합니다.
-
온라인 응답자 스냅인을 사용하여 기준 및 델타 CRL 배포 지점으로 구성된 URL이 올바른지 확인합니다.
-
인증 기관 스냅인을 사용하여 CA에서 기준 및 델타 CRL을 게시할 URL을 확인합니다.
-
기준 CRL이 게시된 컴퓨터에서 기준 CRL에 대한 최신 CRL 확장을 검토합니다. 이 확장이 델타 CRL을 찾을 수 있는 위치를 나타내는지 확인합니다.
-
필요한 경우 명령 프롬프트에 다음 명령을 입력하여 현재 CRL을 다시 게시합니다.
certutil -crl
-
그런 다음 온라인 응답자 서비스에서 CRL에 액세스할 수 있는지 확인합니다. 온라인 응답자 스냅인에서 배열 구성을 마우스 오른쪽 단추로 클릭하고 해지 데이터 새로 고침을 클릭합니다.
-
온라인 응답자 스냅인을 사용하여 기준 및 델타 CRL 배포 지점으로 구성된 URL이 올바른지 확인합니다.