이 섹션에서는 인증 기관 스냅인을 사용하거나 CA(인증 기관)를 사용할 때 발생할 수 있는 몇 가지 일반적인 문제에 대해 설명합니다. CA 관련 문제를 해결하는 방법에 대한 자세한 내용은 Active Directory 인증서 서비스 문제 해결(
현재 어떤 문제가 있습니까?
-
자동 등록이 구성된 후 클라이언트가 인증서를 자동으로 등록할 수 없습니다.
-
CA를 엔터프라이즈 CA로 설치할 수 없거나 독립 실행형 CA를 인식하도록 CA 웹 등록 지원을 설치할 수 없습니다.
-
CA 웹 페이지에 액세스할 때 오류가 발생합니다.
-
사용자가 스마트 카드를 사용하여 로그온을 시도할 때 다음 메시지가 나타납니다. "주 도메인에 시스템의 컴퓨터 계정이 없거나 계정의 암호가 올바르지 않으므로 이 도메인에 로그온할 수 없습니다."
-
CA가 있는 도메인의 자식 도메인에 속해 있는 컴퓨터나 계정에서 인증서 등록을 시도하면 다음 메시지가 나타납니다. "템플릿을 찾을 수 없습니다. 인증서를 요청할 사용 권한이 있는 CA가 없거나, Active Directory를 액세스하는 동안 오류가 발생했습니다."
-
등록 에이전트가 사용자를 대신하여 특정 인증서 템플릿을 등록할 수 없습니다.
-
도메인 이름을 변경한 후 제한된 인증서 관리자 또는 등록 에이전트 작업을 완료할 수 없습니다.
-
새 버전 2 또는 버전 3 인증서 템플릿을 내 CA에 추가할 수 없습니다.
-
여기에 나열되어 있지 않은 문제가 발생했습니다.
자동 등록이 구성된 후 클라이언트가 인증서를 자동으로 등록할 수 없습니다.
-
원인: 자동 등록에 사용되는 그룹 정책 정보가 아직 클라이언트 컴퓨터로 복제되지 않았습니다. 기본적으로 이 정보가 모든 컴퓨터에 복제되기까지 최대 2시간이 걸릴 수 있습니다.
-
해결 방법: 그룹 정책의 복제가 완료될 때까지 기다리거나 Gpupdate 명령줄 도구를 사용하여 복제를 강제로 즉시 수행합니다. 자세한 내용은 Gpupdate(
https://go.microsoft.com/fwlink/?LinkId=94248(페이지는 영문일 수 있음) )를 참조하십시오.
CA를 엔터프라이즈 CA로 설치할 수 없거나 독립 실행형 CA를 인식하도록 CA 웹 등록 지원을 설치할 수 없습니다.
-
원인: Enterprise Admins 또는 Domain Admins 그룹의 구성원이 아닌 사용자가 CA를 설치했습니다. 따라서 엔터프라이즈 CA 옵션을 사용하지 못했으며 CA에 대한 정보를 AD DS(Active Directory 도메인 서비스)에 게시할 수 없습니다.
-
해결 방법: Enterprise Admins 또는 Domain Admins 그룹의 구성원인 사용자로 로그온하여 CA 및 CA 웹 등록 지원을 설치하십시오.
-
원인: CA를 설정하는 동안 도메인에 액세스하지 못했습니다.
-
해결 방법: CA를 설정하는 동안 도메인 컨트롤러에 네트워크로 연결되어 있는지 확인하십시오.
CA 웹 페이지에 액세스할 때 오류가 발생합니다.
-
원인: 웹 페이지에 액세스하는 사용자가 로컬 컴퓨터에서 Administrators 또는 Power Users 그룹의 구성원이 아닙니다. CA에서 최신 버전의 웹 등록 소프트웨어를 제공하는 경우 클라이언트 컴퓨터에 이 소프트웨어를 설치해야 합니다. 이 소프트웨어를 설치하려면 사용자가 Administrators 또는 Power Users 그룹의 구성원이어야 합니다.
-
해결 방법: Administrators 또는 Power Users 그룹의 구성원인 사용자로 로그온한 다음 웹 등록 페이지에 액세스하여 최신 버전의 소프트웨어를 다운로드합니다.
-
원인: 웹 페이지가 CA에 설치되지 않았습니다.
-
해결 방법: CA의 명령 프롬프트에서 certutil -vroot를 실행하여 웹 등록 페이지를 설치합니다.
사용자가 스마트 카드를 사용하여 로그온을 시도할 때 다음 메시지가 나타납니다. "주 도메인에 시스템의 컴퓨터 계정이 없거나 계정의 암호가 올바르지 않으므로 이 도메인에 로그온할 수 없습니다."
-
원인: 컴퓨터 계정을 사용할 수 없거나, 스마트 카드 인증서를 발급한 CA가 컴퓨터에 의해 신뢰되지 않습니다.
-
해결 방법:
-
도메인에서 컴퓨터 계정이 사용할 수 있게 설정되어 있는지 확인합니다.
-
인증서 스냅인을 사용하여 루트 CA의 인증서가 사용자 컴퓨터의 신뢰할 수 있는 루트 인증 기관 저장소에 있는지 확인합니다.
-
인증서 스냅인을 사용하여 도메인 컨트롤러가 신뢰할 수 있는 루트로 확인될 수 있는 도메인 컨트롤러 인증서를 발급했는지 확인합니다.
-
도메인에서 컴퓨터 계정이 사용할 수 있게 설정되어 있는지 확인합니다.
CA가 있는 도메인의 자식 도메인에 속해 있는 컴퓨터나 계정에서 인증서 등록을 시도하면 다음 메시지가 나타납니다. "템플릿을 찾을 수 없습니다. 인증서를 요청할 사용 권한이 있는 CA가 없거나, Active Directory를 액세스하는 동안 오류가 발생했습니다."
-
원인: 필요한 보안 권한이 인증서 템플릿에 설정되어 있지 않습니다.
-
해결 방법: 인증서 템플릿에 대한 보안 권한을 수정하여 등록을 허용할 자식 도메인 계정을 포함합니다. 인증서 템플릿에 대한 액세스 제어를 설정하려면 "인증서 템플릿 기반 인증서 발급"(
https://go.microsoft.com/fwlink/?LinkID=142333(페이지는 영문일 수 있음) )을 참조하십시오.
보안 권한을 변경한 뒤에는 일부 액세스 제어 캐시가 시간 초과되어야 하므로 새 보안 권한이 네트워크를 통해 복제될 때까지 잠시 기다려야 할 수 있습니다.
등록 에이전트가 사용자를 대신하여 특정 인증서 템플릿을 등록할 수 없습니다.
-
원인: 등록 에이전트가 이 사용자 그룹에 대한 인증서 템플릿을 기반으로 하는 인증서를 등록할 수 없도록 등록 에이전트 제한이 구성되어 있을 수 있습니다.
-
해결 방법: 등록 에이전트가 이 인증서 템플릿을 기반으로 하는 인증서 또는 이 사용자 그룹에 대한 인증서를 등록하도록 의도한 경우 이 동작은 디자인 때문일 수 있습니다. 디자인 때문이 아닌 경우 제한된 등록 에이전트 설정의 단계를 수행하여 이 그룹 및 인증서 템플릿에 대한 올바른 등록 에이전트 권한을 구성하십시오.
-
원인: 등록 에이전트 인증서가 CNG(Cryptography Next Generation) 키로 구성되었으며 인증서가 Windows Server 2003 기반 CA에서 요청되고 있습니다.
-
해결 방법: Windows Server 2003 기반 CA와 호환되는 등록 에이전트 인증서를 사용하거나, Windows Server 2008 R2 또는 Windows Server 2008을 실행하는 컴퓨터의 CA에 인증서를 요청하십시오.
도메인 이름을 변경한 후 제한된 인증서 관리자 또는 등록 에이전트 작업을 완료할 수 없습니다.
-
원인: 제한된 관리자 작업의 경우 CA는 Active Directory 데이터베이스에 저장된 요청자의 SAM(보안 계정 관리자) 이름을 사용하여 해당 관리자가 요청을 관리할 권한을 가지고 있는지 확인합니다. 하지만 SAM 이름에는 도메인 이름이 포함되며, 해당 도메인 이름이 변경된 경우(이름의 DNS 부분만이 아니라)에는 제한된 관리자 작업이 실패합니다.
-
해결 방법: 제한된 관리자 권한을 사용하지 않도록 설정하거나 다시 구성한 다음 등록 작업을 다시 시도하십시오.
새 버전 2 또는 버전 3 인증서 템플릿을 내 CA에 추가할 수 없습니다.
-
원인: CA가 Windows Server 2008 R2 Standard 또는 Windows Server 2008 Standard를 실행 중인 서버에 설치되어 있습니다. 버전 2 및 버전 3 인증서 템플릿과 인증서 자동 등록은 Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Enterprise 또는 Windows Server 2008 Datacenter에 설치된 CA에만 사용할 수 있습니다.
-
해결 방법: Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Enterprise 또는 Windows Server 2008 Datacenter로 업그레이드합니다.
여기에 나열되어 있지 않은 문제가 발생했습니다.
-
원인: 서버의 이벤트 로그를 확인하십시오. 문제의 진단과 해결에 도움이 될 수 있는 자세한 오류 메시지가 있을 수 있습니다.
-
해결 방법: Active Directory 인증서 서비스에 의해 기록되는 이벤트에 대한 자세한 내용은 Active Directory 인증서 서비스 문제 해결(
https://go.microsoft.com/fwlink/?LinkId=89215(페이지는 영문일 수 있음) )을 참조하십시오.