기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Active Directory용 AWS Private CA 커넥터 관련 문제 해결
<a name="troubleshoot-connector-ad"></a>

여기의 정보를 사용하여 AD용 AWS Private Certificate Authority 커넥터를 진단하고 수정할 수 있습니다.

**Topics**
+ [AD용 커넥터 오류 코드 문제 해결](c4adTroubleshootingError.md)
+ [AD 커넥터 생성 실패를 위한 커넥터 문제 해결](c4adTroubleshootingConnectorCreationFailure.md)
+ [AD SPN용 커넥터 생성 실패 문제 해결](c4adTroubleshootingSpnFailure.md)
+ [AD용 커넥터 템플릿 업데이트 문제 해결](c4adTroubleshootingUpdatedTemplate.md)

# AD용 커넥터 오류 코드 문제 해결
<a name="c4adTroubleshootingError"></a>

AD용 커넥터는 여러 가지 이유로 오류 메시지를 보냅니다. 각 오류에 대한 자세한 내용과 오류 해결에 대한 권장 사항은 다음 표를 참조하세요. Amazon EventBridge 스케줄러 이벤트(이벤트 소스: `aws.pca-connector-ad`)를 구독하거나 Windows에서 수동 등록을 사용하여 이러한 오류를 수신할 수 있습니다.


| 오류 코드 | 근본 원인: | 문제 해결 | 
| --- | --- | --- | 
|  0x8FFFA000  |  Kerberos 인증이 실패했습니다.  |  디렉터리에 연결할 수 있고 클라이언트가 사용자 또는 컴퓨터인지 확인합니다. 자동 등록을 사용하는 경우 리소스 서비스 보안 주체를 수정합니다 AWS . Active Directory UI를 사용하여 인증서를 받는 경우에는 `gpupdate /force`을 실행합니다.  | 
|  0x8FFFA001  |  SOAP 메시지에는 작업 헤더가 포함되어야 합니다.  |  작업 헤더 추가.  | 
|  0x8FFFA002  |  커넥터는 연결된 프라이빗 CA에 액세스할 수 없습니다.  |  프라이빗 CA와 AD 서비스용 커넥터 간에 공유할 AWS Resource Access Manager(RAM)를 생성하여 프라이빗 CA를 커넥터와 공유합니다.  | 
|  0x8FFFA003  |  이 커넥터의 프라이빗 CA가 활성 상태가 아닙니다.  |  프라이빗 CA를 활성 상태로 이동합니다. 프라이빗 CA가 보류 중인 인증서 상태인 경우 CA 인증서를 설치합니다.  | 
|  0x8FFFA004  |  이 커넥터의 프라이빗 CA가 없습니다.  |  인증 기관이 삭제됨 상태인 경우 인증 기관을 활성 상태로 이동합니다. 프라이빗 CA가 영구적으로 삭제된 경우 다른 CA로 새 커넥터를 생성합니다.  | 
|  0x8FFFA005  |  템플릿에서 인증서 보안 주체 또는 보안 주체 대체 이름의 `directoryGuid` 속성을 지정했지만 요청자의 AD 객체에서 속성을 찾을 수 없습니다.  |  Active Directory가 디렉터리에 대한 `directoryGuid`를 생성하지 않았습니다. Active Directory에서 문제를 해결합니다.  | 
|  0x8FFFA006  |  템플릿에서 인증서 보안 주체 또는 보안 주체 대체 이름의 `dnsHostName` 속성을 지정했지만 요청자의 AD 객체에서 속성을 찾을 수 없습니다.  |  AD 객체에 `dnsHostName` 속성을 추가합니다.  | 
|  0x8FFFA007  |  템플릿에서 인증서 제목 또는 보안 주체 대체 이름에 포함되도록 이메일 속성을 지정했지만 요청자의 AD 객체에서 속성을 찾을 수 없습니다.  |  AD 객체에 이메일 속성을 추가합니다  | 
|  0x8FFFA008  |  SOAP 메시지에는 `http://schemas.microsoft.com/windows/pki/2009/01/enrollmentpolicy/IPolicy/GetPolicies` 또는 `http://schemas.microsoft.com/windows/pki/2009/01/enrollment/RST/wstep` 중 하나의 작업 헤더가 있어야 합니다.  |  지정된 값 중 하나를 사용하도록 작업 헤더를 업데이트합니다.  | 
|  0x8FFFA009  |  바이너리 보안 토큰이 `http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd#base64binary`에서 인코딩되어 있어야 합니다.  |  바이너리 보안 토큰 유형을 업데이트합니다.  | 
|  0x8FFFA00A  |  바이너리 보안 토큰이 잘못되었습니다.  |  CSR이 올바르게 생성되었는지 확인합니다.  | 
|  0x8FFFA00B  |  바이너리 보안 토큰의 값 유형은 `http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd#PKCS7` 또는 `http://schemas.microsoft.com/windows/pki/2009/01/enrollment#PKCS10` 중 하나여야 합니다.  |  바이너리 보안 토큰 값 유형을 유효한 값으로 업데이트합니다.  | 
|  0x8FFFA00C  |  바이너리 보안 토큰에 잘못된 CMS가 포함되어 있습니다.  |  Base64는 유효하지만 암호화 메시지 구문(CMS)은 유효하지 않습니다. CMS 구문을 검토합니다.  | 
|  0x8FFFA00D  |  바이너리 보안 토큰에 잘못된 CSR이 포함되어 있습니다.  |  CSR이 올바르게 생성되었는지 확인합니다.  | 
|  0x8FFFA00E  |  프라이빗 CA가 특정 템플릿을 사용하여 인증서를 발급하지 못했습니다.  |  에서 검증 예외를 검토합니다 AWS Private CA. Amazon EventBridge 또는에서 검증 예외를 볼 수 있습니다 AWS CloudTrail.  | 
|  0x8FFFA00F  |  SOAP 메시지에는 `http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue`의 요청 유형은 있어야 합니다.  |  요청 유형을 `http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue`로 설정합니다.  | 
|  0x8FFFA010  |  SOAP 메시지에는 커넥터의 `CertificateEnrollmentPolicyServerEndpoint` 필드 또는 XCEP 응답의 URI 필드의 헤더가 있어야 합니다.  |  요청 보안 토큰의 헤더를 XCEP 응답의 `CertificateEnrollmentPolicyServerEndpoint` 필드 또는 URI 필드로 설정합니다.  | 
|  0x8FFFA011  |  SOAP 메시지에는 작업 헤더가 하나만 있어야 합니다.  |  요청 보안 토큰의 SOAP 메시지 헤더를 검토하고 헤더를 올바르게 설정합니다.  | 
|  0x8FFFA012  |  SOAP 메시지에는 하나의 `messageId`헤더가 있어야 합니다.  |  요청 보안 토큰의 SOAP 메시지 헤더를 검토하고 헤더를 올바르게 설정합니다.  | 
|  0x8FFFA013  |  SOAP 메시지의 헤더에는 하나만 포함되어야 합니다.  |  요청 보안 토큰의 SOAP 메시지 헤더를 검토하고 헤더를 올바르게 설정합니다.  | 
|  0x8FFFA014  |  요청자는 요청된 템플릿에 액세스할 수 없습니다.  |  액세스 제어 항목을 생성하여 요청자 그룹이 요청된 템플릿을 사용하여 등록할 수 있도록 허용합니다.  | 
|  0x8FFFA015  |  `CertificateTemplateInformation` 또는 `CertificateTemplateName` 확장자가 BinarySecurityToken에 있어야 합니다.  |  CSR에 보안 확장을 추가합니다.  | 
|  0x8FFFA016  |  해당 커넥터에 대해 요청한 템플릿을 찾을 수 없습니다.  |  템플릿은 각 커넥터의 하위 리소스입니다. `createTemplate`를 사용하여 커넥터용 템플릿을 생성합니다.  | 
|  0x8FFFA017  |  요청 제한 때문에 요청이 거부되었습니다.  |  요청 속도를 늦춥니다.  | 
|  0x8FFFA018  |  SOAP 메시지에는 `to` 헤더가 포함되어야 합니다.  |  SOAP 메시지의 헤더를 검토합니다.  | 
|  0x8FFFA019  |  헤더가 인식되지 않아 SOAP 메시지를 처리할 수 없습니다.  |  SOAP 메시지의 헤더를 검토합니다.  | 
|  0x8FFFA01A  |  템플릿에서 인증서 보안 주체 또는 보안 주체 대체 이름에 포함되도록 UPN 속성을 지정했지만 요청자의 AD 객체에서 속성을 찾을 수 없습니다.  |  Active Directory 객체에 UPN을 추가합니다.  | 

# AD 커넥터 생성 실패를 위한 커넥터 문제 해결
<a name="c4adTroubleshootingConnectorCreationFailure"></a>

AD 커넥터 생성용 커넥터는 다양한 이유로 실패할 수 있습니다. 커넥터 생성에 실패하면 API 응답에서 실패 이유를 받게 됩니다. 콘솔을 사용하는 경우 커넥터 **세부 정보** 페이지의 커넥터 세부 정보 **** 컨테이너 내 **추가 상태 세부 정보** 필드에 실패 이유가 표시됩니다. 다음 표에서는 실패 이유와 권장 해결 단계를 설명합니다.


| 실패 상태 | 설명 | 문제 해결 | 
| --- | --- | --- | 
| CA\$1CERTIFICATE\$1REGISTRATION\$1FAILED | AD용 커넥터가 CA 인증서를 디렉터리로 가져올 수 없습니다. |  [사전 조건](connector-for-ad-getting-started-prerequisites.md) 페이지를 검토하고 서비스 계정에 올바른 권한이 있는지 확인합니다. 서비스 계정에 올바른 권한을 위임한 후 실패한 커넥터를 삭제하고 새 커넥터를 생성합니다. 권한 위임에 대한 자세한 내용은 *AWS Directory Service 관리 안내서*의 [서비스 계정에 권한 위임을 참조하세요](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_getting_started.html#connect_delegate_privileges).  | 
| DIRECTORY\$1ACCESS\$1DENIED | AD용 커넥터가 디렉터리에 액세스할 수 없습니다. |  디렉터리에 대한 AD용 커넥터 액세스 권한을 부여해야 합니다. [4단계: IAM 정책 생성](connector-for-ad-getting-started-prerequisites.md#prereq-iam) 섹션을 검토하여 AWS 계정과 연결된 IAM 정책을 통해 디렉터리에 액세스하고 설명할 수 있는지 확인합니다. AWS 역할에 올바른 권한을 부여한 후 실패한 커넥터를 삭제하고 새 커넥터를 생성합니다. AD 커넥터와 함께 AWS Directory Service AD용 커넥터를 사용하는 경우 AD 커넥터 서비스 계정의 암호가 만료되지 않고 유효한지 확인합니다. AD Connector 서비스 계정에 대한 자세한 내용은 [AD Connector 관리 안내서의 AD Connector 시작하기](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_getting_started.html)를 참조하세요. **   | 
| INTERNAL\$1FAILURE | AD용 커넥터에 내부 장애가 발생했습니다. |  나중에 다시 시도해 주세요. 실패한 커넥터를 삭제하고 새 커넥터를 생성합니다.  | 
| INSUFFICIENT\$1FREE\$1ADDRESSES |  VPC 서브넷에는 사용 가능한 프라이빗 IP 주소가 하나 이상 있어야 합니다. |   서브넷에 사용 가능한 프라이빗 IP 주소가 있는지 확인합니다. 실패한 커넥터를 삭제하고 새 커넥터를 생성합니다.  | 
| INVALID\$1SUBNET\$1IP\$1PROTOCOL | 디렉터리와 연결된 서브넷이 지정된 IP 주소 유형을 지원하지 않기 때문에 AD용 커넥터가 VPC에서 엔드포인트를 생성할 수 없습니다. |  디렉터리를 호스팅하는 VPC 및 서브넷이 선택한 IP 주소 유형을 지원하는지 확인합니다. 자세한 내용은 [IP 주소 유형을](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html#aws-service-ip-address-type) 참조하세요. 실패한 커넥터를 삭제하고 지원되는 IP 주소 유형으로 새 커넥터를 생성합니다.  | 
| PRIVATECA\$1ACCESS\$1DENIED | AD용 커넥터가 프라이빗 CA에 액세스할 수 없습니다. |  [사전 조건](connector-for-ad-getting-started-prerequisites.md) 페이지를 검토하고 커넥터를 생성할 권한이 있는지 확인합니다. 자세한 내용은 [4단계: IAM 정책 생성](connector-for-ad-getting-started-prerequisites.md#prereq-iam)을 참조하세요.  AWS CLI 또는 API를 통해 커넥터를 생성하는 경우 [사전 조건](connector-for-ad-getting-started-prerequisites.md) 페이지를 검토하고를 사용하여 AD용 커넥터와 프라이빗 CA를 공유했는지 확인합니다 AWS Resource Access Manager. IAM 권한 및 AWS RAM 리소스 공유를 확인하고 수정한 후 실패한 커넥터를 삭제하고 새 커넥터를 생성합니다.  | 
| PRIVATECA\$1RESOURCE\$1NOT\$1FOUND | AD용 커넥터가 지정된 프라이빗 CA를 찾을 수 없습니다. |  올바른 프라이빗 CA [Amazon 리소스 이름(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)을 지정한 다음 실패한 커넥터를 삭제하고 의도한 프라이빗 CA ARN을 사용하여 새 커넥터를 생성해야 합니다.  | 
| SECURITY\$1GROUP\$1NOT\$1IN\$1VPC | 디렉터리를 호스팅하는 VPC에 보안 그룹이 없습니다. |  디렉터리를 호스팅하는 VPC에 있는 보안 그룹을 사용합니다. 자세한 내용은 [7단계: 보안 그룹 구성](connector-for-ad-getting-started-prerequisites.md#prereq-security-groups) 단원을 참조하십시오. 실패한 커넥터를 삭제하고 VPC에 있는 보안 그룹을 사용하여 새 커넥터를 생성합니다.  | 
| VPC\$1ACCESS\$1DENIED | AD용 커넥터는 디렉터리를 호스팅하는 Amazon VPC에 액세스할 수 없습니다. |  IAM 권한을 확인합니다. 실패한 커넥터를 삭제하고 새 커넥터를 생성합니다. 액세스 권한이 포함된 IAM 정책의 예는 섹션을 참조하세요. [4단계: IAM 정책 생성](connector-for-ad-getting-started-prerequisites.md#prereq-iam)   | 
| VPC\$1ENDPOINT\$1LIMIT\$1EXCEEDED | AD용 커넥터는 Amazon VPC에서 엔드포인트를 생성할 수 없습니다. 계정에 대해 생성할 수 있는 VPC 엔드포인트 한도에 도달했습니다. |  Amazon VPC 엔드포인트를 삭제하거나 한도 증가를 요청합니다. 두 단계 중 하나를 완료했으면 실패한 커넥터를 삭제하고 새 커넥터를 생성합니다. 할당량에 대한 자세한 내용은 [Amazon Virtual Private Cloud Service 할당량을 참조하세요](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html).  | 
| VPC\$1RESOURCE\$1NOT\$1FOUND | AD용 커넥터가 지정된 VPC를 찾을 수 없습니다. |  올바른 VPC를 지정했고 VPC가 존재하는지 확인합니다. 그런 다음 실패한 커넥터를 삭제하고 올바른 VPC ID를 사용하여 새 커넥터를 생성합니다.  | 

# AD SPN용 커넥터 생성 실패 문제 해결
<a name="c4adTroubleshootingSpnFailure"></a>

서비스 보안 주체 이름(SPN) 생성은 다양한 이유로 실패할 수 있습니다. SPN 생성에 실패하면 API 응답에 실패 이유가 표시됩니다. 콘솔을 사용하는 경우 **서비스 보안 주체 이름(SPN)** 컨테이너의 **추가 상태 세부 정보 필드 아래에 있는 커넥터 세부 정보** 페이지에 실패 이유가 표시됩니다. 다음 표에서는 실패 이유와 권장 해결 단계를 설명합니다.


| 실패 상태 | 설명 | 문제 해결 | 
| --- | --- | --- | 
| DIRECTORY\$1ACCESS\$1DENIED | AD용 커넥터는 디렉터리에 액세스할 수 없습니다. |  AD용 커넥터에 디렉터리에 대한 액세스 권한을 부여합니다. 디렉터리 액세스 권한을 부여하는 권한이 포함된 IAM 정책의 예는 섹션을 참조하세요[4단계: IAM 정책 생성](connector-for-ad-getting-started-prerequisites.md#prereq-iam).  | 
| DIRECTORY\$1NOT\$1REACHABLE | AD용 커넥터는 디렉터리에 액세스할 수 없습니다. |  와 디렉터리 간의 네트워크를 확인하고 SPN을 다시 생성 AWS 해 보십시오.  | 
| DIRECTORY\$1RESOURCE\$1NOT\$1FOUND | AD용 커넥터가 지정된 디렉터리를 찾을 수 없습니다. |  올바른 디렉터리 ID를 지정한 다음 실패한 커넥터를 삭제하고 원하는 디렉터리 ID를 사용하여 새 커넥터를 생성해야 합니다.  | 
| INTERNAL\$1FAILURE | AD용 커넥터에 내부 장애가 발생했습니다. |  나중에 다시 시도해 주세요.  | 
| SPN\$1EXISTS\$1ON\$1DIFFERENT\$1AD\$1OBJECT | 서비스 보안 주체 이름(SPN)이 다른 Active Directory 객체에 있습니다. |  Active Directory 객체에서 SPN을 삭제하고 SPN을 다시 생성해 봅니다.  | 
| SPN\$1LIMIT\$1EXCEEDED | AD용 커넥터는 디렉터리당 SPN 한도에 도달했기 때문에 SPNs 생성할 수 없습니다. 디렉터리당 최대 SPNs 수는 10개입니다. |  계정에서 하나 이상의 SPNs 삭제하고 SPN을 다시 생성해 보세요.  | 

# AD용 커넥터 템플릿 업데이트 문제 해결
<a name="c4adTroubleshootingUpdatedTemplate"></a>

템플릿 또는 그룹 액세스 제어 항목을 변경했지만 변경 사항이 표시되지 않는 경우, 이는 클라이언트가 정책 캐시를 새로 고칠 때 8시간마다 정책 캐싱이 정책에 템플릿을 AWS Private CA 적용하기 때문일 수 있습니다. 클라이언트는 캐시를 새로 고치면 커넥터에서 사용 가능한 템플릿을 쿼리합니다. **자동 등록 새로 고침의 경우 클라이언트는 다음 조건 중 하나 또는 둘 다와 일치하는 인증서를 발급합니다.
+ 인증서가 갱신 기간 내에 있습니다.
+ 인증서가 클라이언트 디바이스에 없습니다.

*수동 새로 고침*의 경우 클라이언트가 커넥터를 쿼리하므로 템플릿을 발급으로 설정해야 합니다.

디버깅하는 경우 정책 캐시를 수동으로 지워 템플릿 변경 사항을 즉시 볼 수 있습니다. 이렇게 하려면 클라이언트에서 다음 Powershell 명령을 실행합니다.

```
certutil -f -user -policyserver * -policycache delete
```