본문 바로가기
Azure & Windows/Windows Server

EFS용 Recovery Agent Certificate 업데이트 절차와 Error 대처법

by 강철 벼룩 2013. 6. 23.

 

EFS에서 사용하는 인증서의 관리를 향상하기 위해 내부 CA를 구성해 사용자에게 인증서를 발행하려면, EFS(Encrypting File System)를 위한 복구 에이전트 인증서 업데이트 작업이 필요합니다.

 

다음은 해당 작업의 절차와 해당 작업 중에 발생하는 오류에 대해 자세히 설명합니다.

 

1. 서버 관리자의 [도구] 메뉴에서 그룹정책 관리콘솔(GPMC)를 실행하고(그림 1), "Default Domain Policy"을 편집하기 위해 그룹정책 편집기(GPME)를 실행합니다(그림 2).

 

[그림 1] 그룹정책 관리콘솔

 

[그림 2] 그룹정책 편집기

 

2. GPME에서 [Computer Configuration->Policies->Windows Settings->Security Settings->Public Key Polices->Encrypting File System]을 찾아갑니다(그림 3).

 

[그림 3] EFS용 인증서 확인

 

3. 이제 기존에 발행된 "Administrator"라는 자체 서명된 인증서를 삭제합니다(그림 4). 영구 삭제할지를 물어보는 대화상자가 나타나면 [Yes]를 클릭합니다.

 

[그림 4] 기존 인증서 삭제

 

4. 삭제가 완료되고 나면 [그림 5]와 같은 모습이 됩니다. 여기서 이제 새로이 업데이트된 인증서를 만들어 줍니다.

 

[그림 5] 인증서 삭제 후

 

5. 새로운 인증서를 만들기위해 방금 인증서를 삭제한 "Encrypting File System" 노드에서 오른 클릭해 [Create Data Recovery Agent] 메뉴를 클릭합니다(그림6).

 

[그림 6] 데이터 복구 에이전트 생성

 

이때 [그림 7]에서 보인 오류를 만날 수 있습니다.
"Windows cannot create a data recovery agent. An existing connection was forcibly closed by the remote host"

 

[그림 7] 데이터 복구 에이전트 생성 오류

 

새로운 데이터 복구 에이전트를 생성하는 작업은 기본적으로 AD 인증기관(certsrv.msc)에서 제공하는 [Certificate Templates] 노드내의 "EFS Recovery Agent" 템플릿을 사용합니다 (그림 8).

 

[그림 8] 인증기관의 EFS Recovery Agent 템플릿

 

6. 인증기관에서 해당 템플릿을 확인해보고 문제가 없다면, 조금 전에 발생한 오류는 해당 인증서 서비스의 동작상태를 의심해볼 수 있습니다. 따라서 해당 문제가 기본적으로 인증서 생성과 연관된 문제이므로 인증서 서비스를 먼저 재시작합니다(그림 9).

 

[그림 9] 인증서 서비스 재시작

 

7. 이제 다시 "Encrypting File System" 노드에서 오른 클릭해 [Create Data Recovery Agent] 메뉴를 클릭해보면, [그림 10]에서 보인것 처럼 정상적으로 데이터 복구 에이전트 인증서가 생성됩니다.

 

[그림 10] 데이터 복구 에이전트 인증서 생성 성공