Windows 도메인에 연결된 인스턴스와 AWS 관리형 Microsoft AD의 시간을 동기화하려면 어떻게 해야 합니까?

4분 분량
0

그룹 정책을 사용하여 Microsoft Active Directory용 AWS Directory Service 전체에서 Microsoft Windows 머신에 대한 시간 동기화를 설정하고 싶습니다.

간략한 설명

Windows 머신에는 AWS 관리형 Microsoft AD 도메인에 연결되기 전에 레지스트리에 미리 설정되어 있는 네트워크 시간 프로토콜(NTP) 서버가 있을 수 있습니다. Windows 머신이 도메인에 추가되면 사용 가능한 모든 메커니즘과 시간을 자동으로 동기화합니다. 다만, 소스 NTP 서버의 시간이 다른 경우 이 설정으로 인해 시간 왜곡 관련 문제가 발생할 수 있습니다.

이 예시에서는 인스턴스가 AWS Managed Microsoft AD 도메인에 추가되기 전에 NtpServer 파라미터가 169.254.169.123,0x9로 미리 채워집니다. 하지만, 도메인에 추가된 이후 Type 파라미터가 AllSync로 변경됩니다. 이러한 구성 변경 때문에 시간 왜곡이 발생할 수 있습니다.

도메인에 추가되기 전:

PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type"
Value Name Value Type Value Data
NtpServer REG_SZ 169.254.169.123,0x9
Type REG_SZ NTP
PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
Type: AllSync (Local)
NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)

도메인이 추가된 후:

PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type"
Value Name Value Type Value Data
NtpServer REG_SZ 169.254.169.123,0x9 time.windows.com,0x8
Type REG_SZ AllSync
PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
Type: AllSync (Local)
NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)

해결 방법

우수 관행은 도메인 컨트롤러를 사용하여 Windows 도메인에 가입된 머신이 AWS Managed Microsoft AD 도메인 계층 구조를 통해 시간을 동기화하도록 하는 것입니다. 자세한 내용은 Microsoft 웹 사이트의 Windows Time 서비스의 작동 방식Windows Time 서비스 도구 및 설정을 참조하세요.

사전 요구 사항

다음 사전 요구 사항을 완료해야 합니다.

PS C:\> Install-windowsFeature RSAT-ADDS,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,GPMC,RSAT-DNS-Server
Success Restart Needed Exit Code      Feature Result
------- -------------- ---------      --------------
True    No             Success        {Group Policy Management, DNS Server Tools, . . . }
  • EC2 인스턴스가 시간 동기화 도메인 계층 구조를 구성하려는 AWS Managed Microsoft AD 도메인에 추가되어 있는지 확인합니다. 자세한 내용은 Windows 인스턴스에 수동 추가를 참조하세요.

AWS Managed AD 도메인 시간 계층 구성하기

그룹 정책 설정을 사용하여 AWS Managed AD 도메인 계층 구조에서 시간을 동기화합니다.

  1. 원격 데스크톱 프로토콜(RDP)을 사용하여 EC2 인스턴스에 로그인합니다. 그 뒤, 도메인 사용자를 관리자로 설정합니다. 자세한 내용은 RDP를 사용하여 Windows 인스턴스에 연결하기를 참조하세요.
  2. GPMC.msc를 실행해 그룹 정책 관리 콘솔을 엽니다.
  3. 도메인을 선택한 다음**[Domain Name], [Directory NetBIOS name]**, 컴퓨터를 선택합니다.
  4. 컴퓨터를 선택한 다음 이 도메인에 GPO를 만들고 이곳에 연결하기를 선택한 후 이곳에 연결합니다.
    **참고:**컴퓨터 개체는 조직 단위(OU) 또는 동일한 계층 내의 다른 OU 아래에 있어야 합니다.
  5. GPO의 이름을 지정합니다. 예를 들어, Domhier Time Syn이라는 이름을 사용할 수 있습니다. 그 뒤, 확인을 선택합니다.
  6. 방금 생성한 GPO를 선택한 다음 편집을 선택합니다.
  7. 컴퓨터 구성을 선택하고, 관리 템플릿, 시스템, WindowsTime 서비스, 시간 공급자를 선택합니다.
  8. Windows NTP 클라이언트 활성화를 선택하고 활성화됨을 선택합니다.
  9. 확인을 선택합니다.
  10. NTP 클라이언트 구성을 선택합니다.
  11. 활성화를 선택한 다음 다음과 같은 매개변수를 변경합니다.
    유형에 NT5DS를 입력합니다.
    SpecialPoolInterval에 900을 입력합니다.
  12. 확인을 선택합니다.

EC2 인스턴스가 시간 동기화 계층 구조를 사용하는지 확인하기

다음 단계를 완료하여 도메인 컨트롤러가 AWS Managed Microsoft AD 도메인 계층 구조를 통해서 시간을 동기화하는지 확인하십시오.

자세한 내용은 Microsoft 웹 사이트의 그룹 정책: 초보자를 위한 기본 문제 해결 단계를 참조하세요.

  1. 이전 섹션의 인스턴스를 사용하여 도메인 정책을 강제로 업데이트합니다. 상향 프롬프트 또는 관리자 권한으로 Windows PowerShell 프롬프트를 열고 다음과 같은 명령을 실행합니다.

    PS C:\> gpupdate /force
    Updating policy...
    Computer Policy update has completed successfully.
    User Policy update has completed successfully.
  2. NT5DS가 설치되어 있는지 확인합니다.

    PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
    Type: NT5DS (Policy)
  3. 시간 출처를 강제로 찾습니다.

    PS C:\> w32tm /resync /rediscover
    Sending resync command to local computer
    The command completed successfully.
  4. 인스턴스에 대한 동기화 서버를 식별합니다. 이 예제에서는 IP-C61301F5가 시간 소스입니다.

    PS C:\>  w32tm /query /status
    Leap Indicator: 0(no warning)
    Stratum: 5 (secondary reference - syncd by (S)NTP)
    Precision: -23 (119.209ns per tick)
    Root Delay: 0.0017265s
    Root Dispersion: 0.2926529s
    ReferenceId: 0xAC1F0DC6 (source IP:  172.31.13.198)
    Last Successful Sync Time: 4/18/2023 12:45:37 PM
    Source: IP-C61301F5.corp.example.com
    Poll Interval: 7 (128s)
  5. 서버가 도메인 컨트롤러인가를 확인합니다.

    PS C:\> Get-ADDomainController -Filter * | select name
    name
    ----
    IP-C61301F5
    IP-C6130214

    **참고:**시간을 동기화하는 도메인 컨트롤러는 구성 도중 변경될 수 있습니다. 이러한 변경은 시간 동기화에 문제를 일으키지 않습니다.

  6. 인스턴스와 도메인 컨트롤러 사이에 시간이 동기화되는가를 확인합니다. 이상적으로는 시간 차이가 가능한 한 0에 가까워야 합니다. 자세한 내용은 Microsoft 웹사이트의 W32tm을 참조하십시오.

    PS C:\> w32tm /stripchart /computer:IP-C61301F5.corp.example.com /samples:3
    Tracking IP-C61301F5.corp.example.com [172.31.13.198:123].
    Collecting 3 samples.
    The current time is 4/18/2023 12:43:11 PM.
    12:43:11, d:+00.0010085s o:-00.0012111s  [                           *                           ]
    12:43:13, d:+00.0015748s o:-00.0011228s  [                           *                           ]
    12:43:15, error: 0x80072733

관련 정보

EC2 Windows 인스턴스의 시간 문제는 어떻게 해결할 수 있나요?

Windows 인스턴스의 시간을 설정하기

Amazon Windows AMI의 기본 네트워크 타임 프로토콜(NTP) 설정

AWS 공식
AWS 공식업데이트됨 5달 전