Windows 도메인에 가입된 인스턴스와 AWS Managed Microsoft AD 간에 시간을 동기화하려면 어떻게 해야 하나요?
그룹 정책을 사용하여 Microsoft Active Directory용 AWS Directory Service 전체에서 Microsoft Windows 시스템의 시간 동기화를 설정하고 싶습니다.
간략한 설명
Windows 시스템에는 AWS Managed Microsoft AD 도메인에 가입하기 전에 레지스트리에 사전 설정된 Network Time Protocol(NTP) 서버가 하나 이상 있을 수 있습니다. 도메인에 결합하면 Windows 시스템은 도메인에서 사용 가능한 모든 메커니즘과 시간을 자동으로 동기화합니다. 소스 NTP 서버의 시간이 서로 다른 경우 이 설정으로 인해 시간 왜곡 관련 문제가 발생할 수 있습니다.
다음 예에서는 인스턴스가 AWS Managed Microsoft AD 도메인에 결합하기 전에 NtpServer 파라미터에 169.254.169.123,0x9가 미리 채워져 있습니다. 하지만 도메인에 결합한 후에는 Type(유형) 파라미터가 AllSync로 변경됩니다. 구성 중 이러한 변경으로 인해 시간이 왜곡될 수 있습니다.
도메인에 결합하기 전:
PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type" Value Name Value Type Value Data NtpServer REG_SZ 169.254.169.123,0x9 Type REG_SZ NTP
PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:" Type: AllSync (Local) NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)
도메인에 결합한 후:
PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type" Value Name Value Type Value Data NtpServer REG_SZ 169.254.169.123,0x9 time.windows.com,0x8 Type REG_SZ AllSync
PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:" Type: AllSync (Local) NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)
해결 방법
가장 좋은 방법은 도메인 컨트롤러를 사용하여 Windows 도메인에 결합된 시스템이 AWS Managed Microsoft AD 도메인 계층 구조를 통해 시간을 동기화하도록 하는 것입니다. 자세한 내용은 Microsoft 웹 사이트의 Windows Time 서비스 작동 방식 및 Windows Time 서비스 도구 및 설정을 참조하세요.
사전 요구 사항
다음 사전 요구 사항을 완료해야 합니다.
- 도메인에 가입된 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 Active Directory 관리 도구를 설치합니다.
PS C:\> Install-windowsFeature RSAT-ADDS,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,GPMC,RSAT-DNS-Server Success Restart Needed Exit Code Feature Result ------- -------------- --------- -------------- True No Success {Group Policy Management, DNS Server Tools,…}
- EC2 인스턴스가 시간 동기화 도메인 계층 구조를 설정하려는 AWS Managed Microsoft AD 도메인에 결합되어 있는지 확인합니다. 자세한 내용은 Windows 인스턴스 수동 결합을 참조하세요.
AWS Managed AD 도메인 시간 계층 구성
Group Policy(그룹 정책) 설정을 사용하여 AWS Managed AD 도메인 계층 구조에서 시간을 동기화하려면 다음 단계를 따르세요.
1. 원격 데스크톱 프로토콜(RDP)을 사용하여 EC2 인스턴스에 로그인하고 도메인 사용자를 Admin으로 설정합니다. 자세한 내용은 RDP를 사용하여 Windows 인스턴스에 연결을 참조하세요.
2. GPMC.msc를 실행하여 **Group Policy Management console(그룹 정책 관리 콘솔)**을 엽니다.
3. **Domains(도메인)**을 선택한 다음 [Domain Name], [Directory NetBIOS name], **Computers(컴퓨터)**를 선택합니다.
4. **Computers(컴퓨터)**를 선택한 다음 **Create a GPO in this domain and Link it here…(이 도메인에서 GPO 생성하기를 선택하고 여기에 연결...)**을 선택합니다.
참고: 컴퓨터 객체는 조직 구성 단위(OU) 또는 동일한 계층 내의 다른 OU 아래에 있어야 합니다.
5. GPO의 이름(예: Domhier Time Sync)을 지정한 다음 **OK(확인)**을 선택합니다.
6. 방금 만든 GPO를 선택한 다음 **Edit(편집)**을 선택합니다.
7. **Computer Configuration(컴퓨터 구성)**을 선택한 다음 Administrative Templates(관리 템플릿), System(시스템), WindowsTime Service(WindowsTime 서비스), **Time Providers(시간 공급자)**를 선택합니다.
8. **Enable Windows NTP Client(Windows NTP 클라이언트 활성화)**를 선택한 다음 **Enabled(활성화)**를 선택합니다.
9. **OK(확인)**을 선택합니다.
10. **Configure NTP Client(NTP 클라이언트 구성)**을 선택합니다.
11. **Enabled(활성화)**를 선택하고 다음 파라미터를 변경합니다.
**Type(유형)**에 NT5DS 을 입력합니다.
SpecialPoolInterval에 900을 입력합니다.
12. **OK(확인)**을 선택합니다.
EC2 인스턴스가 시간 동기화 계층 구조를 사용하고 있는지 확인
다음 단계를 완료하여 도메인 컨트롤러가 AWS 관리형 Microsoft AD 도메인 계층 구조를 통해 시간을 동기화하고 있는지 확인하세요. 자세한 내용은 Microsoft 웹 사이트의 그룹 정책: 초보자를 위한 기본 문제 해결 단계를 참조하세요.
1. 이전 섹션의 인스턴스를 사용하여 도메인 정책을 강제로 업데이트합니다. PowerShell 프롬프트를 승격된 프롬프트 또는 관리자 권한으로 열고 다음 명령을 실행합니다.
PS C:\> gpupdate /force Updating policy... Computer Policy update has completed successfully. User Policy update has completed successfully.
2. NT5DS가 제자리에 있는지 확인합니다.
PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:" Type: NT5DS (Policy)
3. 시간 출처를 강력하게 발견하세요.
PS C:\> w32tm /resync /rediscover Sending resync command to local computer The command completed successfully.
4. 인스턴스의 동기화 서버를 식별합니다. 다음 예에서의 시간 소스는 WIN-A2P2S44M219입니다.
PS C:\> w32tm /query /status Leap Indicator: 0(no warning) Stratum: 5 (secondary reference - syncd by (S)NTP) Precision: -6 (15.625ms per tick) Root Delay: 0.0329001s Root Dispersion: 0.0868277s ReferenceId: 0xAC1F0599 (source IP: 172.31.5.153) Last Successful Sync Time: 9/28/2022 10:41:34 AM Source: WIN-A2P2S44M219.example.com Poll Interval: 7 (128s)
5. 서버가 도메인 컨트롤러인지 확인합니다.
PS C:\> Get-ADDomainController -Filter * | select name name ---- WIN-A2P2S44M219 WIN-E4VM0DELNQ1
참고: 시간을 동기화하는 도메인 컨트롤러는 구성 중에 변경될 수 있습니다. 변경 사항은 시간 동기화에 문제를 발생하지 않습니다.
5. 인스턴스와 도메인 컨트롤러 간의 시간 동기화를 확인합니다. 이상적으로는 시차가 가능한 한 0에 가깝습니다. 자세한 내용은 Microsoft 웹 사이트의 W32tm를 참조하세요.
PS C:\> w32tm /stripchart /computer:*WIN-A2P2S44M219.example.com (http://win-a2p2s44m219.example.com/)* /samples:3 Tracking *WIN-A2P2S44M219.example.com* (http://win-a2p2s44m219.example.com/) [172.31.5.153:123]. Collecting 3 samples. The current time is 9/28/2022 10:42:26 AM. 10:42:26, d:+00.0006938s o:-00.0041540s [ * ] 10:42:28, d:+00.0006471s o:-00.0041757s [ * ] 10:42:30, d:+00.0006398s o:-00.0041987s [ * ]
