Azure의 Active Directory Windows Virtual Machines 시간 메커니즘 구성
적용 대상: ✔️ Windows Virtual Machines
이 가이드를 사용하여 Active Directory 도메인 속하는 Azure Windows Virtual Machines에 대해 시간 동기화를 설정하는 방법을 알아봅니다.
Active Directory Domain Services의 시간 동기화 계층 구조
Active Directory에서 시간 동기화는 PDC가 외부 시간 원본 또는 NTP 서버에 액세스하도록 허용하는 방식으로만 관리해야 합니다.
그러면 다른 모든 도메인 컨트롤러가 PDC와 시간을 동기화하고 다른 모든 멤버는 해당 멤버의 인증 요청을 충족하는 도메인 컨트롤러에서 시간을 가져옵니다.
Azure에서 호스트되는 가상 머신에서 실행되는 Active Directory 도메인이 있는 경우 다음 단계에 따라 시간 동기화를 올바르게 설정합니다.
참고 항목
이 가이드에서는 그룹 정책 관리 콘솔을 사용하여 구성을 수행하는 데 중점을 둡니다. 명령 프롬프트, PowerShell을 사용하거나 레지스트리를 수동으로 수정하여 동일한 결과를 얻을 수 있습니다. 그러나 이러한 방법은 이 문서에서 다루지 않습니다.
PDC가 외부 NTP 원본과 동기화할 수 있도록 하는 GPO
PDC의 현재 시간 원본을 확인하려면 관리자 권한 명령 프롬프트에서 w32tm /query /source를 실행하고 나중에 비교할 수 있도록 출력을 기록해 둡니다.
- 시작에서 gpmc.msc를 실행합니다.
- GPO를 만들 포리스트 및 도메인으로 이동합니다.
- 그룹 정책 개체 컨테이너에 PDC 시간 동기화와 같은 새 GPO를 만듭니다.
- 새로 만든 GPO를 마우스 오른쪽 단추로 클릭하고 편집을 선택합니다.
- 컴퓨터 구성 ->관리 템플릿 ->시스템 ->Windows 시간 서비스에서 전역 구성 설정으로 이동합니다.
- 사용으로 설정하고 AnnounceFlags 매개 변수를 5로 구성합니다.
- 컴퓨터 구성 ->관리 템플릿 ->시스템 ->Windows 시간 서비스 ->시간 공급자로 이동합니다.
- Windows NTP 클라이언트 구성 정책을 두 번 클릭해서 사용으로 설정하고,
,0x9
로 이어지는 시간 서버 IP 주소 또는 FQDN을 가리키도록 NTPServer 매개 변수를 구성하고(예:131.107.13.100,0x9
) 유형을 NTP로 구성합니다. 다른 모든 매개 변수의 경우 기본값을 사용하거나 회사 요구에 따라 사용자 지정 매개 변수를 사용할 수 있습니다. - 다음 설정 단추를 클릭하고 Windows NTP 클라이언트 사용 정책을 사용으로 설정하고 확인을 클릭합니다.
- 새로 만든 GPO의 범위 탭에서 보안 필터링으로 이동하고 인증된 사용자 그룹을 강조 표시합니다. >제거 단추를 클릭하고 >확인 ->확인을 차례로 클릭합니다.
- WMI 필터를 만들어 PDC 역할을 보유하는 도메인 컨트롤러를 동적으로 가져옵니다.
- 그룹 정책 관리 콘솔에서 WMI 필터로 이동하여 마우스 오른쪽 단추로 클릭하고 새로 만들기를 선택합니다.
- 새 WMI 필터 창에서 새 필터에 이름을 지정합니다(예: PDC 에뮬레이터 가져오기). >설명 필드를 채웁니다(선택 사항). >추가 단추를 클릭합니다.
- WMI 쿼리 창에서 네임스페이스를 있는 그대로 두고 쿼리 텍스트 상자에 다음 문자열
Select * from Win32_ComputerSystem where DomainRole = 5
을 붙여넣은 다음, 확인 단추를 클릭합니다. - 새 WMI 필터 창으로 돌아가서 저장 단추를 클릭합니다.
- 새로 만든 GPO의 범위 탭에서 WMI 필터링 드롭다운 메뉴로 이동하여 이전에 만든 WMI 필터를 선택한 다음, 확인을 클릭합니다.
- 새로 만든 GPO의 범위 탭에서 보안 필터링으로 이동하여 추가 단추를 클릭하고 도메인 컨트롤러 그룹을 찾은 다음, 확인 단추를 클릭합니다.
- GPO를 도메인 컨트롤러 조직 구성 단위에 연결합니다.
참고 항목
변경 사항이 시스템에 적용되려면 최대 15분이 걸릴 수 있습니다.
관리자 권한 명령 프롬프트에서 w32tm /query /source를 다시 실행하여 출력을 구성 시작 부분에서 기록해 둔 것과 비교합니다. 이제 선택한 NTP 서버로 설정됩니다.
팁
PDC에서 NTP 원본을 변경하는 프로세스를 가속화하려면 관리자 권한 명령 프롬프트에서 gpupdate /force를 실행하고 w32tm /resync /nowait를 실행한 다음, w32tm /query /source를 다시 실행합니다. 출력은 위의 GPO에서 사용한 NTP 서버여야 합니다.
멤버용 GPO
일반적으로 Active Directory Domain Services의 NTP는 이 문서의 시작 부분에 언급된 AD DS 시간 계층 구조를 따르며 추가 구성은 필요하지 않습니다.
그럼에도 불구하고 Azure에서 호스트되는 가상 머신에는 특정 보안 설정이 클라우드 플랫폼에서 직접 적용됩니다.
도메인 컨트롤러가 아닌 다른 모든 도메인 멤버의 경우 레지스트리를 수정하고 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider 아래의 키 Enabled에서 값을 0으로 설정해야 합니다.
Important
레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 따라서 이러한 단계를 신중하게 수행하고 몇 개의 테스트 가상 머신에서 테스트하여 예상 결과를 얻을 수 있는지 확인합니다. 추가 보호를 위해 레지스트리를 수정하기 전에 백업합니다. 그러면 문제가 발생할 경우 레지스트리를 복원할 수 있습니다. Windows 레지스트리를 백업하고 복원하려면 아래 단계를 수행합니다.
레지스트리 백업
- 시작에서 regedit.exe를 입력하고
Enter
키를 누릅니다. 관리자 암호나 확인을 요청하는 메시지가 나타나면 암호를 입력하거나 확인합니다. - 레지스트리 편집기 창에서 백업할 레지스트리 키 또는 하위 키를 찾아 클릭합니다.
- 파일 메뉴에서 내보내기를 선택합니다.
- 레지스트리 파일 내보내기 대화 상자에서 백업 복사본을 저장할 위치를 선택한 다음, 파일 이름 필드에 백업 파일의 이름을 입력하고 저장을 클릭합니다.
레지스트리 백업 복원
- 시작에서 regedit.exe를 입력하고
Enter
키를 누릅니다. 관리자 암호나 확인을 요청하는 메시지가 나타나면 암호를 입력하거나 확인합니다. - 레지스트리 편집기 창의 파일 메뉴에서 가져오기를 선택합니다.
- 레지스트리 파일 가져오기 대화 상자에서 백업 복사본을 저장한 위치를 선택하고 백업 파일을 선택한 다음, 열기를 클릭합니다.
VMICTimeProvider를 사용하지 않도록 설정하는 GPO
도메인 구성원이 해당 Active Directory 사이트의 도메인 컨트롤러와 시간을 동기화할 수 있도록 다음 그룹 정책 개체를 구성합니다.
현재 시간 원본을 확인하려면 임의 도메인 구성원으로 로그인하고 관리자 권한 명령 프롬프트에서 w32tm /query /source를 실행하고 나중에 비교할 수 있도록 출력을 기록해 둡니다.
- 도메인 컨트롤러에서 시작으로 이동하고 gpmc.msc를 실행합니다.
- GPO를 만들 포리스트 및 도메인으로 이동합니다.
- 그룹 정책 개체 컨테이너에 클라이언트 시간 동기화와 같은 새 GPO를 만듭니다.
- 새로 만든 GPO를 마우스 오른쪽 단추로 클릭하고 편집을 선택합니다.
- 컴퓨터 구성 ->기본 설정 ->Windows 설정 -> 레지스트리에서 마우스 오른쪽 단추 클릭 ->새 ->레지스트리 항목
- 새 레지스트리 속성 창에서 다음 값을 설정합니다.
- 작업:업데이트
- 하이브:HKEY_LOCAL_MACHINE
- 키 경로: SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider로 이동합니다.
- 값 이름에서 Enabled를 입력합니다.
- 값 형식: REG_DWORD
- 값 데이터: 0을 입력합니다.
- 다른 모든 매개 변수의 경우 기본값을 사용하고 확인을 클릭합니다.
- GPO를 구성원이 있는 조직 구성 단위에 연결합니다.
- 도메인 구성원에서 그룹 정책 업데이트를 기다리거나 수동으로 강제 적용합니다.
도메인 구성으로 돌아간 후 관리자 권한 명령 프롬프트에서 w32tm /query /source를 다시 실행하여 출력을 구성 시작 부분에서 기록해 둔 것과 비교합니다. 이제 구성원의 인증 요청을 충족한 도메인 컨트롤러로 설정됩니다.
다음 단계
시간 동기화에 대한 자세한 세부 정보에 대한 링크는 다음과 같습니다.