큰 시간 오프셋을 방지하도록 Windows 시간 서비스 구성

기술 자료 번역 기술 자료 번역
기술 자료: 884776 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

이 페이지에서

소개

Windows에는 Kerberos 인증 프로토콜에 필요한 W32Time 시간 서비스 도구가 포함되어 있습니다. 시간 서비스 도구를 사용하는 목적은 조직에서 Microsoft Windows 2000 이상을 실행하는 모든 컴퓨터에 공통 시간을 적용하는 것입니다. 이를 위해 시간 서비스에서는 권한을 제어하는 계층 관계를 사용하고 루프를 허용하지 않습니다. 기본적으로 Windows 기반 컴퓨터에서는 다음과 같은 계층 구조를 사용합니다.
  • 모든 클라이언트 데스크톱 컴퓨터는 인증 도메인 컨트롤러를 인바운드 시간 파트너로 지정합니다.
  • 모든 구성원 서버는 클라이언트 데스크톱 컴퓨터와 같은 프로세스를 따릅니다.
  • 도메인의 모든 도메인 컨트롤러는 PDC(주 도메인 컨트롤러) 작업 마스터를 인바운드 시간 파트너로 지정합니다.
  • 모든 PDC 작업 마스터는 도메인 계층 구조를 따라 인바운드 시간 파트너를 선택하지만 계층 번호 지정을 기반으로 하는 부모 도메인 컨트롤러를 사용할 수도 있습니다.
이 계층에서 포리스트의 루트에 있는 PDC 작업 마스터는 조직의 권한 있는 시간 서버가 됩니다. 권한 있는 시간 서버를 하드웨어 원본에서 시간을 모으도록 구성하는 것이 좋습니다. 권한 있는 시간 서버를 인터넷 시간 원본과 동기화하도록 구성하면 인증이 되지 않습니다. 또한 서버와 독립 실행형 클라이언트의 시간 수정 설정 값을 줄이는 것도 좋습니다. 이렇게 하면 도메인에 더 정확한 시간이 제공됩니다.

추가 정보

Microsoft Windows XP Professional 및 Microsoft Windows Server 2003, 모든 버전

도메인 서버

포리스트 루트 PDC(권한 있는 시간 서버)


권한 있는 시간 서버를 하드웨어 원본에서 시간을 모으도록 구성하는 것이 좋습니다. 권한 있는 시간 서버를 인터넷 시간 원본과 동기화하도록 구성하면 인증이 되지 않습니다.
MaxPosPhaseCorrection
MaxNegPhaseCorrection
레지스트리 항목을 다시 구성해야 합니다. 두 항목의 기본값은 0xFFFFFFFF(모든 시간 변경 내용을 적용)이며 시간 원본, 네트워크 상태 및 보안 요구 사항에 따라 900(15분) 이하의 값을 사용하는 것이 좋습니다. 이 값은 폴링 간격에 따라서도 달라집니다.
MaxPollInterval
레지스트리 항목 값을 10 이하로 설정하거나
SpecialPollInterval
레지스트리 항목 값을 3600(1시간) 이하로 설정하는 것이 좋습니다. 이러한 레지스트리 항목에 대한 자세한 내용은 "Windows Server 2003 및 Windows XP 시간 서비스 레지스트리 키" 절을 참조하십시오.

도메인 내부의 도메인 컨트롤러 및 구성원 서버


MaxPosPhaseCorrection
MaxNegPhaseCorrection
레지스트리 항목의 기본값은 0xFFFFFFFF(모든 시간 변경 내용을 적용)입니다. 이 기본값은 적절하지만 사람이 범하는 오류로부터 보호하기 위해 도메인 내의 보안을 강화할 수도 있으므로 원하는 보안 수준에 따라 기본값을 유지하거나 수정할 수 있습니다.

독립 실행형 클라이언트

MaxPosPhaseCorrection
MaxNegPhaseCorrection
레지스트리 항목의 기본값은 54,000(15시간)입니다. 보안을 강화하려면 기본값보다 작은 값을 사용하는 것이 좋습니다. 특히 시간 원본, 네트워크 상태, 폴링 간격 및 보안 요구 사항에 따라 3600(1시간) 이하의 값을 설정하는 것이 좋습니다.

Windows Server 2003 및 Windows XP 시간 서비스 레지스트리 키

표 축소표 확대
레지스트리 항목
MaxPosPhaseCorrection
경로
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
참고이 항목은 시간 서비스에서 수행하는 최대 양의 시간 수정 값(초)을 지정합니다. 서비스에서 이 값보다 큰 값으로 변경해야 한다고 결정하면 이벤트를 기록합니다. 특별한 경우: 0xFFFFFFFF는 항상 시간을 수정하는 것을 의미합니다. 도메인 구성원에 대한 기본값은 0xFFFFFFFF이고 독립 실행형 클라이언트와 서버에 대한 기본값은 54,000(15시간)입니다.
표 축소표 확대
레지스트리 항목
MaxNegPhaseCorrection
경로
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
참고이 항목은 시간 서비스에서 수행하는 최대 음의 시간 수정 값(초)을 지정합니다. 서비스에서 이 값보다 큰 값으로 변경해야 한다고 결정하면 시간을 수정하는 대신 이벤트를 기록합니다. 특별한 경우: -1은 항상 시간을 수정하는 것을 의미합니다. 도메인 구성원에 대한 기본값은 0xFFFFFFFF이고 독립 실행형 클라이언트와 서버에 대한 기본값은 54,000(15시간)입니다.
표 축소표 확대
레지스트리 항목
MaxPollInterval
경로
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
참고이 항목은 시스템 폴링 간격으로 허용되는 최대 간격(초)을 지정합니다. 시스템은 예약된 간격에 따라 폴링해야 하지만 공급자는 요청될 때 샘플 생성을 거부할 수 있습니다. 도메인 구성원에 대한 기본값은 10이고 독립 실행형 클라이언트와 서버에 대한 기본값은 15입니다.
표 축소표 확대
레지스트리 항목
SpecialPollInterval
경로
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
참고이 항목은 수동 피어의 특수 폴링 간격(초)을 지정합니다. SpecialInterval 0x1 플래그가 설정되어 있으면 W32Time에서는 운영 체제에 설정된 폴링 간격 대신 이 간격을 사용합니다. 도메인 구성원에 대한 기본값은 3,600이고 독립 실행형 클라이언트와 서버에 대한 기본값은 604,800입니다.
Windows Server 2003 기반 포리스트의 Windows 시간 서비스에 대한 자세한 내용을 보려면 다음 웹 사이트를 방문하십시오.
http://technet2.microsoft.com/windowsserver/en/library/a0fcd250-e5f7-41b3-b0e8-240f8236e2101033.mspx(영문)

Windows 2000 서비스 팩 4(SP4), 모든 버전

도메인 서버

포리스트 루트 PDC(권한 있는 시간 서버)


권한 있는 시간 서버를 하드웨어 원본에서 시간을 모으도록 구성하는 것이 좋습니다. 권한 있는 시간 서버를 인터넷 시간 원본과 동기화하도록 구성하면 수동 모드에 대한 인증이 되지 않습니다.
MaxAllowedClockErrInSecs
레지스트리 항목을 다시 구성해야 합니다. 이 항목의 기본값은 43,200이며 시간 원본, 네트워크 상태 및 보안 요구 사항에 따라 900(15분) 이하의 값을 사용하는 것이 좋습니다. 이 값은 폴링 간격에 따라서도 달라집니다. 폴링 간격은 1시간(기간 = 24)이 적합합니다. 이 레지스트리 항목에 대한 자세한 내용은 본 문서의 뒷 부분에 있는 "Windows Server 2000 SP 4 레지스트리 키" 절을 참조하십시오.

도메인 내부의 도메인 컨트롤러 및 구성원 서버


동기화 유형은 NT5DS입니다. 시간 서비스는 도메인 계층에서 동기화하고 모든 시간 변경 내용을 적용합니다. NT5DS는 시간 오프셋을 고려하지 않고 모든 시간 변경 내용을 적용하므로 시간 동기화 서브넷에서 신뢰할 수 있는 포리스트 루트 시간 원본을 설정해야 합니다.

독립 실행형 클라이언트

MaxAllowedClockErrInSecs
레지스트리 항목의 기본값은 43,200(12시간)입니다. 보안을 강화하려면 기본값보다 작은 값을 사용하는 것이 좋습니다. 특히 시간 원본, 네트워크 상태, 폴링 간격 및 보안 요구 사항에 따라 3600(1시간) 이하의 값을 설정하는 것이 좋습니다.

Windows Server 2000 SP 4 레지스트리 키
표 축소표 확대
레지스트리 항목
MaxAllowedClockErrInSecs
경로
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
참고최대로 허용되는 클럭 변경(초)을 지정합니다. 이 항목이 발생하면 이벤트를 기록하고 의심되는 타임스탬프를 보호하기 위해 시간을 조정하지 않습니다. 도메인 구성원에 대한 기본값은 43,200입니다.




Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹에 참여하시기 바랍니다.

속성

기술 자료: 884776 - 마지막 검토: 2006년 11월 20일 월요일 - 수정: 8.1
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows XP Professional
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 서비스 팩 4
키워드:?
kbhowto kbinfo kbsecurity KB884776

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com