Windows 시간 서비스의 작동 원리
이 섹션의 내용
참고 항목
이 항목에서는 Windows 시간 서비스 (W32Time)의 작동 방식을 설명 합니다. Windows 시간 서비스를 구성하는 방법에 대한 자세한 내용은 높은 정확성을 위한 시스템 구성을 참조하세요.
참고 항목
Windows Server 2003 및 Microsoft Windows 2000 Server 디렉터리 서비스를 이름은 Active Directory 디렉터리 서비스입니다. Windows Server 2008 이상 버전에서 디렉터리 서비스에 Active Directory 도메인 서비스 (AD DS) 이라고 합니다. 이 항목의 나머지 부분에서는 AD DS에 대해 설명하지만, 이 정보는 Active Directory에도 적용됩니다.
Windows 시간 서비스 네트워크 시간 프로토콜 (NTP)의 정확 하 게 구현 하지는 않지만 네트워크 전반에 걸쳐 컴퓨터 시계는 최대한 정확 하 게 있도록 NTP 사양에 정의 된 복잡 한 알고리즘 제품군을 사용 합니다. 이상적으로 신뢰할 수 있는 컴퓨터의 시간 AD DS 도메인에 있는 모든 컴퓨터 시계 동기화 됩니다. 여러 가지 요인에는 네트워크에서 시간 동기화를 발생할 수 있습니다. 다음과 같은 요소는 AD DS에는 동기화의 정확도를 자주 영향을 줍니다.
네트워크 상태
컴퓨터의 하드웨어 시계가의 정확도
Windows 시간 서비스를 사용할 수 있는 CPU 및 네트워크 리소스의 양
Important
Windows Server 2016 이전에 W32Time 서비스는 시간이 중요한 애플리케이션 요구 사항을 충족하도록 설계되지 않았습니다. 그러나 이제 Windows Server 2016에 대한 업데이트를 통해 도메인에서 1밀리초의 정확도에 대한 솔루션을 구현할 수 있습니다. 더 자세한 내용은 Windows 2016 정확한 시간 및 정확도가 높은 환경을 위해 Windows 시간 서비스를 구성할 수 있는 지원 범위를 참조하세요.
시간이 덜 동기화되거나 도메인에 조인되지 않은 컴퓨터는 기본적으로 time.windows.com과 동기화되도록 구성됩니다. 따라서 간헐적이거나 네트워크에 연결되지 않은 컴퓨터에서는 시간 정확도를 보장할 수 없습니다.
AD DS 포리스트의 미리 정해진된 시간 동기화 계층을 있습니다. Windows 시간 서비스는 위쪽에 가장 정확 하 게 참조 시계와 계층 내 컴퓨터 간의 시간을 동기화합니다. 시간 원본을 여러 개를 컴퓨터에 구성 된 경우 Windows 시간 NTP 알고리즘을 사용 하 여 해당 시간 원본과 동기화 하는 컴퓨터의 기능에 기반 하는 구성 된 원본에서 가장 좋은 시간 원본을 선택 합니다. Windows 시간 서비스는 브로드캐스트 또는 멀티 캐스트 피어 네트워크 동기화를 지원 하지 않습니다. 이러한 NTP 기능에 대 한 자세한 내용은 IETF RFC 데이터베이스에서 RFC 1305를 참조 하십시오.
Windows 시간 서비스를 실행 하는 모든 컴퓨터는 서비스를 사용 하 여 가장 정확한 시간을 유지 합니다. 도메인의 멤버인 컴퓨터는 기본적으로 시간 클라이언트 역할을 하므로 대부분의 경우 Windows 시간 서비스를 구성할 필요가 없습니다. 그러나 Windows 시간 서비스는 지정된 참조 시간 원본에서 시간을 요청하도록 구성할 수 있으며, 클라이언트에 시간을 제공할 수도 있습니다.
컴퓨터의 시간을 정확 하 게 있는 정도 계층을 이라고 합니다. 네트워크 (예: 하드웨어 클록) 가장 정확한 시간 원본을 최하위 계층 수준 또는 계층 하나를 차지합니다. 이 정확한 시간 원본과 참조 클럭을 라고 합니다. 참조 클록에서 직접 해당 시간을 획득 하는 NTP 서버 참조 클록의 보다 한 수준 높은 있는 계층을 차지 합니다. NTP 서버에서 시간을 획득 하는 리소스 참조 클록에서 두 단계가 따라서이 두 개 있는 계층을 가장 정확한 시간 원본 보다 더 높은 차지 및 등입니다. 컴퓨터의 계층 번호도 증가 하는 경우는 시스템 시계의 시간을 될 수 있습니다 정확도 떨어집니다. 따라서 계층 수준의 모든 컴퓨터는 가장 정확한 시간 원본과 해당 컴퓨터는 동기화 하는 정도 나타냅니다.
W32Time 관리자가 시간 샘플을 수신 하는 경우 사용 특수 알고리즘에서 NTP 시간 예제를 사용 하기 위해 가장 적합 한 결정을 합니다. 시간 서비스는 또한 결정 하는 구성 된 시간 원본 가장 정확한 다른 알고리즘 집합을 사용 합니다. 시간 서비스가 어떤 시간 샘플은 가장 좋은 결정을 때 올바른 시간으로 사라집니다 수 있도록 하는 로컬 클럭 속도 조정 위의 조건에 따라 합니다. 로컬 시간과 (시간 오차)이 선택 된 정확한 시간 샘플 사이의 시간 차이 로컬 클럭 속도 조정 하 여 해결 하려면 너무 크면 시간 서비스는 로컬 시계 올바른 시간으로 설정 합니다. 이러한 조정은 클럭 속도 또는 직접 클록 시간 변경의 클록 분야 라고 합니다.
Windows 시간 서비스 아키텍처
Windows 시간 서비스는 다음 구성 요소가 구성 됩니다.
서비스 제어 관리자
Windows 시간 서비스 관리자
클록 분야
시간 공급자
다음 그림은 Windows 시간 서비스의 아키텍처를 보여 줍니다.
Windows 시간 서비스 아키텍처
서비스 제어 관리자는 Windows 시간 서비스 시작 및 중지 하는 일을 담당 합니다. Windows 시간 서비스 관리자는 운영 체제에 포함 된 NTP 시간 공급자의 작업을 시작 하는 일을 담당 합니다. Windows 시간 서비스 관리자는 Windows 시간 서비스의 모든 기능 및 시간 샘플 모두의 결합을 제어 합니다. 외에 제공 하는 현재 시스템 상태에 대 한 정보는 현재 시간 원본은 또는 마지막 시스템 클록 시간와 같은 업데이트 된, Windows 시간 서비스 관리자 이기도 이벤트 로그에서 이벤트 생성을 담당 합니다.
시간 동기화 프로세스에는 다음 단계가 포함 됩니다.
입력된 공급자는 요청 하 고 구성 된 NTP 시간 원본에서 시간 예제를 받아야 합니다.
그런 다음 이러한 시간 샘플은 Windows 시간 서비스 관리자를 모든 샘플을 수집 하 고 클록 분야 하위 구성 요소에 전달 하는 전달 합니다.
가장 적합 한 시간 샘플을 선택 하는 NTP 알고리즘을 적용 하는 클록 분야 하위 구성 요소입니다.
클록 분야 하위 구성 요소에서 클럭 속도 조정 하거나 시간을 직접 변경 하 여 가장 정확한 시간에는 시스템 시계의 시간을 조정 합니다.
시간 서버와 컴퓨터를 지정 하는 경우이 프로세스에 언제 든 지 시간 동기화를 요청 하는 모든 컴퓨터에 로그온 시간을 보낼 수 있습니다.
Windows 시간 서비스 시간 프로토콜
시간 프로토콜 확인 방법을 밀접 하 게 두 컴퓨터의 시계가 동기화 합니다. 시간 프로토콜은 최상의 사용할 수 있는 시간 정보를 확인 하 고 일관 된 시간 별도 시스템에 유지 되도록에 시계 수렴 하는 일을 담당 합니다.
Windows 시간 서비스 (NTP (Network Time Protocol)을 사용 하 여 네트워크를 통해 시간을 동기화 하는 데 도움이 됩니다. NTP 시계를 동기화 하는 데 필요한 분야 알고리즘을 포함 하는 인터넷 시간 프로토콜입니다. NTP은 보다 정확한 시간 프로토콜 보다는 네트워크 시간 프로토콜 SNTP ()의 Windows가 일부 버전에 사용 되는 그러나 W32Time 계속 SNTP Windows 2000과 같은 시간 대의 SNTP 기반 서비스를 실행 하는 컴퓨터와 이전 버전과 호환성을 사용 하도록 지원 합니다.
네트워크 시간 프로토콜
시간 NTP (network Protocol)는 기본 운영 체제에서 Windows 시간 서비스에서 사용 하는 동기화 프로토콜 시간입니다. NTP는 장애 조치, 확장성이 높은 시간 프로토콜 및 지정 된 시간 참조를 사용 하 여 컴퓨터 시계를 동기화 하는 데 가장 자주 사용 되는 프로토콜입니다.
NTP 시간 동기화 기간을 통해 이루어집니다 들며 네트워크를 통해 NTP 패킷 전송 합니다. NTP 패킷을 시간 동기화에 참여 하는 서버와 클라이언트에서 시간 예제를 포함 하는 타임 스탬프를 포함 합니다.
NTP 사용할 가장 정확한 시간을 정의 하는 참조 클록에 의존 하 고 해당 참조 클록에 네트워크의 모든 시계를 동기화 합니다. NTP 범용 표준으로 현재 시간에 대 한 utc (협정 세계시)를 사용합니다. UTC 표준 시간대와 독립적인와 NTP 표준 시간대 설정에 관계 없이 전 세계 어디서 나 사용할 수 있습니다.
NTP 알고리즘
NTP에는 두 가지 알고리즘, 시계 필터링 알고리즘 및 시계 선택 알고리즘을 결정 하는 데 가장 적합 한 시간 샘플 Windows 시간 서비스를 지원 하기 위해 포함 됩니다. 클록 필터링 알고리즘은 쿼리 시간 원본에서 수신 되 고 각 원본에서 가장 좋은 시간 예제를 결정 하는 시간 샘플 조사 하 여 설계 되었습니다. 클록 선택 알고리즘 네트워크에서 가장 정확한 시간 서버를 결정합니다. 그런 다음이 정보를 네트워크 대기 시간 및 컴퓨터 시계가 부정확 한로 인 한 오류에 대 한 보정 하는 동안 컴퓨터의 로컬 시계를 해결 하려면 수집 된 정보를 사용 하는 클록 분야 알고리즘을 전달 됩니다.
NTP 알고리즘은 경량 일반 네트워크 및 서버 부하 조건에서 가장 정확 하 게 합니다. 네트워크 전송 중 시간을 고려 하는 모든 알고리즘에서와 마찬가지로 NTP 알고리즘 극단적인 네트워크 정체의 조건에서 성능이 떨어질 수 있습니다. NTP 알고리즘에 대 한 자세한 내용은 IETF RFC 데이터베이스에서 RFC 1305를 참조 하십시오.
NTP 시간 공급자
Windows 시간 서비스는 다양 한 하드웨어 디바이스 및 시간 프로토콜을 지원할 수 있는 완전 한 시간이 동기화 패키지. 이 지원을 사용 하는 서비스는 플러그형 시간 공급자를 사용 합니다. 시간 공급자는 하거나 가져오는 데 정확한 타임 스탬프 (네트워크 또는 하드웨어) 또는 네트워크를 통해 다른 컴퓨터에 해당 타임 스탬프를 제공 합니다.
NTP 공급자는 운영 체제에 포함 된 표준 시간 공급자입니다. NTP 공급자 NTP 클라이언트와 서버에 대 한 버전 3으로 지정 된 표준을 따르는 및 SNTP 클라이언트와 Windows 2000과 다른 SNTP 클라이언트 이전 버전과 호환성에 대 한 서버와 상호 작용할 수 있습니다. Windows 시간 서비스에서 NTP 공급자는 다음과 같은 두 부분으로 구성 됩니다.
NtpServer 출력 공급자입니다. 네트워크에서 클라이언트 시간 요청에 응답 하는 시간 서버입니다.
NtpClient 입력 공급자입니다. 이 시간 클라이언트는 하드웨어 디바이스 또는 NTP 서버를 다른 원본에서 시간 정보를 가져오고 로컬 시계를 동기화 하는 데 도움이 되는 시간 예제를 반환할 수 있습니다.
이러한 두 공급자의 실제 작업 밀접 한 관련이 있지만 시간 서비스에 독립적인 나타납니다. Windows 2000 Server부터 Windows 컴퓨터가 네트워크에 연결 된 경우, NTP 클라이언트로 구성 됩니다. 또한 Windows 시간을 실행 하는 컴퓨터는 기본적으로 수동으로 지정한 시간 원본이 도메인 컨트롤러와 시간을 동기화 하는 시도을 서비스 합니다. 이들은 시간의 원본 안전 하 고 자동으로 사용할 수 있기 때문에 기본 시간 공급자입니다.
NTP 보안
AD DS 포리스트 내 Windows 시간 서비스는 인증 시간 데이터의 적용을 표준 도메인 보안 기능을 사용 합니다. 도메인 구성원 컴퓨터와 시간 서버 역할을 하는 로컬 도메인 컨트롤러 사이 전송 하는 NTP 패킷 보안 공유 키 인증을 기반으로 합니다. Windows 시간 서비스는 컴퓨터의 Kerberos 세션 키를 사용 하 여 NTP 패킷에서 네트워크를 통해 전송 되는 인증 된 서명을 만들 수 있습니다. Net Logon 보안 채널 내부 NTP 패킷 전송 되지 않습니다. 대신, 컴퓨터가 도메인 계층 구조에는 도메인 컨트롤러에서 시간을 요청, Windows 시간 서비스 인증 해야 하는 시간. 다음 도메인 컨트롤러는 Net Logon 서비스에서 세션 키와 인증 된 64 비트 값의 형태로 필요한 정보를 반환 합니다. 반환 된 NTP 패킷 컴퓨터의 세션 키로 서명 되어 있지 않거나 올바르게 서명 하지 않았거나, 시간 거부 됩니다. 이러한 모든 인증 오류는 이벤트 로그에 기록 됩니다. 이러한 방식으로 Windows 시간 서비스는 AD DS 포리스트의 NTP 데이터에 대 한 보안을 제공합니다.
일반적으로 Windows 클라이언트는 자동으로 동일한 도메인에 도메인 컨트롤러에서 동기화에 대 한 정확한 시간을 가져오도록 합니다. 포리스트의 자식 도메인의 도메인 컨트롤러 부모 도메인의 도메인 컨트롤러와 시간을 동기화 합니다. 시간 서버는 인증 된 NTP 패킷을 시간을 요청 하는 클라이언트에 반환 될 때 패킷이 도메인 간 트러스트 계정에 정의 된 Kerberos 세션 키를 사용 하 여 서명 됩니다. 새 AD DS 도메인 포리스트를 조인 하 고 Net Logon 서비스를 사용 하는 세션 키를 관리 하는 경우 도메인 간 트러스트 계정이 만들어집니다. 이러한 방식으로 구성 된 신뢰할 수 있는 포리스트 루트 도메인에 도메인 컨트롤러는 모든 부모와 자식 도메인의 도메인 컨트롤러에 대 한 및 간접적으로 도메인 트리에 있는 모든 컴퓨터에 대 한 인증 된 시간 원본이 됩니다.
포리스트 간에 작동 하도록 Windows 시간 서비스를 구성할 수 있지만이 구성은 안전 하지 않다는 점에 유의 중요 합니다. 예를 들어 NTP 서버 다른 포리스트에 사용할 수 있습니다. 그러나 해당 컴퓨터는 다른 포리스트에서 이기 때문에 서명 하 고 NTP 패킷을 인증 된 없는 Kerberos 세션 키가 있습니다. 다른 포리스트의 컴퓨터에서 정확한 시간 동기화를 가져오려면 클라이언트가 해당 컴퓨터에 대 한 네트워크 액세스 하며 다른 포리스트에 있는 특정 시간 소스를 사용 하 여 시간 서비스를 구성 합니다. 클라이언트를 수동으로 구성한 액세스 한 시간에 NTP 서버는 자체 도메인 계층 외부에서 시간 서버와 클라이언트 간에 전송 된 NTP 패킷을 인증 되지 않은 하 고 따라서은 안전 하지 않습니다. 포리스트 트러스트의 구현, 있는 경우에 Windows 시간 서비스 안전 하지 않습니다 포리스트 간. Net Logon 보안 채널은 Windows 시간 서비스에 대 한 인증 메커니즘, 있지만 포리스트 간 인증 지원 되지 않습니다.
Windows 시간 서비스에서 지원 되는 하드웨어 디바이스
GPS와 같은 하드웨어 기반 시계 또는 라디오 시계 매우 정확 하 게 참조 클록 디바이스로 자주 사용 됩니다. 기본적으로 Windows 시간 서비스 NTP 시간 공급자에 대 한 하드웨어 디바이스를 컴퓨터에 직접 연결을 지원 하지 않습니다, 그리고 이러한 종류의 연결을 지 원하는 소프트웨어 기반 독립 시간 공급자를 만들 수는 있지만 합니다. 이 유형의 공급자에는 Windows 시간 서비스와 함께 안정적이 고 안정적인 시간 참조를 제공할 수 있습니다.
Cesium 클록 또는 GPS 글로벌 위치 시스템 () 수신기 등의 하드웨어 디바이스 시간을 정확 하 게 된 정의 가져오려면 표준에 따라 정확한 현재 시간을 제공 합니다. Cesium 시계는 매우 안정적 및 압력, 온도, 습도, 같은 요인에 의해 영향을 받지 않습니다 하지만 매우 많은 비용이 소요 됩니다. GPS 수신기는 작동 하는 비용이 적게 들기 및 정확한 참조 클록 이기도 합니다. Gps는 cesium 클록에서 시간을 얻게 위성에서 시간을 가져옵니다. 독립 시간 공급자를 사용 하지 않고 Windows 시간 서버는 전화 또는 인터넷을 사용 하 여 하드웨어 디바이스에 연결 되어 외부 NTP 서버에 연결 하 여 시간을 얻을 수 있습니다. 조직에서는 미국 해군 기 상대에서는 같은 매우 신뢰할 수 있는 참조 시계가에 연결 되어 있는 NTP 서버를 제공 합니다.
여러 GPS 수신자 및 기타 시간 디바이스는 네트워크에서 NTP 서버를 작동할 수 있습니다. 네트워크에서 NTP 서버로 작동 되는 경우에 이러한 외부 하드웨어 디바이스에서 시간을 동기화 하도록 AD DS 포리스트를 구성할 수 있습니다. 이렇게 하려면 주 도메인 컨트롤러 (PDC) 에뮬레이터 GPS 디바이스에서 제공 하는 NTP 서버와 동기화 하 여 포리스트 루트에서 작동 하는 도메인 컨트롤러를 구성 합니다. 이렇게 하려면 포리스트 루트 도메인의 PDC 에뮬레이터에서 Windows 시간 서비스 구성을 참조하세요.
Simple Network Time Protocol
네트워크 시간 프로토콜 SNTP ()는 서버와의 NTP 제공 하는 정확도 필요로 하지 않는 클라이언트에 사용할 수는 간소화 된 시간 프로토콜입니다. SNTP, NTP의 보다 기본적인 버전은 Windows 2000에서 사용 되는 기본 시간 프로토콜입니다. 네트워크 패킷 형식 SNTP 및 NTP이 동일 하기 때문에 두 가지 프로토콜은 상호 운용성. 둘 사이의 주요 차이점은 SNTP 하지 않았는지 오류 관리 및 NTP 제공 하는 복잡 한 필터링 시스템입니다. 간단한 네트워크 시간 프로토콜에 대 한 자세한 내용은 IETF RFC 데이터베이스에서 RFC 1769를 참조 하십시오.
시간 프로토콜 상호 운용성
Windows 시간 서비스는 Windows 2000에서 사용 되는 SNTP 프로토콜은 Windows XP 및 Windows Server 2003의 NTP 프로토콜 상호 운용성이 때문에 Windows 2000, Windows XP 및 Windows Server 2003을 실행 하는 컴퓨터의 혼합된 환경에서 작동할 수 있습니다.
시간 서비스 TimeServ, 호출 되는 Windows NT Server 4.0에서 Windows NT 4.0 네트워크를 통해 시간을 동기화 합니다. TimeServ은로 제공 하는 추가 기능이의 일부는 Microsoft Windows NT 4.0 Resource Kit 및 Windows Server 2003에 필요한 시간 동기화의 안정성 수준을 제공 하지 않습니다.
Windows 시간 서비스는 Windows 2000 또는 Windows Server 2003;를 실행 하는 컴퓨터와 시간을 동기화 할 수 있습니다. 있습니다 때문에 Windows NT 4.0을 실행 하는 컴퓨터와 상호 작용할 수 있습니다. 그러나 Windows 2000 또는 Windows Server 2003을 실행 하는 컴퓨터는 자동으로 Windows NT 4.0 시간 서버를 검색 하지 않습니다. 예를 들어 도메인 계층 기반 도메인을 사용 하 여 시간을 동기화 하도록 구성 된 경우 동기화 하 고 Windows NT 4.0 도메인 컨트롤러와 시간을 동기화 하는 도메인 계층의 컴퓨터를 해당 컴퓨터에 Windows NT 4.0 도메인 컨트롤러와 동기화를 수동으로 구성 해야 합니다.
Windows NT 4.0 보다 Windows 시간 서비스에서 사용 하는 시간 동기화를 위한 단순한 메커니즘을 사용합니다. 따라서 네트워크를 통해 정확한 시간 동기화를 위해 Windows 2000 또는 Windows Server 2003에 Windows NT 4.0 도메인 컨트롤러를 업그레이드 하는 것이 좋습니다.
Windows 시간 서비스 프로세스와 상호 작용
Windows 시간 서비스는 네트워크에 있는 컴퓨터의 시계가 동기화 하도록 설계 되었습니다. 더 정확 하 게 시간 서버에서이 컴퓨터 액세스 때마다 네트워크를 통해 발생 라고도 시간 수렴 네트워크 시간 동기화 프로세스를 합니다. 시간 수렴은 권한이 있는 서버는 NTP 패킷 형태로 클라이언트 컴퓨터에 현재 시간을 제공 하는 프로세스에 포함 됩니다. 패킷을 내에서 제공 하는 정보 조정 더 정확 하 게 서버와 동기화 되도록 컴퓨터의 현재 시간에 수행 해야 하는지 여부를 나타냅니다.
시간 수렴 과정의 일부로 도메인 구성원이 동일한 도메인에 있는 모든 도메인 컨트롤러와 시간을 동기화 하려고 합니다. 컴퓨터가 도메인 컨트롤러인 경우 더 신뢰할 수 있는 도메인 컨트롤러와 동기화 하려고 합니다.
Windows XP Home Edition 또는 도메인에 가입 되지 않은 컴퓨터를 실행 하는 컴퓨터를 도메인 계층 구조와 동기화 하지 마십시오 있지만 시간을 얻기 위해 time.windows.com에서 기본적으로 구성 됩니다.
정식으로 Windows Server 2003을 실행 하는 컴퓨터를 설정 하기 위해 신뢰할 수 있는 시간 원본으로 사용할 컴퓨터를 구성 합니다. 기본적으로 신뢰할 수 있는 시간 원본으로 사용할 Windows Server 2003 도메인에 설치 된 첫 번째 도메인 컨트롤러는 자동으로 구성 됩니다. 도메인에 대 한 권한을 보유 한 컴퓨터는 이기 때문에 도메인 계층 구조 아니라 외부 시간 원본과 동기화 할 구성 되어야 합니다. 또한 기본적으로 다른 모든 Windows Server 2003 도메인 구성원이 도메인 계층 구조와 동기화 하도록 구성 됩니다.
Windows Server 2003 네트워크를 사용 하도록 설정한 후에 동기화를 위한 다음 옵션 중 하나를 사용 하 여 Windows 시간 서비스를 구성할 수 있습니다.
도메인 계층 기반 동기화
수동으로 지정한 동기화 원본
모든 사용 가능한 동기화 메커니즘
동기화 하지 않습니다.
이러한 각 유형의 동기화는 다음 섹션에 설명 되어 있습니다.
도메인 계층 기반 동기화
도메인 계층 구조를 기반으로 하는 동기화 하는 시간을 동기화 하는 데 사용할 신뢰할 수 있는 소스를 찾으라는 AD DS 도메인 계층 구조를 사용 합니다. Windows 시간 서비스 도메인 계층 구조에 따라, 각 시간 서버의 정확도 결정 합니다. Windows Server 2003 포리스트에 주 도메인 컨트롤러 (PDC) 에뮬레이터 작업 마스터 역할, 포리스트 루트 도메인에 있는 보유 하는 컴퓨터 다른 신뢰할 수 있는 시간 원본에 구성 하지 않은 경우 가장 좋은 시간 원본 위치를 보유 합니다. 다음 그림에서는 도메인 계층 구조에 있는 컴퓨터 간의 시간 동기화의 경로 보여 줍니다.
AD DS 계층 구조의 시간 동기화
신뢰할 수 있는 시간 원본 구성
구성 된 컴퓨터의 신뢰할 수 있는 시간 원본으로 사용할 시간 서비스의 루트로 식별 됩니다. 시간 서비스의 루트 도메인에 대 한 권한을 보유 한 서버 이며 일반적으로 외부 NTP 서버 또는 하드웨어 디바이스에서 시간을 검색 하도록 구성 됩니다. 시간이 도메인 계층 구조를 통해 전송 되는 방식을 최적화 하는 신뢰할 수 있는 시간 원본으로는 시간 서버를 구성할 수 있습니다. 를 신뢰할 수 있는 시간 원본으로 사용할 도메인 컨트롤러를 구성 하는 경우 Net Logon 서비스는 네트워크에 로그온 할 때 신뢰할 수 있는 시간 원본으로 해당 도메인 컨트롤러를 알립니다. 다른 도메인 컨트롤러 시간 원본을 동기화 할 때, 선택한 신뢰할 수 있는 소스 먼저 사용 가능한 경우.
시간 원본 선택
시간 원본 선택 프로세스 네트워크에 두 가지 문제가 발생할 수 있습니다.
추가 동기화 순환 합니다.
네트워크 트래픽이 증가 된 볼륨입니다.
동기화 네트워크에서 주기 시간 유지 도메인 컨트롤러의 그룹 간에 일관 되 고 다른 신뢰할 수 있는 시간 원본과 동기화 하지 않고 계속 해 서 서로 동일한 시간을 공유 하는 경우 발생 합니다. Windows 시간 서비스의 원본 선택 알고리즘은 이러한 유형의 문제를 방지 하도록 설계 되었습니다.
컴퓨터와 동기화 할 시간 원본을 식별 하는 다음 방법 중 하나를 사용 합니다.
컴퓨터가 도메인의 멤버인 경우에 지정 된 시간 원본과 동기화 하도록 구성 되어야 합니다.
컴퓨터가 구성원 서버 또는 워크스테이션 기본적으로 도메인 내에서 AD DS 계층 따르며 Windows 시간 서비스를 현재 실행 중인 로컬 도메인에 도메인 컨트롤러와 시간을 동기화 합니다.
컴퓨터가 도메인 컨트롤러인 경우 것 때문에 최대 6 개의 쿼리와 동기화 할 다른 도메인 컨트롤러를 찾아야 합니다. 각 쿼리는 디자인 하는 유형의 도메인 컨트롤러를 특정 위치와 같은 특정 특성으로 시간 원본을 식별 하는 신뢰할 수 있는 시간 원본과 여부 및 합니다. 또한 시간 원본은 다음과 같은 제약 조건을 준수 해야 합니다.
부모 도메인에 도메인 컨트롤러와 신뢰할 수 있는 시간 원본과 동기화 할 수 있습니다.
PDC 에뮬레이터 자체 도메인에 있는 신뢰할 수 있는 시간 원본 또는 부모 도메인의 모든 도메인 컨트롤러와 동기화 할 수 있습니다.
도메인 컨트롤러에 쿼리 하는 도메인 컨트롤러의 종류와 동기화 할 수 없는 경우에 쿼리가 수행 되지 않습니다. 도메인 컨트롤러에서 시간으로 쿼리 하기 전에 얻을 수 있는 컴퓨터의 유형을 알 수 있습니다. 예를 들어 로컬 PDC 에뮬레이터 도메인 컨트롤러 자체와 동기화를 시도 하지 않기 때문 쿼리 숫자 3이 오거나 여섯 시도 하지 않습니다.
다음 표에서 도메인 컨트롤러 시간 원본 및 쿼리 내용이 순서를 찾을 수 있도록 쿼리를 나열 합니다.
도메인 컨트롤러 시간 원본 쿼리
| 쿼리 수 | 도메인 컨트롤러 | 위치 | 시간 원본과의 안정성 |
|---|---|---|---|
| 1 | 부모 도메인 컨트롤러 | 사이트 간 | 신뢰할 수 있는 선호 하는 모든 경우 사용할 수 있는 시간 원본과 하지만 신뢰할 수 있는 비 시간 원본과 동기화 수 있습니다. |
| 2 | 로컬 도메인 컨트롤러 | 사이트 간 | 신뢰할 수 있는 시간 원본과 동기화 합니다. |
| 3 | 로컬 PDC 에뮬레이터 | 사이트 간 | 적용 되지 않습니다. 도메인 컨트롤러 자체와 동기화를 시도 하지 않습니다. |
| 4 | 부모 도메인 컨트롤러 | 사이트 외부 | 신뢰할 수 있는 선호 하는 모든 경우 사용할 수 있는 시간 원본과 하지만 신뢰할 수 있는 비 시간 원본과 동기화 수 있습니다. |
| 5 | 로컬 도메인 컨트롤러 | 사이트 외부 | 신뢰할 수 있는 시간 원본과 동기화 합니다. |
| 6 | 로컬 PDC 에뮬레이터 | 사이트 외부 | 적용 되지 않습니다. 도메인 컨트롤러 자체와 동기화를 시도 하지 않습니다. |
참고
- 컴퓨터의 하지 자체와 동기화 합니다. 동기화 하려는 컴퓨터는 로컬 PDC 에뮬레이터, 쿼리 3 또는 6 시도 하지 않습니다.
각 쿼리 시간 원본으로 사용할 수 있는 도메인 컨트롤러의 목록을 반환 합니다. Windows 시간 할당 각 도메인 컨트롤러를 안정성과 도메인 컨트롤러의 위치를 기준으로 점수를 쿼리 합니다. 다음 표에서 각 유형의 도메인 컨트롤러에 Windows 시간으로 할당 되는 점수를 나열 합니다.
점수 결정
| 도메인 컨트롤러의 상태 | 점수 |
|---|---|
| 동일한 사이트에 있는 도메인 컨트롤러 | 8 |
| 신뢰할 수 있는 시간 원본으로 표시 하는 도메인 컨트롤러 | 4 |
| 부모 도메인에 있는 도메인 컨트롤러 | 2 |
| 도메인 컨트롤러는 PDC 에뮬레이터를 | 1 |
Windows 시간 서비스는 최상의 점수와 도메인 컨트롤러를 식별에 있음을 확인, 더 많은 쿼리가 더 이상 수행 됩니다. 시간 서비스에서 할당 된 점수가 점수는 9 개까지 수신 하는 동일한 사이트에 있는 PDC 에뮬레이터를 의미 하는 누적 됩니다.
시간 서비스의 루트를 외부 원본과 동기화 하도록 구성 되지 않은, 컴퓨터의 내부 하드웨어 클록 시간을 제어 합니다.
수동으로 지정 된 동기화
수동으로 지정 된 동기화를 사용 하면 단일 피어 나 피어를 컴퓨터 시간을 가져올 목록을 지정할 수 있습니다. 컴퓨터가 도메인의 멤버인 경우 것 수동으로 설정 해야 지정된 시간 원본과 동기화 하도록 합니다. 도메인의 구성원은 도메인 계층 구조에서 동기화 하는 기본적으로 구성 되는 컴퓨터를 수동으로 지정 된 동기화가 포리스트 루트 도메인 또는 도메인에 가입 되지 않은 컴퓨터에 대 한 가장 유용 합니다. 도메인에 대 한 권한을 보유 한 컴퓨터와 동기화 할 외부 NTP 서버를 수동으로 지정 신뢰할 수 있는 시간을 제공 합니다. 그러나 하드웨어 클럭과 동기화 하도록 도메인에 대 한 권한을 보유 한 컴퓨터 구성은 실제로 도메인에 안전 하 고 가장 정확 하 게 시간을 제공 하기 위한 더 나은 솔루션입니다.
수동으로 지정한 시간 원본이 특정 시간 공급자를 그대로 쓰고 공격자에 게 노출 되므로 하지 않으면 인증 되지 않습니다. 또한 컴퓨터를 인증 하는 도메인 컨트롤러를 사용 하지 않고 수동으로 지정 된 소스와 동기화를 경우 두 컴퓨터 Kerberos 인증이 실패를 일으키는 동기화 되지 않을 수 있습니다. 에 오류를 인쇄 하거나 파일 공유 같은 네트워크 인증을 요구 하는 다른 작업이 발생할 수 있습니다. 포리스트 루트를 외부 원본과 동기화 하도록 구성 되어, 경우에 포리스트 내에서 다른 모든 컴퓨터 동기화 된 상태로 유지, 재생 공격을 어렵게 합니다.
모든 사용 가능한 동기화 메커니즘
"모든 사용 가능한 동기화 메커니즘" 옵션은 네트워크의 사용자에 대 한 가장 중요 한 동기화 방법. 이 메서드는 도메인 계층 구조와 동기화를 허용 하 고 대체를 제공할 수도 있습니다 도메인 계층 구조 구성에 따라 사용할 수 없게 되는 시간 원본. 클라이언트를 도메인 계층 구조와 시간을 동기화 할 수 없는 경우 시간 원본을 자동으로 변경 하 여 지정 된 시간 원본이 NtpServer 설정 합니다. 동기화의이 메서드는 클라이언트에 정확한 시간을 제공할 가능성이 가장 높습니다.
시간 동기화를 중지 하는 중
시간이 동기화에서 컴퓨터를 중지 해야 할 수 있는 경우도 있습니다. 예를 들어 컴퓨터가 전화 접속 연결을 통해 WAN을 통해 인터넷에서 시간 원본 또는 다른 사이트에서 동기화 하려고 하는 경우에 비용이 많이 드는 전화 요금이 부과 수 것입니다. 해당 컴퓨터에서 동기화를 비활성화 하면 컴퓨터를 시간 원본이 전화 접속 연결을 통해 액세스를 시도 되지 않습니다.
이벤트 로그에서 오류를 생성을 방지 하려면 동기화를 비활성화할 수 있습니다. 컴퓨터를 사용할 수 있는 시간 원본과 동기화 하려고 할 때마다 이벤트 로그에 오류가 발생 합니다. 시간 원본을 예정 된 유지 관리에 대 한 네트워크를 벗어나 수행 되 고 다른 원본에서 동기화 하는 클라이언트를 다시 구성 하지 않을 시간 서버를 사용할 수 없을 때 동기화를 시도 하지 않도록 하려면 클라이언트에서 동기화를 비활성화할 수 있습니다.
동기화 네트워크의 루트로 지정 된 컴퓨터에서 동기화를 사용 하지 않도록 설정 하는 것이 유용 합니다. 이 루트 컴퓨터의 로컬 시계가 신뢰 하는 것을 나타냅니다. 동기화 계층의 루트 설정 되지 않은 경우 NoSync 이며 다른 시간 원본과 동기화 할 수 없는 경우 클라이언트의 시간을 신뢰할 수 없는 때문에이 컴퓨터를 전송 하는 패킷 수락 하지 않습니다.
에 다른 시간 원본과 동기화 되지 않는 경우에 클라이언트에서 신뢰할 수 있는 서버는 신뢰할 수 있는 시간 서버와 클라이언트에 의해 식별 된 것입니다.
Windows 시간 서비스를 사용 하지 않도록 설정
Windows 시간 서비스 (W32Time)을 완전히 비활성화할 수 있습니다. NTP를 사용 하는 타사 시간 동기화 제품을 구현 하기로 선택한 경우 Windows 시간 서비스를 해제 해야 합니다. 123, 사용자 데이터 그램 프로토콜 (UDP) 포트에 액세스 해야 하는 모든 NTP 서버 및 포트 123 Windows 시간에 예약 된 유지 Windows 시간 서비스는 Windows Server 2003 운영 체제에서 실행 되는, 때문입니다.
Windows 시간 서비스에서 사용되는 네트워크 포트
Windows 시간 서비스는 신뢰할 수 있는 시간 원본을 확인 하 고, 시간 정보를 얻은, 다른 컴퓨터에 대 한 시간 정보를 제공 하는 네트워크에서 통신 합니다. NTP 및 SNTP Rfc에 정의 된 대로이 통신을 수행 합니다.
Windows 시간 서비스에 대한 포트 할당
| 서비스 이름 | UDP | TCP |
|---|---|---|
| NTP | 123 | 해당 없음 |
| SNTP | 123 | 해당 없음 |
참고 항목
Windows 시간 서비스 기술 참조Windows 시간 서비스 도구 및 설정Windows 시간 서비스(W32Time)