저는 AD에서 w32tm /unregister 해봐도 위의 오류는 발생하지 않는데 말입니다...
우선 아래와 같은 내용을 확인 하였습니다.
How Windows Time Service Can Affect Users and Applications
Many Windows features and services depend on time synchronization. For example, the Kerberos V5 authentication protocol on a Windows Server 2003 domain has a default time synchronization threshold of five minutes.Computers that are more than five minutes out of synchronization on the domain will fail to authenticate using the Kerberos protocol. This time value is also configurable, allowing for greater or lesser thresholds. Failure to authenticate using the Kerberos protocol can prevent logons and access to Web sites, file shares, printers, and other resources or services within a domain.
Windows Time Service and Resulting Internet Communication in Windows Server 2008
결국 멤버서버들은 Windows Time 서비스를 등록 해제 해버리면 Kerberos 인증이 안되서 오류가 날수가 있지요...
NTP Time Provider
The Windows Time service is a complete time synchronization package that can support a variety of hardware devices and time protocols. To enable this support, the service uses pluggable time providers. A time provider is responsible for either obtaining accurate time stamps (from the network or from hardware) or for providing those time stamps to other computers over the network.
The NTP provider is the standard time provider included with the operating system. The NTP provider follows the standards specified by NTP version 3 for a client and server, and can interact with SNTP clients and servers for backward compatibility with Windows 2000 and other SNTP clients. The NTP provider in the Windows Time service consists of the following two parts:
- NtpServer output provider. This is a time server that responds to client time requests on the network.
- NtpClient input provider. This is a time client that obtains time information from another source, either a hardware device or an NTP server, and can return time samples that are useful for synchronizing the local clock.
How the Windows Time Service Works
보시게 되면 Windows Time 서비스는 NTP 클라이언트 역활 및 서버 역할을 동시에 하게 됩니다.
간단하게 아래의 레지스트를 확인 해보면 서버와 클라이언트관련 레지스트가 있는걸 확인 할 수 있지요
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer
헌데 w32tm /unregister로 Windows Time 서비스를 아예 내려 버렸으니 NTP 서버로의 역할을 할수가 없게 되겠지요.
그렇기 때문에 도메인컨트롤러와 멤버서버의 시간차이를 확인 할수 없기 때문에 인증 오류가 났을수도 있을것 같네요...(제 생각 ^^;)
다시 w32tm /register 로 서비스 등록하시고 아래와 같이 동기화할 원본이 없도록 구성을 해보시기 바랍니다.
w32tm /config /update /syncfromflags:NO /reliable:YES
/update - 시간 서비스에 변경 사항이 적용되도록 구성이 변경되었음을 알립니다. /syncfromflags:<원본> - NTP 클라이언트가 동기화할 원본을 설정합니다. <원본>은 다음 키워드를 쉼표로 구분하여 지정한 목록입니다. 이 키워드는 대/소문자를 구분하지 않습니다. MANUAL - 수동 피어 목록에 있는 피어와 동기화합니다. DOMHIER - 도메인 계층 구조의 AD DC와 동기화합니다. NO - 동기화하지 않습니다. ALL - 수동 및 도메인 피어 모두와 동기화합니다. /reliable:(YES|NO) - 이 컴퓨터가 신뢰할 수 있는 시간 원본인지 여부를 지정합니다. 이 설정은 도메인 컨트롤러에 대해서만 지정할 수 있습니다. YES - 이 컴퓨터의 시간을 신뢰하여 참조합니다. NO - 이 컴퓨터의 시간을 신뢰하고 참조하지 않습니다. |
설정 후 Windows Time 서비스를 재시작 해주시고 설정 확인은
w32tm /dumpreg /subkey:paramaters
를 하면 Type가 NoSync로 되어 있으면 됩니다.
Configure the Windows Time service on the PDC emulator in the Forest Root Domain
AD서버가 1대라면 해당 서버가 PDC Emulator Role 가지고 있기 때문에 가입되어 있는 멤버서버들은
해당 AD 서버와 시간을 동기화 하겠지요... 클러스터의 각 노드에서도 w32tm 서비스가 돌아가고 있어야합니다.
도움이되었다면 채택해주시기 바랍니다.
'Windows > 윈도우 공통' 카테고리의 다른 글
| [스크랩] Virtual Disk Service 관련 (0) | 2017.08.07 |
|---|---|
| [스크랩] 윈도우 설치 kb 확인 (0) | 2017.06.28 |
| [스크랩] 윈도우로 2G 이상 파일 이동 (0) | 2017.03.13 |
| [스크랩] 윈도우 기호 패키지 다운로드 (심볼 패키지, Symbols download) (0) | 2017.01.11 |
| [스크랩] AD환경에서의 NTP (Windows Time Service) 설정 (0) | 2016.09.13 |