보안 위한 윈도우 네트워크의「시간 일치시키기」

항상 네트워크의 시간을 일관되고 정확하게 맞추는 것은 매우 중요하지만 단순히 네트워크 장치에 시간을 맞추는 것만으로는 충분하지 않다. 좀 더 넓게 데스크톱까지 확장해야 한다. 마이크 뮬린스는 시큐리티솔루션즈(Security Solutions)의 이번 호에서 윈도우 네트워크의 시간을 전부 일치시키는 방법을 소개한다.전에 네트워크와 장비에 시간을 일치시키는 것이 중요하다는 것을 논의했고 왜 보안 로그에서 정확한 시간이 좀 더 중요한지 설명했다("NTP(Network Time Protocol)로 보안 로그에 정확한 시간이 표시되게 한다"). 그 글에서 다양한 타임서버를 검토했고 네트워크 보안 장비에 시간을 일치시키는 방법을 살펴보았다.그러나 단순히 네트워크 장비에 시간을 맞추는 것만으로는 충분하지 않다. 좀 더 넓게 데스크톱 까지 확장해야 한다. 네트워크의 타임서버를 하나로 전부 동일하게 적용하는 것이 네트워크의 효율과 보안을 좋게 한다.윈도우 도메인에 시간을 맞추려면 액티브 디렉토리 도메인 체계가 도메인 전체에서 신뢰할 수 있는 타임 서버를 찾는 것이 필요하다.많은 윈도우 서버 2003 액티브디렉터리에서 서버들은 PDC(Primary Domain Controller) 에뮬레이터가 전체 네트워크에서 기본 타임 서버가 되게 유지한다.네트워크에서 각 워크스테이션과 서버는 시간을 맞추기 위해 타임서버를 찾는다. 네트워크 트래픽을 줄이도록 설계된 알고리즘을 사용해 시스템은 타임 서버를 찾으려고 6번까지 시도한다. 여기에 시도하는 순서가 있다.* 상위 도메인 컨트롤러(Parent domain controller)(내부)* 로컬 도메인 컨트롤러(내부)* 로컬 PDC 에뮬레이터(내부)* 상위 도메인 컨트롤러(외부)* 로컬 도메인 컨트롤러(외부)* 로컬 PDC 에뮬레이터(외부)서버가 적당한 시간을 찾도록 보장하기 위하여 PDC 에뮬레이터가 정확하고 옳은 타임서버(time source)에 시간을 맞추게 설정해야 한다. 다음은 설정하는 방법이다. 1. 도메인 컨트롤러에 로그온한다. 2. 다음을 명령어창에 입력한다.W32tm /config /manualpeerlist: /syncfromflags:manual는 공백문자로 구분된 DNS나 IP 주소들의 목록이다. 여러 개의 타임서버를 명시하려면 목록을 인용부호 안에 넣어야 한다.(주: 예를들어 "168.126.63.1 168.126.63.2"처럼 한다.)3. 윈도우 타임 서비스 설정을 갱신한다. 명령어 창에서 'W32tm /config /update'을 실행시키거나 다음 명령어를 실행시킨다.Net stop w32time만약 시스템이 도메인에 가입돼 있지 않으면, 별도의 타임 서버를 이용해 시간을 맞추어야 한다. 다음은 설정하는 방법이다. 1. 시작메뉴