Site icon Emre'nin Sistem Odası

Active Directory Saat Senkronizasyonu (NTP Configuration)

Domain Controller’lar ve domaine üye bilgisayarlar arasında saat eşitlenmediyse Active Directory düzgün çalışmaz (veya hiç çalışmaz).

Örneğin, Kerberos V5’te bilgisayarlar arasında senkronizasyon farkı 5 dk’dan fazla ise bu bilgisayarların kimliği doğrulanmaz. Ayrıca Active Directory replikasyon çakışmalarını önlemek için zaman damgası (time stamp) kullanır.

Active Directory’de Saat Nasıl Senkronize Edilir?

  1. Active Directory’de saat senkronizasyonu için Windows Time Service (w32time) servisi kullanılır.
  2. Forest’ta Root domainin PDC Emulatorü harici (external) bir zaman sunucusu ile senkronize olmalıdır (bir router, bir başka bağımsız sunucu, bir internet zaman sunucusu vb.).
  3. Domaindeki tüm Domain Controller’lar domaindeki senkronizasyonu o domainin PDC Emulatorü’nden (Primary Domain Controller) NT5DS kullanarak sağlarlar.
  4. Domainin PDC Emulatorü parent domaindeki herhangi bir domain controller ile NTP kullanarak senkronizasyon yapar.
  5. Domaine üye tüm bilgisayarlar domaindeki herhangi bir domain controller ile senkronizasyon yaparlar.

Active Directory’de Saat Senkronizasyonu Nasıl Yapılandırılır?

Active Directory’de saat senkronizasyonu komut isteminde w32tm.exe komutu kullanılarak veya Group Policy uygulanarak yapılabilir.

1.Yöntem

w32tm.exe Kullanımı

w32tm .exe komutu kullanılarak saat senkronizasyonu yapılandırmak için aşağıdaki adımlar izlenir :

PDC Emulator’de komut istemi yönetici haklarıyla açılır ve aşağıdaki komut çalıştırılır :

w32tm /config /manualpeerlist:timeserver /syncfromflags:manual /reliable:yes /update

Not: timeserver bölümüne kaynak olarak kullanılacak zaman sunucusu tanımlanmalıdır.

Örnekler :

w32tm /config /manualpeerlist:0.pool.ntp.org /syncfromflags:manual /reliable:yes /update

w32tm /config /manualpeerlist:10.10.10.1 /syncfromflags:manual /reliable:yes /update

Tamamlandığında w32time servisi aşağıdaki komutla yeniden başlatılır.

net stop w32time && net start w32time

PDC olmayan diğer domain Controller’larda komut istemi yönetici haklarıyla çalıştırılıp aşağıdaki komut çalıştırılır :

w32tm /config /syncfromflags:domhier /update

Tamamlandığında w32time servisi aşağıdaki komutla yeniden başlatılır.

net stop w32time && net start w32time

2.Yöntem

WMI Filter ile Group Policy Uygulanması

Group Policy kullanmak özellikle PDC rolünün başka bir DC’ye aktarılması durumunda daha yararlı olacaktır. Yapılması gereken işlemler aşağıdaki gibidir :

Hedef PDC Emulator’ü için aşağıdaki sözdizimi (syntax) ile bir WMI filter ayarlanmalıdır.

Select * from Win32_ComputerSystem where DomainRole = 5

Yeni bir group policy oluşturularak Domain Controllers container’ına bağlanmalıdır. Bu group policy’e WMI Filter olarak oluşturulan filter uygulanır.

Oluşturulan Group Policy özelliklerinde aşağıdaki bölümler düzenlenir.

Computer Configuration -> Administrative Templates -> System -> Windows Time Service -> Time Providers -> Configure Windows NTP Client Enabled konuma getirilir ve aşağıdaki ayarlar uygulanır.

NOT : Type bölümü NTP olarak tanımlanmalı ve NtpServer bölümünde belirtilecek kaynak zaman sunucusu şu formatta yazılmalıdır : İsim-veya-IP,server-flag

Computer Configuration -> Administrative Templates -> System -> Windows Time Service -> Time Providers -> Enable Windows NTP Client Enable konumuna getirilir.

PDC olmayan tüm Domain Controller’lar NT5DS (Domain Hiyerarşisi) olarak ayarlanmalıdır.

Evrensel Ayarlar için Group Policy Oluşturmak

Yapılması gerekenler aşağıdaki gibidir :

Yeni bir group policy oluşturularak Domain Controllers container’ına bağlanmalıdır veya yukarıda oluşturulan group policy düzenlenmelidir.

Group Policy özelliklerinde aşağıdaki bölüm düzenlenir.

Computer Configuration -> Administrative Templates -> System -> Windows Time Service -> Global Configuration Settings

Kullanıma bağlı olarak varsayılan değerlerde bırakılabilir.

Kontrol

Yapılmış olan konfigürasyonların kontrolü için aşağıdaki adımlar uygulanır :

PDC olan Domain Controller’da NTP’nin kullanıldığını teyit etmek için registry kayıtlarında aşağıdaki yol incelenir

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters

Bu bölümdeki Type ve NtpServer parametreleri

PDC üzerinden zamanın NTP sunucusundan sorunsuz şekilde alındığının kontrolü için aşağıdaki komut girilir ve Event Viewer’dan kontrolü sağlanır.

w32tm.exe /resync /rediscover /nowait

Zaman sunucusunu doğrulamak için aşağıdaki komutlar kullanılabilir.

w32tm /query /configuration

w32tm /query /status

Bu şekilde Active Directory Saat Senkronizasyonu (NTP Konfigürasyonu) tamamlanmış olur.

Faydalı olması dileğiyle…

Exit mobile version