Domain Controller’lar ve domaine üye bilgisayarlar arasında saat eşitlenmediyse Active Directory düzgün çalışmaz (veya hiç çalışmaz).
Örneğin, Kerberos V5’te bilgisayarlar arasında senkronizasyon farkı 5 dk’dan fazla ise bu bilgisayarların kimliği doğrulanmaz. Ayrıca Active Directory replikasyon çakışmalarını önlemek için zaman damgası (time stamp) kullanır.
Active Directory’de Saat Nasıl Senkronize Edilir?
- Active Directory’de saat senkronizasyonu için Windows Time Service (w32time) servisi kullanılır.
- Forest’ta Root domainin PDC Emulatorü harici (external) bir zaman sunucusu ile senkronize olmalıdır (bir router, bir başka bağımsız sunucu, bir internet zaman sunucusu vb.).
- Domaindeki tüm Domain Controller’lar domaindeki senkronizasyonu o domainin PDC Emulatorü’nden (Primary Domain Controller) NT5DS kullanarak sağlarlar.
- Domainin PDC Emulatorü parent domaindeki herhangi bir domain controller ile NTP kullanarak senkronizasyon yapar.
- Domaine üye tüm bilgisayarlar domaindeki herhangi bir domain controller ile senkronizasyon yaparlar.
Active Directory’de Saat Senkronizasyonu Nasıl Yapılandırılır?
Active Directory’de saat senkronizasyonu komut isteminde w32tm.exe komutu kullanılarak veya Group Policy uygulanarak yapılabilir.
1.Yöntem
w32tm.exe Kullanımı
w32tm .exe komutu kullanılarak saat senkronizasyonu yapılandırmak için aşağıdaki adımlar izlenir :
PDC Emulator’de komut istemi yönetici haklarıyla açılır ve aşağıdaki komut çalıştırılır :
w32tm /config /manualpeerlist:timeserver /syncfromflags:manual /reliable:yes /update Not: timeserver bölümüne kaynak olarak kullanılacak zaman sunucusu tanımlanmalıdır.
Örnekler :
w32tm /config /manualpeerlist:0.pool.ntp.org /syncfromflags:manual /reliable:yes /update w32tm /config /manualpeerlist:10.10.10.1 /syncfromflags:manual /reliable:yes /updateTamamlandığında w32time servisi aşağıdaki komutla yeniden başlatılır.
net stop w32time && net start w32time
PDC olmayan diğer domain Controller’larda komut istemi yönetici haklarıyla çalıştırılıp aşağıdaki komut çalıştırılır :
w32tm /config /syncfromflags:domhier /update Tamamlandığında w32time servisi aşağıdaki komutla yeniden başlatılır.
net stop w32time && net start w32time
2.Yöntem
WMI Filter ile Group Policy Uygulanması
Group Policy kullanmak özellikle PDC rolünün başka bir DC’ye aktarılması durumunda daha yararlı olacaktır. Yapılması gereken işlemler aşağıdaki gibidir :
Hedef PDC Emulator’ü için aşağıdaki sözdizimi (syntax) ile bir WMI filter ayarlanmalıdır.
Select * from Win32_ComputerSystem where DomainRole = 5 
Yeni bir group policy oluşturularak Domain Controllers container’ına bağlanmalıdır. Bu group policy’e WMI Filter olarak oluşturulan filter uygulanır.
Oluşturulan Group Policy özelliklerinde aşağıdaki bölümler düzenlenir.
Computer Configuration -> Administrative Templates -> System -> Windows Time Service -> Time Providers -> Configure Windows NTP Client Enabled konuma getirilir ve aşağıdaki ayarlar uygulanır.
NOT : Type bölümü NTP olarak tanımlanmalı ve NtpServer bölümünde belirtilecek kaynak zaman sunucusu şu formatta yazılmalıdır : İsim-veya-IP,server-flag
Computer Configuration -> Administrative Templates -> System -> Windows Time Service -> Time Providers -> Enable Windows NTP Client Enable konumuna getirilir.
PDC olmayan tüm Domain Controller’lar NT5DS (Domain Hiyerarşisi) olarak ayarlanmalıdır.
Evrensel Ayarlar için Group Policy Oluşturmak
Yapılması gerekenler aşağıdaki gibidir :
Yeni bir group policy oluşturularak Domain Controllers container’ına bağlanmalıdır veya yukarıda oluşturulan group policy düzenlenmelidir.
Group Policy özelliklerinde aşağıdaki bölüm düzenlenir.
Computer Configuration -> Administrative Templates -> System -> Windows Time Service -> Global Configuration Settings
Kullanıma bağlı olarak varsayılan değerlerde bırakılabilir.
Kontrol
Yapılmış olan konfigürasyonların kontrolü için aşağıdaki adımlar uygulanır :
PDC olan Domain Controller’da NTP’nin kullanıldığını teyit etmek için registry kayıtlarında aşağıdaki yol incelenir
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
Bu bölümdeki Type ve NtpServer parametreleri
PDC üzerinden zamanın NTP sunucusundan sorunsuz şekilde alındığının kontrolü için aşağıdaki komut girilir ve Event Viewer’dan kontrolü sağlanır.
w32tm.exe /resync /rediscover /nowait
Zaman sunucusunu doğrulamak için aşağıdaki komutlar kullanılabilir.
w32tm /query /configurationw32tm /query /status
Bu şekilde Active Directory Saat Senkronizasyonu (NTP Konfigürasyonu) tamamlanmış olur.
Faydalı olması dileğiyle…
Gerçekten çok başarılı bir yazı olmuş ve ben faydasını gördüm. Teşekkür ederim