Kullanmış olduğumuz sistemlerde saat senkronizasyonu ve saat doğruluğu bizler için çok önemlidir, W32Time servisi Kerberos kimlik doğrulamasının stabil şekilde çalışmasını sağlamaktadır ve internet çıkışlarımız için önemlidir. İlgili servisin çalışması bir hiyerarşiye göre yapılmaktadır.
Domaine member edilmiş tüm istemciler, etki alanı denetleyicisinden saat bilgisi almaktadır, domain controller ise PDC Role sahibi DC‘den almaktadır.
Yeni bir Windows kurulumu yapıldığında, Windows “time.windows.com” üzerinden sync yapılan bir NTP başlatmaktadır.
Client’ler domaine üye edildikten sonra zaman eşitlemesini DC üzerinden yapmaya başlar.
Bir sunucu AD olarak yapılandırıldığı zaman zaman ayarını PDC Rolüne sahip DC üzerinden yapmaya başlamaktadır.
Biz bu yazımızda Domain Controller ve Clientler için iki Ayrı GPO oluşturacağız saat senkronizasyon işlemini başka bir servis üzerinden eşitlemeye başlayacağız. GPO yerine bu işlemi PowerShell üzerinden manuel bir biçimde de yapılandırabiliriz, fakat FSMO rolleri değişeceği zaman yapılandırma eski sunucu üzerinde bulunduğu için GPO ile yapmak her zaman için daha stabil olacaktır.
Makale İçeriği:
- Domain Controller için Manuel Time Sync Yapılandırması
- GPO ile Domain Controller NTP Server Yapılandırması
- İstemciler için NTP Yapılandırılması
- İstemciler İçin Manual NTP Yapılandırması
Domain Controller için Manuel Time Sync Yapılandırması
Bu işlemi PDC rolünü barındıran DC sunucusu üzerinde yapmamız gerekmektedir, eğer rol sahibi olan sunucuyu bilmiyorsanız; aşağıdaki komutu CMD üzerinde çalıştırabilirsiniz.
netdom query fsmo
Şuan mevcut sisteminizin NTP kaynağını öğrenmek isterseniz, aşağıdaki gibi bir komut çalıştırabilirsiniz;
w32tm /query /source
Diğer yapılandırma işlemlerine başlamadan önce sunucunuz Hyper-V/VMware ESXi üzerinde çalışıyorsa, bu sistemler üzerinden NTP Sync yapılandırmasını sunucuların için Devre dışı bırakmanız gerekmektedir.
Edit Settings > VM Options > VMware Tools > Time – Synchronize time periodically devre dışı bırakabilirsiniz.
Microsoft kaynaklarına göre ESXi üzerinden NTP sync yerine, harici NTP kaynakları kullanılması gerekmektedir.
Hyper-V üzerinde ise Management – Integration Services – Time synchronize bölümünü devre dışı bırakmanız yeterli olacaktır.
GPO kullanmadan manuel bir biçimde yapılandırmak için aşağıdaki adımları yapabilirsiniz;
Öncelikle Yönetici olarak CMD çalıştırılması gerekmektedir.
net stop
w32tm /config /syncfromflags:manual /manualpeerlist:"0.tr.pool.ntp.org,0x9 1.tr.pool.ntp.org,0x9 2.tr.pool.ntp.org,0x9 3.tr.pool.ntp.org,0x9"
w32tm /config /reliable:yes
w32tm /config /update
net start w32time
Yapmış olduğumuz yapılandırmaları kontrol etmek istersek, aşağıdaki komutu çalıştırabiliriz. NtpServer bölümünde girmiş olduğumuz sunucuları görmemiz gerekmektedir.
w32tm /query /configuration
GPO ile Domain Controller NTP Server Yapılandırması
Bazı istenmeyen durumlarda hızlı bir DC Role geçişi yapabilmekteyiz, FSMO rollerinin transferi sırasında manual olarak yapmış olduğumuz NTP Server yapılandırılması taşınmamaktadır. Bu yüzden FSMO rollerini taşıdığımız sunucda tekrar NTP yapılandırılması yapılması gerekmektedir.
Bu işlemi FSMO geçişi sırasında tekrar tekrar yapılmaması için GPO ile yapabiliriz. Yeni bir GPO düzenleme işlemine başlamadan önce WMI filtresi oluşturmamız gerekmektedir. Çünkü oluşturulan GPO’yu FSMO rolüne sahip sunucumuzda yapmamız gerekmektedir.
Group Policy Management – WMI Filters içerisine filtreleme yapması için yeni sorgumuzu oluşturuyoruz.
Select * from Win32_ComputerSystem where DomainRole = 5.
Domain Controllers OU’su altında yeni bir GPO oluşturuyoruz ve düzenlemeye başlıyoruz.
Computer Configuration – Policies – Administrative Templates – System – Windows Time Service – Time Providers adımlarını takip ediyoruz ve aşağıdaki objeleri “Enabled” olarak düzenliyoruz.
Enable Windows NTP Client – Enabled
Enable Windows NTP Server – Enabled
Daha sonra Configure Windows NTP Client objesini açıyoruz ve burada gerekli düzenlemeleri yapmaya başlıyoruz. Oluşturmuş olduğumuz WMI Filter’i oluşturduğumuz GPO’ya bağlamamız gerekmektedir.
Not: Domain Controller sunucuları için Type bölümünün NTP olacak şekilde çalışması gerekmektedir, sadece member sunucuların hiyerarşi için NT5DS olarak çalışması gerekmektedir.
- NtpServer: 0.tr.pool.ntp.org,0x9 1.tr.pool.ntp.org,0x9 2.tr.pool.ntp.org,0x9 3.tr.pool.ntp.org,0x9
- Type: NTP;
- CrossSiteSyncFlags: 2;
- ResolvePeerBackoffMinutes: 15;
- Resolve Peer BAckoffMaxTimes: 7;
- SpecilalPoolInterval: 3600;
- EventLogFlags: 0.
Windows Time service tools and settings | Microsoft Learn
Daha sonra etkili olması için “gpupdate /force” komutunu çalıştırabilirsiniz.
Sunucu üzerinde manual bir biçimde NTP Sync işlemi başlatabilmek için;
w32tm /resyncYapılandırılan NTP ayarlarını kontrol etmek için;
w32tm /query /statusİstemciler için NTP Yapılandırılması
Domaine üye olan tüm istemciler, saat bilgisini Domain Controller üzerinden almaktadır. Bu işlemi yaparken NT5DS hiyerarşisi kullanılır. Aslında bu işlem için ek bir ayar yapılandırmanıza gerek yoktur, bazı durumlarda eşitleme sorunları oluşabiliyor. Bu sorunlar oluştuğu zaman GPO ile ek bir ayar yapılandırabilirsiniz.
İstemcileriniz olduğu OU içerisinde yeni bir GPO oluşturuyoruz ve Domain Controller için yapmış olduğumuz yapılandırmayı yapıyoruz, buradaki tek fark NTP Server için PDC rolünü barındıran sunucusu bilgisini girmemiz gerekiyor.
- NoSync — NTP sunucusu herhangi bir harici zaman kaynağı ile senkronize edilmemektedir. Sunucunun CMOS yongasında yerleşik olarak bulunan sistem saati kullanılır;
- NTP — NTP sunucusu, NtpServer kayıt defteri parametresinde belirtilen harici saat sunucularıyla senkronize edilir (bu, tek başına bir bilgisayardaki varsayılan davranıştır);
- NT5DS — NTP sunucusu, etki alanı hiyerarşisine göre eşitleme gerçekleştirir (etki alanına katılmış bilgisayarlarda varsayılan olarak kullanılır;
- AllSync — NTP sunucusu zaman senkronizasyonu için mevcut tüm kaynakları kullanır.
Computer Configuration – Policies – Administrative Templates – System – Windows Time Service – Time Providers
NTP Server: cy-dc01.cengizyilmaz.net,0x9
Set Type: NT5DS
CrossSiteSyncFlags: 2
ResolvePeerBackoffMinutes: 15
ResolvePeerBackoffMaxTimes: 7
SpecialPollInterval: 3600
EventLogFlags: 0
İlgili policy oluşturduktan sonra “gpupdate /force” parametresini kullanmamız gerekmektedir.
İstemciler İçin Manual NTP Yapılandırması
Bu işlemi GPO kullanmadan manual olarak’ta yapılandırabilmektesiniz, öncelikte mevcut istemci üzerinde bulunan NTP yapılandırmasını silmemiz gerekiyor, aşağıdaki komutu çalıştırdıktan sonra istemciyi yeniden başlatmanız gerekiyor ve Register komutunu kullanmamız gerekiyor.
w32tm /unregister
w32tm /registerİstemciyi PDC rolünü barındıran sunucu ile iletişim kurdurabilmemiz için aşağıdaki komut setini kullanmamız gerekiyor;
w32tm /config /manualpeerlist:"cy-dc01.cengizyilmaz.net,0x9" /syncfromflags:manual /reliable:yes /update
İstemci üzerinde yapılandırmaları güncellemek için;
w32tm /config /update
w32tm /resync
w32tm /query /status
NTP Sync işlemini hızlandırmak için;
net time \\Server Name /set /y
Yapmış olduğunuz ayarları REGEDIT üzerinden kontrol edebilirsiniz, DC sunucularınızda Type bölümünün NTP olmasına dikkat etmeniz gerekiyor.
HKLM\System\CurrentControlSet\Services\W32Time\Parameters
