Windows Server NTP Ayarı Yapmak

Domain Controller ve domain ortamında bulunan tüm makineler doğru zaman ayarlarını almış olmak zorundadır. Aksi durumda Hyper-V, Cluster ve Kerberos gibi kimlik doğrulama gerektiren kritik Active Directory hizmetlerinde ciddi kesintiler yaşanabilir.

Bu makalede Domain Controller NTP tanımlama ve saat senkronizasyonu işlemlerini gerçekleştiriyor olacağız.

Active Directory saat senkronizasyonu için Windows Time Servisini (W32Time) kullanır. Makineler default olarak ortamdaki herhangi bir DC den saat bilgisini alır. DC cihazlar ise NTDS ile saat bilgisini PDC üzerinden alır. PDC makinede dış kaynaklı senkronizasyon için NTP sunucular tanımlanır.

Aşağıdaki görsel bu yapıyı basitçe özetleyebilir. Burada dikkat edilmesi gereken en önemli nokta root domain üzerinde dış kaynak ntp ayarını yapmamız gerektiğidir. Child domainler ntp bilgisini root domainden alacaktır.

• 

Hyper-V ve Hyper-V Cluster ortamlarında koşan sanal makineler için “Time synchronization” seçeneği seçili ise bu makineler saat bilgisini Host sunucudan alırlar. Bu durumda Host sunucuda DC saat senkronizasyonunun tanımlanmış olması yeterlidir. (Default olarak DC makinelerden alınır)

Öncelikle ortamda bulunan PDC makinemizi belirleyerek üzerinde harici NTP sunucu ayarlarını tanımlayalım.

DC makinelerde aşağıdaki komut yardımı ile PDC makinemizi buluyoruz.

netdom query fsmo

PDC makinemize (genelde root domain olur) logon olup aşağıdaki komut satırını çalıştıralım. Bu komutta yazan manualpeerlist bilgisi hangi dış kaynak ntp sunucusu ile iletişime geçeceğimizi gösteriyor. Virgül koyarak birden fazla belirtebiliriz.

w32tm.exe /config /manualpeerlist:"0.pool.ntp.org,0x8 1.pool.ntp.org,0x8 2.pool.ntp.org,0x8" /syncfromflags:manual /update

Tanımlama sonrası time servisini yeniden başlatmamız gerekiyor.

net stop w32time
net start w32time

PDC makinemizde harici kaynaklı NTP sunucularını tanımlamış olduk. Şimdi ortamda bulunan ve PDC olmayan diğer DC makinelerin saat bilgisini PDC üzerinden almasını sağlamalıyız.

Diğer DC makinelere logon olduktan sonra aşağıdaki komut satırını çalıştıralım.

w32tm /config /syncfromflags:domhier /update

Tanımlama sonrası yine time servisini yeniden başlatıyoruz.

net stop w32time
net start w32time

Domain Controller cihazlarımızda saat senkronizasyonunu ayarlamış olduk. Diğer Host ve Client makineler default olarak dahil oldukları domain ortamındaki DC makinelerden saat bilgisini alırlar.

Saat bilgisinin alınacağı DC makineyi manuel tanımlamak (İsteğe bağlı)

Host makinelerde saat bilgisinin alınacağı DC makineyi manuel tanımlamak için aşağıdaki komut satırını kullanabiliriz.

w32tm /config /manualpeerlist:[server],0x8 /syncfromflags:MANUAL /update

[ server ] yerine local NTP sunucusunun IP adresi veya DNS ana bilgisayar adı girilmelidir ve 0x8 yukarıda açıklandığı gibi bir virgülden sonra eklenir.

Birden fazla sunucu yapılandırılacak ise virgül ve boşlukla ayrılması gerekir, bu nedenle tüm parametreler çift tırnak içine alınmalıdır.

w32tm /config /manualpeerlist:"[server1],0x8 [server2],0x8" /syncfromflags:MANUAL /update

Host makinelerimizde saat senkronizasyon bilgisini tanımladık. VM makineler de host makineler üzerinden saat bilgisini alacak.

Geriye kalan client makinelerde default olarak ortamdaki DC makineler üzerinden saat bilgisini alıyor olacak. Manuel eklemek istiyorsak yukarıdaki komut satırını client lar içinde kullanabiliriz fakat bu çok meşakkatli ve tercih edilmeyen bir yöntem olurdu. Bunun yerine GPO ile local NTP sunucusunu tüm client lara tanımlayabiliriz.

NTP sunucu bilgisi kayıt defteri üzerinde aşağıdaki adreste bulunur.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time\Parameters

GPO ile tüm client makinelere bu tanımları aktaralım.

DC üzerinde Group Policy Management açın ve yeni bir Group Policy Object oluşturarak editleyin.

Aşağıdaki adreste “Enable Windows NTP Client” etkinleştirin ve “Configure Windows NTP Client” ‘da aşağıdaki tanımlamarı yapın.

Computer Configuration > Policies > Administrative Templates > System > Windows Time Service > Time Providers 

Hazırladığınız GPO ‘yu ilgili OU dizinine atayın ve CMD üzerinde aşağıdaki komut satırını çalıştırın

gpupdate /force

Atanan OU altındaki client makineler tanımlanan NTP sunucusunu bir sonraki oturumlarında alacaklardır.

Sorun çözümünde yardımcı komutlar

İlgili makineni nereden time sync işleminin gerçekleştiğini görebilmek için,

w32tm /query /source

Durumunu görebilmek için,

w32tm /query /status

Tekrardan ReSync (zaman bilgisi güncellemek) işlemi için,

w32tm /resync

Hızlıca ReSync işlemi için,

w32tm /resync /force

Zaman servisini durdurup çalıştırmak için,

net stop w32time
net start w32time

Bu yazının asıl kaynakları aşağıdaki linklerdir. Kendi notumda tutmak için siteme kopyaladım. Bir kaç eklemede kendim yaptım

http://www.onurdanir.com/2020/04/12/configuring-time-settings-on-domain-controllers/

https://hasanemresatilmis.com/2017/03/08/active-directory-saat-senkronizasyonu-ntp-configuration/