Active Directory

Zaman Senkronizasyonunun Active Directory İçin Önemi

W32time Servisi ve Aktif Dizin İçin Önemi

Ahmet Elibol fotoğrafı Ahmet Elibol28/12/2019
0 1.318 3 dakika okuma süresi
W32time Servisi ve Aktif Dizin
W32time Servisi ve Active Directory

Zaman Senkronizasyonu ve Aktif Dizin

Active Directory, domain controllers(etki alanı denetleyicileri) ve domain members(etki alanı üyeleri) arasında senkronize edilmiş saatlere büyük ölçüde gereksinim duyar. Kerberos (Active Directory istemcileri için temel kimlik doğrulama protokolüdür) paketlerinin gerçekliğinin doğrulanması için sistem saatleri kullanılır. Varsayılan olarak Active Directory, saatler için artı veya eksi beş dakikalık bir toleransı destekler. Zaman farkı bu ayarı aşarsa, istemciler kimlik doğrulaması yapamayabilir ve etki alanı denetleyicileri (domain controllers) replikasyon yapamaz. Windows’un daha yeni sürümleri, Kerberos kimlik doğrulamasında bir sıkıntı olmadan zaman problemlerini telore edebilirler.

Active Directory(Aktif Dizin) ve Windows, forest içinde zaman senkronizasyonu problemlerinin yaşanmaması ve tüm ortamda senkron bir saat sahibi olunabilmesi için Network Time Protocol (NTP) ile tüm sistemin saatlerini toplu olarak eşitler. W32time servisi, forest içindeki her Windows 2000 veya daha yeni bir sistemde zaman senkronizasyonu yapar. Zaman senkronizasyonu hiyerarşisi aşağıdaki listede özetlenmiştir:

  1. Forest root(kök) domainine ait PDC(primary domain controller) emülatörü, saatini güvenilir bir kaynaktan (donanım saati veya başka bir güvenilir NTP sunucusu gibi) eşitler.
  2. Her alt etki alanının (domain) PDC emülatörü, saatini etki alanındaki yani kendi domainindeki veya üst etki alanındaki güvenilir bir saat kaynağıyla eşitler.
  3. Her domain controller (etki alanı denetleyicisi) saatini kendi etki alanındaki(domain) veya üst etki alanındaki PDC emülatörü ile eşitler.
  4. Her etki alanı üyesi (domain members), saatini kimlik doğrulaması yaptığı etki alanı denetleyicisiyle(domain controllers) ile eşitler.

Network Time Protocol RFC 1305 ile tanımlanmıştır (http://www.faqs.org/rfcs/rfc1305.html).

W32time serivisini, root domain PDC emülatörü dışında herhangi bir etki alanına katılmış makinede yapılandırmanız gerekmez. Buna izin verilse de farklı zaman senkronizasyonu hiyerarşisi (özel NTP sunucuları kullanmak gibi) kullanmayı tercih eden birçok kuruluşun daha sonra Kerberos sorunlarından muzdarip olduğunu tecrübeyle deneyimledim.

PDC emülatöründe W32time servisinin yapılandırması:

PDC emülatörü FSMO rolünü önceden harici bir güvenilir zaman kaynağıyla eşitlenecek şekilde yapılandırmanızı öneririm. Çünkü PDC emülatörü FSMO rolünü herhangi bir şekilde başka bir sunucuya taşıdığınızda w32time servisini yeniden yapılandırmanız gerekir.

PDC emülatörün, yapılandırmak için bir veya daha fazla yetkili harici zaman kaynağı tanımlamanız gerekir. Bu örnekte NTP Pool Project’nin (http://www.pool.ntp.org) NTP sunucuları kullanılmıştır:

w32tm /config /update /manualpeerlist:"0.pool.ntp.org,1.pool.ntp.org,2.pool.ntp.org" /syncfromflags:manual /reliable:YES

w32tm /resync /rediscover /nowait

Bazı kuruluşlar, harici bir NTP sunucusu yerine router gibi yerel bir ağ aygıtı kullanmayı tercih eder. Bu router güvenilir bir kaynakla senkronize olduğu sürece, bir sorun yaşanmayacaktır ve bu geçerli bir yapılandırmadır.

W32time servisinin yapılandırması hakkında daha fazla bilgi için lütfen tıklayınız.

Zaman eşitleme sorunlarını gidermek için, w32time servisi durumu hakkındaki bilgiler System Event Log’unda tutulur. Ayrıca w32tm /monitorve w32tm /stripchart /computer:<HedefBilgisayarAdı>komutları da genellikle sorun tespiti ve gidermek için de kullanışlıdır.

Yeni işletim sistemlerinde zaman senkronizasyonu ile ilgili yapılan iyileştirmeler

Aktif Dizin altyapılarında kullanıcıların ve etki alanı denetleyicileri(domain controllers) arasında Kerberos kimlik doğrulaması için zaman doğruluğu son derece önemlidir. İki taraf arasındaki zaman sapması 5 dakikadan az olmalıdır. Bir Aktif Dizin ortamında etki alanı üyeleri(domain members) zamanı doğru tutmak için etki alanı denetleyicileriyle(domain controllers) eşitler.

Ancak active directory yönetilirken bütün bu senaryolar beklendiği gibi çalışmaz. Örnek olarak, sanal sunucular zamanı çalıştığı ana bilgisayarlarıyla eşitler ve bu da doğruluk sorunlarına neden olabilir. Ağ topolojisine bağlı olarak, zaman eşitleme istekleri için yanıt paketlerinin dönüşü uzun sürebilir. Bu etki alanı denetleyicisi ve istemci arasında doğruluk sorunlarına da neden olabilir. Mobil aygıtlar ve dizüstü bilgisayarlar etki alanına çok sık bağlanamayabilir ve bu da zaman doğruluğu sorunlarına yol açabilir.

Zaman doğruluğu bir kuruluşun iş ve faaliyetlerini farklı şekillerde etkiler:

  • Etki alanı denetleyicileri(domain controllers) arasındaki Aktif Dizin (Active Directory) replikasyonu, sağlıklı bir Aktif Dizin altyapısının temel gereksinimidir. Hatalı zaman senkronizasyonu replikasyon sorunları oluşturur.
  • Kredi kartı işlemleri endüstri standartlarına göre 1 saniyelik bir doğruluk gerektirir.
  • Hisse senedi alım satımları için uygulanan düzenlemelerde 50 mikrosaniye doğruluk ile çalışmak vardır.
  • Raporlarda, günlük analizlerde, tehdit ve risk analizlerinde, altyapı sorun gidermelerinde hatalı veriler oluşabilir.
  • Cluster ortamlarını, SQL ve DB farms gibi dağıtık sistemleri direk etkiler.

Windows Server 2016 ve sonrası yapılan iyileştirmeler

Windows Server 2016 ve sonrasında çıkan işletim sistemleri ile birlikte Microsoft, altyapılar arasında doğru senkronizasyonu sağlamak için çeşitli iyileştirmeler yaptı. Geliştirilmiş algoritmalarla, NTP için networkte oluşabilecek tıkanık ve geciken yanıtların etkisi azaltılır. Ayrıca, doğru zaman referansları için geliştirilmiş bir API kullanır. Bu geliştirmeler ile 1 mikrosaniye zaman doğruluğu sağlayabilir.

Hyper-V 2016 ve sonrasında zaman senkronizasyon(time sync) servisi vardır ve bu servis sanal ortamlar için doğru sonuç yakalamak üzere geliştirilmiştir. Sanal makinelerin (Virtual Machine – VM) W32Time servisinde yaptığı düzeltmelerle, 10 ila 15 mikrosaniye arasında bir doğruluğa sahip olmasını sağlar.

Windows Server 2016 ve sonrasında, altyapılarda bu tip hassasiyet sorunlarını izlemek ve sorun gidermek için yeni performans izleme sayaçları da gelmiştir.

Türkiye NTP Sunucuları – tr.pool.ntp.org

  • server 0.tr.pool.ntp.org
  • server 1.tr.pool.ntp.org
  • server 2.tr.pool.ntp.org
  • server 3.tr.pool.ntp.org
Etiketler
Ahmet Elibol fotoğrafı Ahmet Elibol28/12/2019
0 1.318 3 dakika okuma süresi
Daha Fazla Göster
Ahmet Elibol fotoğrafı

Ahmet Elibol

Üniversite eğitimini Kimya ve İşletme bölümlerinde tamamlayan Ahmet Elibol, yüksek lisans eğitimini de İşletme (Master of Business Administration - MBA) üzerinde tamamlamıştır. 1999 yılından bu yana bilişim sektöründe bulunmaktadır.  Ahmet Elibol, profesyonel kariyerine aldığı pascal ve delphi ile yazılım mühendisliği eğitimiyle başlamıştır. 2004 yılından sonra ilgi ve uzmanlık alanlarını Microsoft Sunucu Sistemleri, Sistem Programlama ve Bilgi Güvenliği konularında güncellemiştir. Yazar 4 yıl kadar bir akademide Sistem Mühendisliği eğitimleri de vermiştir. Yazar hobi amaçlı programlama, yapay zeka, makine öğrenmesi, yapay sinir ağları, görüntü işleme ve nesnelerin interneti konularında çalışmaktadır. İngilizce, Rusça dillerini bilen Ahmet Elibol MCT, MCITP, MCTS, MCSE, MCSA vb. uzmanlık sertifikalarına sahiptir ve Bilgisayar Mühendisliği yüksek lisansına devam etmektedir.

İlgili Makaleler

Active Directory Yapısı

Active Directory Yapısı

05/01/2020
Active Directory Time Based Group Membership Nedir?

Time Based Group Membership Nedir?

16/05/2020
Active Directory Group

Active Directory Groups

15/12/2019
Active Directory Objects

Active Directory Nesneleri

13/12/2019

Bir yanıt yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu