Azure'da Active Directory Windows Sanal Makineler için zaman mekanizmasını yapılandırma

Şunlar için geçerlidir: ✔️ Windows Sanal Makineler

Azure Windows Sanal Makineler bir Active Directory Etki Alanı ait zaman eşitlemesini ayarlamayı öğrenmek için bu kılavuzu kullanın.

Active Directory Etki Alanı Hizmetleri'nde zaman eşitleme hiyerarşisi

Active Directory'de zaman eşitlemesi yalnızca PDC'nin bir dış zaman kaynağına veya NTP Sunucusuna erişmesine izin vererek yönetilmelidir.

Daha sonra diğer tüm Etki Alanı Denetleyicileri zamanı PDC ile eşitler ve diğer tüm üyeler bu üyenin kimlik doğrulama isteğini karşılayan Etki Alanı Denetleyicisi'nden zamanlarını alır.

Azure'da barındırılan sanal makinelerde çalışan bir Active Directory etki alanınız varsa, Time Sync'i düzgün ayarlamak için bu adımları izleyin.

Not

Bu kılavuz, yapılandırmayı gerçekleştirmek için Grup İlkesi Yönetimi konsolunu kullanmaya odaklanır. Komut İstemi, PowerShell kullanarak veya Kayıt Defteri'ni el ile değiştirerek aynı sonuçları elde edebilirsiniz; ancak bu yöntemler bu makalede kapsam içinde değildir.

PDC'nin bir Dış NTP Kaynağıyla eşitlemesine izin vermek için GPO

PDC'nizdeki geçerli saat kaynağını denetlemek için, yükseltilmiş bir komut isteminden w32tm /query /source komutunu çalıştırın ve daha sonra karşılaştırma için çıkışı not edin.

1. Başlangıç ekranından gpmc.msc dosyasını çalıştırın.
2. GPO'yu oluşturmak istediğiniz Orman ve Etki Alanı'na gidin.
3. Kapsayıcı Grup İlkesi Nesneleri'nde yeni bir GPO (örneğin PDC Zaman Eşitleme) oluşturun.
4. Yeni oluşturulan GPO'ya sağ tıklayın ve Düzenle'ye tıklayın.
5. Bilgisayar Yapılandırması -Yönetici istrative Templates ->System ->>Windows Zaman Hizmeti altında Genel Yapılandırma Ayarlar ilkesine gidin.
6. Bunu Etkin olarak ayarlayın ve AnnounceFlags parametresini 5 olarak yapılandırın.
7. Bilgisayar Yapılandırması ->Yönetici Istrative Templates -System ->>Windows Zaman Hizmeti ->Saat Sağlayıcıları'na gidin.
8. Windows NTP İstemcisini Yapılandır ilkesine çift tıklayın ve bunu Etkin olarak ayarlayın, NTPServer parametresini bir zaman sunucusunun ,0x9 IP adresine veya FQDN'sine işaret eden şekilde yapılandırın, örneğin: 131.107.13.100,0x9 ve Tür'de NTP'yi yapılandırın. Diğer tüm parametreler için varsayılan değerleri kullanabilir veya kurumsal gereksinimlerinize göre özel parametreler kullanabilirsiniz.
9. Sonraki Ayar düğmesine tıklayın, Windows NTP İstemcisini Etkinleştir ilkesini Etkin olarak ayarlayın ve Tamam'a tıklayın
10. Yeni oluşturulan GPO'nun Kapsam sekmesinde Güvenlik Filtreleme'ye gidin ve Kimliği Doğrulanmış Kullanıcılar grubunu vurgulayın -> Kaldır düğmesine tıklayın ->Tamam ->Tamam
11. PDC rolünü barındıran Etki Alanı Denetleyicisini dinamik olarak almak için bir WMI Filtresi oluşturun:
    • Grup İlkesi Yönetimi konsolunda WMI Filtreleri'ne gidin, sağ tıklayın ve Yeni'yi seçin.
    • Yeni WMI Filtresi penceresinde yeni filtreye bir ad verin; örneğin, PDC ÖykünücüsüAl -> Açıklama alanını doldurun (isteğe bağlı) -> Ekle düğmesine tıklayın.
    • WMI Sorgusu penceresinde Ad Alanını olduğu gibi bırakın, Sorgu metin kutusuna aşağıdaki dizeyi Select * from Win32_ComputerSystem where DomainRole = 5yapıştırın, ardından Tamam düğmesine tıklayın.
    • Yeni WMI Filtresi penceresine geri dönerek Kaydet düğmesine tıklayın.
12. Yeni oluşturulan GPO'nun Kapsam sekmesinde WMI Filtreleme açılan menüsüne gidin ve daha önce oluşturulan WMI filtresini seçin ve Tamam'a tıklayın.
13. Yeni oluşturulan GPO'nun Kapsam sekmesinde Güvenlik Filtresi'negidin, Ekle düğmesine tıklayın ve Etki Alanı Denetleyicileri grubuna göz atın, ardından Tamam düğmesine tıklayın.
14. GPO'yu Etki Alanı Denetleyicileri Kuruluş Birimi'ne bağlayın.

Not

Bu değişikliklerin sistem tarafından yansıtılması 15 dakika kadar sürebilir.

Yükseltilmiş bir komut isteminden w32tm /query /source komutunu yeniden çalıştırın ve çıkışı yapılandırmanın başında not ettiğinizle karşılaştırın. Şimdi seçtiğiniz NTP Sunucusuna ayarlanır.

İpucu

PDC'nizdeki NTP kaynağını değiştirme işlemini hızlandırmak istiyorsanız, yükseltilmiş bir komut isteminden gpupdate /force komutunu ve ardından w32tm /resync /nowait komutunu çalıştırın, ardından w32tm /query /source komutunu yeniden çalıştırın; çıktı yukarıdaki GPO'da kullandığınız NTP Sunucusu olmalıdır.

Üyeler için GPO

Genellikle Active Directory Etki Alanı Hizmetlerindeki NTP, bu makalenin başında belirtilen AD DS Zaman Hiyerarşisi'ni izler ve başka yapılandırma gerekmez.

Bununla birlikte, Azure'da barındırılan sanal makinelere doğrudan Bulut platformu tarafından uygulanan belirli güvenlik ayarları vardır.

Etki Alanı Denetleyicisi olmayan diğer tüm etki alanı üyeleri için kayıt defterini değiştirmeniz ve HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider altında Etkin anahtarında değeri 0 olarak ayarlamanız gerekir

Önemli

Kayıt defterini yanlış değiştirirseniz ciddi sorunlarla karşılaşabileceğinizi unutmayın. Bu nedenle, beklenen sonucu elde edeceğinden emin olmak için bu adımları dikkatle izlediğinize ve birkaç test sanal makinesinde test ettiğinizden emin olun. Daha fazla koruma için değiştirmeden önce kayıt defterini yedekleyin. Daha sonra, bir sorun oluştuğunda kayıt defterini geri yükleyebilirsiniz. Windows Kayıt Defteri'ni yedekleme ve geri yükleme için aşağıdaki adımları izleyin.

Kayıt Defterini Yedekleme

1. Başlangıç ekranında regedit.exe yazın ve ardından tuşuna basınEnter. Yönetici parolası girmeniz veya onaylamanız istenirse, parolayı yazın veya onaylayın.
2. Kayıt Defteri Düzenleyicisi penceresinde, yedeklemek istediğiniz kayıt defteri anahtarını veya alt anahtarını bulun ve tıklayın.
3. Dosya menüsünde Dışarı Aktar'ı seçin.
4. Kayıt Defteri Dosyasını Dışarı Aktar iletişim kutusunda, yedekleme kopyasını kaydetmek istediğiniz konumu seçin, Dosya adı alanına yedekleme dosyası için bir ad yazın ve Kaydet'e tıklayın.

Kayıt defteri yedeğini geri yükleme

1. Başlangıç ekranında regedit.exe yazın ve ardından tuşuna basınEnter. Yönetici parolası girmeniz veya onaylamanız istenirse, parolayı yazın veya onaylayın.
2. Kayıt Defteri Düzenleyicisi penceresinde, Dosya menüsünden İçeri Aktar'ı seçin.
3. Kayıt Defteri Dosyasını İçeri Aktar iletişim kutusunda, yedekleme kopyasını kaydettiğiniz konumu seçin, yedekleme dosyasını seçin ve ardından Aç'a tıklayın.

VMICTimeProvider'ı devre dışı bırakmak için GPO

Etki alanı üyelerinin ilgili Active Directory Sitesindeki Etki Alanı Denetleyicileriyle zamanı eşitlemesini sağlamak için aşağıdaki Grup İlkesi Nesnesini yapılandırın:

Geçerli saat kaynağını denetlemek için herhangi bir etki alanı üyesinde oturum açın ve yükseltilmiş bir komut isteminden w32tm /query /source komutunu çalıştırın ve daha sonra karşılaştırmak üzere çıkışı not edin.

1. Etki Alanı Denetleyicisi'nden Gpmc.msc'yi çalıştırmayı başlat'a gidin.
2. GPO'yu oluşturmak istediğiniz Orman ve Etki Alanı'na gidin.
3. Kapsayıcı Grup İlkesi Nesneleri'nde İstemciler Zaman Eşitleme gibi yeni bir GPO oluşturun.
4. Yeni oluşturulan GPO'ya sağ tıklayın ve Düzenle'ye tıklayın.
5. Bilgisayar Yapılandırması -Tercihler ->>Windows Ayarlar -> Kayıt Defteri ->Yeni ->Kayıt Defteri Öğesi'ne sağ tıklayın
6. Yeni Kayıt Defteri Özellikleri penceresinde aşağıdaki değerleri ayarlayın:
   • Eylemde :Güncelleştir
   • Hive'da :HKEY_LOCAL_MACHINE
   • Anahtar Yolunda: SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider adresine gidin
   • Değer Adı Türünde Etkin
   • Değer Türünde: REG_DWORD
   • Değer Verilerinde: 0 yazın
7. Diğer tüm parametreler için varsayılan değerleri kullanın ve Tamam'a tıklayın
8. GPO'sunu üyelerinizin bulunduğu Kuruluş Birimine bağlayın.
9. Etki alanı üyesinde Grup İlkesi Güncelleştirmesi'ni bekleyin veya el ile zorlar.

Etki alanı üyesine dönün ve yükseltilmiş komut isteminden w32tm /query /source komutunu yeniden çalıştırın ve çıkışı yapılandırmanın başında not ettiğinizle karşılaştırın. Şimdi üyenin kimlik doğrulama isteğini karşılayan Etki Alanı Denetleyicisi olarak ayarlanacak.

Sonraki adımlar

Zaman eşitlemesi hakkında daha fazla ayrıntının bağlantıları aşağıdadır:

• Windows Saat Hizmeti Araçları ve Ayarlar
• Windows Server 2016 Geliştirmeleri
• Windows Server 2016 için Doğru Zaman
• Windows Saat hizmetini yüksek doğruluklu ortamlar için yapılandırmaya yönelik destek sınırı