Kategori arşivi: Active Directory

Active Directory Güvenliği için 10 Temel Öneri


Günümüzde güvenlik her şirket için önemli bir başlık
olmasına karşın güvenlik konseptinde derinlik ne yazık ki temel anlamda
firewall, anti virüs, son dönemde DLP gibi ana başlıklardan daha derine
inemiyor. Özellikle çok fazla bütçe ve uzman ile kurulan banka ortamlarında
bilen yaşanan büyük zafiyetlerin aslında uygulama temelli zafiyetler olduğunu
gördükçe güvenlik algısının sadece yüzeysel ürün temelli değil uygulama bazlı
yapılması gerektiğini bir kez daha görmüş oluyoruz.

Peki her uygulama için güvenlik sıkılaştırma çalışması
yapılabilir mi? Pek çok global üretici için uygulamalarının en iyi güvenlik
çözümleri, yapılandırmaları veya birlikte çalışma senaryoları bulunmaktadır,
ancak özellikle büyük şirketler için bunları tek tek hayata geçirmek var olan
karmaşık yapıyı daha içinden çıkılmaz bir hale sokabileceği gibi bütçe ve zaman
açısından yönetimi zordur. Bundan dolayı özellikle zafiyet testleri sonucunda
kritik uygulamalar hedef alınır. Ancak küçük şirketler için ne yazık ki zafiyet
taramalarının bütçesinin bile bulunması sorun olabiliyor. Madem öyle daha
minimal yapılar için neler önerebiliriz?

Tabiki bu işin doğrusu öncelikle bir veya bir den çok
uzman ile mevcut yapı için zafiyet testlerinin uygulanması, sonuçlarının
değerlendirilmesi, uygulanması ve bu zafiyetlerin kapatıldıktan sonra tekrar bir
test yapılmasıdır. Hatta buna ek olarak “security hardening” olarak bilinen ve
yine büyük kurumlar tarafından özellikle OS seviyesinde yaptırılan sıkılaştırma
çalışması sayesinde testlerde çıkmayan ancak üreticilerin önerdiği en iyi
yapılandırmaları gerçekleştirerek güvenlik seviyenizi daha yukarılara
çekebilirsiniz.

Bende pek çok müşterime aslında bu noktada herhangi bir
ürün almadan yardımcı olmak için sağlık taraması adı altında hizmet sunmaktayım.
Bu makaledeki amacım da bu sağlık taraması kapsamında yaptığım çalışmaların bir
bölümü olan Active Directory için güvenlik anlamında neleri kontrol etmeniz ve
nasıl yapılandırmanız gerektiğini paylaşmaktır. Günün sonunda sağlık taraması
sadece 27001, KVKK, güvenlik gibi başlıkları değil aynı zamanda sisteminizin ne
kadar sağlıklı çalışıp çalışmadığını ve kritik bulguların olup olmadığını
görmeniz için alabileceğiniz bir servis.

Bunu yapan ya da aslında yaptığını iddia eden pek çok
araç görebilirsiniz. Ancak birkaç temel rapor ve pasta dilimi görseller ile
kritik alt yapılarınız için yorum yapmanız doğru olmayacaktır. Nasıl zafiyet
tarama ürünlerinin olmasına karşın Pentest adı altında uzman danışmanlara ücret
ödeyip gerçek hayat senaryolarının sisteminiz üzerinde denenmesini sağlıyorsanız
yine bir uzmanın sizin yaşayan bu sisteminiz için yorum yapması çok
kıymetlidir.

Peki gelelim konumuza, güvenli bir Active Directory
için nelere dikkat etmemiz gerekiyor?

1 – Varsayılan Hesapların Kapatılması veya
Değiştirilmesi

Öncelikle ne yazık ki hala pek çok sistem yöneticisi
Active Directory ile beraber gelen Administrator olarak isimlendirilen
varsayılan hesap ile sistemlerini yönetmektedir. Bu pek çok ransomware başta
olmak üzere uzak erişim ve sonrasında verilerin şifrelenmesi ile sonuçlanan
atakları kolaylaştırmaktadır. Çünkü hala pek çok şirket dış dünyaya RDP açık
sistemler barındırmakta ve hele varsayılan kullanıcı ile bu sistemleri yönetiyor
ise zaman içerisinde şifre deneme yanılma yolu ile kolaylıkla bu sistemlere
sızmak mümkündür. Sadece ransomware değil pek çok hak yükseltme, içeriden gelen
ataklarda da varsayılan admin hesapların kullanılması büyük zafiyetlere neden
olmaktadır. Bu nedenle ilk olarak varsayılan Administrator hesabının
kopyalanarak yeni bir yönetici hesabı oluşturulması ve mevcut yönetici hesabının
tüm yetkilerinin alınması gereklidir. Bu sayede örneğin “Hakan” isminde standart
bir user olarak görünen ama oysaki “Administrator” hesabının yerine geçen yeni
bir yönetici hesabınız olacaktır. Mevcut hesabı bu şekilde kopyalayacak
uzmanlığınız yok ise en kötü “rename” yani Administrator yerine “hakan”
kullanarak” en azından varsayılan brüte force şifre bulma atakları için öne
geçebilirsiniz.

clip_image002

2 – Yönetici Hesapları Ayrıştırılması

Bir diğer sık yaptığımız hata ise tek bir kullanıcı
hesabı ile hem kişisel bilgisayarımızı hem Forest/Domain ortamını yönetiyor
olmamız. Burada her şirket için farklı çözüm oluşturabileceğimiz gibi en iyi
senaryo olarak kendi bilgisayarımız için “hakan”, uzak son kullanıcı
bilgisayarlarını yönetmek için “wrk_hakan”, domain ortamındaki sunucuları
yönetmek için “srv_hakan” ve Active Directory, Exchange, CA Server gibi kritik
alt yapı sunucuları için “ent_hakan” kullanıcı hesaplarını oluşturmanız ve en
önemlisi de örneğin srv_hakan kullanıcısının veya buna bağlı grubun üyelerinin
herhangi bir son kullanıcı bilgisayarına giriş yapmasına izin vermemeniz
gereklidir. Benzer şekilde ent_hakan da DC, Exchange gibi sunucuların dışında
herhangi bir sunucuya login olmamalıdır. Ayrıca varsayılan olarak gelen domain
admins grubu tüm bilgisayarlarda local admin olduğu için onu da kaldırmanız ve
son kullanıcı makineleri, sunucular için ayrı lokal admin grupları oluşturmanız
şarttır.

3 – Kritik Grup Üyeliklerinin Kontrolünün
Sağlanması

Güvenlik emek ister tabiki gönül ister ki hiç ürün
satın almayalım ancak bazı noktalarda temel Audit veya siem ürünleri güvenlik
için şart. SIEM belki bu madde için çok lük kalabilir ancak lepide gibi uygun
maliyetli bir Audit ürünü ile AD kritik grupların üyelik güncellemelerini
mutlaka takip etmeniz gereklidir. Bu sayede olası bir hak yükseltme veya 2.
Maddedeki senaryoyu bozan bir yönetici olması halinde bundan mutlaka haberdar
olmanız gereklidir.

clip_image004

4 – Lockout Policy

Çok temel bir policy olmasına karşın hala çok büyük
yapılarda bile Lockout policy olmadığına sağlık taraması çalışmalarım sırasında
karşılaştım. Bunun tabiki yönetimi bir hayli zor olduğu için her müşterinin
farklı bir yorumu bulunur ancak tartışmasız en temel Active Directory güvenlik
önlemi lockout policy uygulanmasıdır.

clip_image006

 

5 – Password Policy

Çok temel bir bilgi olduğu ve artık bu konuda çok ciddi
farkındalık olduğu için üzerinde çok durmayacağım, ancak burada önemli olan
nokta eğer yetkili hesap segmentasyon yapmışsanız tek sorun yöneticinizin sahip
olduğu tüm hesaplara aynı şifreyi vermesi olacaktır ki bunu engellemezseniz
aslında sizin herhangi bir ürün almadan sağladığınız hak yükseltme koruma
özelliğiniz bir anda çöp olabilir.

clip_image008

6 – Eski Kullanıcı ve Makine Hesaplarının
Temizlenmesi

Ne yazık ki pek çok sağlık taramasında bu noktanın
düzenli olarak yapılmadığını görüyoruz. Banka, Telekom veya global firmalar gibi
düzenli denetlenen firmaların dışında ne yazık ki işten ayrılmış kullanıcı
hesaplarının hala aktif olarak kaldığını görebiliyoruz. Burada gerek makine
gerekse kullanıcı hesaplarının düzenli kontrol edilmesi ve gereksiz olan
hesapların önce disable, daha sonra şirket politikasına göre silinmesi
güvenliğinizi arttıracak adımlardan birisi olacaktır.

clip_image010

7 – Düzenli Yama Yüklenmesi

Çok geleneksel olacak ama OS seviyesinde çıkan kritik
yamalar Active Directory ortamınız için çok büyük risk doğurabilir. Sadece OS
seviyesinde değil özellikle son dönemde gördüğümüz CPU zafiyetleri de ne yazık
ki çok ciddi güvenlik zafiyetlerine neden olduğu için aslında AD ortamınızı
üzerinde barındırdığınız donanımların firmware yüklemelerinden OS yamalarına
kadar güncel bir sistem kullanıyor olmanız gerekli. Şimdi yama yüzünden kesinti
yaşan müşterilerin “aman hocam bana yama deme” dediğini duyar gibiyim ama yine
hep dediğim gibi pilot dağıtım, test yapmadan yapılan her yama hangi sisteme
olur ise olsun büyük bir zarar verme potansiyeli taşır. Bu üreticilere göre
farklılık göstermek ile beraber bu kötü tecrübeler ne yazık ki sistemlerimizi
bilinen zafiyetlere karşı korumasız bırakmamız için bir bahane olamaz. Yama
yönetimi aslında başlı başına ayrı bir konu olduğu için bunu da geçiyorum
şimdilik.

clip_image012

8 – Çoklu Kimlik Doğrulama

Active Directory gibi sistemlere erişimlerin
sınırlanması ve hatta bu tür sistemlere giriş yapabilecek makinelere ise smart
card gibi ek güvenlik önlemleri ile girebiliyor olmanız ayarlanmış olması
gereklidir. Örneğin bizim en değerli varlıklarımızdan birisi olan mali
varlığımıza erişirken nasıl kimse sms veya benzeri ikinci doğrulama
mekanizmalarından vazgeçmiyor ise bir şirket için verilerde en değerli varlıklar
olduğundan suyun başındaki konumu nedeni ile AD erişimleri mutlaka MFA – 2FA
cihazları ile desteklenmelidir.

Bu basit bir örnek

http://www.cozumpark.com/blogs/donanm/archive/2018/08/05/yubikey-for-windows-hello-ile-guvenliginizi-arttirin.aspx

clip_image014

9 – İzleme

Aslında grup değişiklikleri izlenmesi başlığında izleme
noktasının öneminden bahsetmiştim, ancak bu çok özel bir izleme örneği olup her
şirketin bunu yapması bazen mümkün olmuyor, ancak bu maddeyi gerçekleştiremiyor
olsanız dahi genel olarak AD üzerindeki GPO, DNS, AD değişikliklerinden mutlaka
haberdar olmanız gerekli, aksi halde bu maddeye kadar yapmış olduğunu pek çok
değişiklik kötü amaçlı olarak geriye doğru değiştirilebilir ve bundan haberiniz
olmayabilir. Bu konuda Lepide, Netwrix, Manage Engine, Change Auditor gibi pek
çok Audit yazılımı kullanabilirsiniz. Tabiki sahip olduğunuz SIEM’ i eğiterek
kritik durumlar için yine log üretmesini sağlayarak bu ihtiyacı
karşılayabilirsiniz ama benim her zaman tercihim AD, Exchange gibi kritik
servisler için özelleşmiş Audit yazılımları almak olacaktır. SIEM olsun bana bir
zararı yok hatta tüm logları topluyor süper ama T anında o SIEM den istediğim
bilgiyi almak bazen zor bazen imkânsız olabiliyor.

10 – Yedekleme ve Felaket Senaryosu

Evet en iyi güvenlik önlemlerinden biriside tabiki çok
sağlam bir yedeğinizin olması. Veya olası bir saldırı, şifre ele geçirme ya da
servis kesintisi gibi ataklar için geri dönüş planınızın olmasıdır. Buna sahip
iseniz pek çok beklenmedik saldırı için kurtarma senaryonuz hazır
olacaktır.

Evet, elimden geldiği kadar basit olarak bir
farkındalık makalesi hazırlamaya çalıştım. Tabiki benden 27001 özelinde, KVKK
veya temel sağlık taraması alan müşterilerimin sadece Active Directory için 184
noktaya baktığımı biliyorlar, yani bu işin hepsini burada makaleye dökmek ne
yazık ki çok ciddi bir zaman alacağı için ben en azından böyle hizmetler veya
ürünler alamayan pek çok kobi çapındaki firmalar için yardımcı olmak amacı ile
bu bilgilerimi paylaştım. Ancak daha ciddi iş ihtiyaçlarınız ve bütçeniz var
ise tabiki benim gibi bir uzmandan böyle profesyonel bir tarama hizmeti ile
durum rapor edinmeniz ve sonrasında da ister mevcut ekipleriniz ile, iste
danışmanlarınız ile iyileştirme çalışmasını Active Directory gibi kritik tüm
sistemler için yapmanızı öneririm.

 

Kaynak

http://www.cozumpark.com/blogs/windows_server/archive/2018/10/07/active-directory-guvenligi-icin-10-temel-oneri.aspx

 

 

1 Soru 1 Cevap: Windows 10 Scaling Level Ayarlarının GPO ile Yapılandırılması

Soru: W10 kullanıcılarımın Scaling Level ayarlarını GPO ile yönetebilir miyim?

Cevap: GPO Preferences ile bunu kolaylıkla yapabilirsiniz. Makalesi aşağıdaki gibidir;

https://www.cozumpark.com/blogs/windows_server/archive/2018/09/30/windows-10-makinelerde-scaling-level-ayarlarinin-gpo-ile-yapilmasi.aspx

 

1 Soru 1 Cevap: Kompleks Şifre İçeriğinin Değiştirilmesi

Soru: Microsoft’ un kompleks şifre politikasının detaylarını ( büyük harf, küçük harf, rakam, sembol değiştire biliyor muyuz? Cevap: Evet. Password Filter yazarak kendinize ait yeni kompleks kavramı veya politikası oluşturabilirsiniz. Ancak hatalı DLL yazmanız durumunda DC de mavi ekran sorunları olabilir. Ek olarak 3 parti program önerebilirim.

https://nfrontsecurity.com/products/nfront-password-filter/

Active Directory Group Policy Modeling Nedir?

Active Directory üzerinde Group Policy Management Console kullanıyorsanız eğer dikkatinizi aşağıdaki başlık çekmiştir.

GPO doğası gereği site, domain veya OU bazlı uygulanır. Bir bilgisayar veya kullanıcı kendisine uygulanan tüm GPO ilkelerini kümülatif olarak alır. Bir nevi hepsinin toplamı (çakışma dışında, çakışma anında en yakın gpo en baskın gpo olacaktır) uygulanacak şekilde düşünebilirsiniz. Küçük bir şirket organizasyonunda sistem yöneticisi bu mimariyi kolay yönetebilir. Ancak çok büyük organizasyonlarda bazen GPO çakışmaları çok büyük kesintilere bile yol açabilir. Bu nedenle bir GPO değişikliği yapmadan önce veya planlanan bir GPO değişikliğini uygulamadan önce nasıl bir sonuç vereceğini kontrol etmek isterseniz GPO Modeling özelliğini kullanabilirsiniz.

Group Policy Result ile bazen Modeling çok karıştırılıyor, çünkü ikisinde de hedef bilgisayar, kullanıcı gibi kavramlar var, ancak Result mevcut bir kullanıcı veya makineye uygulanan GPO ayarlarını görmek için kullanılırken Modeling henüz uygulamadığınız ama uygulamayı düşündüğünüz bir GPO modeli için sonuç gösterecektir.

Loopback Processing Nedir? Nasıl Yapılır?

Bir GPO özelliğidir. Normal şartlarda bir GPO içerisinde kullanıcı ve bilgisayar olmak üzere temel iki konfigürasyon grubu vardır. Kullanıcı ayarlarındaki değişiklikler kullanıcıları, bilgisayar ayarlarındaki değişiklikler ise bilgisayarları etkilemektedir. Ancak bazı durumlarda bu özellik bizim sorunlarımıza çözüm olmayabilir. Örneğin sizin şirketinizde şube çalışanları öncelikle kendi bilgisayarlarına giriş yapıyordur ve bu durumda o kullanıcıların bulunduğu yapısal birim üzerine ( OU ) tanımlı GPO ne ise o GPO içerisindeki kullanıcı ayarları uygulanır. Örneğin masa üstüne bir kısa yol gelmesi, başlat menüsünde çalıştırın olmaması, internet explorer için proxy ayarları ve benzeri. Ancak bu kullanıcı birde terminal server üzerinden çalışma ihtiyacı duyuyor fakat terminal server üzerinde farklı kullanıcı policyleri tanımlamak istiyorsanız bu durumda GPO üzerinde loopback processing dediğimiz özelliği kullanıyoruz.

Örneğin kullanıcılar kendi bilgisayarlarında son derece sınırlı bir yetki ile çalışması için bir GPO uyguladınız, ancak bu kullanıcılar asıl işlemlerini yapmak için terminal server’ a bu GPO ile bağlanınca sorun oluyor çünkü bu GPO, çalışmak için çok sınırlı. İşte bu durumda şunu yapıyoruz.

Bu kullanıcı diyelim “Muhasebe” OU altında olsun ve biz bu Muhasebe OU suna sınırlı bir ayar yapalım. Daha sonra ise Terminal Server OU su üzerinde bir GPO yazalım. Normalde bu OU altında sadece bilgisayarlar olduğu için bu GPO User ayarları anlamsız gibi gelir, ama siz eğer Loopback kullanacaksanız bu durumda User ayarlarını istediğiniz gibi yapıyorsunuz. Yani Terminal Server’ a giriş yapıldığında kullanıcılara hangi ayarların uygulanmasını istiyorsanız onları yapın. Son olarak Terminal Server’ a giriş yapan kullanıcıların kendi OU su üzerindeki ( Muhasebe ) GPO ayarları yerine bu terminal server OU suna bağlı ayarların geçerli olması için bu GPO üzerinde aşağıdaki ayarları yapabilirsiniz

 

Computer Configuration – Administrative Templates – System – Group Policy bölümünde  Enable the Loopback Policy kısmına giriyoruz ve karşımıza iki seçenek çıkıyor,

 

Merge Mode
Bu seçenekte hem kullanıcı ( Muhasebe ) OU sunda hemde bilgisayar ( Terminal Server ) OU sundaki kullanıcı ayarları ortak olarak uygulanır ancak baskın olan kullanıcı ( Terminal Server ) OU sundakilerdir.

 

 

Replace Mode

 

Bu seçenekte ise sadece bilgisayar ( Terminal Server ) OU sundaki kullanıcı GPO ayarları geçerli olur.

Makale için aşağıdaki linki kullanabilirsiniz;

https://www.cozumpark.com/blogs/windows_server/archive/2008/04/09/group-policy.aspx

Credential Guard Özelliğini Domain Controller Üzerinde Açmayınız

Malum Windows Server 2016 ve Windows 10 ile beraber belki de en dikkat çeken yenilikler güvenlik alanında olmuştur. Özellikle hak yükseltme tekniği ile son kullanıcı bilgisayarlarından birine sızan kötü niyetli bir kişinin hızlı bir şekilde nasıl domain admins grubu üyesi olduğunu ve bu hakkı nasıl kötü kullandığını gerek global gerekse yerel pek çok şirkette ne yazık ki gördük.

Bu nedenle yeni nesil güvenlik önlemleri olan Credential Guard ve Device Guard çok kullanışlı teknolojilerdir. Ancak burada bir istisna var, Domain Controller üzerinde Microsoft Credential Guard kullanmayı önermemektedir, hatta desteklenmeyen bir senaryo olduğunu söylemektedir. Bu nedenle yeni projeleriniz bu detayı lütfen unutmayınız.

Kaynak

https://blogs.technet.microsoft.com/datacentersecurity/2017/02/21/why-you-should-not-enable-credential-guard-on-domain-controllers/

Windows 10 ve Server 2016 Üzerinde “Check online for updates from Microsoft Update” Linki Nerede?

Eğer WSUS olan bir ortamda en güncel yamaları almak isterseniz alışageldiğimiz “Check online for updates from Microsoft Update” linkini arayabilirsiniz. Özellikle yeni kurulan sunucular veya istemcilerde en güncel yamaları almasını isteriz. Ancak Windows 10 veya Server 2016 da bunu göremeyebilirsiniz;

Bunu göremiyorsanız eğer aşağıdaki kayıt defterinde bir değişiklik yapın

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate

Bu bölüme aşağıdaki gibi yeni bir DWORD ekleyin ve değerini sıfır yapın

DisableWindowsUpdateAccess

Ardından sunucuyu bir kez restart etmeniz yeterlidir. Eğer kritik bir sunucu ise Windows Update servisini restart edip deneyebilirsiniz.

Eğer bu sorunu çözmez ise aşağıdaki link üzerinden 1607 için ADMX dosyasınız indiriniz;

Not: Bu sorun 1607 da göründüğü için onu indirin diyorum, eğer siz bu sorunu farklı bir sürümde yaşıyorsanız onu indirin. Mevcut sürümü görmek için “winver” komutunu kullanabilirsiniz.

https://www.microsoft.com/en-us/download/details.aspx?id=53430

Diğer sürümler için ADMX dosyasına aşağıdaki link üzerinden ulaşabilirsiniz

https://support.microsoft.com/en-in/help/3087759/how-to-create-and-manage-the-central-store-for-group-policy-administra

Daha sonra ilgili ADMX dosyalarını DC lerden birindeki Central Store a kopyalayın.

Group Policy İçin ADM ve ADMX Şablonları – ADM vs ADMX Templates

Daha sonra Windows Server 2016 makinede bir gpupdate çalıştırın ve restart edin.

 

DNSSEC Nedir?

Malum internet aleminin adres defteri DNS’ dir ve aslında biz her adresi ziyaret etmeden önce DNS’ e bir sorgu göndeririz. Çok bilinen bir açıklama olan IP adreslerini aklımızda tutamıyoruz ama isimleri tutuyoruz, bu nedenle DNS Serviside isimleri ip adreslerine çeviren temel bir isim çözümleme servisidir. Buradan yola çıkarak DNS güvenliği son derece önemlidir. Yani bir DNS sunucusuna sorduğumuz sorunun cevabı olan IP adresi gerekten ilgili domain’ e ait olmalıdır. Örneğin www.cozumpark.com adresini sorduğunuz zaman DNS 188.132.200.15 ip adresini döner, sizde buraya bir paket gönderir iletişim sağlarsınız. Eğer DNS istekleri bir şekilde zehirlenir ve 188.132.200.15 yerine x.x.x.x gibi farklı bir ip adresine yönlendirilir ve orada da benzer bir site var ise kullanıcı şifresini o sisteme verecektir. Bundan dolayı güvenli bir internet için DNSSEC kullanılabilir. DNSSEC, kullanıcıları, verilerin belirtilen kaynaktan geldiği ve aktarma sırasında ( yani bir DNS den diğer DNS sunucusuna aktarılırken) değiştirilmediğini doğrular. DNSSEC aynı zamanda bir alan adının (domain) mevcut olmadığını da ispatlayabilir.

Ancak DNSSEC çoğu kez yanlış anlaşılmış bir servistir, DNS Ddos gibi saldırılarda işe yaramaz, DNS aktarımlarında verinin gizliliğini sağlamaz (değiştirilmemesini sağlar), buradaki kritik nokta sorgu ve cevapların güvenilirliğinin sağlanmasıdır.

Kritik soru ise, ben internal bir AD yapısında DNSSEC kullanmalıyı mıyım? Eğer şirket içerisinde network güvenliğinizi iyi sağlayamıyorsanız ve içeriden DNS sorgularına karşı bir atak yapılabileceğini düşünüyorsanı evet kullanabilirsiniz. Bunun için aşağıdaki makaleleri inceleyebilirsiniz.

https://technet.microsoft.com/en-us/library/dn593684(v=ws.11).aspx

https://technet.microsoft.com/en-us/library/hh831411(v=ws.11).aspx

 

Domain Controller ve Client’ların saat senkronizasyonu

Bu konuda çok fazla kaynak paylaşımı yaptığım için bu sefer özet ve komut seti temelli bir paylaşacağım yapacağım. Aşağıdaki komut setleri ile özellikle PDC makinesini dış bir kaynaktan ( windows, tubitak, ntp.org vb ) zaman bilgisini güncellmesi için ayarlayabilirsiniz.

Eğer PDC makinesinden emin değilseniz cmd ekranında

netdom query fsmo

veya powershell ekranında aşağıdaki komut ile PDC yi tespit edebilirsiniz

[System.DirectoryServices.ActiveDirectory.Forest]::GetCurrentForest().RootDomain.PdcRoleOwner.Name

Yada aşağıdaki komutu kullanabilirsiniz

dsquery server -hasfsmo pdc

PDC’ yi bulduktan sonra PDC makinesine logon oluyoruz.

Komut setini yönetici yetkisi ile açıyoruz ve aşağıdaki komutu çalıştırıyoruz

w32tm.exe /config /manualpeerlist:”0.us.pool.ntp.org, 1.us.pool.ntp.org, 2.us.pool.ntp.org, 3.us.pool.ntp.org” /syncfromflags:manual /reliable:YES /update

Daha sonra

w32tm.exe /config /update

Restart-Service w32time

Kontroller için

Zaman bilgisini anlık olarak güncellemesi için
w32tm /resync /nowait

NTP ayarlarını kontrol etmek için
w32tm /query /configuration

Zaman kaynağını görüntüleme için
w32tm /query /source

Ayarladığımı tüm NTP sunucularının durumunu göstermek için

w32tm /query /peers

Zaman sunucusunun durumunu göztermek için, örneğin csmo yani local mi yoksa external bir time server ayarlımı

w32tm /query /status

PDC tarafındaki işlemlerimiz bitti, diğer DC, sunucu ve istemciler için aslında varsayılanda ek bir şey yapmaya gerek yoktur. Ancak özellikle DC leri kontrol etmekte fayda var.

w32tm /config /update /syncfromflags:DOMHIER
w32tm /resync /rediscover
Daha sonra
net stop w32time

net start w32time

Time server ayarlarını varsayılan yapmak için

net stop w32time
w32tm /unregister
w32tm /register
net start w32time