Windows Server NTP 身份验证

Windows Server NTP 身份验证

我在 Windows Server 2008 上设置了一个 NTP 服务器。时间同步适用于 Windows 客户端和非域客户端,但现在我有交换机需要通过 NTP 服务器进行身份验证并发送身份验证代码。我尚未配置任何 NTP 身份验证,我不确定 Windows NTP 服务器是否能够对这些客户端进行身份验证。到目前为止,我还没有弄清楚如何在我的交换机上禁用身份验证,因此我还没有启用此功能。

Windows Server NTP Serber 是否能够验证非域客户端?

答案1

来自 TechNet:

Windows 时间源使用时间源客户端进行身份验证。在 Active Directory 林中,Windows 时间服务 (W32time) 依赖于标准域安全功能来强制执行时间数据的身份验证。在域成员和充当时间服务器的本地域控制器之间发送的网络时间协议 (NTP) 数据包的安全性基于共享密钥身份验证。Windows 时间服务使用本地计算机的 Kerberos 会话密钥在通过网络发送的 NTP 数据包上创建经过身份验证的签名。当计算机从域层次结构中的域控制器请求时间时,Windows 时间服务要求对时间进行身份验证。然后,域控制器以 64 位值的形式返回所需信息,该值已使用 NetLogon 服务的会话密钥进行身份验证。如果返回的 NTP 数据包未使用计算机的会话密钥签名或签名不正确,则时间将被拒绝。通过这种方式,Windows 时间服务为 Active Directory 林中的 NTP 数据提供了安全性。

因此,为了使用 Windows Time 进行身份验证,您需要 Active Directory 域成员身份。

我不相信您可以在 IOS 中禁用身份验证(猜测 - 我不知道您使用的是哪种网络交换机)或回退到使用 SNTP。因此,如果您必须将此交换机同步到此 Windows Server,您唯一剩下的选择可能是禁用 Windows Time 并安装 NTP v4 服务器。(这可能会对您的 Windows 客户端产生负面影响。)

请参阅思科的这篇帖子来证实我刚才所说的话:

https://supportforums.cisco.com/document/7176/ntp-common-issues-and-troubleshooting#Sync_to_W32_based_time_service_Most_Windows_Implimentations

另请参阅其他 Serverfault 帖子:

Cisco ASA5505 无法与 NTP 同步

相关内容