我们可以配置 NTP 服务器并开启身份验证吗?Windows 操作系统, IEWindows Server 2008 R2 标准版或者Windows 7的操作系统?
我需要安全地同步我的 Cisco 交换机和路由器的时间,所以这就是我需要在 Windows 系统上配置安全 NTP 服务器的原因。
答案1
Windows 使用 W32Time 服务。W32Time 使用简单网络时间协议 (SNTP)(NTP 的一个子集)进行时间同步。
在 AD DS 林中,Windows 时间服务依赖标准域安全功能来强制执行时间数据的身份验证。在域成员计算机和充当时间服务器的本地域控制器之间发送的 NTP 数据包的安全性基于共享密钥身份验证。Windows 时间服务使用计算机的 Kerberos 会话密钥在通过网络发送的 NTP 数据包上创建经过身份验证的签名。NTP 数据包不会在 Net Logon 安全通道内传输。
相反,当计算机从域层次结构中的域控制器请求时间时,Windows 时间服务要求对时间进行身份验证。然后,域控制器以 64 位值的形式返回所需信息,该值已使用来自 Net Logon 服务的会话密钥进行身份验证。如果返回的 NTP 数据包未使用计算机的会话密钥签名或签名不正确,则拒绝该时间。所有此类身份验证失败都记录在事件日志中。通过这种方式,Windows 时间服务为 AD DS 林中的 NTP 数据提供了安全性。
因此,为了使用 Windows Time 进行身份验证,您需要 Active Directory 域成员身份。
欲了解更多详情,请参阅以下链接。
https://technet.microsoft.com/en-us/library/cc773013%28WS.10%29.aspx
答案2
我们一直在考虑让我们的域控制器使用 NIST 作为外部时间源,但是已认证。但我不确定我们是否可以做到这一点。有其他人尝试过吗?