设置如下:我们在客户站点有 Windows Server 2008R2 服务器。出于信任分离的原因,这些机器不是客户域的成员。它们本身也不充当域主机,它们是严格独立的实例。此设置无法更改。
连接到客户网络的 Windows 服务器通过“w32tm”接收 NTP 更新。这些服务器还连接到一个私有存根网络,该网络包含不在客户网络上的其他计算机。我希望为存根上的主机提供 NTP 服务,以提供更好的日志同步。
我在网上找到的所有文档似乎都假设 Windows 服务器是域控制器。
如果可能的话,我只想向存根网络提供 NTP 服务器服务。它不应该从客户网络访问。
最好的设置方法是什么?
答案1
NTP 服务器不是域控制器的角色,甚至不是 Windows Server 单独的功能。
Windows 时间服务 (w32time) 在每台 Windows 计算机上都内置有客户端和服务器。服务器端默认处于禁用状态,并在 Windows Server 上自动启用dcpromo。
服务器状态通过注册表项控制:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer]
"Enabled"=dword:00000001
只需cmd以管理员身份运行并使用命令:
reg add HKLM\system\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer \
/v Enabled /t REG_DWORD /d 0x1 /f
w32tm /config /update
您将立即在 Windows 机器上拥有一个符合 NTPv3 的时间服务器。
答案2
如果您使用客户端网络上的时间服务器进行时间更新,则您将无法阻止从该机器访问 NTP 服务,因为 NTP 是使用端口 123/udp 的双向协议。
如果您想阻止客户端网络中的任何机器访问您服务器上的 NTP 服务,您必须选择一个外部时间服务器;例如 uk.pool.ntp.org,并配置服务器防火墙以阻止来自客户端网络对端口 123/udp 的所有访问。
(这本来是对 PaterSiul 的回答的评论,但我的声誉不够高,无法发表评论!)
答案3
更新:Esa Jokinen 在他的回答中包含了我链接的主要部分。
回答我首先错过的第二部分:我不知道如何将 Windows 时间服务直接限制到接口或 IP 范围。我会用防火墙规则解决这个问题:
netsh advfirewall firewall add rule name="NTP" dir=in action=allow protocol=UDP localport=123 remoteip=157.60.0.1,172.16.0.0/16 enable=yes
“远程 IP=157.60.0.1,172.16.0.0/16“仅仅是一个例子,其余的应该可以按照您的意愿工作,假设您没有将默认策略从阻止更改为接受。