Servidor NTP com Autenticação no Sistema Windows

O Windows usa o serviço W32Time. W32Time usa Simple Network Time Protocol (SNTP), um subconjunto de NTP, para sincronização de tempo.

Dentro de uma floresta do AD DS, o serviço de horário do Windows conta com recursos de segurança de domínio padrão para impor a autenticação dos dados de horário. A segurança dos pacotes NTP enviados entre um computador membro do domínio e um controlador de domínio local que atua como um servidor de horário é baseada na autenticação de chave compartilhada. O serviço Windows Time usa a chave de sessão Kerberos do computador para criar assinaturas autenticadas em pacotes NTP que são enviados pela rede. Os pacotes NTP não são transmitidos dentro do canal seguro Net Logon.

Em vez disso, quando um computador solicita a hora de um controlador de domínio na hierarquia de domínio, o serviço Windows Time exige que a hora seja autenticada. O controlador de domínio retorna as informações necessárias na forma de um valor de 64 bits que foi autenticado com a chave de sessão do serviço Net Logon. Se o pacote NTP retornado não estiver assinado com a chave de sessão do computador ou estiver assinado incorretamente, o horário será rejeitado. Todas essas falhas de autenticação são registradas no log de eventos. Dessa forma, o serviço Windows Time fornece segurança para dados NTP em uma floresta AD DS.

Portanto, para usar a autenticação com o Windows Time, você precisa ser membro do domínio do Active Directory.

Para mais detalhes, consulte o link abaixo.

https://technet.microsoft.com/en-us/library/cc773013%28WS.10%29.aspx

Temos pensado em fazer com que nossos controladores de domínio usem o NIST como uma fonte de horário externa, mas arquivos . Não tenho certeza se podemos fazer isso. Mais alguém já tentou?