Param Asked: 2015-12-04 01:47:47 +0800 CST2015-12-04 01:47:47 +0800 CST 2015-12-04 01:47:47 +0800 CST Windows 系统上带身份验证的 NTP 服务器 772 我们可以在Windows 操作系统(即Windows Server 2008 R2 Standard或Windows 7操作系统)上配置具有身份验证的 NTP 服务器吗? 我需要为我的 Cisco 交换机和路由器安全地同步时间,这就是我需要在 Windows 系统上配置安全 NTP 服务器的原因。 windows-server-2008-r2 2 个回答 Voted Best Answer Param G 2015-12-06T04:40:57+08:002015-12-06T04:40:57+08:00 Windows 使用 W32Time 服务。W32Time 使用简单网络时间协议 (SNTP),它是 NTP 的一个子集,用于时间同步。 在 AD DS 林中,Windows 时间服务依赖于标准域安全功能来强制对时间数据进行身份验证。在域成员计算机和充当时间服务器的本地域控制器之间发送的 NTP 数据包的安全性基于共享密钥身份验证。Windows 时间服务使用计算机的 Kerberos 会话密钥在通过网络发送的 NTP 数据包上创建经过身份验证的签名。NTP 数据包不在 Net Logon 安全通道内传输。 相反,当计算机从域层次结构中的域控制器请求时间时,Windows 时间服务要求对时间进行身份验证。然后,域控制器以 64 位值的形式返回所需的信息,该值已使用来自 Net Logon 服务的会话密钥进行了身份验证。如果返回的 NTP 数据包没有使用计算机的会话密钥签名或签名错误,则该时间被拒绝。所有此类身份验证失败都会记录在事件日志中。通过这种方式,Windows 时间服务为 AD DS 林中的 NTP 数据提供安全性。 因此,为了使用 Windows Time 身份验证,您需要 Active Directory 域成员身份。 更多详情,请查看以下链接。 https://technet.microsoft.com/en-us/library/cc773013%28WS.10%29.aspx PJRap986 2021-12-17T06:11:34+08:002021-12-17T06:11:34+08:00 我们一直在考虑让我们的域控制器使用 NIST 作为外部时间源,但经过身份验证的 . 我不确定我们是否可以做到这一点。还有人试过吗?
Windows 使用 W32Time 服务。W32Time 使用简单网络时间协议 (SNTP),它是 NTP 的一个子集,用于时间同步。
在 AD DS 林中,Windows 时间服务依赖于标准域安全功能来强制对时间数据进行身份验证。在域成员计算机和充当时间服务器的本地域控制器之间发送的 NTP 数据包的安全性基于共享密钥身份验证。Windows 时间服务使用计算机的 Kerberos 会话密钥在通过网络发送的 NTP 数据包上创建经过身份验证的签名。NTP 数据包不在 Net Logon 安全通道内传输。
相反,当计算机从域层次结构中的域控制器请求时间时,Windows 时间服务要求对时间进行身份验证。然后,域控制器以 64 位值的形式返回所需的信息,该值已使用来自 Net Logon 服务的会话密钥进行了身份验证。如果返回的 NTP 数据包没有使用计算机的会话密钥签名或签名错误,则该时间被拒绝。所有此类身份验证失败都会记录在事件日志中。通过这种方式,Windows 时间服务为 AD DS 林中的 NTP 数据提供安全性。
因此,为了使用 Windows Time 身份验证,您需要 Active Directory 域成员身份。
更多详情,请查看以下链接。
https://technet.microsoft.com/en-us/library/cc773013%28WS.10%29.aspx
我们一直在考虑让我们的域控制器使用 NIST 作为外部时间源,但经过身份验证的 . 我不确定我们是否可以做到这一点。还有人试过吗?