Server 2008 R2 架构更改 - 自 RC 以来是否有任何更改？

Question

Rowan Hawkins

Asked: 2017-05-06 10:00:42 +0800 CST2017-05-06 10:00:42 +0800 CST 2017-05-06 10:00:42 +0800 CST

当 Server 2008r2 不在域或 DC 上时，如何将其配置为 NTP 服务器

设置如下：我们在客户站点有 Windows Server 2008R2 服务器。出于信任分离的原因，这些机器不是客户域的成员。它们本身也不充当域主机，它们是严格独立的实例。此设置无法更改。

连接到客户网络的 Windows 服务器通过“w32tm”接收 NTP 更新。这些服务器还连接到私有 Stub 网络，其中包含不在客户网络上的其他机器。我想为存根上的主机提供 NTP 服务以提供更好的日志同步。

我可以在网上找到的所有文档似乎都假定 Windows 服务器是域控制器。

如果可能，我只想为存根网络提供 NTP 服务器服务。不应从客户网络访问它。

最好的设置方法是什么？

Esa Jokinen · Answer 1 · 2017-05-06T10:37:44+08:00

Best Answer

Esa Jokinen

NTP 服务器不是域控制器的角色，甚至不是单独的 Windows Server 的功能。

Windows 时间服务 (w32time) 在每台 Windows 计算机上都内置了客户端和服务器。服务器端默认禁用，在dcpromo.

服务器状态通过注册表项控制：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer]
"Enabled"=dword:00000001

只需cmd以管理员身份运行并使用命令：

reg add HKLM\system\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer \
    /v Enabled /t REG_DWORD /d 0x1 /f
w32tm /config /update

您将立即在您的 Windows 机器上拥有一个 NTPv3 兼容的时间服务器。

Pak · Answer 2 · 2017-05-07T04:02:50+08:00

Pak

如果您使用客户端网络上的时间服务器进行时间更新，您将无法阻止从该计算机访问 NTP 服务，因为 NTP 是使用端口 123/udp 的双向协议。

如果你想阻止客户端网络上的任何机器访问你服务器上的 NTP 服务，你必须选择一个外部时间服务器；例如 uk.pool.ntp.org 并配置服务器防火墙以阻止从客户端网络对端口 123/udp 的所有访问。

（这本来是对 PaterSiul 回答的评论，但我的代表还不够高，无法发表评论！）

PaterSiul · Answer 3 · 2017-05-06T10:09:28+08:00

PaterSiul

更新：Esa Jokinen 在他的回答中有我链接的主要部分。

回答我第一次错过的第二部分：我不知道如何将 Windows 时间服务直接限制到接口或 IP 范围。我会用防火墙规则解决这个问题：

netsh advfirewall firewall add rule name="NTP" dir=in action=allow protocol=UDP localport=123 remoteip=157.60.0.1,172.16.0.0/16 enable=yes

“ remoteip=157.60.0.1,172.16.0.0/16 ” 只是一个例子，其余的应该按照你的意愿工作，假设你没有将默认策略从阻止更改为接受。