Windows-Server-2008

Windows Server NTP 身份驗證

  • October 9, 2014

我已經在 Windows Server 2008 上設置了 NTP 伺服器。時間同步適用於 Windows 客戶端和非域客戶端,但現在我有想要針對 NTP 伺服器進行身份驗證並發送身份驗證程式碼的交換機。我還沒有配置任何 NTP 身份驗證,我不確定 Windows ntp 伺服器是否能夠對這些客戶端進行身份驗證。到目前為止,我還沒有弄清楚如何在我的交換機上禁用身份驗證,即使我還沒有啟用此功能。

Windows Server NTP Serber 是否能夠對非域客戶端進行身份驗證?

來自技術網:

Windows 時間源使用時間源客戶端進行身份驗證。在 Active Directory 林中,Windows 時間服務 (W32time) 依賴於標準域安全功能來強制時間數據的身份驗證。在域成員和充當時間伺服器的本地域控制器之間發送的網路時間協議 (NTP) 數據包的安全性基於共享密鑰身份驗證。Windows 時間服務使用本地電腦的 Kerberos 會話密鑰在通過網路發送的 NTP 數據包上創建經過身份驗證的簽名。當電腦從域層次結構中的域控制器請求時間時,Windows 時間服務要求對時間進行身份驗證。然後,域控制器以 64 位值的形式返回所需的資訊,該值已使用來自 NetLogon 服務的會話密鑰進行了身份驗證。如果返回的 NTP 數據包沒有使用電腦的會話密鑰進行簽名,或者沒有正確簽名,則該時間被拒絕。通過這種方式,Windows 時間服務為 Active Directory 林中的 NTP 數據提供安全性。

因此,為了使用 Windows Time 身份驗證,您需要 Active Directory 域成員身份。

我不相信您可以在 IOS 中禁用身份驗證(猜測-我不知道您使用的是哪種網路交換機)或回退到使用 SNTP。因此,如果您必須將此開關同步到此 Windows 伺服器,您唯一剩下的選擇可能是禁用 Windows 時間並安裝 NTP v4 伺服器。(這可能會對您的 Windows 客戶端產生負面影響。)

請參閱此 Cisco 文章以證實我剛才所說的內容:

https://supportforums.cisco.com/document/7176/ntp-common-issues-and-troubleshooting#Sync_to_W32_based_time_service_Most_Windows_Implimentations

另請參閱此其他 Serverfault 文章:

Cisco ASA5505 不會與 NTP 同步

引用自:https://serverfault.com/questions/634726