Вот настройка: у нас есть серверы Windows Server 2008R2 на сайтах клиентов. По причинам разделения доверия эти машины не являются членами домена клиентов. Они также не действуют как хост домена, они являются строго автономными экземплярами. Эту настройку изменить нельзя.
Серверы Windows, подключенные к клиентской сети, получают обновления NTP через «w32tm». Эти серверы также подключены к частной сети Stub с дополнительными машинами, не входящими в сеть клиента. Я хотел бы предоставить сервис NTP для хостов на заглушке, чтобы обеспечить лучшую синхронизацию журналов.
Вся документация, которую я могу найти в Интернете, похоже, предполагает, что серверы Windows являются контроллерами домена.
Я хочу предоставить службу NTP-сервера только тупиковой сети, если это возможно. Он не должен быть доступен из клиентской сети.
Как лучше всего настроить?
Если вы используете сервер времени в клиентской сети для обновления времени, вы не сможете заблокировать доступ к службе NTP с этого компьютера, поскольку NTP - это двунаправленный протокол, использующий порт 123 / udp.
Если вы хотите заблокировать доступ любой машины в клиентской сети к службе NTP на вашем сервере, вам нужно будет выбрать внешний сервер времени; например uk.pool.ntp.org и настройте брандмауэр сервера на блокировку любого доступа к порту 123 / udp из клиентской сети.
(Это был бы комментарий к ответу PaterSiul, но моя репутация недостаточно высока, чтобы комментировать!)
Пытаться techrepublic или, для более подробной информации, это сообщение в блоге Microsoft.
Обновление: Эса Йокинен имеет основную часть моих ссылок в своем ответе.
Чтобы ответить на вторую часть, которую я сначала пропустил: я не знаю способа напрямую ограничить службу времени Windows интерфейсом или диапазоном IP-адресов. Я бы решил это с помощью правила брандмауэра:
netsh advfirewall firewall add rule name="NTP" dir=in action=allow protocol=UDP localport=123 remoteip=157.60.0.1,172.16.0.0/16 enable=yes
"remoteip = 157.60.0.1,172.16.0.0 / 16"- всего лишь пример, остальное должно работать так, как вы хотите, при условии, что вы не изменили политику по умолчанию с блокировки на принятие.
NTP-сервер не является ролью контроллера домена и даже не является функцией только Windows Server.
Служба времени Windows (w32time) имеет как клиент, так и сервер, встроенный на каждый компьютер Windows. Серверная часть отключена по умолчанию и автоматически включается в Windows Server во время dcpromo
.
Состояние сервера контролируется с помощью ключа реестра:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer]
"Enabled"=dword:00000001
Просто беги cmd
в качестве администратора и используйте команды:
reg add HKLM\system\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer \
/v Enabled /t REG_DWORD /d 0x1 /f
w32tm /config /update
У вас сразу появится сервер времени, совместимый с NTPv3, на вашем компьютере с Windows.