这里是设置:我们在客户站点有Windows Server 2008R2服务器。 为了分离信任原因,这些机器不是客户域的成员。 他们也不是自己的域名主机,他们是严格独立的事例。 这个设置不能改变。
这些服务器连接到客户networking,并通过“w32tm”接收NTP更新。 这些服务器也被连接到一个专用的存根networking,机器不在客户networking上。 我想向存根上的主机提供NTP服务以提供更好的同步。
我可以在网上find的所有文档似乎假定Windows服务器是域控制器。
如果可能,我只想提供NTP服务器服务到存根networking。 它不应该从客户networking到达。
什么是最好的安装方式?
如果在客户端networking上使用时间服务器进行时间更新,则将无法阻止从该计算机访问NTP服务,因为NTP是使用端口123 / udp的双向协议。
如果要阻止客户端networking上的任何计算机访问服务器上的NTP服务,则必须select外部时间服务器; 例如uk.pool.ntp.org,并将服务器防火墙configuration为阻止从客户端networking对端口123 / udp的所有访问。
(这是对PaterSiul的回答,但是我的代表还不够高评论!)
NTP服务器不是域控制器的angular色,甚至不是Windows Server的function。
Windows时间服务(w32time)在每台Windows计算机上都内置了客户端和服务器。 服务器端默认是禁用的,在dcpromo期间在Windows Server上自动启用。
服务器状态通过registry项进行控制:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer] "Enabled"=dword:00000001
只需以pipe理员身份运行cmd并使用命令:
reg add HKLM\system\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer \ /v Enabled /t REG_DWORD /d 0x1 /f w32tm /config /update
您的Windows机器上将立即拥有符合NTPv3的时间服务器。
试试techrepublic或更详细一点, 这个微软的博客文章 。
更新:Esa Jokinen在他的回答中有我的链接的主要部分。
为了回答我第一次错过的第二部分:我不知道如何将windows时间服务直接限制到接口或ip范围。 我会解决这个防火墙规则:
netsh advfirewall firewall add rule name="NTP" dir=in action=allow protocol=UDP localport=123 remoteip=157.60.0.1,172.16.0.0/16 enable=yes
“ remoteip = 157.60.0.1,172.16.0.0 / 16 ”仅仅是一个例子,假设你没有将默认策略从阻塞改为接受,剩下的应该是你想要的。