我已经在Windows Server 2008上安装了NTP服务器。时间同步适用于Windows客户端和非域客户端,但是现在我有了一些交换机,它们希望通过NTP服务器进行身份validation并发送身份validation码。 我没有configuration任何NTP身份validation,我不知道如果Windows ntp服务器能够validation这些客户端。 到目前为止,我还没有想出如何在我的交换机上禁用身份validation,即使如此,我还没有启用此function。
Windows Server NTP Serber是否能够authentication非域名客户端?
来自TechNet:
Windows时间源使用时间源客户端进行身份validation。 在Active Directory林中,Windows时间服务(W32time)依靠标准域安全function来强制执行时间数据的身份validation。 networking时间协议(NTP)数据包在域成员和充当时间服务器的本地域控制器之间发送的安全性基于共享密钥身份validation。 Windows时间服务使用本地计算机的Kerberos会话密钥在通过networking发送的NTP数据包上创build已authentication的签名。 当计算机从域层次结构中的域控制器请求时间时,Windows时间服务需要时间进行身份validation。 然后,域控制器以64位值的forms返回所需的信息,该值已通过NetLogon服务中的会话密钥进行了身份validation。 如果返回的NTP数据包没有用计算机的会话密钥签名,或者没有正确签名,则时间被拒绝。 通过这种方式,Windows时间服务为Active Directory林中的NTP数据提供安全性。
所以为了在Windows Time中使用身份validation,您需要Active Directory域成员资格。
我不相信你可以禁用IOS中的身份validation(猜测 – 我不知道你使用的是什么样的networking交换机),或者回退到使用SNTP。 因此,如果您必须将此开关同步到此Windows Server,则唯一剩下的选项可能是禁用Windows Time并安装NTP v4服务器。 (这可能会对您的Windows客户端产生负面影响。)
看到这个思科的post是为了证实我刚才所说的:
另请参阅这个Serverfault文章:
Cisco ASA5505将不会与NTP同步