web-dev-qa-db-ja.com

サーバー2008r2をドメイン上にもa NTP)にもない場合に、サーバー2008r2をDCサーバーとして構成する方法

セットアップは次のとおりです。お客様のサイトにWindowsServer2008R2サーバーがあります。信頼の理由から、これらのマシンはCustomersドメインのメンバーではありません。また、それら自体はドメインホストとして機能しておらず、厳密にスタンドアロンインスタンスです。この設定は変更できません。

カスタマーネットワークに接続されているWindowsServerは、「w32tm」を介してNTP更新を受信します。これらのサーバーは、顧客ネットワーク上にない追加のマシンを備えたプライベートスタブネットワークにも接続されています。より良いログ同期を提供するために、スタブ上のホストにNTPサービスを提供したいと思います。

私がオンラインで見つけることができるすべてのドキュメントは、Windowsサーバーがドメインコントローラーであると想定しているようです。

可能であれば、NTPサーバーサービスをスタブネットワークに提供したいだけです。顧客ネットワークから到達可能であってはなりません。

セットアップするための最良の方法は何ですか?

1
Rowan Hawkins

NTPサーバーは、ドメインコントローラーの役割ではなく、WindowsServerだけの機能でもありません。

Windows Time Service(w32time)には、すべてのWindowsコンピューターにクライアントとサーバーの両方が組み込まれています。サーバー側はデフォルトで無効になっており、WindowsServerではdcpromo中に自動的に有効になります。

サーバーの状態は、レジストリキーを介して制御されます。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer]
"Enabled"=dword:00000001

管理者としてcmdを実行し、コマンドを使用するだけです。

reg add HKLM\system\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer \
    /v Enabled /t REG_DWORD /d 0x1 /f
w32tm /config /update

WindowsマシンにNTPv3準拠のタイムサーバーがすぐにインストールされます。

0
Esa Jokinen

クライアントネットワーク上のタイムサーバーを使用して時刻を更新する場合、NTPサービスがそのマシンからNTPポート123/udpを使用する双方向プロトコルです。

クライアントネットワーク上の任意のマシンがサーバー上のNTPサービスにアクセスするのをブロックする場合は、外部タイムサーバー(uk.pool.ntp.orgなど)を選択して構成する必要があります。クライアントネットワークからポート123/udpへのすべてのアクセスをブロックするサーバーファイアウォール。

(これはPaterSiulの回答に対するコメントでしたが、私の担当者はコメントするのに十分な高さではありません!)

1
Pak

techrepublic を試すか、もう少し詳しくは このMicrosoftブログ投稿 を試してください。

更新:Esa Jokinenは、彼の回答に私のリンクの主要部分を持っています。

私が最初に見逃した2番目の部分に答えるには:WindowsのタイムサービスをインターフェイスまたはIP範囲に直接制限する方法がわかりません。私はファイアウォールルールでそれを解決します:

netsh advfirewall firewall add rule name="NTP" dir=in action=allow protocol=UDP localport=123 remoteip=157.60.0.1,172.16.0.0/16 enable=yes

remoteip = 157.60.0.1,172.16.0.0/16」は単なる例であり、残りはあなたがしなかったと仮定して、あなたが望むもののために働くはずですデフォルトのポリシーをブロックから受け入れに変更します。

0
PaterSiul