セットアップは次のとおりです。お客様のサイトにWindowsServer2008R2サーバーがあります。信頼の理由から、これらのマシンはCustomersドメインのメンバーではありません。また、それら自体はドメインホストとして機能しておらず、厳密にスタンドアロンインスタンスです。この設定は変更できません。
カスタマーネットワークに接続されているWindowsServerは、「w32tm」を介してNTP更新を受信します。これらのサーバーは、顧客ネットワーク上にない追加のマシンを備えたプライベートスタブネットワークにも接続されています。より良いログ同期を提供するために、スタブ上のホストにNTPサービスを提供したいと思います。
私がオンラインで見つけることができるすべてのドキュメントは、Windowsサーバーがドメインコントローラーであると想定しているようです。
可能であれば、NTPサーバーサービスをスタブネットワークに提供したいだけです。顧客ネットワークから到達可能であってはなりません。
セットアップするための最良の方法は何ですか?
NTPサーバーは、ドメインコントローラーの役割ではなく、WindowsServerだけの機能でもありません。
Windows Time Service(w32time)には、すべてのWindowsコンピューターにクライアントとサーバーの両方が組み込まれています。サーバー側はデフォルトで無効になっており、WindowsServerではdcpromo
中に自動的に有効になります。
サーバーの状態は、レジストリキーを介して制御されます。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer]
"Enabled"=dword:00000001
管理者としてcmd
を実行し、コマンドを使用するだけです。
reg add HKLM\system\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer \
/v Enabled /t REG_DWORD /d 0x1 /f
w32tm /config /update
WindowsマシンにNTPv3準拠のタイムサーバーがすぐにインストールされます。
クライアントネットワーク上のタイムサーバーを使用して時刻を更新する場合、NTPサービスがそのマシンからNTPポート123/udpを使用する双方向プロトコルです。
クライアントネットワーク上の任意のマシンがサーバー上のNTPサービスにアクセスするのをブロックする場合は、外部タイムサーバー(uk.pool.ntp.orgなど)を選択して構成する必要があります。クライアントネットワークからポート123/udpへのすべてのアクセスをブロックするサーバーファイアウォール。
(これはPaterSiulの回答に対するコメントでしたが、私の担当者はコメントするのに十分な高さではありません!)
techrepublic を試すか、もう少し詳しくは このMicrosoftブログ投稿 を試してください。
更新:Esa Jokinenは、彼の回答に私のリンクの主要部分を持っています。
私が最初に見逃した2番目の部分に答えるには:WindowsのタイムサービスをインターフェイスまたはIP範囲に直接制限する方法がわかりません。私はファイアウォールルールでそれを解決します:
netsh advfirewall firewall add rule name="NTP" dir=in action=allow protocol=UDP localport=123 remoteip=157.60.0.1,172.16.0.0/16 enable=yes
「remoteip = 157.60.0.1,172.16.0.0/16」は単なる例であり、残りはあなたがしなかったと仮定して、あなたが望むもののために働くはずですデフォルトのポリシーをブロックから受け入れに変更します。