Authenication NTP do Windows Server

2

Eu configurei um servidor NTP em um Windows Server 2008. A sincronização de horário funciona com clientes Windows e clientes não-domínio, mas agora tenho comutadores que querem autenticar-se no servidor NTP e enviar códigos de autenticação. Eu não configurei nenhuma autenticação NTP e não tenho certeza se o servidor windows ntp é capaz de autenticar esses clientes. Até agora eu não descobri como desabilitar a autenticação em meus switches, mesmo assim não habilitei esse recurso.

O Windows Server NTP Serber é capaz de autenticar clientes que não são do domínio?

    
por Sinista 09.10.2014 / 14:49

1 resposta

2

Do TechNet:

The Windows Time source authenticates with a time source client. In an Active Directory forest, the Windows Time service (W32time) relies on standard domain security features to enforce the authentication of time data. The security of Network Time Protocol (NTP) packets that are sent between a domain member and a local domain controller that is acting as a time server is based on shared key authentication. The Windows Time service uses the local computer's Kerberos session key to create authenticated signatures on NTP packets that are sent across the network. When a computer requests the time from a domain controller in the domain hierarchy, the Windows Time service requires that the time be authenticated. The domain controller then returns the required information in the form of a 64-bit value that has been authenticated with the session key from the NetLogon service. If the returned NTP packet is not signed with the computer’s session key or if it is not signed correctly, the time is rejected. In this way, the Windows Time service provides security for NTP data in an Active Directory forest.

Portanto, para usar a autenticação no Windows Time, você precisa da participação no domínio do Active Directory.

Não acredito que você possa desativar a autenticação no IOS (adivinhando - não sei que tipo de switch de rede está usando) ou voltar a usar o SNTP. Portanto, se você precisar sincronizar essa opção com esse servidor Windows, sua única opção restante será desativar o Horário do Windows e instalar um servidor NTP v4. (O que provavelmente afetaria negativamente seus clientes Windows.)

Veja este post da Cisco para uma corroboração do que acabei de dizer:

link

Veja também esta outra postagem do Serverfault:

O Cisco ASA5505 não será sincronizado com o NTP

    
por 09.10.2014 / 15:19