windows-server-2008-r2 – 在Windows系统上使用身份验证的NTP

在AD DS林中,Windows时间服务依赖于标准域安全功能来强制执行时间数据身份验证.在域成员计算机和充当时间服务器的本地域控制器之间发送的NTP数据包的安全性基于共享密钥身份验证. Windows时间服务使用计算机的Kerberos会话密钥在通过网络发送的NTP数据包上创建经过身份验证的签名. NTP数据包不在Net Logon安全通道内传输.

相反,当计算机从域层次结构中的域控制器请求时间时,Windows时间服务要求对时间进行身份验证.然后,域控制器以64位值的形式返回所需信息,该值已使用Net Logon服务中的会话密钥进行了身份验证.如果返回的NTP数据包未使用计算机的会话密钥签名或签名不正确,则会拒绝该时间.所有此类身份验证失败都记录在事件日志中.通过这种方式,Windows时间服务为AD DS林中的NTP数据提供安全性.

因此,为了在Windows Time中使用身份验证,您需要Active Directory域成员身份.

有关详细信息,请参阅以下链接.

https://technet.microsoft.com/en-us/library/cc773013%28WS.10%29.aspx