Windows Server 2012 R2 设置 NTP 服务

本文详细介绍了如何在Windows Server 2012 R2上配置NTP服务,包括必要的注册表修改步骤,启动服务的方法,以及添加防火墙规则以允许外部设备进行时间同步。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

http://www.cnblogs.com/sun8134/p/3837115.html

Windows Server 2012 R2 设置 NTP 服务

其实和以前的server版本配置没啥不一样

 

都是先改注册表:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\

设置 AnnounceFlags 为 5

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer\

设置 Enabled 为 1

 

然后重启下服务 (其实win server12 默认根本没有启用 w32time 服务…)

net stop w32time 
net start w32time

 

最后加入防火墙规则,打开端口 123 ,命令提示符:

netsh firewall add portopening protocol = UDP port =123 name = NTPSERVER

然后终端就可以设置同步了

建议终端修改下时间间隔,注册表:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient

SpecialPollInterval 默认为 604800 =7天 * 24小时 * 60分钟 * 60秒 (也就是说默认是一周同步一次)

改为自己认为合适的时间

 

另外服务器端还有几个可选配置,注册表:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters

NtpServer 为同步的时间服务源,可以直接改注册表来指定(不一定非要在 控制面板 中设置,其实俩效果是一样的)

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config

MaxNegPhaseCorrection 表示若网络时间比本地时间快,超过这个秒数将不自动校正

MaxPosPhaseCorrection 表示若网络时间比本地时间慢,超过这个秒数将不自动校正

若要设置每次必定校正,则设置值为 FFFFFFFF (十六进制)


<think>嗯,用户需要配置Windows Server 2012 R2的AD DS服务为RHEL和SLES系统提供身份验证。这是一个典型的跨平台域环境集成需求,核心在于让Linux系统通过SSSD或Winbind加入Windows域。 用户可能是企业IT管理员,正在搭建混合操作系统环境的基础架构。从提问方式看,用户对Windows服务有一定了解,但对Linux集成细节可能不太熟悉。需要特别注意RHEL和SLES的不同配置路径——前者主要用realmd+SSSD,后者传统方案是YaST+Winbind。 首先考虑基础前提:Windows域必须健康运行。需要确认DNS解析双向可用,这是后续所有步骤的基石。特别要注意Linux系统的反向PTR记录,很多认证失败都源于此。另外,时间同步必须精确到分钟级,否则Kerberos票据会失效。 对于RHEL系配置,现在主流方案是realmd简化流程。但要注意禁用IPV6这个坑——很多文档没提,实际网络环境如果IPV6配置不当会导致SSSD守护进程挂起。而SLES的Winbind配置需要特别注意Samba版本兼容性,新版本可能要用到smbclient的新参数。 安全方面要强调防火墙端口:Linux客户端需开放UDP123(NTP)和UDP/TCP的Kerberos端口,Windows服务器则要确保AD相关端口不被屏蔽。测试阶段建议先用getent passwd验证基础连接,再尝试ssh登录,这样分层排错更高效。 最后考虑用户管理策略:是否需要限制某些AD组?是否配置sudo规则?这些虽然不涉及基础连接,但属于实际部署的关键环节。在问答环节特意加入了PAM和sudo的配置提醒,因为这两点经常在初期部署后被遗漏。</think>要在Windows Server 2012 R2上配置AD DS为RHEL和SLES提供身份验证,需完成以下关键步骤: --- ### **一、Windows Server 配置 AD DS** 1. **安装 AD DS 角色** - 打开 *服务器管理器* → *添加角色和功能* - 选择 **Active Directory 域服务 (AD DS)**,按向导完成安装 - 安装后提升为域控制器(新建林或加入现有域) 2. **配置 DNS 服务器** - 确保DNS服务正常运行 - 创建正向查找区域(如 `example.com`) - 添加Linux主机的A记录和PTR反向解析记录 3. **创建服务账户** - 打开 *Active Directory 用户和计算机* - 新建专用账户(如 `linux-join`),勾选 **密码永不过期** *(用于Linux加入域的操作)* 4. **开放防火墙端口** - 允许核心协议端口: - Kerberos: **TCP/UDP 88** - LDAP: **TCP 389** - LDAPS: **TCP 636** - GC: **TCP 3268** - SMB: **TCP 445** --- ### **二、Linux 客户端配置** #### **RHEL/CentOS 配置** ```bash # 安装必要组件 sudo yum install realmd sssd oddjob oddjob-mkhomedir adcli samba-common # 加入域 sudo realm join --user=linux-join example.com -v # 配置SSSD sudo vi /etc/sssd/sssd.conf # 确保以下配置: [domain/example.com] id_provider = ad access_provider = ad override_homedir = /home/%u default_shell = /bin/bash # 重启服务 sudo systemctl restart sssd ``` #### **SLES 配置** ```bash # 安装Winbind/Samba sudo zypper install samba-winbind # 编辑Samba配置 sudo vi /etc/samba/smb.conf # 添加: [global] workgroup = EXAMPLE realm = EXAMPLE.COM security = ads idmap config * : backend = rid idmap config * : range = 10000-20000 winbind use default domain = yes # 加入域 sudo net ads join -U linux-join # 启用Winbind sudo systemctl enable winbind sudo systemctl start winbind # 配置PAM认证 sudo pam-config -a --winbind ``` --- ### **三、验证配置** 1. **检查域成员关系** ```bash # RHEL realm list # SLES sudo net ads testjoin ``` 2. **验证用户解析** ```bash getent passwd example.com\\username ``` 3. **测试登录** ```bash ssh username@linux-host.example.com ``` --- ### **四、关键注意事项** 1. **时间同步** 所有节点必须使用同一NTP服务器(如Windows域控制器),最大时间偏差≤5分钟: ```bash sudo chronyc sources # RHEL sudo ntpq -p # SLES ``` 2. **DNS解析** Linux的`/etc/resolv.conf`必须将AD的DNS设为首选 3. **防火墙规则** Linux需放行Kerberos/LDAP端口(参考Windows端口列表) 4. **SELinux** 在RHEL中如遇权限问题,临时禁用测试: ```bash sudo setenforce 0 ``` > **排错工具**: > - Windows端:`dcdiag /test:dns` > - Linux端:`sssctl domain-status example.com` --- ### **五、高级配置建议** - **sudo集成**:将AD组加入`/etc/sudoers.d/`规则 - **家目录自动创建**:确保`oddjob-mkhomedir`服务启用 - **安全加固**:启用LDAPS (需配置AD证书服务) ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值