Я соглашусь с sysadmin1138 на первых 2 предложениях в его ответе:
Это не то, как NTP работает, предполагая полного клиента NTP. NTP работает путем дисциплинирования локальных часов, таким образом, это не может упасть из синхронизации, а не твердой установки это назад к истинному.
Остальное, в то время как верный, является довольно ненужным.
Все контроллеры домена являются серверами NTP по умолчанию. DC, который содержит "Эмулятор PDC" роль FSMO, должен быть настроен для синхронизации с Интернетом сервера NTP, предпочтительно слой 2 сервера. Весь другой DCS будет автоволшебно синхронизировать себя с тем DC.
Все доменные участники будут автоволшебно синхронизировать с их самым близким DC.
За исключением конфигурации DC Эмулятора PDC, все это происходит без ручной требуемой конфигурации. Нет действительно никакой потребности смешать с ним при нормальных обстоятельствах.
Если у Вас есть машины не-Windows в Вашей среде, можно просто настроить их для использования AD доменного имени в качестве сервера NTP (предполагающий, что они используют те же серверы DNS в качестве доменных членских машин), начиная с DNS, который запись для AD доменного имени всегда разрешает ко всем IP-адресам DC.
.crt
файлы обычно содержат сертификат X.509, который имеет только открытый ключ. IIS нужны и сертификат и в закрытый ключ для действия как сервер TLS.
Часто, можно экспортировать сертификат и закрытый ключ вместе в формате PKCS#12 (.pfx
/.p12
).
Если у Вас есть закрытый ключ в отдельном .key
или .pem
файл, необходимо смочь использовать OpenSSL для объединения их:
openssl pkcs12 -export -in foo.crt -inkey foo.key -out foo.p12
(Иногда -inform der
необходимо.)