Windows11でNTPサーバを公開したくても設定や権限やファイアウォールでつまずいてしまい不安になることが多いですよね。
この記事を読めば最初の設定から公開確認まで実体験に基づく手順と使えるコマンドで迷わず進められます。
| 項目 | 内容 |
|---|---|
| 独自コンテンツ1 | 実際に使ったコマンドとレジストリ編集を順を追って説明します。 |
| 独自コンテンツ2 | ファイアウォールやサービス権限でよくある失敗とその回避法を具体的に紹介します。 |
| 独自コンテンツ3 | 公開後に同期を確認するテスト方法と運用で気をつけるポイントを丁寧に示します。 |
ひとつずつ順番に進めれば確実に公開できる内容ですから落ち着いて進めてみてください。
Windowsマニア初めてだと緊張しますが大丈夫です。焦らず手順どおりやればちゃんと動きますし困ったときは何度でも読み返してください。
Windows11でNTPサーバを公開する基本的な設定方法
自宅や社内でWindows11を使って簡単にNTPサーバを公開できます。手順は思ったよりシンプルで、設定と反映とファイアウォールの許可が主な作業になります。初めてでも迷わないように具体的なコマンド例を後で示します。
ざっくり言うとやることは3つです。1.manualpeerlistで参照元を指定すること。2.設定を反映してWindowsTimeサービスを再起動すること。3.ファイアウォールでUDP123を開けることです。
実務的なコツとしては固定IPかDNS名で公開することと、公開前にローカルで同期が正常か確認しておくことです。小さなネットワークならプライベートプロファイルだけ開けておくと安心です。
Windowsマニア落ち着いて順番にやれば大丈夫です。設定例をそのままコピペすれば動くことが多いので、勇気を出して一歩進めてみてください。
w32tmコマンドでNTPサーバを設定して公開する手順
w32tmはWindowsの時刻同期コマンドです。NTPサーバとして応答させるにはmanualpeerlistで参照元を指定し、reliableをyesに設定する流れが基本になります。
管理者権限のPowerShellでコマンドを実行し、その後設定反映とサービス再起動を行います。次のコマンドは実際に使える例なのでコピーして試してください。
w32tm /config /manualpeerlist:"0.pool.ntp.org,1.pool.ntp.org" /syncfromflags:MANUAL /reliable:yes /update管理者としてPowerShellを開いてmanualpeerlistを設定するコマンドを実行する場所と例
スタートメニューからPowerShellを右クリックして管理者として実行してください。管理者でないと設定が反映されないことがあるので注意です。
管理者PowerShellで先ほどのw32tm /config /manualpeerlist:…のコマンドを実行してください。引用符を含めてそのまま貼り付けると安全です。
w32tm /config /updateを使って設定を反映しWindows Timeサービスを再起動する方法
w32tm /config /updateまたは先のコマンドに含めた/updateで設定を反映します。反映忘れが最も多いミスなので落ち着いて実行してください。
Restart-Service w32timeまたはnet stop w32time && net start w32timeでサービスを再起動してください。再起動後に状態を確認します。
WindowsのファイアウォールでUDP123を許可するnetshコマンドを実行する手順
管理者PowerShellまたは管理者コマンドプロンプトでnetsh advfirewall firewall add rule name=”NTP” dir=in action=allow protocol=UDP localport=123 profile=private,publicを実行してUDP123を許可してください。
netsh advfirewall firewall show rule name=”NTP”でルールが追加されているか確認してください。誤って広く公開しないようプロファイルを確認すると安全です。
設定後に動作確認する方法
設定後はローカルとネットワーク越しで動作確認をします。まずはWindows自身で同期状態を見て問題がないかチェックしてください。
その後別端末からstripchartで応答を測ると公開が成功している実感が得られます。次に示すコマンドでまずローカルの状態を確認してください。
w32tm /query /statusPowerShellでw32tm /query /statusを実行して同期状態を確認する手順
PowerShellでw32tm /query /statusを実行してください。SourceやLastSuccessfulSyncTimeが主要な確認ポイントです。
Sourceが設定したNTPかlocalclock以外になっているかを確認し、PollIntervalやStratumで異常がないかをチェックしてください。
別の端末からw32tm /stripchartでWindows11のNTP応答を確認する方法
別のWindows端末でw32tm /stripchart /computer:サーバのIPまたはホスト名 /dataonly /samples:5を実行して応答を確認してください。
OffsetやDelayの値が安定して返ってくれば公開成功です。応答がない場合はファイアウォールやネットワーク経路を見直してください。
Windows11でLAN向けにNTPを安全に運用する応用テクニック
LAN内だけで安全にWindows11をNTPサーバとして運用するなら、公開範囲とアクセス制御を二重にしておくと安心です。ファイアウォールでUDP123を絞ることと、Windowsの時刻サービス設定で公開モードを調整することが基本になります。
ここでは実際に手を動かしやすい順に、誰に公開するかを決めてからルールを作る方法を紹介します。小さなオフィスや実験環境ならIP制限とAnnounceFlagsの切り替えだけで十分なことが多いです。
- ファイアウォールでUDP123の受け口を特定のIPまたはサブネットに限定する方法を使う。実機への影響が小さく安全性が高いです。
- レジストリのTypeやAnnounceFlagsを変更してサーバの公開レベルを制御する。Windowsの時刻サービスの見え方を切り替えられます。
- 設定後はw32tmコマンドで動作確認とログ確認をする。応答性や同期精度を実際に確かめてから運用するのが良いです。
特定端末だけ同期させるIP制限と公開レベルの調整
特定端末だけ同期させたいときは、まず誰が同期するかをはっきりさせてIP制限を設計します。ファイアウォールで送信元IPを限定すれば、NTPトラフィックをLAN内の指定機だけに絞れます。
さらにレジストリで公開モードを下げると、不用意に外部から見つからないようにできます。設定後はクライアント側からw32tm /queryやstripchartで同期確認をして、必要ならログを有効にして様子を見てください。
netsh advfirewallで特定IPからのUDP123のみを許可するファイアウォールルールを作る手順
まず現状を把握します。コマンドプロンプトでnetsh advfirewall firewall show rule name=allを実行して既存のルールを確認してください。
信頼するクライアントのサブネットだけを許可するルールを追加します。例としてnetsh advfirewall firewall add rule name=NTP-Allow-192.168.1.0/24 protocol=UDP localport=123 dir=in action=allow remoteip=192.168.1.0/24 profile=private enable=yesを実行してください。
追加後に再度netsh advfirewall firewall show rule name=allでルールを確認し、クライアントからw32tm /stripchart /computer:サーバIP /dataonly /period:1で応答を確認してください。
レジストリエディタでAnnounceFlagsやTypeを変更して公開モードを調整する具体的なやり方
レジストリエディタでHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\ParametersとHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Configを開いてください。
ParametersのTypeはNTPに設定すると手動指定の外部時刻源を使います。ConfigのAnnounceFlagsは5にすると信頼できる公開に切り替わります。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServerのEnabledを1にしてから、Windows Timeサービスを再起動しw32tm /resyncで反映を確認してください。
よくある質問
- Windows11をNTPサーバとして使えますか。
使えます。レジストリでサービスを有効化し、タイムサービスを公開する設定が必要です。家庭内や小規模ネットワーク向けの手軽な方法で、本番環境では専用機を検討してください。
- 設定でよく間違えるポイントは何ですか。
WindowsのファイアウォールでUDP123を許可していないことが多いです。時間サービスのタイプを間違えると同期ができないので、公開するインターフェースを明確にしてください。
- 精度や信頼性は期待できますか。
家庭や社内LANなら十分に使えますが、ミリ秒単位の精度が必要ならGPSや専用NTP装置を勧めます。NTPはネットワーク遅延の影響を受けることを意識してください。
- 外部に公開してもいいですか。
基本的にはおすすめしません。公開する場合はアクセス制御やVPN経由にして、不正利用や負荷対策を行ってください。
まとめ
ここまでの手順でWindows11をNTPサーバとして公開する基本が整います。レジストリでNtpServerやAnnounceFlagsを設定し、WindowsTimeサービスを有効にすれば社内向けの時刻配信が可能になります。
作業は次の順で進めると分かりやすいです。レジストリ編集とサービス再起動、ファイアウォールでUDP123開放、上位NTPの指定、w32tmコマンドで同期状態を確認してください。
公開範囲は必ず内部ネットワークに限定し、ログで動作を確認し続けてください。外部公開する場合は専用機やハードウェア時計を検討し、セキュリティ対策を優先してください。
Windowsマニア緊張せず一つずつ進めれば大丈夫です。もし迷ったらログを見て小さな変化から対応してみてください。