Cómo configurar el Servicio de hora de Windows para evitar una diferencia horaria grande
En este artículo se describe cómo configurar el servicio de hora de Windows con un desplazamiento de tiempo grande.
Se aplica a: Windows 10 (todas las ediciones), Windows Server 2012 R2
Número de KB original: 884776
Introducción
Los sistemas operativos Windows incluyen la herramienta Time Service (servicio W32Time) que usa el protocolo de autenticación Kerberos. La autenticación Kerberos funcionará si el intervalo de tiempo entre los equipos pertinentes está dentro del intervalo de tiempo máximo habilitado. El valor predeterminado es 5 minutos. También puede desactivar la herramienta Time Service. A continuación, puede instalar un servicio de hora de terceros.
El propósito de la herramienta Time Service es asegurarse de que todos los equipos de una organización que ejecutan Microsoft Windows 2000 o versiones posteriores de sistemas operativos Windows usan un tiempo común. Para asegurarse de que hay un uso de tiempo común adecuado, el servicio de hora usa una relación jerárquica que controla la autoridad. De manera predeterminada, los equipos basados en Windows utilizan la siguiente jerarquía:
Todos los equipos de escritorio cliente nominan el controlador de dominio de autenticación como su origen de tiempo autoritativo.
En un dominio, todos los servidores siguen el mismo proceso que siguen los equipos de escritorio cliente.
Todos los controladores de dominio de un dominio nombran al maestro de operaciones del controlador de dominio principal (PDC) como su origen de tiempo.
Todos los maestros de operaciones de PDC siguen la jerarquía de dominios en la selección de su origen de tiempo. Sin embargo, los maestros de operaciones de PDC pueden usar un controlador de dominio primario basado en la numeración de estratos.
Nota:
Un número de estrato define la proximidad de un servidor de hora al origen de referencia principal.
Cuanto menor sea el número, más cercano será el servidor al origen de hora principal. En esta jerarquía, el maestro de operaciones de PDC en la raíz del bosque se convierte en el servidor de hora autoritativo de la organización. Se recomienda encarecidamente configurar el servidor de hora autoritativo para recopilar la hora de un origen de hardware. Al intentar configurar el servidor de hora autoritativo para que se sincronice con un origen de hora de Internet, no hay autenticación. También se recomienda reducir la configuración de corrección de tiempo para los servidores y para los clientes independientes. Al seguir estas recomendaciones, se proporciona una hora más precisa al dominio.
Más información
Una revisión de las reversiones de tiempo ha demostrado que los equipos pueden adoptar tiempo que puede ser días, meses, años o incluso decenas de años en el futuro o en el pasado. Los siguientes problemas pueden producirse cuando los equipos se revierten o revierten en el tiempo:
- Las contraseñas de las cuentas de equipo, las cuentas de usuario y las relaciones de confianza se pueden actualizar prematuramente.
- Las cuarentenas se pueden identificar mediante el evento de replicación NTDS 2042 en la replicación del servicio de directorio de Active Directory.
- La falta de coincidencia de contraseñas se restaura autoritativamente para las cuentas de equipo, para las cuentas de usuario o para las relaciones de confianza. La recuperación de estas discrepancias puede requerir restablecimientos de contraseña manuales en todas las cuentas y confianzas que se ven afectadas.
Protección frente al tiempo que se adelanta y se revierte el tiempo
Cuando se reinician los equipos y los ciclos de energía, el BIOS mantiene el tiempo en la EPROM local que se encuentra en la placa base del equipo. Cuando se inicia Windows, el kernel extrae la hora actual del BIOS. Esta hora actual se usa como la hora inicial hasta que el servicio W32Time puede sincronizarse con otro origen de hora.
El servicio de hora de Windows 32 admite dos entradas del Registro: MaxPosPhaseCorrection y MaxNegPhaseCorrection. Estas entradas restringen los ejemplos que el servicio de hora acepta en un equipo local cuando esos ejemplos se envían desde un equipo remoto.
Cuando un equipo que se ejecuta en un estado estable recibe una muestra de tiempo de su origen de tiempo, el ejemplo se comprueba con respecto a los límites de corrección de fase que imponen las MaxPosPhaseCorrection entradas del Registro y MaxNegPhaseCorrection . Si el ejemplo de tiempo está dentro de los límites que aplican las dos entradas del Registro, este ejemplo se acepta para un procesamiento adicional. Si el ejemplo de tiempo no está dentro de estos límites, se omite el ejemplo de tiempo y el servicio de hora registra el siguiente mensaje en el archivo de registro privado W32Time:
DEMASIADO GRANDE
Si los administradores reducen el valor de las correcciones de fase positivas y negativas, los administradores pueden reducir la amenaza de que los equipos reciban tiempo de ejemplos de tiempo no válidos para un equipo basado en Windows. Por otro lado, si los administradores reducen el valor, los administradores pueden impedir que los equipos estén por delante o por detrás de la hora actual por más de los límites que estos valores imponen.
Nota:
Si se reducen los valores de entrada del Registro para correcciones positivas y negativas, se aumentará o disminuirá el tiempo.
El valor predeterminado para las entradas y MaxNegPhaseCorrection del MaxPosPhaseCorrection Registro en Windows 2000, en Windows XP, en Windows Server 2003 y en Windows Vista es el siguiente:
0xFFFFFFF
Este valor permite al equipo recibir el tiempo contenido en cualquier ejemplo de tiempo, sea cual sea la imprecisión.
En Windows Server 2008, se ha adoptado un nuevo valor predeterminado para las entradas del Registro MaxPosPhaseCorrection y MaxNegPhaseCorrection. Este nuevo valor predeterminado es de 48 horas. Este valor de 48 horas se puede representar como uno de los valores siguientes:
- 2a300 (hexadecimal)
- 172800 (decimal)
Se recomienda establecer las entradas y MaxNegPhaseCorrection del MaxPosPhaseCorrection Registro en un valor distinto del siguiente:
MAX (0xFFFFFFFF)
Nota:
Al establecer el valor en un valor distinto de MAX (0xFFFFFFFF), puede impedir que los equipos adopten un tiempo muy inexacto en los escenarios en los que se reinicia el equipo o se interrumpe la conectividad con orígenes de tiempo externos. Por ejemplo, considere el caso en el que tiene las entradas del Registro MaxPosPhaseCorrection y MaxNegPhaseCorrection establecidas durante 48 horas en todos los controladores de dominio del bosque. Si cualquier controlador de dominio único experimenta un salto de tiempo inusual de más de 48 horas, el valor establecido para las entradas del registro MaxPosPhaseCorrection y MaxNegPhaseCorrection impedirá que otros equipos realicen el mismo salto de tiempo. Por lo tanto, los equipos que no están sincronizados se pueden mantener separados de los demás equipos hasta que el administrador pueda investigar y tomar medidas correctivas.
La precisión del tiempo es especialmente importante en el controlador de dominio principal (PDC) raíz del bosque. Dado que el PDC es el origen de la hora raíz del dominio, los cambios de hora inexactos en el PDC pueden provocar un salto de tiempo en todo el dominio. Si impone restricciones de corrección de fases en el PDC, puede impedir que otros controladores de dominio del bosque acepten la nueva hora.
El valor predeterminado de 48 horas en lugar de un valor predeterminado de 5 minutos o 15 minutos se basa en los siguientes motivos:
- La salida de la utilidad W32TM es difícil de leer.
- W32TM actualmente no tiene como destino la hora en los equipos miembros y en los servidores miembros.
- Los errores y los eventos que registran el sistema operativo Windows y las aplicaciones independientes de terceros son muy incoherentes. Entre los posibles errores se incluyen códigos de retorno similares a los siguientes:
- acceso denegado
- El servidor RPC no está disponible
Nota:
Estos errores tienen una correlación baja con el sesgo de tiempo porque la causa puede impedir que los equipos basados en Windows adopten un valor de hora preciso.
- Los errores de horario de verano pueden causar diferencias de hora de 1 hora.
- La configuración incorrecta de AM o PM puede causar una diferencia de hora de 12 horas.
- Los errores de día o de fecha pueden causar una diferencia de hora de 24 horas.
Por lo tanto, 48 horas fue el siguiente desplazamiento de tiempo obvio después de 25 o 36 horas. Los administradores también pueden reducir el valor con herramientas correctas que notifican infraestructura y pruebas.
En las secciones siguientes se describen recomendaciones específicas según la versión del sistema operativo y el rol de equipo.
Windows XP Professional y todas las versiones de Windows Server 2003
Servidores de dominio
PDC raíz del bosque (servidor de hora autoritativo)
Se recomienda encarecidamente configurar el servidor de hora autoritativo para recopilar la hora de un origen de hardware. Al configurar el servidor de hora autoritativo para que se sincronice con un origen de hora de Internet, no hay autenticación. Debe volver a configurar las siguientes entradas del Registro:
MaxPosPhaseCorrectionMaxNegPhaseCorrection
El valor predeterminado de estas dos entradas del Registro es 0xFFFFFFFF. Este valor predeterminado significa "Aceptar cualquier cambio de hora". Se recomienda un valor de 48 horas. Se representa en el registro como 2a300 (hexadecimal) o 172800 (decimal). Se recomienda establecer el valor de la entrada del Registro MaxPollInterval en 10 o menos o que establezca el valor de la entrada del Registro SpecialPollInterval en 3600 (1 hora) o menos.
Controladores de dominio y servidores miembros dentro del dominio
Las MaxPosPhaseCorrection entradas y MaxNegPhaseCorrection del Registro tienen un valor predeterminado de 0xFFFFFFFF. Este valor predeterminado significa "Aceptar cualquier cambio de hora". Se recomienda establecer este valor en 48 horas en todos los controladores de dominio. El valor de 48 horas también se puede establecer en servidores miembros que ejecutan aplicaciones basadas en el tiempo confidencial.
Nota:
Para obtener más información sobre estas entradas del Registro, vea la sección Entradas del Registro del Servicio de hora de Windows Server 2003 y Windows XP .
Clientes independientes
Las MaxPosPhaseCorrection entradas y MaxNegPhaseCorrection del Registro tienen un valor predeterminado de 54 000 (15 horas). Como procedimiento recomendado de seguridad, se recomienda reducir este valor predeterminado. También se recomienda establecer el valor en 3600 (1 hora) o un valor aún más pequeño, según el origen de tiempo, la condición de red, el intervalo de sondeo y los requisitos de seguridad.
Entradas del registro del servicio de hora de Windows Server 2003 y Windows XP
| Tipo | Detalles |
|---|---|
| Entrada del Registro | MaxPosPhaseCorrection |
| Tipo de valor | DWORD |
| Subclave | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| Notas | Esta entrada especifica la mayor corrección de tiempo positivo en segundos que puede realizar el servicio. Si el servicio determina que un cambio mayor de lo necesario, registra un evento en su lugar. Caso especial: 0xFFFFFFFF significa hacer siempre la corrección de tiempo. El valor predeterminado para los miembros del dominio es 0xFFFFFFFF. El valor predeterminado para los clientes y servidores independientes es 54 000 (15 horas). |
| Entrada del Registro | MaxNegPhaseCorrection |
| Tipo de valor | DWORD |
| Subclave | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| Notas | Esta entrada especifica la mayor corrección de tiempo negativo en segundos que puede realizar el servicio. Si el servicio determina que se requiere un cambio mayor que este, registra un evento en su lugar. Caso especial: -1 significa que siempre se realiza la corrección de tiempo. El valor predeterminado para los miembros del dominio es 0xFFFFFFFF. El valor predeterminado para los clientes y servidores independientes es 54 000 (15 horas). |
| Entrada del Registro | MaxPollInterval |
| Tipo de valor | DWORD |
| Subclave | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| Notas | Esta entrada especifica el intervalo más grande, en segundos, que está habilitado para el intervalo de sondeo del sistema. Tenga en cuenta que, aunque un sistema debe sondear según el intervalo programado, un proveedor puede negarse a producir muestras cuando se solicitan muestras. El valor predeterminado para los miembros del dominio es 10. El valor predeterminado para los clientes y servidores independientes es 15. |
| Entrada del Registro | SpecialPollInterval |
| Tipo de valor | DWORD |
| Subclave | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient |
| Notas | Esta entrada especifica el intervalo de sondeo especial en segundos para los elementos del mismo nivel manuales. Cuando la marca SpecialInterval 0x1 está habilitada, W32Time usa este intervalo de sondeo en lugar de un intervalo de sondeo que determina el sistema operativo. El valor predeterminado de los miembros del dominio es 3600. El valor predeterminado en clientes y servidores independientes es 604 800. |
Nota:
Se recomienda usar el objeto de directiva global Editor para implementar esta configuración. Para obtener más información sobre el servicio de hora de Windows en un bosque basado en Windows Server 2003, vea Servicio de hora de Windows (W32Time).
Es posible que los valores predeterminados del parámetro de servicio de hora de Windows definidos en el objeto de directiva de grupo (GPO) no coincidan con los valores predeterminados definidos en el Registro de controladores de dominio basados en Windows Server 2003. Al implementar los valores MaxPosPhaseCorrection y MaxNegPhaseCorrection en controladores de dominio de Windows Server 2003 mediante un GPO, asegúrese de que el GPO no cambia los valores de otros parámetros de servicio de hora de Windows en el Registro. Es posible que otros valores de parámetro de servicio de hora de Windows también tengan que cambiarse en el GPO para que coincidan con los valores predeterminados del Registro en los controladores de dominio.
Todas las versiones de Windows 2000 Service Pack 4 (SP4)
Servidores de dominio
PDC raíz del bosque (servidor de hora autoritativo)
Se recomienda encarecidamente configurar el servidor de hora autoritativo para recopilar la hora de un origen de hardware. Al configurar el servidor de hora autoritativo para que se sincronice con un origen de hora de Internet, no hay autenticación en modo manual. Puede volver a configurar la entrada del MaxAllowedClockErrInSecs Registro. El valor predeterminado es 43 200. El valor recomendado es 900 (15 minutos) o un valor aún más pequeño, según el origen de tiempo, las condiciones de red y los requisitos de seguridad. También depende del intervalo de sondeo. Se recomienda establecer el valor del intervalo de sondeo en una hora por cada 24 horas.
Nota:
Para obtener más información sobre esta entrada del Registro, consulte la sección De entrada del Registro de Windows Server 2000 SP 4 .
Controladores de dominio y servidores miembros dentro del dominio
El tipo de sincronización es NT5DS. El servicio de hora se sincroniza desde la jerarquía de dominio y el servicio de hora acepta cambios en todo momento. Dado que NT5DS acepta cualquier cambio de tiempo sin tener en cuenta el desplazamiento de tiempo, es importante configurar un origen de tiempo raíz de bosque confiable en la subred de sincronización de tiempo.
Nota:
El valor NT5DS indica que el tipo de sincronización se obtiene de una entrada del Registro.
Clientes independientes
La MaxAllowedClockErrInSecs entrada del Registro tiene un valor predeterminado de 43 200 (12 horas). Como procedimiento recomendado de seguridad, se recomienda reducir este valor predeterminado. Se recomienda establecer el valor en 3600 (1 hora) o en un valor aún más pequeño, según el origen de tiempo, las condiciones de red, el intervalo de sondeo y los requisitos de seguridad.
Entrada del Registro de Windows Server 2000 SP 4
| Tipo | Detalles |
|---|---|
| Entrada del Registro | MaxAllowedClockErrInSecs |
| Tipo de valor | DWORD |
| Subclave | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters |
| Notas | Especifica el cambio de reloj máximo que está habilitado en segundos. Cuando se registra el evento, la hora no se ajusta en función del valor. Este comportamiento se produce para ayudar a protegerse contra cualquier actividad sospechosa de marca de tiempo. El valor predeterminado para los miembros del dominio es 43 200. |
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de