Configuración del servicio de sincronización horaria de Windows para evitar un valor de compensación de tiempo demasiado alto

Seleccione idioma Seleccione idioma
Id. de artículo: 884776 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

INTRODUCCIÓN

Windows incluye W32Time, la herramienta del servicio de hora necesaria para el protocolo de autenticación Kerberos. La herramienta Servicio de hora garantiza que todos los equipos que ejecutan Microsoft Windows 2000 o versiones posteriores dentro de una organización utilicen la misma hora. Para asegurar que hay un apropiado uso del tiempo común, el Servicio de hora usa una relación jerárquica que controla la autoridad. Además, el Servicio de hora no permite bucles. De manera predeterminada, los equipos basados en Windows utilizan la siguiente jerarquía:
  • Todos los equipos de escritorio cliente nominan al controlador de dominio que autentica como su asociado de hora.
  • Todos los servidores miembro siguen el mismo proceso que los clientes.
  • Todos los controladores de dominio de un dominio nominan como su asociado de hora al maestro de operaciones del controlador principal de dominio (PDC).
  • Todos los maestros de operaciones de PDC obedecen la jerarquía de dominios al seleccionar los asociados de hora, pero pueden utilizar un controlador principal de dominio basado en la numeración de capa.
En esta jerarquía, el maestro de operaciones del controlador principal de dominio (PDC) situado en la raíz del bosque pasa a ser el servidor de hora autorizado para la organización. Le recomendamos encarecidamente que configure el servidor de hora autorizado para que tome la hora de un recurso de hardware. Cuando configura el servidor de hora autorizado para que se sincronice con un recurso de hora de Internet, no hay autenticación. También le recomendamos que baje los valores de corrección de tiempo de sus servidores y de los clientes independientes. Estas recomendaciones proporcionan más precisión a su dominio.

Más información

Microsoft Windows XP Professional y Microsoft Windows Server 2003, todas las ediciones

Servidores de dominio


PDC raíz del bosque (servidor de hora autorizado)
Recomendamos encarecidamente que configure el servidor de hora autorizado para que tome la hora de un recurso de hardware. Cuando configura el servidor de hora autorizado para que se sincronice con un recurso de hora de Internet, no hay autenticación. Debe reconfigurar las entradas del Registro
MaxPosPhaseCorrection
y
MaxNegPhaseCorrection
. Su valor predeterminado es 0xFFFFFFFF (se acepta cualquier cambio de hora). El valor recomendado es 900 (15 minutos) o incluso menos, dependiendo del recurso de hora, de las condiciones de la red y de los requisitos de seguridad. También depende del intervalo de encuesta. Le recomendamos que configure el valor de la entrada del Registro
MaxPollInterval
en 10 o en menos, o que configure el valor de la entrada del Registro
SpecialPollInterval
en 3600 (1 hora) o menos. Para obtener más información acerca de estas entradas del Registro, consulte en este artículo la sección "Entradas del Registro del Servicio de sincronización horaria de Windows Server 2003 y Windows XP".
Controladores de dominio y servidores miembro del dominio
Las entradas
MaxPosPhaseCorrection
y
MaxNegPhaseCorrection
del Registro tienen un valor predeterminado de 0xFFFFFFFF (aceptan cualquier cambio de hora). Este valor predeterminado es adecuado. Sin embargo, puede querer más seguridad en su dominio como protección contra los errores humanos. Dependiendo de lo que desee conseguir, puede dejar o modificar los valores predeterminados.

Clientes independientes

Las entradas
MaxPosPhaseCorrection
y
MaxNegPhaseCorrection
del Registro tienen un valor predeterminado de 54000 (15 horas). Como práctica de seguridad recomendada, reduzca este valor predeterminado. Recomendamos que configure el valor en 3600 (1 hora) o incluso menos, dependiendo del recurso de tiempo, de las condiciones de la red, del intervalo de sondeo y de los requisitos de seguridad.

Entradas del Registro del Servicio de sincronización horaria de Windows Server 2003 y Windows XP

Contraer esta tablaAmpliar esta tabla
Entrada del Registro
MaxPosPhaseCorrection
Ruta de acceso
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
NotasEsta entrada especifica la corrección de hora positiva en segundos más grande que hace el servicio. Si el servicio determina que hace falta un cambio mayor que este valor, el servicio registra un suceso. Caso especial: 0xFFFFFFFF significa que siempre se hace una corrección de hora. El valor predeterminado para los miembros del dominio es 0xFFFFFFFF. El valor predeterminado para los clientes y servidores independientes es 54.000 (15 horas).
Contraer esta tablaAmpliar esta tabla
Entrada del Registro
MaxNegPhaseCorrection
Ruta de acceso
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
NotasEsta entrada especifica la corrección de hora negativa en segundos más grande que hace el servicio. Si el servicio determina que hace falta un cambio mayor que este valor, el servicio registra un suceso. Caso especial: -1 significa que siempre se hace una corrección de hora. El valor predeterminado para los miembros del dominio es 0xFFFFFFFF. El valor predeterminado para los clientes y servidores independientes es 54.000 (15 horas).
Contraer esta tablaAmpliar esta tabla
Entrada del Registro
MaxPollInterval
Ruta de acceso
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
NotasEsta entrada especifica el intervalo mayor, en segundos del registro, que se permite al intervalo de encuestas del sistema. Tenga en cuenta que aunque un sistema debe hacer una encuesta de acuerdo con el intervalo programado, un proveedor se puede negar a producir muestras cuando se le solicita. El valor predeterminado para los miembros del dominio es 10. El valor predeterminado para los clientes y servidores independientes es 15.
Contraer esta tablaAmpliar esta tabla
Entrada del Registro
SpecialPollInterval
Ruta de acceso
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
NotasEsta entrada especifica el intervalo de encuesta especial en segundos para los interlocutores manuales. Cuando está habilitado el indicador SpecialInterval 0x1, W32Time usa este intervalo de encuesta en lugar de otro que esté determinado por el sistema operativo. El valor predeterminado en los miembros del dominio es 3.600. El valor predeterminado en los clientes y servidores independientes es 604.800.
Para obtener información adicional acerca del Servicio de hora de Windows en un bosque basado en Windows Server 2003, visite el siguiente sitio Web:
http://technet2.microsoft.com/windowsserver/en/library/A0FCD250-E5F7-41B3-B0E8-240F8236E2101033.mspx

Service Pack 4 (SP4) de Windows 2000, todas las ediciones

Servidores de dominio


PDC raíz del bosque (servidor de hora autorizado)

Recomendamos encarecidamente que configure el servidor de hora autorizado para que tome la hora de un recurso de hardware. Si configuramos el servidor de hora autorizado para que sincronice con un recurso de hora de Internet, no habrá autenticación para el modo manual. Debe configurar de nuevo la clave del Registro
MaxAllowedClockErrInSecs
. El valor predeterminado es 43.200. El valor recomendado es 900 (15 minutos) o incluso menos, dependiendo del recurso de hora, de las condiciones de la red y de los requisitos de seguridad. También depende del intervalo de encuesta. Le recomendamos que el intervalo de encuesta sea de una hora (Period = 24). Encontrará más información acerca de esta entrada del Registro más adelante en este artículo, en la sección "Clave del Registro del SP4 de Windows Server 2000".
Controladores de dominio y servidores miembro del dominio

El tipo de sincronización es NT5DS. El servicio de hora se sincroniza desde la jerarquía del dominio y acepta todos los cambios de hora. Como NT5DS aceptará cualquier cambio de hora sin considerar la compensación de tiempo, es muy importante configurar en la subred de sincronización de hora un recurso de hora de confianza de la raíz del bosque.

Clientes independientes

La entrada
MaxAllowedClockErrInSecs
del Registro tiene un valor predeterminado de 43200 (12 horas). Como práctica de seguridad recomendada, reduzca este valor predeterminado. Recomendamos que configure el valor en 3600 (1 hora) o incluso menos, dependiendo del recurso de tiempo, de las condiciones de la red, del intervalo de sondeo y de los requisitos de seguridad.

Clave del Registro del SP4 de Windows Server 2000
Contraer esta tablaAmpliar esta tabla
Entrada del Registro
MaxAllowedClockErrInSecs
Ruta de acceso
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
NotasEspecifica en segundos el cambio d reloj máximo permitido. Registra un suceso si se produce y no hay ajuste de hora que ayude a proteger contra cualquier marca de hora sospechosa. El valor predeterminado para los miembros del dominio es 43.200.

Propiedades

Id. de artículo: 884776 - Última revisión: lunes, 25 de septiembre de 2006 - Versión: 8.1
La información de este artículo se refiere a:
  • Microsoft Windows XP Professional
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Service Pack 4 de Microsoft Windows 2000
Palabras clave: 
kbhowto kbinfo kbsecurity KB884776

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com