Configuración para minimizar el tráfico WAN periódico

En este artículo se proporcionan algunas opciones de configuración sugeridas para el problema que se produce cuando el tráfico WAN periódico activa un vínculo de marcado a petición.

Se aplica a: Windows Server 2016, Windows Server 2012 R2, Windows 10: todas las ediciones
Número de KB original: 819108

Resumen

En este artículo se describen la configuración del Registro y la configuración de directiva de grupo que afectan al tráfico periódico de red de área extensa (WAN) y a los costos de vínculos medidos. Si tiene un vínculo de marcado a petición, podría habilitarse inesperadamente mediante el tráfico WAN periódico. Puede configurar los componentes y servicios del sistema para minimizar el tráfico WAN periódico y reducir los costos de vínculos medidos.

Síntomas

El vínculo de marcado a petición se activa mientras el equipo está inactivo si se cumplen las condiciones siguientes:

  • Usa un equipo basado en Microsoft Windows que está conectado a una red remota y es miembro de un dominio de Servicios de dominio de Active Directory (AD DS).
  • Está conectado a los controladores de dominio a través de un vínculo de marcado a petición o de otro modo medido.

Solución

Las secciones siguientes contienen un resumen completo de la configuración del Registro y directiva de grupo configuración que puede agregar o modificar para minimizar el tráfico WAN. Algunas de estas configuraciones dependen de la versión del sistema operativo en la que se ejecuta el equipo.

Parte 1: Descripción de la configuración pertinente

La siguiente configuración del Registro afecta al tráfico WAN y a los costos de vínculo medido. Para minimizar el tráfico WAN periódico y reducir los costos de vínculos medidos, configure estas opciones según corresponda.

El servicio Browser

En Windows Server 2016, Windows 10 y versiones posteriores, el servicio Browser ya no se usa normalmente. Se recomienda deshabilitar el servicio en todos los equipos de la empresa, si es posible. Si no puede hacerlo, se recomienda desactivar los intervalos de comunicación del servicio.

Periodicidad del explorador maestro de dominio

El controlador de dominio principal (PDC) siempre es el explorador maestro de dominio. Por lo tanto, un explorador maestro en una red que no hospeda el PDC para el dominio activa los vínculos de marcado a petición cuando intenta localizar el PDC. De forma predeterminada, el intervalo de intentos es de cinco minutos. Puede crear una entrada del Registro MasterPeriodicity que indique al servicio Browser que ajuste su intervalo predeterminado para ponerse en contacto con un explorador maestro de dominio. De forma predeterminada, la entrada MasterPeriodicity no está presente. El valor predeterminado recomendado para las implementaciones de marcado a petición es de 86 400 segundos (un día).

Subclave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters
Entrada: MasterPeriodicity
Tipo: DWORD
Valor recomendado (segundos): 86 400

Mantenimiento de la lista de servidores

Si habilita un servidor para que participe como explorador y pueda ser elegido como explorador maestro para su red, el servidor se pone en contacto periódicamente con el PDC para su dominio. De forma predeterminada, la entrada del Registro MaintainServerList se establece en Auto. El valor recomendado es No , a menos que tenga la funcionalidad del explorador en la red. Si debe tener la funcionalidad del explorador, establezca este valor en . Sin embargo, asegúrese de configurar el intervalo MasterPeriodicity en un intervalo lo suficientemente grande como para reducir el número de contactos de PDC.

Subclave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters
Entrada: MaintainServerList
Tipo: Valor predeterminado de cadena: Auto
Valor recomendado: No

Retraso de acceso telefónico esperado

La entrada ExpectedDialupDelay especifica el tiempo necesario para que un enrutador de acceso telefónico local marque cuando envía un mensaje desde un equipo cliente a un dominio a través de un vínculo lento. En este escenario, el equipo cliente confía en el dominio. Normalmente, el servicio Net Logon supone que puede llegar rápidamente a un controlador de dominio. Al establecer la entrada ExpectedDialupDelay , informa al servicio Net Logon de que espera un retraso adicional. El valor recomendado para esta configuración es el tiempo medio en segundos necesario para que se establezca el vínculo de marcado a petición, además de una constante de cinco segundos para tener en cuenta la varianza.

Subclave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Entrada: ExpectedDialupDelay
Tipo: DWORD
Valor recomendado (segundos): 90

Entrada AvoidPdcOnWan

La entrada AvoidPdcOnWan indica al controlador de dominio que ejecuta el servicio Net Logon que evite ponerse en contacto con los roles maestros de operaciones de PDC tanto como pueda. (Los roles de maestro de operaciones también se conocen como roles flexibles de operaciones maestras únicas o roles FSMO). La entrada AvoidPdcOnWan también indica a otros componentes, como el Administrador de cuentas de seguridad (SAM), que usan esta información. Por ejemplo, suponga que esta entrada está habilitada en un controlador de dominio en un sitio remoto. En este escenario, el controlador de dominio remoto no intentará comprobar una contraseña con los roles maestros de operaciones de PDC si el cliente no se autentica con el controlador de dominio local.

Subclave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Entrada: AvoidPdcOnWan
Tipo: DWORD
Valor recomendado: 1 (habilitado)

Consultas de cliente del servicio de directorio

En Windows 2000 Service Pack 2 y en los Service Pack de Windows 2000 posteriores, en Windows XP y En Windows Server 2003, las consultas del cliente del servicio Directory se emiten una vez por hora. Puede ajustar las siguientes entradas del Registro para ampliar este tiempo de consulta más allá de una hora.

Período de caché negativo

La entrada NegativeCachePeriod especifica el tiempo que un cliente recordará que no se encontró un controlador de dominio en un dominio. Si un programa vuelve a intentarlo dentro de este tiempo, la llamada de cliente produce un error inmediatamente sin intentar buscar de nuevo un controlador de dominio, por lo que el vínculo medido no se activa.

Subclave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Entrada: NegativeCachePeriod
Tipo: DWORD
Valor predeterminado (segundos): 45
Valor recomendado: 84 600

El período inicial de reintento en segundo plano

Algunos programas intentan buscar periódicamente un controlador de dominio. Si el controlador de dominio no está disponible, estos reintentos periódicos pueden ser costosos en escenarios de marcado a petición. La entrada BackgroundRetryInitialPeriod define la cantidad mínima de tiempo transcurrido antes de que se produzca el primer reintento. Si el valor es menor que el valor establecido en la entrada NegativeCachePeriod , se usa el valor NegativeCachePeriod .

Subclave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Entrada: BackgroundRetryInitialPeriod
Tipo: DWORD
Valor recomendado (segundos): 84 600

El período de retroceso de reintentos en segundo plano

La entrada BackgroundRetryMaximumPeriod define el intervalo máximo del que se va a realizar la copia de seguridad de los reintentos. Por ejemplo, si el primer reintento es después de 10 minutos, el segundo reintento será después de 20 minutos y el siguiente reintento será después de 30 minutos. Esto continúa hasta que se alcanza el valor de la entrada BackgroundRetryMaximumPeriod . A continuación, se usa el valor BackgroundRetryBackoffPeriod para el intervalo de reintentos hasta que se alcanza el valor de la entrada BackgroundRetryQuitTime .

Subclave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Entrada: BackgroundRetryMaximumPeriod
Tipo: DWORD
Valor recomendado (segundos): 84 600 segundos

Tiempo de reintento en segundo plano

Cuando un programa ejecuta una búsqueda periódica de controladores de dominio y no encuentra un controlador de dominio, el valor establecido en esta entrada determina cuándo ya no son posibles los reintentos.
Subclave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Entrada: BackgroundRetryQuitTime
Tipo: DWORD
Valor recomendado (segundos): 600

Antigüedad máxima de la contraseña

Especifica la frecuencia con la que el sistema cambia la contraseña de la cuenta de equipo del equipo local. Esta entrada solo se usa cuando el sistema está configurado para cambiar la contraseña del equipo automáticamente a intervalos establecidos. Es decir, esta entrada solo se usa cuando el valor de la entrada DisablePasswordChange es 0. Para obtener más información, consulte Domain member: Disable machine account password changes (Miembro del dominio: Deshabilitar cambios de contraseña de la cuenta de equipo).

Subclave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Entrada: MaximumPasswordAge
Tipo: DWORD
Valor predeterminado (decimal, número de días): 7 (en Windows NT), 30 (Windows 2000/XP/2003) Intervalo recomendado: 42 a 70

Configuración del Registro DFS

La frecuencia de las consultas de controlador de dominio por DFS que la entrada DfsDcNameDelay puede reducir la frecuencia de las consultas de controlador de dominio por el sistema de archivos distribuido (DFS). Modifique esta entrada en el equipo cliente.

Subclave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
Entrada: DfsDcNameDelay
Tipo: DWORD
Valor predeterminado (minutos): 15

El intervalo válido para DfsDcNameDelay es de 15 a 360 minutos. No es necesario reiniciar para que la nueva configuración surta efecto.

Frecuencia de las consultas de PDC por DFS

Descripción: cada servidor DFS que tiene una raíz DFS basada en dominio sondea el PDC para ver si hay cambios en el objeto raíz. Para controlar el intervalo entre sondeos, establezca la entrada del Registro SyncIntervalInSeconds en el servidor raíz DFS o en los servidores. Al establecer esta entrada, puede controlar cuándo DFS devuelve referencias basadas en datos almacenados en caché. Si aumenta este valor, DFS almacena en caché espacios de nombres y referencias durante más tiempo.

Subclave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DFS
Entrada: SyncIntervalInSeconds
Tipo: DWORD
Valor predeterminado (segundos): 3600 (1 hora)

Revise también el siguiente artículo técnico sobre la configuración del volumen DFS:

Actualización de la topología de replicación del Comprobador de coherencia de conocimiento (KCC)

La actualización de la topología de replicación del Comprobador de coherencia de conocimiento (KCC) puede provocar que el tráfico WAN cree o compruebe vínculos de replicación. Para los controladores de dominio separados por vínculos medidos, tiene sentido reducir la frecuencia con la que se ejecuta KCC.

Descripción: el valor repl topology update period (ss) define el número de segundos entre intervalos.

Subclave: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
Entrada: Período de actualización de la topología de repl (segundos)
Tipo: DWORD
Valor predeterminado (segundos): 900 (15 minutos)

Configuración de directivas de grupo

La siguiente configuración de directiva controla la frecuencia del tráfico basado en Net Logon y del tráfico basado en DFS. Para buscar esta configuración, haga clic en Inicio, en Ejecutar, escriba gpedit.msc y, a continuación, haga clic en Aceptar. O bien, edítelos en un objeto directiva de grupo basado en dominio.

Configuración del equipo/Plantillas administrativas/Sistema/Inicio de sesión de Net

  • Intervalo de scavenge
  • Actualización de caché de controlador de dominio periódica positiva para autores de llamadas que no están en segundo plano
  • Actualización de caché de controlador de dominio periódica positiva para los autores de llamadas en segundo plano
  • Configuración final de reintento de detección de controlador de dominio para los autores de llamadas en segundo plano
  • Configuración máxima del intervalo de reintento de detección de controlador de dominio para los autores de llamadas en segundo plano
  • Configuración inicial de reintentos de detección de controlador de dominio para autores de llamadas en segundo plano
  • Configuración negativa de la caché de detección de controlador de dominio
  • Póngase en contacto con PDC en caso de error de inicio de sesión
  • Retraso de acceso telefónico esperado en el inicio de sesión

Configuración del equipo/Plantillas administrativas/Red

Establece la frecuencia con la que un cliente DFS detecta controladores de dominio

De forma predeterminada, un cliente DFS intenta detectar controladores de dominio cada 15 minutos. Si habilita la opción Sets how often a DFS Client discovers DCs (Establece la frecuencia con la que un cliente DFS detecta controladores de dominio), puede cambiar el intervalo. Este valor se especifica en minutos. Si deshabilita esta configuración o no la configura, se aplica el valor predeterminado de 15 minutos. La subclave del Registro correspondiente es la siguiente: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\System\DFSClient\DfsDcNameDelay

Parte 2: Valores predeterminados

Valores predeterminados para tipos de paquetes

En la tabla siguiente se muestran los tipos de paquetes y sus intervalos de envío predeterminados.

Tipo de paquete Protocolo Transport Interval Notas
Netlogon Bloque de mensajes del servidor (SMB) TCP/IP 300 segundos
Navega SMB TCP/IP 720 segundos
KeepAlive Sistema básico de entrada y salida de red (NetBIOS) TCP/IP 3600 segundos (60 minutos)
Eco NetBIOS a través de TCP/IP (NetBT) Netbios TCP/IP 120 segundos Si una sesión está inactiva, el servidor de archivos envía una trama de eco SMB en el intervalo especificado.
Explorador de Windows SMB TCP/IP 32 segundos Este valor controla la frecuencia con la que el servidor de archivos envía una trama de eco SMB al cliente, siempre y cuando el cliente tenga abierta una solicitud a largo plazo pendiente.
KeepAlive Netbios TCP/IP 300 segundos (5 minutos) Esta entrada corresponde a
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlServices\NetBT\parameters\SessionKeepAlive
KeepAlive TCP TCP/IP 1 segundo Esta entrada corresponde a
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TCPIP\Parameters\KeepAliveTime

Nota:

  • El tipo de paquete Examinar de esta tabla indica el tráfico de red entre un PDC (Explorador maestro de dominio) y los exploradores maestros.
  • El redireccionamiento del Administrador de LAN de Windows hace eco de una trama de eco SMB cada 30 segundos o 32 segundos a cada servidor de archivos que tiene una solicitud a largo plazo asociada que está pendiente. Por ejemplo, un servidor de archivos podría tener una solicitud NotifyChange en Microsoft Internet Explorer. Para evitar estos paquetes, puede establecer la clave NoRemoteChangeNotify .

Para obtener más información, consulte el siguiente artículo de Knowledge Base: 3212430 Los cambios de configuración de seguridad en las carpetas no aparecen inmediatamente en los asociados de replicación DFSR en Windows Server

  • Si no hay ninguna transferencia de datos entre el cliente y el servidor para el intervalo keepalive (120 segundos), el servidor envía el primer sondeo keep-alive. Después de dos minutos de inactividad (se conecta el árbol inactivo), el servidor de archivos envía un mensaje de sesión de 1 byte. La carga de TCP es "02". El número de secuencia TCP comienza en la última confirmación recibida (ACK) menos 1 y termina en la confirmación actual.

  • Si la conexión con el servidor se realiza mediante canalizaciones con nombre, el servidor envía un mensaje "NetBT: SS - Session Keep Alive" al cliente aproximadamente cada 300 segundos.

    La entrada "NetBT SessionKeepAlive" está en la siguiente subclave del Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters

  • Un mensaje de mantenimiento activo de sesión tcp del sistema de archivos de Internet común (CIFS) incluye un byte que tiene un valor 0x85, seguido de tres bytes que tienen un valor 0 (cero) en el encabezado NetBT. El mensaje keep-alive se puede enviar si no se ha enviado ningún mensaje para un intervalo configurable por el cliente.

Valores predeterminados para los servicios

Componente Configuración de intervalo predeterminada Notas
Detección del controlador de dominio de Net Logon 3600 segundos (60 minutos)
Consultas DFS para controladores de dominio 900 segundos (15 minutos)
Intervalo de actualización de GPO 90 minutos Consulte directiva de grupo Description: directiva de grupo Search
Servicio de hora (W32time) 17 minutos Este valor se encuentra en las siguientes subclaves del Registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32time\Config\MaxPollInterval HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32time\Config\MinPollInterval

Consulte también la configuración de directiva de grupo para El servicio de hora de Windows: Configuración globalConfigurar cliente NTP de Windows

Referencias

Para obtener más información, consulte los siguientes artículos de Knowledge Base:

  • 314053 parámetros de configuración TCP/IP y NBT para Windows XP
  • 3212430 Los cambios de configuración de seguridad en las carpetas no aparecen inmediatamente en los asociados de replicación DFSR en Windows Server