Compartir a través de

Recomendación: Configurar el PDC raíz con un origen de hora autoritativo y evitar un desfase horario generalizado

Por qué es algo que se debe considerar

El emulador de PDC raíz no está configurado para usar un servidor de protocolo de tiempo de redes (NTP). Muchas funciones de Windows y de red dependen de una sincronización horaria robusta en toda la red. Los errores de sincronización de hora pueden provocar diversos problemas, especialmente errores de inicio de sesión. La autenticación Kerberos y el inicio de sesión único basado en notificaciones pueden fallar a causa de desequilibrios en la hora.

Vea a una persona del equipo de ingeniería de clientes explicando el problema

Contexto y prácticas recomendadas

De manera predeterminada, todos los equipos y dispositivos de un dominio sincronizan la hora del sistema mediante la jerarquía del dominio. Los miembros del dominio sincronizan la hora con los controladores de dominio que, a su vez, sincronizan la hora con el controlador de dominio que ejecuta el rol de emulador de PDC. El emulador de PDC del dominio raíz del bosque se encuentra en la parte superior de la jerarquía de dominios y, como tal, la configuración de este controlador de dominio para sincronizar la hora con la jerarquía de dominios no es válida. El servicio Hora de Windows le advierte de esta condición escribiendo el identificador de evento 12 en el registro de eventos de Windows desde el origen del evento W32Time.

En algunos escenarios, el emulador de PDC obtiene su hora del reloj del BIOS. Sin embargo, este enfoque tiene inconvenientes. Si la hora y fecha no están establecidas de forma precisa en el BIOS del emulador de PDC, la configuración de la fecha y hora serán incorrectas a lo largo del dominio. Además, si el emulador de PDC se queda sin conexión, los miembros del dominio no podrán sincronizar la hora. Un enfoque mejor es configurar el emulador de PDC para que sincronice la hora directamente con un origen de hora externo. Como alternativa, puede configurar otro dispositivo dentro del dominio para sincronizar la hora con un servicio de hora externo y, a continuación, configurar el emulador de PDC para que use su servidor de hora interno como el origen de hora autoritativo.

Las fuentes de hora externas autoritativas son servicios con conexión a internet, normalmente mantenidos por fundaciones gubernamentales, científicas o educativas que proporcionan la sincronización de la hora del sistema mediante el Protocolo de tiempo de redes (NTP). Por ejemplo, NIST cuenta con servidores horarios en varias ubicaciones de Estados Unidos.

Acciones recomendadas

Puede configurar el controlador de dominio que tiene el rol PDCE para usar un servidor NTP con el fin de sincronizar la hora. Hay varios enfoques:

Para configurar la sincronización de hora a través de la línea de comandos:

En el emulador de PDC, abra un símbolo del sistema de administrador y use los comandos siguientes:

w32tm.exe /config /syncfromflags:manual /manualpeerlist:131.107.13.100,0x8 /reliable:yes /update

w32tm.exe /config /update

Nota:

La dirección IP del ejemplo es un servidor horario del Instituto Nacional de Normas y Tecnología (NIST) de Microsoft, en Redmond, Washington. Remplace esta dirección IP con el servicio de hora que prefiera.

Para configurar la sincronización de hora a través de la edición del registro en el emulador de PDC:

  1. Abra Editor del Registro (regedit.exe).

  2. Vaya a la siguiente clave del registro: HKLM\System\CurrentControlSet\Services\W32Time\Parameters.

  3. Para usar un origen NTP específico, modifique el valor de Tipo a NTP.

  4. Modifique el valor NtpServer para que contenga el servidor NTP con el que sincronizar la hora seguido de 0x8, por ejemplo 131.107.13.100,0x8. Múltiples servidores NTP deben estar delimitados por espacios, por ejemplo, 131.107.13.100,0x8 24.56.178.140,0x8

  5. Abra un símbolo del sistema de administración y ejecute el siguiente comando: w32tm /config /update.

Para configurar la sincronización de hora a través de la directiva de grupo:

  1. Abra Consola de administración de directivas de grupo.

  2. Cree un nuevo GPO.

  3. Abra el GPO y vaya a Configuración del equipo -> Plantillas administrativas -> Sistema -> Servicio Hora de Windows -> Proveedores de hora.

  4. Haga doble clic en Configurar el cliente NTP de Windows.

  5. Establezca el estado de la directiva como habilitada.

  6. Configure el Tipo en NTP.

  7. Configure NTPServer para que apunte a una dirección IP de un servidor horario, seguido de ,0x8. Por ejemplo: 131.107.13.100,0x8

  8. Cierre el Editor de directivas de grupo.

  9. En el panel Filtrado de seguridad de la consola de administración de directivas de grupo, quite Usuarios autenticados para la directiva recién creada y después agregue la máquina que contiene el rol Emulador de PDC.

  10. Vincule el GPO a la UO Controladores de dominio.

Nota:

La configuración de la directiva de grupo para Hora de Windows se escribe en la ruta de registro HKLM\Software\Policies\Microsoft\W32time.

Solución de problemas

Para ver la configuración actual del servicio Hora de Windows, usa el siguiente comando en un símbolo del sistema con privilegios elevados:

w32tm /query /configuration

Para ver el origen actual de la sincronización de hora, usa el siguiente comando:

w32tm /query /source

Más información

Para obtener más información sobre el servicio de hora de internet de NIST, consulte NIST Internet Time Service (ITS).

Para obtener más información sobre el servicio Hora de Windows, consulte Funcionamiento del servicio Hora de Windows