Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe cómo configurar el servicio de hora de Windows en un desplazamiento de tiempo grande.
Se aplica a: Windows Server (todas las versiones compatibles), cliente de Windows (todas las versiones compatibles)
Número de KB original: 884776
Introducción
Los sistemas operativos Windows incluyen la herramienta de servicio de hora (servicio W32Time) que usa el protocolo de autenticación Kerberos. La autenticación Kerberos funcionará si el intervalo de tiempo entre los equipos pertinentes está dentro del sesgo de tiempo máximo habilitado. El valor predeterminado es 5 minutos. También puede desactivar la herramienta Servicio de hora. A continuación, puede instalar un servicio de tiempo de terceros.
El propósito de la herramienta Time Service es asegurarse de que todos los equipos de una organización que ejecutan Microsoft Windows Server 2012 o versiones posteriores de los sistemas operativos Windows usan un momento común. Para asegurarse de que hay un uso de tiempo común adecuado, el servicio de hora usa una relación jerárquica que controla la autoridad. De manera predeterminada, los equipos basados en Windows utilizan la siguiente jerarquía:
Todos los equipos de escritorio cliente designan el controlador de dominio de autenticación como su origen de hora autoritativo.
En un dominio, todos los servidores siguen el mismo proceso que siguen los equipos de escritorio cliente.
Todos los controladores de dominio de un dominio designan el maestro de operaciones del controlador de dominio principal (PDC) como origen de la hora.
Todos los maestros de operaciones de PDC siguen la jerarquía de dominios en la selección de su origen de hora. Sin embargo, los maestros de operaciones de PDC pueden usar un controlador de dominio primario basado en la numeración de estrato.
Nota:
Un número de estrato define la proximidad de un servidor de hora al origen de referencia principal.
Cuanto menor sea el número, cuanto más cerca esté el servidor del origen de hora principal. En esta jerarquía, el maestro de operaciones de PDC en la raíz del bosque se convierte en el servidor de hora autoritativo de la organización. Se recomienda encarecidamente configurar el servidor de hora autoritativo para recopilar la hora de un origen de hardware. Al intentar configurar el servidor de hora autoritativo para que se sincronice con un origen de hora de Internet, no hay autenticación. También se recomienda reducir la configuración de corrección de tiempo para los servidores y para los clientes independientes. Al seguir estas recomendaciones, se proporciona un tiempo más preciso al dominio.
Más información
Una revisión de las reversiones de tiempo ha demostrado que los equipos pueden adoptar el tiempo que puede ser días, meses, años o incluso decenas de años en el futuro o en el pasado. Los siguientes problemas pueden producirse cuando los equipos se reenvía o retrocede hacia atrás en el tiempo:
- Las contraseñas en las cuentas de equipo, en las cuentas de usuario y en las relaciones de confianza se pueden actualizar prematuramente.
- Las cuarentenas se pueden identificar mediante el evento de replicación NTDS 2042 en la replicación del servicio de directorio de Active Directory.
- La falta de coincidencia de contraseñas se restaura autoritativamente para las cuentas de equipo, para las cuentas de usuario o para las relaciones de confianza. La recuperación de estos errores de coincidencia puede requerir restablecimientos de contraseña manuales en todas las cuentas y confianzas afectadas.
Protección contra el tiempo que se reenvía y reversión de tiempo
Cuando se reinician los equipos y ciclos de energía, el BIOS mantiene el tiempo en la EPROM local que se encuentra en la placa base del equipo. Cuando se inicia Windows, el kernel extrae la hora actual del BIOS. Esta hora actual se usa como hora inicial hasta que el servicio W32Time puede sincronizarse con otro origen de hora.
El servicio hora de Windows admite dos entradas del Registro, y MaxPosPhaseCorrection .MaxNegPhaseCorrection Estas entradas restringen los ejemplos que acepta el servicio de hora en un equipo local cuando esos ejemplos se envían desde un equipo remoto.
Cuando un equipo que se ejecuta en un estado estable recibe una muestra de tiempo de su origen de tiempo, la muestra se comprueba con los límites de corrección de fase que imponen las entradas del MaxPosPhaseCorrection Registro y MaxNegPhaseCorrection . Si el ejemplo de tiempo se encuentra dentro de los límites que aplican las dos entradas del Registro, este ejemplo se acepta para un procesamiento adicional. Si el ejemplo de tiempo no se encuentra dentro de estos límites, se omite el ejemplo de tiempo y el servicio de hora registra el siguiente mensaje en el archivo de registro privado W32Time:
DEMASIADO GRANDE
Si los administradores reducen el valor de correcciones de fase positivas y negativas, los administradores pueden reducir la amenaza que los equipos recibirán de tiempo de muestras de tiempo no válidas para un equipo basado en Windows. Por otro lado, si los administradores reducen el valor, los administradores pueden impedir que los equipos estén por delante o detrás del tiempo actual por más de los límites que imponen estos valores.
Nota:
Si se reducen los valores de entrada del Registro para correcciones positivas y negativas, se aumentará o disminuirá el tiempo.
El valor predeterminado para las entradas del MaxPosPhaseCorrection Registro y MaxNegPhaseCorrection en (miembros del dominio) Windows 10, Windows Server 2012 y versiones posteriores de Windows es el siguiente valor:
0xFFFFFFF
Este valor permite al equipo recibir el tiempo contenido en cualquier ejemplo de tiempo, inexactitud.
En Windows Server 2008 que son controladores de dominio, se ha adoptado un nuevo valor predeterminado para las entradas del Registro MaxPosPhaseCorrection y MaxNegPhaseCorrection. Este nuevo valor predeterminado es 48 horas. Este valor de 48 horas se puede representar como cualquiera de los siguientes valores:
- 2a300 (hexadecimal)
- 172800 (decimal)
Se recomienda que las MaxPosPhaseCorrection entradas del Registro y MaxNegPhaseCorrection se establezcan en un valor distinto del siguiente:
MAX (0xFFFFFFFF)
Nota:
Al establecer el valor en un valor distinto de MAX (0xFFFFFFFF), puede impedir que los equipos adopten el tiempo que es muy inexacto en los escenarios en los que se reinicia el equipo o se interrumpe la conectividad con orígenes de tiempo externos. Por ejemplo, considere el caso en el que tiene las entradas del Registro MaxPosPhaseCorrection y MaxNegPhaseCorrection establecidas durante 48 horas en todos los controladores de dominio del bosque. Si cualquier controlador de dominio único experimenta un salto de tiempo inusual de más de 48 horas, el valor establecido para las entradas del Registro MaxPosPhaseCorrection y MaxNegPhaseCorrection impedirá que otros equipos realicen el mismo salto de tiempo. Por lo tanto, los equipos que no están sincronizados se pueden mantener separados de los demás equipos hasta que el administrador pueda investigar y tomar medidas correctivas.
La precisión del tiempo es especialmente importante en el controlador de dominio principal (PDC) raíz del bosque. Dado que el PDC es el origen de hora raíz del dominio, los cambios de hora inexactos en el PDC pueden provocar un salto de tiempo en todo el dominio. Si impone restricciones de corrección de fases en el PDC, puede impedir que otros controladores de dominio del bosque acepten la nueva hora.
El valor predeterminado de 48 horas en lugar de un valor predeterminado de 5 minutos o 15 minutos se basa en los siguientes motivos:
- La salida de la utilidad W32TM es difícil de leer.
- W32TM actualmente no tiene como destino la hora en los equipos miembros y en los servidores miembros.
- Los errores y los eventos que registra el sistema operativo Windows y las aplicaciones de terceros independientes son muy incoherentes. Los posibles errores incluyen códigos de retorno similares a los siguientes:
- acceso denegado
- El servidor RPC no está disponible
Nota:
Estos errores tienen una correlación baja con respecto al sesgo de tiempo, ya que la causa puede impedir que los equipos basados en Windows adopten un valor de hora preciso.
- Los errores de horario de verano pueden provocar diferencias de horario de 1 hora.
- La configuración incorrecta de AM o PM puede provocar una diferencia de hora de 12 horas.
- Los errores de día o fecha pueden provocar una diferencia de hora de 24 horas.
Así que 48 horas fue el siguiente desplazamiento de hora obvio después de 25 o 36 horas. Los administradores también pueden reducir el valor con las herramientas correctas que notifican la infraestructura y las pruebas.
En las secciones siguientes se describen recomendaciones específicas según la versión del sistema operativo y el rol de equipo.
Windows 10, Windows Server 2012 y versiones posteriores de Windows
Servidores de dominio
PDC raíz del bosque (servidor horario autoritativo)
Se recomienda encarecidamente configurar el servidor de hora autoritativo para recopilar la hora de un origen de hardware. Al configurar el servidor de hora autoritativo para que se sincronice con un origen de hora de Internet, no hay autenticación. Debe volver a configurar las siguientes entradas del Registro:
MaxPosPhaseCorrectionMaxNegPhaseCorrection
El valor predeterminado de estas dos entradas del Registro es 2a300 (hexadecimal) o 172800 (decimal). Este valor predeterminado significa "Aceptar cambios de hora dentro del intervalo de 48 horas". Se recomienda establecer el valor de la entrada del Registro MaxPollInterval en 10 o menos o que establezca el valor de la entrada del Registro SpecialPollInterval en 3600 (1 hora) o menos.
Controladores de dominio y servidores miembro dentro del dominio
Las MaxPosPhaseCorrection entradas del Registro y MaxNegPhaseCorrection tienen un valor predeterminado de 2a300 (hexadecimal) o 172800 (decimal) para controladores de dominio. Este valor predeterminado significa "Aceptar cambios de hora dentro del intervalo de 48 horas". Mientras que en los servidores miembro, el valor predeterminado es 0xFFFFFFFF. El valor de 48 horas también se puede establecer en servidores miembros que ejecutan aplicaciones basadas en tiempo confidencial.
Nota:
Para obtener más información sobre estas entradas del Registro, consulta la sección Entradas del Registro del servicio de hora en Windows 10, Windows Server 2012 y versiones posteriores de Windows .
Clientes independientes
Las MaxPosPhaseCorrection entradas del Registro y MaxNegPhaseCorrection tienen un valor predeterminado de 54 000 (15 horas). Como procedimiento recomendado de seguridad, se recomienda reducir este valor predeterminado. También se recomienda establecer el valor en 3600 (1 hora) o un valor aún menor, según el origen de la hora, en la condición de red, en el intervalo de sondeo y en los requisitos de seguridad.
Entradas del Registro del servicio de hora en Windows 10, Windows Server 2012 y versiones posteriores de Windows
| Tipo | Detalles |
|---|---|
| Entrada del Registro | MaxPosPhaseCorrection |
| Tipo de valor | DWORD |
| Subclave | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| Notas | Esta entrada especifica la corrección de tiempo positivo más grande en segundos que el servicio puede realizar. Si el servicio determina que un cambio es mayor que el necesario, registra un evento en su lugar. Caso especial: 0xFFFFFFFF significa siempre realizar la corrección de tiempo. El valor predeterminado para los miembros del dominio es 0xFFFFFFFF. El valor predeterminado para los clientes y servidores independientes es 54 000 (15 horas). |
| Entrada del Registro | MaxNegPhaseCorrection |
| Tipo de valor | DWORD |
| Subclave | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| Notas | Esta entrada especifica la corrección de tiempo negativo más grande en segundos que el servicio puede realizar. Si el servicio determina que se necesita un cambio mayor que este, registra un evento en su lugar. Caso especial: -1 significa siempre realizar la corrección de tiempo. El valor predeterminado para los miembros del dominio es 0xFFFFFFFF. El valor predeterminado para los clientes y servidores independientes es 54 000 (15 horas). |
| Entrada del Registro | MaxPollInterval |
| Tipo de valor | DWORD |
| Subclave | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| Notas | Esta entrada especifica el intervalo más grande, en segundos, que está habilitado para el intervalo de sondeo del sistema. Tenga en cuenta que, aunque un sistema debe sondear según el intervalo programado, un proveedor puede rechazar la producción de muestras cuando se solicitan muestras. El valor predeterminado para los miembros del dominio es 10. El valor predeterminado para los servidores y clientes independientes es 15. |
| Entrada del Registro | SpecialPollInterval |
| Tipo de valor | DWORD |
| Subclave | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient |
| Notas | Esta entrada especifica el intervalo de sondeo especial en segundos para los elementos del mismo nivel manuales. Cuando la marca SpecialInterval 0x1 está habilitada, W32Time usa este intervalo de sondeo en lugar de un intervalo de sondeo que determina el sistema operativo. El valor predeterminado en los miembros del dominio es 3600. El valor predeterminado en los servidores y clientes independientes es 604 800. |
Nota:
Se recomienda usar el Editor de objetos de directiva global para implementar esta configuración. Para obtener más información sobre el servicio hora de Windows en un bosque basado en Windows Server 2012, consulte Servicio de hora de Windows (W32Time).
Es posible que los valores predeterminados del parámetro de servicio de hora de Windows definidos en el objeto de directiva de grupo (GPO) no coincidan con los valores predeterminados definidos en el Registro de controladores de dominio basados en Windows Server 2012. Al implementar valores MaxPosPhaseCorrection y MaxNegPhaseCorrection en controladores de dominio de Windows Server 2012 mediante un GPO, asegúrese de que el GPO no cambia los valores de otros parámetros de servicio de hora de Windows en el registro. Es posible que otros valores de parámetros del servicio hora de Windows también tengan que cambiarse en el GPO para que coincidan con los valores predeterminados del Registro en los controladores de dominio.
Todas las ediciones de Windows Server 2012 y versiones posteriores de Windows
Servidores de dominio
PDC raíz del bosque (servidor horario autoritativo)
Se recomienda encarecidamente configurar el servidor de hora autoritativo para recopilar la hora de un origen de hardware. Al configurar el servidor de hora autoritativo para que se sincronice con un origen de hora de Internet, no hay autenticación en modo manual. Se recomienda establecer el valor del intervalo de sondeo en una hora cada 24 horas.
Controladores de dominio y servidores miembro dentro del dominio
El tipo de sincronización es NT5DS. El servicio de hora se sincroniza desde la jerarquía de dominios y el servicio de hora acepta cambios todo el tiempo. Dado que NT5DS acepta cualquier cambio de hora sin tener en cuenta el desplazamiento de tiempo, es importante configurar un origen de hora raíz de bosque confiable en la subred de sincronización de hora.
Nota:
El valor NT5DS indica que el tipo de sincronización se obtiene de una entrada del Registro.