Recomendaciones para la configuración de tiempo seguro en Windows Server

2025-05-01

En este artículo se proporcionan recomendaciones para la característica de propagación de tiempo seguro (STS) en Windows Server, junto con procedimientos generales de sincronización de tiempo correcto.

Resumen

Los clientes han notificado problemas de sincronización de tiempo en las implementaciones de Windows Server 2016 y versiones posteriores del sistema operativo Windows Server (SO) vinculadas a la característica STS, debido a su incompatibilidad con las implementaciones afectadas.

En función de los informes de clientes y de los comentarios asociados, se recomienda deshabilitar la característica STS en Windows Server 2016 y versiones posteriores que hospedan cargas de trabajo sensibles al tiempo. Esto incluye los controladores de dominio de Active Directory Domain Services (ADDS), los hosts de máquinas virtuales (VM) y los servidores que dependen del tiempo para funcionalidades críticas, proporcionando conectividad o procesamiento de datos en tus implementaciones.

Se recomienda deshabilitar la característica STS en todas las máquinas Windows Server 2016 y posteriores que hospedan cargas de trabajo genéricas o no sensibles al tiempo para evitar problemas de incompatibilidad relacionados con el mantenimiento imprevistos derivados de STS.

Se recomienda revisar los requisitos de mantenimiento de tiempo para las implementaciones del sistema operativo Windows Server 2016 y versiones posteriores, así como asegurarse de que la difusión y sincronización de tiempo adecuadas y la supervisión de la hora están en vigor para las máquinas Windows que hospedan cargas de trabajo sensibles al tiempo en las implementaciones, incluidos los controladores de dominio ADDS y otras máquinas potencialmente críticas.

Introducción al artículo

La audiencia principal de este artículo es la administración de equipos de Windows Server 2016, Windows Server 2019, Windows Server 2022 y Windows Server 2025 en sus implementaciones. En este artículo se resaltan los posibles problemas con la característica STS en el sistema operativo Windows Server. Proporciona instrucciones y consideraciones para deshabilitar esta característica en las implementaciones del sistema operativo Windows Server.

Recomendamos que lea este artículo con fines informativos, incluso si ya ha deshabilitado STS en sus implementaciones.

En este artículo se proporciona información general de alto nivel sobre:

La característica STS en el sistema operativo Windows.
Problemas de mantenimiento de tiempo relacionados con STS en algunas unidades de almacenamiento del sistema operativo Windows Server (SKU) notificadas a Microsoft.
Deshabilitación de la característica STS en el sistema operativo Windows Server.
Aspectos críticos del mantenimiento del tiempo, la sincronización de tiempo y la difusión.
Un conjunto de ejemplos de acciones sugeridas para evaluar las necesidades de sincronización de tiempo y deshabilitar la característica STS en las implementaciones del sistema operativo Windows Server.

Introducción a STS

STS es un mecanismo de sincronización de tiempo basado en heurística en el sistema operativo Windows que determina la hora actual aproximada mediante metadatos de tiempo de las conexiones de capa de sockets seguros (SSL)/Seguridad de la capa de transporte (TLS) salientes en un equipo y usa esa información de tiempo para detectar y corregir grandes errores en el reloj del sistema en esa máquina.

El tiempo aproximado determinado por STS depende de los metadatos de hora disponibles para la característica. Este tiempo, los metadatos se originan en los servidores SSL/TLS a los que se conecta una máquina. Para obtener más información sobre la característica STS, consulte Inicialización de tiempo seguro: mejora del mantenimiento del tiempo en Windows (publicado originalmente en 2016).

El objetivo principal de la característica STS es corregir el tiempo del sistema cuando los factores ambientales, como el mal funcionamiento del hardware u otros orígenes, introducen errores de tiempo lo suficientemente grandes como para evitar que SSL/TLS funcione según lo previsto. La tasa de incidencia de estos errores de tiempo provocados por el entorno depende del entorno de implementación específico.

STS produjo resultados fiables en nuestras observaciones, a menudo mejor que la precisión de cronometraje a largo plazo en el hardware del ordenador, por ejemplo.

La característica STS está habilitada de forma predeterminada en todas las ediciones de Windows Server 2016, Windows Server 2019 y Windows Server 2022, todas las ediciones del sistema operativo cliente de Windows a partir de Windows 10, versión 1511 y todas las versiones posteriores del sistema operativo cliente windows, las versiones de Windows IoT y las SKU de todos los demás sistemas operativos Windows publicados con o después de Windows 10, versión 1511.

La característica STS está deshabilitada de forma predeterminada en Windows Server 2025, en función de los comentarios de los clientes que se tratan en la sección siguiente.

En la sección posterior se describe la configuración del Registro y la directiva de grupo que un administrador puede usar para controlar la habilitación de esta característica en el sistema operativo Windows.

Se han recibido varios informes de incidentes de clientes con respecto a saltos de tiempo transitorios grandes y erróneos en las implementaciones del sistema operativo Windows Server, lo que podría haber sido causado por la característica STS. Estos problemas tienen las siguientes características comunes:

Estos problemas se han informado de que ocurren en determinadas implementaciones de clientes en máquinas que ejecutan diversas versiones o lanzamientos del sistema operativo Windows Server.
Una incidencia baja en comparación con la duración general de la implementación de la característica STS.
La característica STS está habilitada en las máquinas afectadas.
El servicio W32time establece la hora del sistema en un valor incorrecto aleatorio, con un error de tiempo que varía de días y semanas a años.
Esto va seguido de una alta probabilidad de que el servicio W32time corrija automáticamente el error introducido anteriormente en el tiempo del sistema tras un período breve, aunque notable, que varía de una implementación a otra.
Los problemas de STS no se pueden repetir a petición en la mayoría de los casos.

Dado que estos incidentes solo se produjeron cuando se habilitó la característica STS, podrían haber sido causados por la coincidencia de metadatos de tiempo anómalos presentados a la característica STS desde conexiones SSL/TLS salientes a diferentes servicios en cada máquina afectada. Estos incidentes indican una posible incompatibilidad entre la característica STS y las aplicaciones o servicios implementados en las máquinas específicas o en entornos de implementación específicos.

Se han recibido informes de incidentes de cliente, que implican errores de tiempo persistentes grandes que se producen en máquinas Windows Server con la característica STS habilitada. En esos incidentes de mantenimiento de tiempo, los errores de hora no se corregiron automáticamente en un tiempo razonable y se resolvieron después de deshabilitar la característica STS en las máquinas afectadas. Esto llevó a los clientes a detectar la incompatibilidad entre la característica STS en las máquinas afectadas con aplicaciones que se ejecutan en la máquina o con el entorno de implementación específico y ayudaron a deshabilitar la característica STS en las implementaciones afectadas.

STS se diseñó para funcionar con los metadatos SSL/TLS disponibles en implementaciones genéricas del sistema operativo Windows. Sin embargo, todos los informes de clientes sobre STS indican que ciertas implementaciones de clientes del sistema operativo Windows Server podrían ser incompatibles con la heurística de diseño stS y la característica podría no funcionar como se esperaba en tales escenarios.

La información sobre aplicaciones, servicios o implementaciones específicos que no son compatibles con la característica STS no está disponible. Si alguien experimenta problemas de tiempo en un equipo en el que STS está habilitado, se recomienda deshabilitar STS para evitar que cambie la hora del sistema a un valor incorrecto.

Los comentarios del cliente sugieren que la característica STS debe deshabilitarse de forma predeterminada en el sistema operativo Windows Server, que se ha incorporado en el sistema operativo Windows Server 2025 publicado recientemente.

Algunos clientes observaron problemas de tiempo incorrectos (provocados por STS o de otro modo) en las máquinas afectadas al investigar los efectos secundarios del tiempo incorrecto, ya que no supervisan el tiempo en dichas máquinas. Esta experiencia también se ha considerado en las instrucciones proporcionadas más adelante en este artículo.

Deshabilitación de la característica STS en el sistema operativo Windows Server

Estamos asesorando a todos los clientes empresariales que han implementado el sistema operativo Windows Server (Windows Server 2016, Windows Server 2019, Windows Server 2022 y todas las versiones intermedias en ella) ya sea como máquinas independientes o como parte de ADDS para evaluar la deshabilitación de la característica STS en esas máquinas. Esta recomendación para deshabilitar STS se aplica incluso si nunca ha tenido problemas anteriores con la característica STS. STS está deshabilitado de forma predeterminada en Windows Server 2025, pero asegúrese de comprobar que la configuración de STS en este sistema operativo cumple los requisitos de la implementación.

Se recomienda deshabilitar la característica STS en máquinas con Windows Server que ejecutan cargas de trabajo dependientes del tiempo, incluidas estas máquinas en sus implementaciones.
- Controladores de dominio ADDS
- Servidores que usan el tiempo para la funcionalidad crítica
- Servidores que usan tiempo para proporcionar conectividad
- Servidores que usan tiempo como parte del procesamiento de datos
- Hosts de máquina virtual
Recomendamos que considere deshabilitar la característica STS de forma predeterminada en las máquinas Windows Server de su implementación, incluso si estas máquinas no hospedan cargas de trabajo sensibles al tiempo e incluso si nunca ha experimentado problemas de tiempo relacionados con STS en estas máquinas.
Si nunca ha experimentado problemas de STS en las máquinas Windows Server en su entorno o decide seguir usando STS en esas máquinas, tenga en cuenta los problemas de mantenimiento del tiempo potencialmente causados por esta característica. Recomendamos que tome nota de los problemas de STS en el sistema operativo Windows Server y las directrices discutidas en este artículo, y planificar desactivar eventualmente la característica STS en esas máquinas en su implementación.

Configuración para deshabilitar STS:

Deshabilitar (o habilitar) STS requiere que los administradores modifiquen la configuración en las máquinas de destino, ya sea en la configuración del Registro o en la directiva de grupo y reinicien esas máquinas.

Configuración de directiva de grupo Configuración local

Ruta de acceso: Configuración del equipo\Plantillas administrativas\Sistema\Servicio de hora de Windows

Directiva de grupo: Configuración global
Configuración: UseSslTimeData
Valores (se requiere reiniciar):

0 = STS deshabilitado
1 = STS habilitado

Para obtener más información, consulte Herramientas y configuración del servicio hora de Windows. Realice una copia de seguridad de la configuración existente antes de realizar cambios en el Registro.

Clave del Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Nombre del valor: UtilizeSslTimeData
Tipo de valor: REG_DWORD
Valores (se requiere reiniciar):

0 = STS deshabilitado
1 = STS habilitado

Para obtener más información, consulte Herramientas y configuración del servicio hora de Windows.

Comando para deshabilitar la configuración local de STS en el Registro:
reg.exe add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config" /v "UtilizeSslTimeData" /t REG_DWORD /d 0 /f

Configuración de directiva de grupo	Configuración local
Ruta de acceso: Configuración del equipo\Plantillas administrativas\Sistema\Servicio de hora de Windows Directiva de grupo: Configuración global Configuración: UseSslTimeData Valores (se requiere reiniciar): 0 = STS deshabilitado 1 = STS habilitado Para obtener más información, consulte Herramientas y configuración del servicio hora de Windows.	Realice una copia de seguridad de la configuración existente antes de realizar cambios en el Registro. Clave del Registro: `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config` Nombre del valor: `UtilizeSslTimeData` Tipo de valor: `REG_DWORD` Valores (se requiere reiniciar): `0` = STS deshabilitado `1` = STS habilitado Para obtener más información, consulte Herramientas y configuración del servicio hora de Windows. Comando para deshabilitar la configuración local de STS en el Registro: `reg.exe add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config" /v "UtilizeSslTimeData" /t REG_DWORD /d 0 /f`

Determine la configuración STS utilizada por el servicio W32time.

Uso de Eventos de Servicios (no está disponible en todas las ediciones y versiones):
- (Opcional) Inicie el servicio W32time: net start w32time.
- Busque Time-Service registro de eventos operativos (nombre de registro: Microsoft-Windows-Time-Service/Operational; ruta de acceso del archivo: %SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-Time-Service%4Operational.evtx).
- Busque el evento más reciente entre los eventos 257, 260 y 263 y busque el texto UseSslTimeData en el mensaje de evento.
  - UseSslTimeData: 0 indica que la característica STS está deshabilitada.
  - UseSslTimeData: X (X es un número distinto de cero) indica que la característica STS está habilitada.
A través del registro de depuración W32time (disponible en todas las ediciones y versiones):
- (opcional) Archive cualquier registro de depuración de W32time existente para evitar confusiones.
  - Detenga el servicio W32time: net stop w32time.
  - Archiva el registro de depuración existente de W32time: move c:\w32time.log c:\w32time_archive.log.
- Habilite el registro del servicio W32time: w32tm.exe /debug /enable /file:c:\w32time.log /size:100000000 /entries:0-300.
- Reinicie el servicio W32time:
  - Detenga el servicio W32time: net stop w32time.
  - Inicie el servicio W32time: net start w32time.
- Busque el texto que indica el estado de STS en W32time.log:
  - ReadConfig: 'UseSslTimeData'=0x00000000 indica que STS está deshabilitado.
  - ReadConfig: 'UseSslTimeData'=0xYYYYYYYYY, donde YYYYYYY es cualquier número hexadecimal distinto de cero que indica que STS está habilitado.

Además, se recomienda asegurarse de que la diseminación/sincronización de tiempo adecuada y la supervisión de tiempo adecuada estén activas para cumplir con los requisitos de gestión de tiempo en la implementación (consulte la siguiente explicación sobre varios enfoques de gestión de tiempo). Esto es esencial para las máquinas que ejecutan cargas de trabajo sensibles al tiempo. También es importante para otras implementaciones, dado las dependencias imprevistas que pueden tener en el tiempo del sistema.

Ámbito de las recomendaciones generales de este artículo

Las recomendaciones sobre cómo deshabilitar la característica STS de este artículo son aplicables a las implementaciones que ejecutan SKU del sistema operativo Windows Server (Windows Server 2016 y versiones posteriores) solo en función de los comentarios de los clientes. No se han recibido comentarios similares sobre la característica STS en SKU de sistema operativo que no son de Windows Server. Por lo tanto, las recomendaciones no se extienden a SKU de sistema operativo que no son de Windows Server (varias ediciones que no son de servidor y versiones de Windows 10, versión 1511 o posterior), por ejemplo, varias ediciones y versiones de SKU de cliente de Windows 10, Windows 10 IoT, SKU de cliente de Windows 11 y Windows 11 IoT).

Diferentes SKU del sistema operativo Windows hospedan diferentes componentes y cargas de trabajo. Se implementan en varios entornos, lo que afecta a los metadatos de tiempo disponibles de SSL/TLS, al resultado heurístico de STS y a cualquier efecto descendente de los problemas de STS. Estos factores, junto con los comentarios de los clientes recibidos principalmente sobre la característica STS en las SKU del sistema operativo Windows Server, nos llevan a creer que estos problemas no afectan uniformemente a todas las SKU del sistema operativo Windows.

Los administradores pueden aplicar las instrucciones generales de las secciones siguientes para revisar sus propias soluciones de difusión y supervisión de tiempo para todas las SKU del sistema operativo Windows para un mejor mantenimiento y información sobre su implementación.

Control de problemas en las SKU de Windows que están más allá del alcance de las recomendaciones generales actuales:

Esta parte de la nota se incluye únicamente para exhaustividad. No hay tendencias actuales de que este escenario ocurra en versiones del sistema operativo que no sean Windows Server, y no existe actualmente ninguna guía general sobre la deshabilitación de STS en versiones del sistema operativo que no sean Windows Server.

Hay una posibilidad pequeña pero distinta de que las máquinas de una implementación que ejecute sku de sistema operativo que no sean de Windows Server (varias ediciones que no son de servidor y versiones de Windows 10, versión 1511 o posterior; por ejemplo, las SKU de cliente de Windows 10, Windows 10 IoT, las SKU de cliente de Windows 11 y Windows 11 IoT) también puedan experimentar problemas de sincronización de tiempo relacionados con STS, basados en circunstancias únicas en esa implementación, y la incidencia de estos problemas solo se puede mitigar deshabilitando la función STS en las máquinas afectadas.

Algunas máquinas (por ejemplo, dispositivos portátiles que se basan únicamente en baterías recargables antiguas como fuente de alimentación y que experimentan un agotamiento completo de energía antes de la siguiente recarga de batería) que ejecutan el sistema operativo Windows pueden depender de STS para corregir automáticamente los errores de tiempo significativos. Si la característica STS está deshabilitada, es posible que estas máquinas requieran una intervención alternativa para corregir el tiempo.

Los administradores deben tener en cuenta sus requisitos de implementación y los datos operativos, junto con las instrucciones generales proporcionadas en este documento, al decidir deshabilitar STS en SKU del sistema operativo que no son de Windows Server en su implementación. También se recomienda realizar pruebas exhaustivas de cualquier cambio en la configuración de Windows o en cualquier solución recién implementada como parte de este proceso.

Sincronización de tiempo, supervisión de tiempo y deshabilitación de STS

El mantenimiento del tiempo y la sincronización de tiempo son temas complejos que son los temas de varios documentos y libros. Algunos aspectos relevantes se han resumido aquí para ayudar a los clientes a revisar sus propios mecanismos de distribución de tiempo y obtener información operativa sobre su implementación.

El mantenimiento del tiempo en una máquina puede verse afectado por software como el propio sistema operativo, los servicios de bandeja de entrada como el servicio W32time, las herramientas de administración, las aplicaciones que no son de Microsoft con privilegios suficientes o por el firmware o hardware subyacentes, el reloj de respaldo de metal-óxido-semiconductor (CMOS), la batería, las condiciones de tiempo de ejecución en la unidad de procesamiento central (CPU) o la memoria, o incluso las condiciones ambientales. Varias características de sincronización de tiempo y mantenimiento de tiempo en Windows tienen como objetivo llevar el orden a este proceso aparentemente caótico de mantenimiento del tiempo e intentar mantener el tiempo de una máquina dentro de los límites aceptables para un caso de uso determinado.
Los equipos informáticos de consumo normalmente necesitan ajustes de hora, y esto también se aplica a los dispositivos que ejecutan varias versiones del sistema operativo Windows. En el mercado, los SKUs de sistemas operativos Windows (Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows Server 2025, Windows 10, Windows 11, Windows 10 IoT, Windows 11 IoT, incluidas múltiples versiones intermedias y varios otros SKUs de sistemas operativos Windows) cada uno tiene una configuración de servicio W32Time predeterminada para mantener y sincronizar el tiempo en un dispositivo genérico.
- Como parte de esto, STS está habilitado de forma predeterminada en Windows Server 2016, Windows Server 2019, Windows Server 2022 y versiones intermedias y está deshabilitado de forma predeterminada en varias ediciones de Windows Server 2025, en función de los comentarios de los clientes.
Familiarícese con las configuraciones del registro del servicio W32time documentadas en las herramientas y configuraciones del servicio de tiempo de Windows.
Muchos clientes modifican la configuración predeterminada de W32Time para adaptarse mejor a sus requisitos de implementación y mantenimiento de tiempo. La modificación del ajuste STS debe considerarse de manera similar.
Capturar los registros de eventos del sistema (entre otros registros de eventos) en sistemas Windows en una implementación puede resultar útil para evaluar varios problemas de la implementación.
- Al establecer la hora del sistema en el sistema operativo Windows, el evento Kernel-General Event #1 se registra en el registro de eventos del sistema. El texto del mensaje de este evento se ha reforzado con respecto a las versiones del sistema operativo, y todas las versiones deben registrar o identificar el identificador de proceso (PID) del proceso, establecer la hora y una manera de calcular el cambio de hora.
- Todos los eventos del registro de eventos del sistema incluyen la hora actual del sistema local en los metadatos.
- Algunas SKU del sistema operativo Windows, de forma predeterminada, escriben los registros de eventos del sistema en este archivo: %SystemRoot%\System32\Winevt\Logs\System.evtx. Estos registros se pueden ver normalmente en la aplicación Visor de eventos.
- El administrador puede configurar varios aspectos del registro de eventos.
- Las SKU del sistema operativo Windows sin el componente de registro de eventos predeterminado pueden capturar este registro de eventos mediante agentes de escucha de eventos.
- En este artículo y vídeo vinculado se explican varios aspectos del registro de eventos de Windows: Descripción del registro de eventos de Windows y las directivas de registro de eventos. Encontrará más detalles en este módulo de aprendizaje de Windows: Administrar y supervisar los registros de eventos de Windows Server.
- Varias soluciones de supervisión disponibles en el mercado (creadas por terceros y Microsoft) capturan registros de eventos como parte de su funcionalidad. En este artículo no se recomienda ninguna solución específica.
Las cargas de trabajo sensibles al tiempo son aplicaciones y servicios que requieren que el tiempo de una máquina sea preciso dentro de un determinado margen de error. Hospedar cargas de trabajo sensibles al tiempo en una implementación es un factor importante para decidir la personalización adicional de la sincronización de tiempo y la topología de distribución que se describe más adelante.
La administración del mantenimiento del tiempo en cualquier implementación hace necesario supervisar el tiempo en cada dispositivo de esa implementación y tener un plan de acción cuando la supervisión indica errores.
- La sofisticación de la supervisión depende de requisitos de precisión de tiempo específicos (que van desde una precisión alta (menos de un ms) hasta el mantenimiento aproximado del tiempo (~meses/años)).
- La supervisión es esencial en cualquier implementación que hospede cargas de trabajo sensibles al tiempo y potencialmente importantes en otros escenarios.
- La supervisión puede ayudar a identificar hardware defectuoso o problemas de cronometraje con antelación y prevenir efectos posteriores de tales situaciones.
- La supervisión puede ser indirecta mediante registros de eventos u otras métricas del sistema observables o directamente mediante pings del Protocolo de tiempo de red (NTP) en un origen de tiempo de referencia.
Muchas implementaciones usan servidores de tiempo externo, pero algunas implementaciones usan servidores de tiempo dedicados que controlan y administran. Estos servidores de tiempo dedicados deben supervisarse para detectar cualquier problema derivado de errores en el hardware subyacente de esos dispositivos. Los servidores o orígenes de hora externos pueden permitir solo una supervisión limitada.
Hay una gran variedad de redes e implementaciones de clientes, que van desde puntos de acceso a Internet públicos y redes domésticas hasta redes privadas avanzadas. Se pueden generalizar en dos categorías generales, redes privadas o internas y públicas o interredes, y examinar posibles soluciones de sincronización de hora para cada categoría. Se trata de una vista abstracta de alto nivel de estas implementaciones y se recomienda a los lectores tratar los detalles presentados aquí como tal.
- Las redes privadas suelen implementar servidores de hora NTP locales y distribuir el tiempo dentro de la red.
- Las redes públicas suelen usar servidores NTP accesibles públicamente para sincronizar la hora (por ejemplo, time.windows.com).
- Un servidor NTP en la red privada puede ser más servicial que un servidor NTP público, pero es posible que este último sea fácilmente accesible.
- El protocolo NTP usado en la mayoría de estos escenarios es NTP (texto sin formato), definido en RFC 1305 y sus variaciones avanzadas. Este protocolo se usa ampliamente para la sincronización de tiempo en varias plataformas del sistema operativo e Internet. El servicio W32time requiere que un administrador especifique un nombre de servidor NTP o una dirección IP en la configuración que se usará como origen de hora. El origen NTP común (texto no cifrado) usado en la configuración de W32time es time.windows.com.
Active Directory Domain Services (ADDS) utiliza NTP complementado con extensiones de seguridad de ADDS dentro del dominio o bosque de AD, y normalmente se conecta fuera del bosque de AD a través de NTP estándar en texto plano. La distribución de tiempo dentro de ADDS usa controladores de dominio disponibles como servidores de hora principal o intermedio. La mayoría de las máquinas ADDS detectan dinámicamente su servidor de tiempo, excepto los DCs marcados como "Good Time Server" (el controlador de dominio principal raíz del bosque tiene como valor predeterminado este rol), que son fuentes precisas de tiempo o están configurados explícitamente para sincronizarse desde una fuente de tiempo externa.
Los clientes deben determinar primero si sus máquinas Windows Server se implementan en una red pública o privada y, a continuación, tomar decisiones sobre la configuración de mantenimiento de tiempo de Windows específica que usarán en esa implementación.
Es posible que algunas implementaciones necesiten redundancia de los servidores de tiempo para evitar la pérdida de disponibilidad. Confiar en un número impar de servidores de tiempo comparables (más de uno) puede ayudar a cumplir este objetivo.
Los clientes que hospedan cargas de trabajo sensibles al tiempo deben asegurarse de que su distribución y supervisión de tiempo en esos entornos satisfacen sus necesidades.
Una vez que tenga suficiente información sobre las máquinas que hospedan cargas de trabajo sensibles al tiempo, la topología de distribución de tiempo y la supervisión de tiempo en la implementación, se recomienda desactivar gradualmente STS en las SKU del sistema operativo Windows Server (varias versiones o ediciones), empezando por la máquina menos significativa y terminando con la máquina más significativa.

Con este contexto sobre la gestión del tiempo y la sincronización temporal, a continuación se presenta un conjunto de acciones sugeridas para revisar y ajustar la implementación, incluyendo la desactivación de STS como se recomendó anteriormente. Esta lista de ejemplo debe adecuarse a sus implementaciones específicas.

Revise los mecanismos de distribución y sincronización de tiempo que usa para el mantenimiento del tiempo en las máquinas Windows Server.
Determine si la implementación tiene cargas de trabajo sensibles al tiempo y determina el margen de error de tiempo aceptable. En general, los errores de tiempo más grandes son más fáciles de detectar que los errores de tiempo más pequeños.
Determine si tiene un sistema de supervisión del tiempo en estas máquinas para cumplir con los requisitos de control del tiempo. Puede ser un sistema exclusivo de supervisión de tiempo o una solución de supervisión general que se implementa en cada máquina de esta implementación.
Se recomienda implementar mecanismos de supervisión de tiempo si ejecutan cargas de trabajo sensibles al tiempo. La supervisión de los registros de eventos del sistema en una máquina de destino para Kernel-General evento n.º 1 es una manera posible de responder a cambios de tiempo repentinos o grandes (más de un segundo) o correcciones. Hay otras formas de supervisar el tiempo, todos los cuales están fuera del ámbito de este documento. Cuanto mayor sea la precisión del tiempo que necesita la implementación, más aguda será la necesidad de implementar una solución de supervisión.
Familiarícese con la característica STS y las recomendaciones de este documento para deshabilitar STS.
Si tiene un entorno de prueba disponible, pruebe la nueva configuración con STS deshabilitado en ese entorno para asegurarse de que funcionan según lo previsto. También se recomienda probar la solución de supervisión de tiempo en este entorno de prueba.
Deshabilite gradualmente la característica STS en máquinas Windows Server mediante un cambio de configuración del Registro o la configuración de directiva de grupo en máquinas unidas a ADDS y programe un reinicio para aplicar completamente el cambio.
Compruebe que el servicio W32time se está ejecutando ahora con STS deshabilitado.

Compartir a través de