Pocas fallas en un entorno Windows son tan disruptivas como que el controlador de dominio principal deje de abrir la consola Active Directory Users and Computers; la autenticación, las GPO y la replicación quedan en riesgo y los usuarios comienzan a reportar errores de inicio de sesión casi de inmediato.
Descripción del problema
Al intentar abrir Active Directory Users and Computers (ADUC) en el Domain Controller (DC) que ostenta los roles maestros, aparece el mensaje:
“Naming information cannot be located because: The specified domain either does not exist or could not be contacted”.
Los reinicios del servidor y de los servicios de AD no resuelven la situación; el segundo DC tampoco replica correctamente.
Causas habituales
- Configuración DNS incorrecta o registros SRV ausentes.
- Servicios críticos (Netlogon, NTDS, KDC o DNS Server) detenidos o en estado inestable.
- Problemas de replicación por topología de sitios errónea o catálogos globales caídos.
- Corrupción de bases NTDS debido a falta de espacio, antivirus mal configurado o apagados forzados.
- Fallas físicas o de red que impiden la localización del PDC Emulator.
Procedimiento de diagnóstico
Conectividad de red
Antes de profundizar, descarte cortes de red:
ping -n 4 <IPDCsecundario>
tracert <FQDN_dominio>Latencias altas o respuestas intermitentes sugieren congestión o enlaces defectuosos.
Salud del controlador de dominio
dcdiag /v /c /d /e > dcdiag.txtRevise dcdiag.txt buscando failed o warn en los bloques Connectivity, Advertising, Replications y NCSecDesc.
En Visor de eventos → Directory‑Service detecte los IDs 1311, 1865, 1925 (replicación) y 4000 (DNS).
Comprobación DNS
ipconfig /all
nslookup -type=SRV ldap.tcp.dc._msdcs.<dominio>| Validación | Acción |
|---|---|
| Servidores DNS externos listados | Reemplazar por IPs de DCs internos; luego ipconfig /flushdns |
| Registros SRV faltantes | Agregar zona _msdcs y crear registros manualmente o reinstalar servicio DNS |
| Zona no autoritativa | Comprobar reenvíos, delegaciones o zonas secundarias mal configuradas |
Servicios críticos de AD
En services.msc verifique:
| Servicio | Descripción | Estado deseado |
|---|---|---|
| Active Directory Domain Services (NTDS) | Base de datos y replicación | En ejecución |
| DNS Server | Resolución interna del dominio | En ejecución |
| Netlogon | Publica registros SRV y procesa logons | En ejecución |
| Kerberos Key Distribution Center | Emisión de tickets TGT/TGS | En ejecución |
Roles FSMO y catálogo global
netdom query fsmo
repadmin /replsummary
Si ningún DC anuncia el rol PDC Emulator o los contadores de errores superan el 5 % en repadmin, la localización de AD fallará.
Registro de Netlogon
reg query "HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters" /v SysvolReadyValor REG_DWORD 0x0 indica que SYSVOL no está compartido. Ajuste:
reg add "HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters" /v SysvolReady /t REG_DWORD /d 1 /f
net stop netlogon && net start netlogonTopología de sitios y replicación
En Active Directory Sites and Services confirme que los DCs estén en el sitio correcto y que existan Connection Objects bidireccionales. Use:
repadmin /showrepl
repadmin /kcc *Solución paso a paso
Ajuste inmediato de DNS interno
- Configure en las propiedades de la NIC del DC afectado únicamente las IPs de DCs que respondan DNS.
- Reinicie el servicio DNS o, si fallara el arranque, reinstale la característica:
Remove-WindowsFeature DNS -Restart
Install-WindowsFeature DNS -IncludeManagementTools
Restaurar servicios y SYSVOL
- Verifique espacio en disco (mínimo 20 % libre); expanda la unidad o elimine archivos temporales.
- Inicie manualmente NTDS. Si el error es 2103 (bad log file), ejecute
ntdsutil→ files → recover. - Si el servicio arranca en Directory Services Restore Mode, revise el archivo
ntds.ditconesentutl /psolo como último recurso. - Forzar re‑sincronización de SYSVOL:
ntfrsutl poll /now
Reasignar o tomar roles FSMO
Cuando el PDC Emulator no esté disponible pero otro DC opere correctamente:
ntdsutil
roles
connections
connect to server <DC_sano>
quit
seize pdc
quit
Tras la toma, reinicie el DC afectado y valide:
netdom query fsmoReparar replicación
repadmin /syncall /AeD
repadmin /replsummaryLos estados deben retornar a 0 fails antes de volver a poner en producción el DC.
Buenas prácticas de prevención
- Mantenga al menos dos DCs físicos o virtuales por sitio y verifique la replicación a diario con scripts.
- Programe backups System State cada 24 h; pruebe restauraciones trimestralmente.
- Integre monitorización (SCOM, Zabbix, Nagios) para alertas de servicios detenidos o espacio en disco.
- Documente cada cambio de IP, de DNS y de rol FSMO en un registro centralizado.
- Aplique actualizaciones de seguridad mensuales y reinicie durante ventanas controladas.
- Excluya
%windir%\NTDSy%windir%\SYSVOLde escaneos antivirus en tiempo real.
Preguntas frecuentes
¿Puedo apuntar el DNS del DC al router o un servidor externo?
No. El 100 % de los controladores debe utilizar solo DNS internos; de lo contrario, los registros SRV no se resuelven.
¿Qué pasa si detengo el servicio NTDS?
El DC deja de autenticar usuarios y replicar; evite detener NTDS en horario laboral.
¿Se puede eliminar y volver a unir el DC al dominio?
Solo como último recurso. Despromocione con dcpromo /forceremoval, limpie metadatos vía ntdsutil y promuévalo nuevamente.
¿Cuánto tarda la replicación tras corregir el problema?
Depende de la topología y el ancho de banda; con /AeD la sincronización suele completarse en pocos minutos.
Conclusión
La carencia de información de nomenclatura al abrir ADUC suele rastrearse a fallos de DNS o replicación. Un diagnóstico disciplinado —dcdiag, repadmin, visor de eventos y verificación de servicios— permite aislar la causa raíz y restaurar la disponibilidad de Active Directory sin reinstalar el rol. Una estrategia preventiva basada en DCs redundantes, respaldos frecuentes y monitorización proactiva convertirá esta crisis en un incidente menor en el futuro.