Al despromocionar un controlador de dominio legado de Active Directory, el asistente puede advertir sobre la necesidad de eliminar una application directory partition. Aunque la ventana es pequeña, la decisión impacta en la salud del bosque. A continuación encontrarás una guía completa, paso a paso y basada en prácticas de campo, para realizar la operación con seguridad y sin interrupciones de servicio.
Qué es una application directory partition y por qué existe
Las application directory partitions son particiones lógicas dentro de la base de datos de Active Directory (NTDS.dit) que contienen datos específicos de aplicaciones o servicios que requieren replicarse solo a un subconjunto de controladores de dominio. El caso más común es DNS integrado en AD (DomainDnsZones y ForestDnsZones), pero también pueden alojar catálogos de servicios, PKI o aplicaciones de terceros.
Características clave:
- Se replican mediante el motor de replicación de AD pero únicamente entre los DC miembros de la partición; no forman parte del contexto de nombres
DC=Domain,DC=com. - Su ámbito puede ser de bosque o de dominio y se define en la creación.
- Permiten aislar el tráfico de replicación y delegar seguridad granular sobre sus objetos.
Cómo interactúa la partición con el proceso de despromoción
Cuando un DC se despromociona, el asistente analiza qué particiones posee. Si detecta que el controlador alberga la última réplica de una partición, ofrece dos opciones:
- Eliminar la partición por completo del bosque (o dominio).
- Cancelar la eliminación y continuar dejando la partición intacta para que otro DC siga replicándola.
Si existen otros DC que ya hospedan la partición, el asistente solo quitará la copia local; la partición seguirá existiendo en el resto del entorno. Por tanto, el alcance real depende de si es la última réplica.
Escenarios típicos y su impacto
DC antiguo único poseedor de la partición
Ejemplo: un laboratorio creó una partición CN=AppData,CN=Partitions,CN=Configuration para una aplicación que ya no existe y nunca se replicó a otros DC. Al despromocionar el último host, eliminar la partición no tiene efecto adverso (incluso es recomendable).
Particiones DNS (DomainDnsZones y ForestDnsZones)
En la mayoría de entornos de producción, varias réplicas ya existen. Sin embargo, si el DC que vas a despromocionar es el único en un sitio remoto, podría ser la última réplica para conservar la latencia de DNS local. Eliminarla accidentalmente provocaría la pérdida de registros y serviría zonas solo desde sitios centrales, aumentando la latencia o causando fallos si no hay conectividad.
Particiones personalizadas de terceros
Productos de copia de seguridad, identidad federada o impresión pueden crear sus propias particiones. La aplicación podría fallar en todos los servidores si pierdes la partición, aun cuando el binario siga instalado en los nodos restantes.
Checklist previo a la despromoción
| Tarea | Herramienta sugerida | Objetivo |
|---|---|---|
| Inventariar particiones existentes | dnscmd /enumdirectorypartitions | Saber qué particiones posee el DC |
| Verificar réplicas restantes | repadmin /showrepl | Confirmar que otro DC mantiene la partición |
| Listar miembros de la partición | dnsCmd /enumdirectorypartitionservers <FQDN-partición> | Comprobar cuántos hosts quedan |
| Reubicar la partición (opcional) | dnscmd NuevoDC /enlistdirectorypartition <FQDN-partición> | Garantizar continuidad en un servidor nuevo |
| Esperar replicación | repadmin /syncall /AeD | Asegurarse de que la base de datos está actualizada |
| Validar funcionalidad de DNS | nslookup / IPAM / registros de eventos | Detectar fallos antes del cambio |
Paso a paso para despromocionar sin riesgos
- Traslada los roles FSMO si no lo hiciste ya (
Move-ADDirectoryServerOperationMasterRoleen PowerShell) para que la despromoción no los transfiera de forma automática. - Ejecuta el asistente de despromoción (
dcpromoen versiones antiguas o “Remove Roles and Features” en Server 2012+). Observa la advertencia sobre las particiones. - Si el asistente señala que la partición es la última copia, detente y regresa al checklist: decide si debe mantenerse o migrarse.
- Acepta la eliminación solo cuando confirmes que
a) la partición está obsoleta
b) la has trasladado a otro DC
c) la pérdida no causa interrupción. - Completa la despromoción y reinicia cuando lo pida.
- Supervisa los registros en el Visor de eventos (canal DNS Server, Directory Service y Replication) durante al menos un ciclo de replicación completo.
- Limpia los metadatos con
Remove-ADComputeryrepadmin /removelingeringobjectssi el DC no se dio de baja adecuadamente.
Estrategias de mitigación y reversión
Si por error eliminaste una partición crítica:
- Recuperación autoritativa: Extrae un backup de estado del sistema y marca la partición en modo autoritativo con
ntdsutil. - Restauración de zonas DNS: Si la partición contenía DNS, reimporta los registros desde archivos
.dnsexportados o distribúyelos con PowerShell (Import-DnsServerZone). - Restaurar desde Papelera de AD: Objetos individuales pueden rescatarse si la Papelera está habilitada, pero la partición completa no se recreará; necesitarás scripts LDIF.
Buenas prácticas post‑migración
- Audita periódicamente la existencia de particiones sin uso con
Get-ADReplicationPartition(módulo RSAT). - Mantén al menos dos réplicas de
DomainDnsZonesyForestDnsZonespor sitio crítico para tolerancia a fallos. - Documenta cada partición personalizada: propósito, propietarios de servicio y DC anfitriones.
- Establece alertas de evento 4000–4013 en DNS para detectar pérdidas de conectividad de partición.
- En entornos híbridos, sincroniza cambios con Azure AD Connect antes de mover o eliminar particiones de DNS, evitando incoherencias de nombres UPN.
Preguntas frecuentes
¿Puedo simplemente ignorar la advertencia y seguir?
Sí, pero es imprudente. Ignorar puede provocar que te quedes sin el naming context necesario y pierdas datos esenciales.
¿La eliminación reduce el tamaño del archivo NTDS.dit?
De manera marginal. El espacio se marca como disponible pero solo se compacta al ejecutar ntdsutil "files" "compact to".
¿Existe diferencia entre Server 2008 R2 y Server 2022?
El proceso conceptual es idéntico. El agente de despromoción moderno usa PowerShell (Uninstall-ADDSDomainController), pero la lógica de comprobación de particiones no cambió.
¿Cómo sé si una aplicación aún lee la partición?
Habilita auditoría de accesos a directorio y busca eventos 4662 en el DC que aloja objetos de la partición. Filtra por Object DN correspondiente.
Conclusión
Eliminar una application directory partition durante la despromoción de un controlador de dominio es seguro solo cuando se ha verificado que no existen dependencias ni es la última réplica necesaria. Seguir el checklist anterior garantiza continuidad de servicio y una base de Active Directory limpia y eficiente.