Actualizar in‑place un servidor que hospeda Microsoft BitLocker Administration and Monitoring (MBAM) desde Windows Server 2012 a Windows Server 2019 demanda una estrategia cuidadosa, pues no existe ruta directa. A continuación se detalla un procedimiento paso a paso, buenas prácticas y advertencias para culminar la migración con éxito y sin pérdida de datos.
Por qué no hay ruta directa de 2012 a 2019
Windows Server 2019 solo admite actualizaciones in‑place desde Windows Server 2016. Por tanto, cualquier servidor que ejecute 2012 / 2012 R2 debe dar un “salto intermedio” a 2016 antes de subir a 2019. MBAM, a su vez, debe permanecer operativo y compatible en cada uno de los sistemas operativos intermedios.
Requisitos previos y comprobaciones esenciales
- Disponer de una copia de MBAM 2.5 SP1 o versión superior; versiones anteriores no son soportadas oficialmente en 2016/2019.
- Asegurarse de que la base de datos SQL se encuentra en un nivel de compatibilidad aceptado (2012 o superior) y en modo full‑recovery antes del primer salto.
- Contar con licencias válidas para Windows Server 2016 y 2019 o suscripciones SA que habiliten el upgrade.
- Tener documentadas las cuentas de servicio (pool del IIS, agent service, app‑pool del portal) y sus permisos en SQL, AD y GPO.
- Reservar una ventana de mantenimiento suficiente: si el servidor aloja los portales de recuperación, la inoperatividad implica que ningún equipo cifrado podrá obtener su clave hasta restaurar el servicio.
Copias de seguridad obligatorias
Antes de tocar nada, ejecute al menos estas salvaguardas:
- Imagen completa del sistema con Windows Server Backup o solución equivalente.
- Backup de la base de datos MBAM_RecoveryAndHardware y MBAM Compliance.
- Exportación de todas las GPO de BitLocker relevantes con
Backup‑GPO. - Exportación de las claves de cifrado de IIS (
appcmd unlock configyaspnet_regiis ‑px|‑pefen servidores antiguos) para restaurar certificados.
Secuencia de alto nivel
| Paso | Acciones clave |
|---|---|
| Preparar la actualización | Verificar salud de MBAM, aplicar parches pendientes y crear backups (sistema, SQL, claves). Documentar configuración. |
| Actualizar a Windows Server 2016 | Ejecutar Setup.exe, elegir In‑place upgrade, mantener roles y características. Tras el reinicio, validar portales, servicios y trabajos de SQL Agent. |
| Validar compatibilidad de MBAM | Comprobar versión de MBAM; si no es 2.5 SP1 CU4 o superior, aplicar CU antes de continuar. |
| Actualizar a Windows Server 2019 | Repetir backup, lanzar Setup‑2019, seleccionar actualización manteniendo datos. Tras completar, volver a validar MBAM a nivel funcional. |
| Revisar y aplicar parches | Instalar cumulative update más reciente para Server 2019, corrigiendo potenciales errores de .NET 4.8 que afecten a los portales MBAM. |
Validación tras cada salto
- Abrir MBAM Administration and Monitoring Portal y buscar un equipo aleatorio; verificar que muestra estado y clave de recuperación.
- Ejecutar
Get‑BitLockerVolumedesde un cliente unido al dominio y revisar que sube datos al dashboard. - Comprobar visibilidad de informes SSRS; si falla, revisar SQL Server Reporting Services Configuration Manager y volver a vincular bases.
- Lanzar trabajo “MBAM Compliance Status” en SQL Agent y chequear que concluye sin errores.
Qué hacer si MBAM deja de funcionar
En la práctica, el principal incidente es el portal con error 500 o “Service Unavailable” tras reinicio:
- Verificar que el Application Pool se ejecuta con la cuenta correcta y con .NET CLR v4.0.
- Asegurar que el cifrado de configuración (DPAPI) no ha cambiado — especialmente si existía dominio cruzado.
- Reparar MBAM con el instalador original:
mbamsetup.exe /repair /quietrestablece archivos sin perder datos.
Compatibilidad de versiones de MBAM
| Versión | Compatible Server 2016 | Compatible Server 2019 | Acción recomendada |
|---|---|---|---|
| MBAM 2.0 / 2.5 RTM | No | No | Actualizar a 2.5 SP1 primero. |
| MBAM 2.5 SP1 (sin CU) | Sí | No estable | Aplicar CU4 o posterior. |
| MBAM 2.5 SP1 CU4‑CU9 | Sí | Sí (recomendado CU8+) | Ninguna. |
Comandos PowerShell útiles
# Verificar estado de BitLocker en clientes
Get-Command -Module BitLocker
Get-BitLockerVolume | Select-Object MountPoint, VolumeStatus, EncryptionPercentage
Exportar claves de recuperación antes del upgrade
Invoke-Sqlcmd -ServerInstance MBAMSQL01 ` -Database MBAM_RecoveryAndHardware`
-Query "SELECT \* FROM RecoveryAndHardwareCore.Keys" \`
\| Export-Csv C:\Backup\mbam\_keys.csv -NoTypeInformation Pitfalls frecuentes
- SQL Server desactualizado: Instancias 2008 R2 no funcionan en Server 2019; planificar migración a SQL 2016+ con anterioridad.
- Criptografía heredada: FIPS y TLS 1.0 están deshabilitados por defecto en 2019; habilitar TLS 1.2 en MBAM antes del salto final.
- Espacio insuficiente: El instalador de Server 2019 necesita ~20 GB adicionales para la operación de roll‑back; preverlo en partición C.
Automatizar pruebas post‑migración
Para confirmar que cada endpoint sigue reportando, arme un script con tareas programadas:
$Computers = Get-Content .\clients.txt
Foreach ($PC in $Computers) {
$Status = Get-BitLockerVolume -ComputerName $PC
If ($Status.VolumeStatus -ne 'FullyEncrypted') {
Write-Warning "$PC no reporta correctamente"
}
}
Migrar a BitLocker Management en Endpoint Configuration Manager o Intune
MBAM entró en soporte extendido el 9 de julio de 2019. Microsoft ofrece la misma funcionalidad integrada en Microsoft Endpoint Configuration Manager (MECM) desde la versión 1910 e Intune. La estrategia más limpia es:
- Instalar la “MBAM Policy and Key Escrow” feature de MECM.
- Configurar políticas de Windows 10/11 para trasladar las claves BitLocker a MECM/Intune.
- Exportar las claves históricas desde MBAM con el script ExportMBAMKeys.ps1 e importarlas en MECM.
- Desinstalar MBAM cuando no existan equipos Legacy asociados.
Preguntas y respuestas rápidas
¿Puedo clonar el servidor y después actualizar? Sí, pero debes regenerar el SID de la máquina para evitar conflictos de SPN en AD.
¿Es válido actualizar solamente la base de datos y reinstalar MBAM en 2019 desde cero? Es posible, pero pierdes la comodidad de la actualización in‑place; será necesario recrear portales, reportes y tareas SQL Agent.
¿Se puede cambiar a modo Core en 2019? No en una actualización in‑place; para Nano/Core se requiere instalación limpia.
Conclusiones
Realizar la actualización de un servidor MBAM 2012 a 2019 implica dos saltos consecutivos, verificación de compatibilidad de MBAM y rigor en las copias de seguridad. Seguir las mejores prácticas descritas reduce riesgos de inactividad y garantiza la conservación de las claves de recuperación, fundamentales para la continuidad operativa de equipos cifrados con BitLocker. Evalúa la migración a BitLocker Management en MECM o Intune para beneficiarte de soporte a largo plazo.