Al intentar añadir un nuevo Controlador de Dominio (DC) a un bosque donde ya se retiraron DC antiguos, pueden aparecer advertencias de delegación DNS, replicación incompleta y la ausencia de las carpetas SYSVOL
y NETLOGON
. Este artículo explica, paso a paso, cómo diagnosticar y resolver los problemas más comunes (FSMO, DNS, replicación AD y DFSR) para que la promoción finalice correctamente.
Resumen del problema
Tras retirar dos DC con Windows Server 2012 y mover —o intentar mover— los roles FSMO, la posterior promoción de un DC basado en Server 2016/2019/2022 concluye con advertencias:
- La replicación sólo copia parte de los objetos (OUs, usuarios, GPOs).
- Las carpetas compartidas
SYSVOL
yNETLOGON
no aparecen en el nuevo DC. - El wizard de AD DS muestra un aviso sobre la delegación de zona DNS.
En la mayoría de los entornos, la raíz del problema se resume en tres puntos: roles FSMO mal ubicados, registros DNS obsoletos y una migración incompleta de FRS a DFSR para la replicación de SYSVOL. La buena noticia es que, con una metodología ordenada, todo puede solucionarse sin reinstalar el sistema.
Comprobaciones previas
Antes de ejecutar cambios profundos:
- Guarda una copia de seguridad bare‑metal de al menos un DC funcional.
- Verifica que cada DC restante resuelve nombre e IP de los demás DC sin latencias inusuales (<10 ms en la misma LAN).
- Comprueba que la hora de los DC se sincroniza con la misma fuente NTP (
w32tm /query /status
). - Realiza un
dcdiag /a
y unrepadmin /replsummary
; anota cualquier error para revisarlo más adelante.
Verificar y reasignar roles FSMO
Los cinco roles FSMO —Schema Master, Domain Naming Master, PDC Emulator, RID Master, Infrastructure Master— deben residir en DC vivos y sanos. Para confirmarlo:
netdom query fsmo
Si el comando devuelve como propietario un DC ya desmantelado, se debe apoderar (seize) del rol desde un DC operativo:
netdom seize <rol> /domain:midominio.local /userd:Administrator /passwordd:*
Repetir la operación para cada rol huérfano. Cuando todos los roles estén en un DC válido:
- Reinicia el servicio
NTDS
o el servidor completo para descartar caché obsoleta. - Espera a que
repadmin /showrepl
muestre replicación exitosa (estado 0).
Depurar la infraestructura DNS
AD DS depende completamente de DNS; un solo registro SRV incorrecto basta para bloquear la replicación. Sigue este orden:
Eliminar registros huérfanos
- Abre la consola DNS y navega a
msdcs.<dominio>\sites
. - Ordena por Data. Si encuentras la IP de un DC retirado, bórrala.
- Revisa las carpetas
tcp
,udp
y_gc
; repite la limpieza.
Verificar registros críticos
Servicio | Registro SRV | Descripción |
---|---|---|
LDAP (Global Catalog) | ldap.tcp.gc._msdcs.<dominio> | Permite localizar GC y autenticarse desde otros sitios AD. |
Kerberos | kerberos.tcp.<dominio> | Esencial para tickets TGT. |
Site‑specific LDAP | ldap.tcp.<Site‑Name>._sites.<dominio> | Optimiza autenticación por proximidad. |
Si un DC nuevo no aparece, ejecuta en él:
ipconfig /registerdns
dcdiag /test:dns /v /s:<NombreDC>
El resultado debe mostrar todas las pruebas PASS. Corrige cualquier FAIL antes de continuar.
Diagnosticar la replicación de Active Directory
Con los roles FSMO y DNS limpios, verifica que no existan conexiones rotas entre DC:
repadmin /showrepl * /csv > C:\Temp\repl.csv
Abre el CSV y filtra por la columna result ≠ 0. Los errores más habituales:
- 8524 – The DSA operation is unable to proceed: aún hay un DC referenciado que no responde.
- 8453 – Replication access was denied: la cuenta de replicación no tiene permisos o la hora difiere >5 min.
- 8464 – No such object: objetos degenerados (lingering objects).
Eliminar objetos persistentes
Si dcdiag
indica objetos en estado lingering, remuévelos con:
repadmin /removelingeringobjects <DCObjetivo> <GUIDDC_Sano> forest
Después, fuerza la replicación:
repadmin /syncall /APeD
Restaurar la replicación de SYSVOL y NETLOGON
En dominios antiguos (< Windows 2008), la carpeta SYSVOL
se replica mediante FRS; a partir de 2008, se usa DFSR. Los DC 2016+ no admiten FRS, por lo que una migración incompleta detendrá la promoción.
Confirmar el estado DFSR
dfsrdiag pollad
dfsrdiag backlog /rgname:"Domain System Volume" /rfname:SYSVOL /sendingmember:<DCorigen> /receivingmember:<DCdestino>
Si aparece el mensaje “The specified domain is still using the File Replication Service (FRS)”, migra inmediatamente:
dfsrmig /setglobalstate 1 :: State 'Prepared'
dfsrmig /getmigrationstate :: Esperar 'Prepared' en todos los DC
dfsrmig /setglobalstate 2 :: State 'Redirected'
dfsrmig /getmigrationstate
dfsrmig /setglobalstate 3 :: State 'Eliminated'
dfsrmig /getmigrationstate
Sincronización autoritativa
Si la carpeta SYSVOL
existe pero está vacía o no se comparte, realiza una sincronización autoritativa desde el DC que tenga la copia buena:
dfsrdiag pollad
dfsrdiag syncnow /partner:<DC_bueno> /rgname:"Domain System Volume" /time:15
Cuando termine, ejecuta net share
; deben aparecer SYSVOL
y NETLOGON
como compartidos.
Pasos finales y buenas prácticas
- Eleva los niveles funcionales de bosque y dominio a 2016 o superior si ya no quedan DC 2012.
- Habilita Recycle Bin de AD antes de retirar más DC; simplifica recuperaciones accidentales.
- Ejecuta
bpa -ModelID Microsoft/Windows/DirectoryServices
y corrige las advertencias. - Mantén siempre al menos dos DC en cada sitio geográfico crítico; evita puntos únicos de fallo.
- Documenta cada transferencia FSMO y cada descomisión con capturas de pantalla o registros de PowerShell; así cumplirás normas de auditoría (ISO 27001, PCI‑DSS, etc.).
- Supervisa eventos clave: IDOrigenSignificado 2213DFSRDFSR detuvo la replicación por un exceso de dirty shutdowns. 13577NtFrsFRS está obsoleto; invita a migrar a DFSR. 4013DNSEl servicio DNS no arrancó porque la base aún no se ha replicado. 5722NETLOGONError de confianza; puede indicar hora o credenciales desfasadas.
Conclusión
La incapacidad para promocionar un nuevo DC suele deberse a incoherencias de FSMO, registros DNS huérfanos y una migración incompleta de FRS a DFSR. Al verificar cada pieza —roles, delegación DNS, replicación AD y estado de SYSVOL— se restablece la salud del bosque y se garantiza que futuros DC 2025+ se integren sin contratiempos.