MENU
  1. Inicio
  2. Windows
  3. Windows Server
  4. Guía completa para actualizar controladores de dominio de Windows Server 2012 R2 a 2022 y mantener la compatibilidad

Guía completa para actualizar controladores de dominio de Windows Server 2012 R2 a 2022 y mantener la compatibilidad

Windows Server

Actualizar los controladores de dominio (DC) desde Windows Server 2012 R2 a Windows Server 2022 es una de las tareas con mayor impacto en la infraestructura: afecta al inicio de sesión, las GPO, el correo electrónico on‑premises y la interoperabilidad con sistemas antiguos. A continuación encontrarás una guía práctica, paso a paso, para ejecutar la migración con el máximo control y sin poner en riesgo la continuidad de tu negocio.

Índice

Por qué migrar a Windows Server 2022

Además de recibir soporte oficial hasta octubre de 2031, Windows Server 2022 introduce mejoras sustanciales en seguridad (Secured‑core Server, TLS 1.3 en todo el sistema), rendimiento (SMB over QUIC, nuevo TCP HyStart++) y administración híbrida mediante Windows Admin Center. Mantener DC en versiones sin soporte expone tus credenciales, promueve ataques Pass‑the‑Hash y limita la adopción de funciones modernas como Fine‑Grained Password Policies o el Recycle Bin de AD.

Escenario de partida típico

  • Controladores de dominio Windows Server 2012 R2 con FSMO.
  • Niveles funcionales de bosque y dominio en 2008 R2.
  • Servidores miembro antiguos (2003, 2008, 2008 R2, 2012/2012 R2, 2016 1607).
  • Clientes Windows XP, 7, 8 y 8.1.
  • Exchange 2007 para correo interno SMTP y coexistencia híbrida con Exchange 2013.

Compatibilidad de sistemas operativos antiguos

SistemaEstado tras migrar DC a 2022 (nivel funcional 2012)Riesgos / Limitaciones
Windows Server 2003 / XPInician sesión y acceden a recursos si Kerberos RC4 y NTLMv1 permanecen habilitados.Sin parches de seguridad; no admiten AES‑256 ni SMB 3. Usar VLAN aislada o plan de retirada.
Windows Server 2008 / 2008 R2Compatibles; precisan SHA‑2 & TLS 1.2 actualizados para Windows Update.Fin de soporte en 2020 / 2023. Evaluar WSUS aislado o actualización a 2019 core.
Windows Server 2012 / 2012 R2Sin impacto; continúan unidos al dominio.Fin de soporte en octubre 2026. Planificar migración antes.
Windows Server 2016 1607Plenamente soportado.Aplicar CU más reciente para SMB over QUIC opcional.
Windows 7 / 8 / 8.1Autentican con Kerberos/NTLMv2.Revisar certificados raíz y actualizaciones de hora; considerar volver estricto NTLMv2.

Buenas prácticas de compatibilidad

  • Documenta los hashes NTLM heredados antes de endurecer políticas.
  • Deshabilita SMB 1 y WeakCryptography GPO gradualmente, empezando por servidores menos críticos.
  • Configura un servidor NTP interno y obliga a clientes legados a apuntar a él.

Impacto sobre Exchange 2007 y entornos híbridos

Exchange 2007 no reconoce el esquema de Windows Server 2022 ni las bibliotecas de credenciales SHA‑2 obligatorias. Ejecutar Setup /PrepareAD de 2022 sobre un bosque que alberga servidores Exchange 2007 detendrá servicios como Microsoft Exchange System Attendant. Microsoft no contempla coexistencia soportada. Por tanto:

  1. Desinstala Exchange 2007 o migra sus buzones a Exchange 2013 CU23 (mínimo) antes de promocionar un DC 2022.
  2. Actualiza el esquema de Exchange 2013 a la última CU antes de elevar niveles funcionales.
  3. Para un entorno híbrido, considera Exchange 2019 o Exchange Online Management v3 con Modern Hybrid Topology; disfrutarás de autenticación basada en tokens y TLS 1.3.
  4. Mueve el flujo SMTP heredado (appliances, multifunción) a un Receive Connector dedicado en Exchange 2013 / 2019 o un Frontend Connector en un Edge Transport 2019.

Secuencia de actualización recomendada

  1. Diagnóstico inicial
    Ejecuta dcdiag /e /v, repadmin /replsummary y revisa DFSR vs. FRS (si encuentras SYSVOL using FRS, migra a DFSR antes de seguir).
  2. Prepara el bosque
    Desde un 2012 R2 con RSAT actualizado:
    adprep /forestprep    adprep /domainprep
  3. Instala Windows Server 2022 en nuevos hosts físicos o VMs Generation 2 con TPM virtual y Secure Boot.
  4. Promociona como DC adicionales
    En Server Manager o con PowerShell:
    Install‑ADDSDomainController -InstallDns -NoGlobalCatalog:$false -Credential (Get‑Credential)
  5. Valida replicación
    Asegúrate de que repadmin /showrepl * esté limpio y que las zonas DNS Active Directory‑integrated se repliquen.
  6. Transfiere roles FSMO
    Move‑ADDirectoryServerOperationMasterRole -Identity DC2022 -OperationMasterRole SchemaMaster,DomainNamingMaster,PDCEmulator,RIDMaster,InfrastructureMaster
  7. Despromueve DC antiguos
    Ejecuta Remove‑ADDSDomainController o el asistente GUI; desinstala el rol AD‑DS y borra registros de tipo CNAME y HOST A de sus IP en DNS.
  8. Eleva niveles funcionales
    En Active Directory Domains and Trusts cambia primero el dominio, luego el bosque, ambos a 2012.
  9. Ajuste post‑migración
    Habilita la Papelera de reciclaje de AD:
    Enable‑ADOptionalFeature 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target contoso.com
    Crea políticas de expiración de contraseña granulares.

Consideraciones de seguridad tras la migración

  • Secured‑core Server: activa VBS y HVCI para proteger credenciales LSASS contra Pass‑the‑Hash.
  • Protected Users: mueve cuentas de alto privilegio para forzar Kerberos con AES y desactivar NTLM.
  • Auditoría avanzada: habilita Directory Service Changes y Authentication Policy Silos.
  • SMB over QUIC: si los clientes soportan TLS 1.3, brinda acceso remoto sin VPN.

Solución de problemas comunes

Clientes Windows 8.1 no actualizan parches

Confirma hora y zona (w32tm /query /status), instala KB3138615 para SHA‑2 y actualiza certificados raíz con rootsupd.exe.

“Trust relationship between workstation and primary domain failed”

En equipos Windows 7 / 2008 R2 sin parches SHA‑2, instala KB4474419 y vuelve a unirlos al dominio.

CPU alta en LSASS después de elevar nivel funcional

Ocurre cuando existen cuentas duplicadas o contraseñas intermitentes. Ejecuta ldifde -f dupUsers.ldf -d "DC=contoso,DC=com" "(samAccountName=*)" -r (objectClass=user) y corrige duplicados.

Plan de modernización a medio plazo

No se trata solo de mover DC; la actualización abre la puerta a:

  • Azure AD Connect v2 con Hybrid Join para SSO en SaaS.
  • Endpoint Manager para reemplazar GPO heredadas por perfiles CSP.
  • PKI de núcleo sólido (ECDSA P‑256) desvinculada de SHA‑1.
  • Autenticación sin contraseña: FIDO2 con Azure AD Hybrid Kerberos.

Checklist rápido antes de pulsar “Aceptar”

  • Backup autorizado del estado del sistema de todos los DC.
  • Snapshot de VMs y export de servidores físicos (Bare‑Metal Recovery).
  • Herramientas actualizadas: RSAT, ADK, MDT, Windows Admin Center.
  • Documentación de delegaciones OU y permisos GPO.
  • Comunicación a los equipos de red para actualizar reglas de firewall (SMB 445, RPC 135‑139, LDAP 389/636).

Conclusiones

Migrar controladores de dominio de 2012 R2 a 2022 no tiene por qué ser traumático. Mientras mantengas el nivel funcional en 2012, los servidores y clientes legados seguirán trabajando; sin embargo, conviene asignarles una fecha de caducidad clara. Exchange 2007 es el único punto rojo: elimínalo antes de adoptar DC 2022 o sitúate al menos en Exchange 2013 CU23 y más tarde plántea Exchange 2019 u Office 365. Con pruebas, respaldo y una secuencia disciplinada de pasos, traducirás la migración en mayores capas de seguridad y una plataforma lista para escenarios híbridos y nube.

Windows Server
Migración Exchange Windows Server 2022 Active Directory
Índice