MENU
  1. Inicio
  2. Windows
  3. Windows Server
  4. Cómo solucionar el Error 1053 de FRS / DFSR y el MSIS7207 de AD FS

Cómo solucionar el Error 1053 de FRS / DFSR y el MSIS7207 de AD FS

Windows Server

Los errores 1053 de FRS y MSIS7207 de AD FS suelen aparecer después de migrar SYSVOL a DFSR o al reconfigurar un servicio de federación. Esta guía explica las causas, ofrece procedimientos detallados y comparte buenas prácticas para restaurar la salud del controlador de dominio.

Índice

Error 1053 al migrar de FRS a DFS Replication (DFSR)

Contexto

File Replication Service (FRS) quedó en desuso a partir de Windows Server 2008 R2. Si tu dominio comenzó con versiones anteriores, es probable que SYSVOL aún estuviera replicándose con FRS y que hayas decidido migrar a DFS Replication (DFSR) para ganar rendimiento, compresión remota y mayor tolerancia a fallos.

Síntomas típicos

  • El visor de eventos muestra Error 1053 – “El servicio no respondió a tiempo a la solicitud de inicio o control”.
  • El servicio File Replication Service aparece en estado Detenido y no se inicia de forma manual.
  • SYSVOL deja de compartirse o queda «vacío» en nuevos controladores de dominio.
  • Herramientas como repadmin /replsummary informan de errores 1722 (RPC) o 8451 (replicación).

Causas habituales

  • Credenciales del servicio configuradas con una cuenta bloqueada o sin privilegios.
  • Servicios dependientes (RPC, DFSR, NTDS, KDC) detenidos o con arranque manual.
  • Problemas de conectividad de red, RPC bloqueado por firewall o MTU reducida en VPN.
  • Restos de FRS que interfieren después de una migración incompleta.

Soluciones paso a paso

Revisar credenciales y reiniciar

  1. Ejecuta services.msc, localiza File Replication Service, abre Propiedades → Inicio de sesión.
  2. Selecciona Esta cuenta, introduce un usuario del dominio con membresía en Administradores y contraseña actual. Si tu organización prefiere gMSA, configúrala aquí.
  3. Haz clic en Aplicar → Aceptar, luego Iniciar el servicio. Para aplicar dependencias detenidas, ejecuta: net stop ntfrs net start ntfrs

Comprobar dependencias

En la pestaña Dependencias comprueba que los siguientes servicios estén Iniciados:

  • Remote Procedure Call (RPC)
  • DFS Replication
  • Active Directory Domain Services (NTDS)
  • Kerberos Key Distribution Center

Si alguno aparece detenido, vuelve a iniciar respetando la jerarquía: primero RPC, luego NTDS, después DFSR y finalmente FRS (si aún aplica).

Eliminar rastros de FRS

Una vez completada la migración a DFSR (Dfsrmig /GetGlobalState muestra Eliminado), deshabilita FRS:

sc config ntfrs start= disabled
sc stop ntfrs

Con esto evitas conflictos y liberas recursos. No borres todavía la carpeta %systemroot%\SYSVOL\domain; verifica primero que el nuevo SYSVOL_DFSR está compartido y contiene las políticas GPO.

Corregir conectividad

Utiliza los comandos nativos para detectar fallos de red entre controladores de dominio:

repadmin /replsummary
dcdiag /test:DNS
Test-NetConnection -ComputerName DC2 -Port 135,445,RPC

Si encuentras paquetes fragmentados, ajusta la MTU o implementa RPC over HTTPS usando puertos conocidos (5722 para DFSR).

Reinstalar como último recurso

Cuando el servicio sigue sin responder, evalúa quitar el rol de AD DS en ese DC y promoverlo de nuevo, ya con DFSR nativo. Asegúrate de:

  • Transferir los roles FSMO antes de despromover.
  • Eliminar registros antiguos en CN=File Replication Service,CN=System,DC=....
  • Comprobar que ningún otro DC señala al servidor despromovido como replicador exclusivo.

Buenas prácticas posteriores a la migración

  • Programa dfsrdiag ReplicationState en una tarea diaria para vigilar errores 2104 o 4012.
  • Implementa alertas por Evento 6002 (pausa por falta de espacio) antes de que la replicación se detenga.
  • Incluye el puerto 5722 en reglas de firewall corporativo y en plantillas de seguridad de endpoints.
  • Documenta la elevación de nivel funcional del dominio/forest a 2008 R2 o superior, requisito para prescindir de FRS.

AD FS – Evento 217 / Error MSIS7207 (WS‑Trust no se inicia)

Contexto

Active Directory Federation Services (AD FS) expone endpoints de WS‑Trust y WS‑Federation. El endpoint windowstransport permite autenticación Kerberos para aplicaciones tradicionales. Si AD FS se instala con la cuenta local SYSTEM, los Service Principal Names (SPN) pueden quedar mal registrados, provocando el evento 217 y el error MSIS7207.

Síntomas típicos

  • En Event Viewer → Applications and Services Logs → AD FS/Admin aparece:
    “MSIS7207: The ServicePrincipalName of the AD FS account ‘NT AUTHORITY\SYSTEM’ could not be retrieved.”
  • Los endpoints /adfs/services/trust/13/windowstransport y /adfs/services/trust/2005/windowstransport responden con HTTP 503.
  • Los usuarios internos obtienen errores de autenticación al iniciar sesiones en aplicaciones federadas que usan autenticación integrada.

Causas habituales

  • AD FS se ejecuta como SYSTEM o una cuenta de dominio sin SPN HTTP/HOST asociados.
  • Los SPN existen pero están asignados a otra cuenta de servicio, provocando duplicidad.
  • Problemas de replicación de Active Directory retrasa la creación o lectura de objetos SPN.
  • Registros DNS desactualizados que resuelven a la IP equivocada tras un cambio de VIP en balanceadores.

Soluciones paso a paso

Asignar una cuenta de servicio de dominio

  1. Crea una cuenta dedicada (o un gMSA) por ejemplo svcADFS: New-ADServiceAccount -Name svcADFS -DNSHostName adfs.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "CN=ADFS Servers,CN=Computers,DC=contoso,DC=com"
  2. Concede el derecho Log on as a service mediante GPO o secpol.msc.
  3. En Services.msc, cambia la cuenta de inicio de Active Directory Federation Services a svcADFS$ (si es gMSA no requiere contraseña).

Registrar los SPN correctos

Utiliza el modificador -S (set if unique) en setspn para evitar duplicidades:

setspn -S host/adfs.contoso.com svcADFS
setspn -S http/adfs.contoso.com svcADFS

Si recibes un error de SPN duplicado, identifica y elimina la entrada incorrecta con:

setspn -X
setspn -D http/adfs.contoso.com OLDCuenta

Reiniciar AD FS y validar

Detén e inicia el servicio o reinicia el servidor. Verifica los puertos:

netstat -ano | findstr :443
Test-NetConnection adfs.contoso.com -Port 443

El endpoint windowstransport debe devolver ahora HTTP 200 con la página de servicio o metadatos.

Sincronizar confianza

Actualiza las relaciones de confianza (por ejemplo con Office 365) para propagar los cambios de certificado o SPN:

Update-ADFSTrust -Target "Microsoft Office 365 Identity Platform"

Verificar salud de Active Directory

Los errores de replicación son la raíz de muchos MSIS7207. Ejecuta:

dcdiag /v
repadmin /showrepl /errorsonly

Hasta no corregir estados 8452 o 8606, los cambios de SPN pueden no propagarse a todos los DC.

Mejores prácticas de seguridad

  • Renueva el certificado SSL cada 12 meses y configura AutoCertificateRollover = True.
  • Limita la exposición pública de los endpoints. Publica solo /adfs/ls/ y bloquea windowstransport si no es necesario.
  • Audita eventos 411 (token issued) y 510 (authenticate failure) para detectar actividad sospechosa.
  • Mueve la cuenta de servicio a una OU protegida con ACL específicas que impidan delegación no deseada.

Checklist rápido para administradores

Revisión rápidaComando / Acción
Estado de replicación DFSRdfsrdiag ReplicationState /member:DC1
Salud de Active Directorydcdiag, repadmin /showrepl
SPN duplicadossetspn -X
Puertos esenciales abiertosTest-NetConnection -ComputerName DC -Port 88,389,445,135
Reasignar cuenta de servicioCambiar cuenta ↔ Reiniciar servicio

Preguntas frecuentes

¿Puedo desinstalar FRS inmediatamente después de migrar a DFSR?

Sí, pero solo cuando Dfsrmig /GetGlobalState confirme el estado Eliminado y todos los DC estén en Redirected o superior. Realiza un backup de SYSVOL antes.

¿Qué pasa si omito el SPN HTTP en AD FS?

Las aplicaciones que usan WS‑Trust Kerberos no podrán negociar la autenticación delegada y fallarán con errores 0x80090322 o MSIS7207.

¿DFS Replication necesita puertos adicionales?

Solo 5722/TCP para la replicación DFSR y los puertos estándar de AD DS (88, 389, 135, 445). Configura excepciones en cualquier firewall de host o enrutador intermedio.

¿Cómo monitorizo de forma proactiva?

  • Agrega contadores de rendimiento: DFS Replicated Folders\Conflict Files Resolved / s.
  • Implementa Alertas SCOM o Azure Monitor para Eventos 4112 (DFSR – replicación detenida) y 207 (AD FS – endpoint fallido).
  • Centraliza logs con Windows Event Forwarding para correlacionar incidentes.

Conclusión

Los errores 1053 y MSIS7207 comparten un origen: configuración inadecuada y fallos de comunicación entre componentes críticos de Active Directory. Asegurarte de que cada servicio funcione con credenciales apropiadas, que los SPN estén correctamente registrados y que la replicación de DFSR/DNS sea estable eliminará la mayoría de los incidentes sin recurrir a reinstalaciones drásticas. Continúa supervisando tu entorno con tareas programadas, alertas y copias de seguridad periódicas para mantenerlo saludable y resiliente.

Windows Server
Windows Server MSIS7207 DFS Replication Error 1053 ADFS
Índice