Cuando un bosque de Active Directory con solo un controlador Windows Server 2012 debe crecer y añadir un Windows Server 2022, el paso lógico es promover el nuevo servidor a controlador de dominio adicional. Sin embargo, muchos administradores se encuentran con el error 1722 – “The RPC server is unavailable” durante la réplica inicial. En esta guía se desglosan las causas habituales, las pruebas de diagnóstico más efectivas y una ruta de solución comprobada que elimina de raíz los bloqueos de RPC y permite completar la promoción con éxito.
Resumen del problema
El asistente de Active Directory Domain Services Configuration Wizard llega a la fase de replicación, intenta copiar la partición CN=Configuration desde el DC 2012 y devuelve el error 1722. El mensaje indica que el servicio RPC no está disponible, pese a que:
- Los ping y
tracertresponden correctamente. - La resolución DNS del nombre del DC origen se completa en milisegundos.
- El servicio
NTDSestá en ejecución en ambos equipos.
El síntoma apunta a una interrupción específica de RPC (puertos, seguridad, firewall o negociación de cifrado) que impide el canal seguro entre los controladores.
Diagnóstico inicial
Comprobación de conectividad básica
Antes de profundizar, asegúrate de que no existan problemas físicos o de capa 3:
- Comprueba que ambas IP están en la misma subred o que el enrutamiento los conecta sin NAT asimétrico.
- Ejecuta
nslookup DC2012.contoso.localynslookup DC2022.contoso.localdesde cada lado para descartar desalineaciones DNS inverso/forward.
Inspección de registros de eventos
En el Visor de eventos navega a Applications and Services Logs → Directory Service. Busca los IDs 1925, 1311 y 2087, que indican fallos de autenticación o de localización de DC, y confirman que el error 1722 no es un falso positivo.
Solución paso a paso
Verificar conectividad RPC y puertos
RPC utiliza el puerto TCP 135 para la interfaz Endpoint Mapper y asigna dinámicamente puertos en el rango 49152‑65535. Si existe un firewall intermedio o reglas locales restrictivas, la conversación nunca comienza.
| Servicio | Puerto | Dirección |
|---|---|---|
| RPC Endpoint Mapper | 135 TCP | Bidireccional |
| RPC dinámico | 49152‑65535 TCP | Bidireccional |
| LDAP | 389 TCP/UDP | Bidireccional |
| LDAPS | 636 TCP | Bidireccional |
| Global Catalog | 3268 TCP (sincrón) | Bidireccional |
| Global Catalog SSL | 3269 TCP | Bidireccional |
| DNS | 53 TCP/UDP | Bidireccional |
Herramientas recomendadas:
Test-NetConnection DC2012 -Port 135desde el 2022 para confirmar apertura.PortQry.exe -n DC2022 -e 135 -p TCPen el DC 2012 para la comprobación inversa.- Deshabilita brevemente el firewall o el antivirus de terceros (solo en entornos de pruebas) y reintenta la promoción para aislar un bloqueo de software.
Comprobar configuración DNS
La mayoría de fallos de réplica provienen de un DNS mal apuntado:
- Durante la promoción, configura como DNS primario la IP del DC 2012 en la NIC del servidor 2022.
- Una vez que sea DC, añade su propia IP como DNS secundario y prioriza las consultas internas.
- Ejecuta
ipconfig /flushdnsyipconfig /registerdnspara refrescar registros.
Sincronización de tiempo y endurecimiento de seguridad
La seguridad Kerberos exige que los relojes de ambos controladores difieran menos de cinco minutos:
w32tm /query /status
w32tm /stripchart /computer:DC2012 /samples:5 /dataonlyEn paralelo, Windows Server 2022 incorpora políticas de cifrado SMB/TLS y endurecimiento de LDAP firma/canal sealed que son opcionales en 2012. Para una réplica libre de errores:
- Instala los parches de seguridad más recientes en ambos sistemas.
- Revisa gpedit.msc → Computer Configuration → Windows Settings → Security Settings y asegúrate de que Network security: LDAP client signing requirements esté en “Negotiate signing” temporalmente.
- Si utilizas SMB restringido, deshabilita “Require SMB encryption” mientras dure la promoción.
Diagnósticos de Active Directory
dcdiag /v /c /e /q > c:\adhealth.txt
repadmin /replsummary
dcdiag identifica servicios ausentes, permisos y errores. repadmin /replsummary muestra un panorama condensado de dónde se cae la replicación. Tras corregir los hallazgos, fuerza la sincronización:
repadmin /syncall /AdePRevisión de objetos NTDS Settings
En Active Directory Sites & Services, expande el sitio y el nuevo servidor. Bajo NTDS Settings debería existir una connection object entrante desde el DC 2012. Si no aparece:
repadmin /kcc DC2022o créalo manualmente con clic derecho → New Active Directory Connection. Sin este vínculo, el KCC no sabe qué ruta usar para la topología.
Captura de tráfico avanzada
Si el error persiste tras las correcciones anteriores, será necesario ver lo que ocurre en la pila:
netsh trace start capture=yes report=yes tracefile=c:\rpc.etl
...
netsh trace stop
Abre el archivo .etl con Microsoft Message Analyzer o Wireshark. Busca paquetes TCP RST o retransmisiones continuas en 135 y puertos dinámicos. Suelen revelar IDS o firewalls intermedios que cortan la conversación tras el SYN/ACK.
Validación posterior a la promoción
Con la réplica exitosa, dedícate a la salud a largo plazo del bosque:
- Confirma los cinco roles FSMO:
netdom query fsmo- Ejecuta el Best Practices Analyzer en el nuevo DC para detectar configuraciones subóptimas.
- Revisa que las zonas DNS _msdcs y la principal del dominio se replique en ambos controladores.
- Levanta copias de seguridad del estado del sistema con
wbadmin start systemstatebackup.
Preguntas frecuentes
¿Debo elevar el nivel funcional del bosque?
No. Windows Server 2022 funciona en bosques y dominios con nivel funcional 2012 sin pérdida de características esenciales. Elevarlo aporta mejoras de seguridad avanzadas, pero no es requisito para añadir el nuevo DC.
¿Puedo restringir el rango de puertos RPC?
Sí, usando la clave de registro HKLM\Software\Microsoft\Rpc\Internet puedes reducir dinámicos a, por ejemplo, 50000‑51000. Hazlo en todos los DC y documenta el cambio para los administradores de red.
¿Es seguro desactivar el firewall para probar?
Solo en entornos de laboratorio. En producción usa perfiles de firewall con reglas temporales o registros de auditoría para no comprometer la superficie de ataque.
¿Cuál es la ventaja de un DC 2022 frente a uno 2012?
Además del ciclo de soporte extendido, Windows Server 2022 introduce cifrado AES 128‑GCM/256‑GCM en SMB Direct, mejoras de TLS 1.3 por defecto, y compatibilidad con modular hotpatching en algunas ediciones.
Conclusión
El error 1722 es frustrante pero, como has visto, suele obedecer a cuatro causas concretas: puertos capados, DNS incorrecto, relojes fuera de sincronía o políticas de seguridad que rompen la firma LDAP/RPC. Con la lista de comprobaciones de este artículo lograrás aislar y resolver cada punto, permitiendo que la réplica fluya hasta completar la promoción del nuevo controlador Windows Server 2022. Mantén estos pasos en tu runbook y la próxima migración será un proceso de minutos en lugar de horas de diagnóstico.