MENU
  1. Inicio
  2. Windows
  3. Windows Server
  4. Error “Active Directory Domain Services could not create the NTDS Settings object” al promocionar un Controlador de Dominio

Error “Active Directory Domain Services could not create the NTDS Settings object” al promocionar un Controlador de Dominio

Windows Server

Cuando el asistente de Server Manager o DCPromo.exe se detiene con el error “Active Directory Domain Services could not create the NTDS Settings object… The Directory Service cannot perform the requested operation because a domain rename operation is in progress”, el problema casi siempre se reduce a un bosque que quedó marcado como Rename in Progress tras un intento de cambio de nombre de dominio (rendom). A continuación encontrarás un procedimiento exhaustivo—probado en entornos Windows Server 2012 R2 → 2025—para limpiar ese estado, restaurar la replicación y lograr que el nuevo Controlador de Dominio (DC) se promocione sin sobresaltos.

Índice

Por qué ocurre el bloqueo de promoción

Active Directory protege la integridad del bosque marcando un estado especial (DomainRenameState=1) durante las fases de un rename. Mientras ese bit permanezca activo, ningún DC adicional podrá incorporarse—evita que nodos con nombres de dominio incoherentes propaguen metadatos incorrectos. Si el procedimiento rendom /upload → /prepare → /execute → /end se interrumpe o se olvida la orden /clean, el flag permanece indefinidamente.

Comprobaciones previas esenciales

  • Sesión con una cuenta miembro de Enterprise Admins (o Domain Admins + Schema Admins en bosques antiguos).
  • Consola elevada de PowerShell o CMD en un DC que sí replica correctamente.
  • Respaldos recientes del System State de todos los DC en producción.
  • Todos los DC encendidos y accesibles por red local; de lo contrario, documenta qué servidores están fuera de servicio para forzar la limpieza de metadatos.

Pasos para eliminar el estado “Domain Rename in Progress” y permitir la promoción

PasoAcción recomendadaObjetivo
1. Verificar si hay un rename pendienteEn un DC existente ejecuta: rendom /list • Si la salida muestra ForestState: Rename in Progress, completa la fase final con: rendom /end o, para revertir la operación: rendom /clean • Comprueba que la clave de registro HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DomainRenameState queda en 0.Quitar el estado que bloquea la creación del objeto NTDS Settings.
2. Comprobar replicación y DNSEjecuta los diagnósticos integrados: repadmin /replsummary dcdiag /v Soluciona cualquier alerta Last Error ≠ 0. Verifica que las zonas _msdcs y la zona de dominio principal estén configuradas para la replicación a todos los DC que ejecutan DNS.Evitar que errores de replicación bloqueen la promoción.
3. Revisar NTDS Settings y permisosAbre Active Directory Sites and Services: Asegúrate de que el nuevo servidor figura bajo Sites → YourSite → Servers. Dentro del contenedor de ese servidor debe existir un objeto NTDS Settings. Si falta, elimina el servidor, espera replicación y deja que el asistente lo cree de nuevo al promocionar. Si los permisos son la raíz del problema, otorga “Control Total” al grupo Enterprise Admins sobre el contenedor Servers.Garantizar que se pueda crear el objeto NTDS Settings durante DCPromo.
4. Reintentar la promociónCuando los pasos anteriores estén en verde, vuelve a: Server Manager ⁠➜ Add Roles and Features ⁠➜ AD DS ⁠➜ Promote this server to a domain controller. Selecciona Add a domain controller to an existing domain. Define Global Catalog y, si procede, DNS Server. Finaliza el asistente y reinicia cuando lo solicite. En versiones anteriores (Windows Server 2008 R2) puedes usar dcpromo.exe.Añadir el DC sin errores.

Explicación detallada de cada comando

rendom

Herramienta de línea de comandos que orquesta el proceso de cambio de nombre de un dominio o bosque. Las fases son:

  1. /list – genera Domainlist.xml con los nombres actuales.
  2. /rename – el administrador edita manualmente el XML.
  3. /upload – sube el XML a AD.
  4. /prepare – informa a cada DC.
  5. /execute – reinicia DCs y aplica el nuevo nombre.
  6. /end – marca la operación como completada.
  7. /clean – borra artefactos si se cancela.

El error objeto NTDS se produce justo cuando /end o /clean nunca se ejecutó.

repadmin /replsummary

Resumen de replicación: un cuadro de mandos rápido. Busca columnas % Error ≫ 0. Si aparecen, profundiza con repadmin /showrepl * /csv para exportar a Excel y aislar socios problemáticos.

dcdiag /v

Domain Controller Diagnostic revisa 50+ pruebas: DNS, servicios, objetos críticos, seguridad Kerberos. Centra tu atención en secciones Starting test: Advertising y Starting test: FrsSysVol; fallas aquí paralizan DCPromo.

Verificaciones posteriores

  • Eventos: abre Visor de eventos → Registro Directory Service y confirma que no aparezca Event ID 1355 ni 1311.
  • Replicación: en el nuevo DC ejecuta repadmin /replsummary; todo debe estar a 0 errores.
  • DNS: la consola DNS debe mostrar automáticamente la zona _msdcs con registros SRV del nuevo DC.
  • NTDS Settings: se crea un Connection object entrante; si no lo ves, fuerza un repadmin /kcc.

Problemas frecuentes durante la recuperación

El valor DomainRenameState vuelve a 1 tras reiniciar

Un DC remoto que no ejecutó /end puede reescribir el atributo. Ubica ese servidor, ejecuta rendom /end allí o sácalo de línea y limpia metadatos con ntdsutil "metadata cleanup".

“The server is not operational” al correr rendom /end

Indica que el controlador local no puede contactar al Centro de operaciones FSMO (Domain Naming Master). Traslada temporalmente el rol FSMO a un DC sano con ntdsutil "roles".

Persisten objetos huérfanos del intento fallido

En Active Directory Users and Computers busca la cuenta de equipo del nuevo DC. Si existe, elimínala y espera replicación. Lo mismo para el servidor en la consola de Sitios y servicios.

Buenas prácticas para evitar bloqueos futuros

  1. Planifica los rename: ejecuta previamente rendom /prepare en horario de baja actividad y documenta cada paso.
  2. Monitoriza replicación: usa Azure Monitor (o SCOM) para alertar ante cinco ciclos fallidos consecutivos.
  3. Aplica GPO de arranque diferido a DCs virtuales: impide que los servicios AD arranquen hasta que DNS responda.
  4. Automatiza backups de System State con wbadmin y conserva al menos una copia externa.
  5. Protocoliza DCPromo: mantén scripts PowerShell –DomainController –InstallDNS –NoGlobalCatalog:$false para reproducir instalaciones y facilitar auditorías.

Preguntas frecuentes

¿Afecta un rename pendiente al inicio de sesión de los usuarios?

Generalmente no; los usuarios siguen autenticándose con el UPN antiguo. Sin embargo, los controladores que experimentan el rename inconsistente pueden negar autenticaciones NTLM.

¿Necesito reiniciar todos los DC tras rendom /end?

Solo los DC que no reiniciaron durante /execute. Consulta rendom /showforest para confirmarlo.

¿Puedo promover primero y limpiar después?

No. El asistente abortará —la única salida es limpiar el estado o desplegar un nuevo bosque.

Conclusión

El mensaje “Domain rename operation is in progress” no es un callejón sin salida: basta con cerrar correctamente el ciclo de rendom, asegurar una replicación sana y conceder los permisos adecuados en el contenedor Servers. Siguiendo la hoja de ruta anterior, recuperarás la capacidad de promocionar Controladores de Dominio y mantener un Active Directory consistente y resiliente.

Windows Server
Active Directory Troubleshooting Windows Server Domain Controller DCPromo
Índice