Al intentar añadir un nuevo Controlador de Dominio (DC) a un bosque donde ya se retiraron DC antiguos, pueden aparecer advertencias de delegación DNS, replicación incompleta y la ausencia de las carpetas SYSVOL y NETLOGON. Este artículo explica, paso a paso, cómo diagnosticar y resolver los problemas más comunes (FSMO, DNS, replicación AD y DFSR) para que la promoción finalice correctamente.

Resumen del problema

Tras retirar dos DC con Windows Server 2012 y mover —o intentar mover— los roles FSMO, la posterior promoción de un DC basado en Server 2016/2019/2022 concluye con advertencias:

• La replicación sólo copia parte de los objetos (OUs, usuarios, GPOs).
• Las carpetas compartidas SYSVOL y NETLOGON no aparecen en el nuevo DC.
• El wizard de AD DS muestra un aviso sobre la delegación de zona DNS.

En la mayoría de los entornos, la raíz del problema se resume en tres puntos: roles FSMO mal ubicados, registros DNS obsoletos y una migración incompleta de FRS a DFSR para la replicación de SYSVOL. La buena noticia es que, con una metodología ordenada, todo puede solucionarse sin reinstalar el sistema.

Comprobaciones previas

Antes de ejecutar cambios profundos:

• Guarda una copia de seguridad bare‑metal de al menos un DC funcional.
• Verifica que cada DC restante resuelve nombre e IP de los demás DC sin latencias inusuales (<10 ms en la misma LAN).
• Comprueba que la hora de los DC se sincroniza con la misma fuente NTP (w32tm /query /status).
• Realiza un dcdiag /a y un repadmin /replsummary; anota cualquier error para revisarlo más adelante.

Verificar y reasignar roles FSMO

Los cinco roles FSMO —Schema Master, Domain Naming Master, PDC Emulator, RID Master, Infrastructure Master— deben residir en DC vivos y sanos. Para confirmarlo:

netdom query fsmo

Si el comando devuelve como propietario un DC ya desmantelado, se debe apoderar (seize) del rol desde un DC operativo:

netdom seize <rol> /domain:midominio.local /userd:Administrator /passwordd:*

Repetir la operación para cada rol huérfano. Cuando todos los roles estén en un DC válido:

• Reinicia el servicio NTDS o el servidor completo para descartar caché obsoleta.
• Espera a que repadmin /showrepl muestre replicación exitosa (estado 0).

Depurar la infraestructura DNS

AD DS depende completamente de DNS; un solo registro SRV incorrecto basta para bloquear la replicación. Sigue este orden:

Eliminar registros huérfanos

1. Abre la consola DNS y navega a msdcs.<dominio>\sites.
2. Ordena por Data. Si encuentras la IP de un DC retirado, bórrala.
3. Revisa las carpetas tcp, udp y _gc; repite la limpieza.

Verificar registros críticos

Servicio	Registro SRV	Descripción
LDAP (Global Catalog)	ldap.tcp.gc._msdcs.<dominio>	Permite localizar GC y autenticarse desde otros sitios AD.
Kerberos	kerberos.tcp.<dominio>	Esencial para tickets TGT.
Site‑specific LDAP	ldap.tcp.<Site‑Name>._sites.<dominio>	Optimiza autenticación por proximidad.

Si un DC nuevo no aparece, ejecuta en él:

ipconfig /registerdns
dcdiag /test:dns /v /s:<NombreDC>

El resultado debe mostrar todas las pruebas PASS. Corrige cualquier FAIL antes de continuar.

Diagnosticar la replicación de Active Directory

Con los roles FSMO y DNS limpios, verifica que no existan conexiones rotas entre DC:

repadmin /showrepl * /csv > C:\Temp\repl.csv

Abre el CSV y filtra por la columna result ≠ 0. Los errores más habituales:

• 8524 – The DSA operation is unable to proceed: aún hay un DC referenciado que no responde.
• 8453 – Replication access was denied: la cuenta de replicación no tiene permisos o la hora difiere >5 min.
• 8464 – No such object: objetos degenerados (lingering objects).

Eliminar objetos persistentes

Si dcdiag indica objetos en estado lingering, remuévelos con:

repadmin /removelingeringobjects <DCObjetivo> <GUIDDC_Sano> forest

Después, fuerza la replicación:

repadmin /syncall /APeD

Restaurar la replicación de SYSVOL y NETLOGON

En dominios antiguos (< Windows 2008), la carpeta SYSVOL se replica mediante FRS; a partir de 2008, se usa DFSR. Los DC 2016+ no admiten FRS, por lo que una migración incompleta detendrá la promoción.

Confirmar el estado DFSR

dfsrdiag pollad
dfsrdiag backlog /rgname:"Domain System Volume" /rfname:SYSVOL /sendingmember:<DCorigen> /receivingmember:<DCdestino>

Si aparece el mensaje “The specified domain is still using the File Replication Service (FRS)”, migra inmediatamente:

dfsrmig /setglobalstate 1   :: State 'Prepared'
dfsrmig /getmigrationstate :: Esperar 'Prepared' en todos los DC
dfsrmig /setglobalstate 2   :: State 'Redirected'
dfsrmig /getmigrationstate
dfsrmig /setglobalstate 3   :: State 'Eliminated'
dfsrmig /getmigrationstate

Sincronización autoritativa

Si la carpeta SYSVOL existe pero está vacía o no se comparte, realiza una sincronización autoritativa desde el DC que tenga la copia buena:

dfsrdiag pollad
dfsrdiag syncnow /partner:<DC_bueno> /rgname:"Domain System Volume" /time:15

Cuando termine, ejecuta net share; deben aparecer SYSVOL y NETLOGON como compartidos.

Pasos finales y buenas prácticas

• Eleva los niveles funcionales de bosque y dominio a 2016 o superior si ya no quedan DC 2012.
• Habilita Recycle Bin de AD antes de retirar más DC; simplifica recuperaciones accidentales.
• Ejecuta bpa -ModelID Microsoft/Windows/DirectoryServices y corrige las advertencias.
• Mantén siempre al menos dos DC en cada sitio geográfico crítico; evita puntos únicos de fallo.
• Documenta cada transferencia FSMO y cada descomisión con capturas de pantalla o registros de PowerShell; así cumplirás normas de auditoría (ISO 27001, PCI‑DSS, etc.).
• Supervisa eventos clave: IDOrigenSignificado 2213DFSRDFSR detuvo la replicación por un exceso de dirty shutdowns. 13577NtFrsFRS está obsoleto; invita a migrar a DFSR. 4013DNSEl servicio DNS no arrancó porque la base aún no se ha replicado. 5722NETLOGONError de confianza; puede indicar hora o credenciales desfasadas.

Conclusión

La incapacidad para promocionar un nuevo DC suele deberse a incoherencias de FSMO, registros DNS huérfanos y una migración incompleta de FRS a DFSR. Al verificar cada pieza —roles, delegación DNS, replicación AD y estado de SYSVOL— se restablece la salud del bosque y se garantiza que futuros DC 2025+ se integren sin contratiempos.