MENU
  1. Inicio
  2. Windows
  3. Windows Server
  4. Migración Active Directory 2012 R2 a 2022: guía paso a paso

Migración Active Directory 2012 R2 a 2022: guía paso a paso

Windows Server

Actualizar la infraestructura de identidad corporativa es una tarea crítica para la continuidad de cualquier organización. En este artículo aprenderás cómo migrar de Windows Server 2012 R2 a Windows Server 2022 sin interrupciones, maximizando seguridad y soporte a largo plazo.

Índice

Resumen de la problemática

Muchas empresas todavía ejecutan Active Directory Domain Services (AD DS) sobre Windows Server 2012 R2, un sistema operativo cuya fase de soporte extendido terminó el 10 de octubre de 2023. Permanecer en esa versión implica:

  • Ausencia de parches de seguridad de nivel sistema.
  • Falta de compatibilidad con protocolos modernos como TLS 1.3 y cifrados Kerberos más robustos.
  • Limitaciones para adoptar nuevas funcionalidades de Microsoft 365, Azure AD Connect v2 y soluciones híbridas.

La buena noticia es que la migración es totalmente posible y, si se planea adecuadamente, transparente para usuarios y aplicaciones.

Enfoques disponibles

Actualización in situ

Consiste en subir de versión el propio controlador de dominio (DC). Para 2012 R2 la ruta compatible requiere un paso intermedio a 2019 y, luego, a 2022. Solo se recomienda cuando hay un número reducido de DC, poca carga de servicios adicionales y se cuenta con imágenes de respaldo completas. Si un único salto falla, podría perderse el bosque entero.

Implementación paralela de nuevos controladores

Se basa en instalar un servidor con Windows Server 2022, unirlo al dominio como miembro, promoverlo a DC, replicar objetos y despromocionar gradualmente los DC antiguos. Este método:

  • Disminuye el riesgo al conservar los servidores 2012 R2 operativos como plan de reversión.
  • Permite testear el nuevo sistema en producción sin afectar la autenticación.
  • Facilita la distribución de FSMO y catálogos globales de forma escalonada.

Requisitos previos

ÁreaAcción a realizar
PlanificaciónDefinir alcance, calendario, ventanas de mantenimiento y dependencias de aplicaciones.
HardwareAsegurar CPU multinúcleo, mínimo 8 GB de RAM (recomendado 16 GB) y almacenamiento SSD con espacio para la base NTDS.dit multiplicado por 3.
CompatibilidadVerificar controladores, antivirus, agentes de respaldo y scripts de inicio de sesión que interactúan con LDAP.
Estado del ADComprobar replicación limpia (repadmin /replsummary), SYSVOL migrado a DFS‑R, roles FSMO identificados y niveles funcionales mínimo 2008.
PrivilegiosContar con cuentas de Enterprise Admin y Schema Admin para ejecutar adprep.
RespaldoRealizar System State de cada DC y exportar GPO mediante Backup-GPO.

Pasos detallados del método recomendado

Preparación y análisis

  1. Documenta la topología: sitios, subredes, vínculos de replicación, trusts y listas de control de acceso.
  2. Audita eventos críticos (ID 4013 DNS Server, 1206 NTDS) para detectar inconsistencias.
  3. Crea un laboratorio con copias virtualizadas para ensayar todo el procedimiento.

Preparación del bosque y dominio

  1. Inserta el medio de instalación de Windows Server 2022 en el DC que posee el rol Schema Master.
  2. Ejecuta adprep /forestprep y, luego, adprep /domainprep. Este paso amplía el esquema al nivel de 2022 sin modificar atributos existentes.

Promoción del nuevo controlador

  1. Instala Windows Server 2022, aplica los parches acumulativos más recientes y configura IP fija.
  2. Une el servidor al dominio (miembro) y agrega el rol Active Directory Domain Services.
  3. Usa el Asistente de configuración de AD para promoverlo a DC, marcando la opción Catálogo Global y, si es necesario, DNS Server.
  4. Verifica la salida de dcdiag /v y repadmin /showrepl. No debe haber errores ni advertencias persistentes.

Transferencia de roles y servicios

  1. Con Move-ADDirectoryServerOperationMasterRole traslada los cinco roles FSMO al nuevo DC.
  2. Mueve zonas DNS primarias mediante la consola DNS o dnscmd /ZoneExport.
  3. Ajusta políticas de DHCP, NPS, certificados y cualquier aplicación LDAP que apunte al DC antiguo.

Retiro del servidor antiguo

  1. Desasigna el rol de DNS secundario y desmarca Global Catalog.
  2. Selecciona Demote this domain controller en Server Manager; durante el asistente indica que el equipo se eliminará del dominio.
  3. Una vez reiniciado, retira el equipo de la red o reinstálalo con una versión compatible.

Verificación posterior

  • Sigue los registros de Directory Service y DNS Server al menos 72 h.
  • Realiza pruebas de inicio de sesión de usuarios y equipos en cada sitio AD.
  • Ejecuta Get-ADReplicationPartnerMetadata para confirmar replicación convergente.

Escenario de migración entre bosques

Cuando se decide crear un bosque nuevo en lugar de extender el existente, el procedimiento cambia:

  • Establece una confianza bidireccional entre bosques con opción de forest trust.
  • Deshabilita el filtrado de SID para conservar sIDHistory en objetos migrados.
  • Utiliza Active Directory Migration Tool v3.4 o Microsoft Identity Manager para trasladar usuarios y grupos por oleadas.
  • Desvincula recursos y aplicaciones gradualmente, siguiendo cronograma consensuado con cada área de negocio.

Beneficios de la actualización

FuncionalidadValor añadido
Protocolos modernosTLS 1.3, DTLS 1.3 y soporte nativo de SMB over QUIC para acceso seguro sin VPN.
Seguridad mejoradaCifrado Kerberos AES‑256 habilitado por defecto, detección de ataques DCShadow y DSRM lockout.
Soporte extendidoActualizaciones garantizadas hasta octubre de 2031, lo que otorga casi una década de estabilidad.
RendimientoReplicación multithread, compresión LZ4 para ESE y uso de hardware moderno con instrucciones AVX‑2.
Integración nubeCompatibilidad total con Azure AD Connect v3, sincronización híbrida de dispositivos y Cloud Kerberos Trust para inicio de sesión sin contraseña.

Riesgos y consideraciones

  • Incompatibilidad de aplicaciones heredadas: sistemas que confían en TLS 1.0/1.1 o algoritmos RC4 pueden fallar.
  • Scripts modelados para netlogon: revisa rutas UNC y variables heredadas antes de retirar SYSVOL FRS.
  • Coste de hardware: si los servidores 2012 R2 eran físicos, evalúa virtualizar DC para ahorrar inversión.

Buenas prácticas adicionales

  1. Usa Fine‑Grained Password Policies para ajustes granulares de contraseñas tras la migración.
  2. Configura Group Managed Service Accounts (gMSA) en servicios como IIS o SQL Server.
  3. Implementa Privileged Access Workstations (PAW) y Tiering Model para separar credenciales administrativas.
  4. Integra soluciones de auditoría (Advanced Threat Analytics o Microsoft Defender for Identity).
  5. Automatiza verificaciones de salud con Test‑ADServiceAccount y alertas en Azure Monitor.

Conclusión

Migrar AD DS desde Windows Server 2012 R2 a Windows Server 2022 garantiza seguridad reforzada, soporte oficial y nuevas capacidades para entornos híbridos. Con la estrategia de servidores en paralelo, un plan de respaldo sólido y pruebas rigurosas, la transición puede concretarse sin afectar la productividad de los usuarios.

Windows Server
Active Directory Windows Server 2022 Windows Server 2012 R2 Controlador de Dominio migración AD
Índice