Introducir un controlador de dominio (DC) Windows Server 2019 en un bosque que todavía funciona sobre Windows Server 2012 R2 es una tarea crítica que, bien planificada, aporta nuevas funcionalidades de seguridad y soporte a largo plazo sin interrumpir los servicios existentes.
Ventajas de incorporar Windows Server 2019 como DC
- Refuerzos de seguridad: compatibilidad con TLS 1.2‑1.3, mejoras en LSA Protection y políticas de contraseña de bloque de carácter dinámico.
- Mejor rendimiento de replicación: optimizaciones de DFS Replication (DFSR) y compresión unificada (Xpress).
- Compatibilidad a largo plazo: soporte extendido hasta el 9 de enero de 2029, frente al fin de soporte de 2012 R2 en octubre 2023.
- Escenarios híbridos listos: Azure AD Connect v2.x, Azure Arc y sincronización de Hash de contraseña (PHS) aprovechan objetos de esquema 2019.
Requisitos previos y evaluación del entorno
Antes de tocar nada, revisa el estado actual del bosque y documenta los siguientes puntos:
| Área | Comprobación | Comando / Herramienta |
|---|---|---|
| Niveles funcionales | Bosque y dominio ≥ 2008 | Get-ADForest, Get‑ADDomain |
| Replicación | Sin errores, latencia < 15 min | repadmin /replsummary |
| Salud de SYSVOL | FRS migrado a DFSR o estado 3/4 | dfsrdiag pollad, ntfrsutl ds |
| Tiempo y DNS | Sin desviaciones > 5 min, zonas replicadas | w32tm /query /status, DNS Manager |
| Copias de seguridad | State Backup ≤ 24 h | wbadmin start systemstatebackup |
Paso a paso para agregar el nuevo DC
Migrar FRS → DFSR (obligatorio)
Server 2019 no entiende File Replication Service. Inicia la migración con dfsrmig /setglobalstate 1 y avanza hasta el estado 3 (Eliminated). Confirma cada transición con dfsrmig /getmigrationstate.
Ejecutar adprep
- Montar el ISO de Server 2019 en el operador del rol Maestro de Esquema (generalmente el DC que ostenta el FSMO Schema Master).
- Desde
cmdelevado en\\media\sources\adprepejecutar:adprep /forestprepSe requiere pertenencia a Enterprise Admins y Schema Admins. - Una vez replicado el 100 % del dominio de configuración, en cada dominio del bosque lanza:
adprep /domainprep
Al finalizar, el atributo objectVersion del contenedor CN=Schema,CN=Configuration,… pasa a 88 —versión propia de 2019.
Promocionar el servidor 2019
Instala el rol AD DS:
Install‑WindowsFeature AD‑Domain‑Services ‑IncludeManagementToolsDespués, inicia el asistente gráfico o PowerShell:
Install‑ADDSDomainController `
‑DomainName "contoso.local" `
‑InstallDns `
‑NoGlobalCatalog:$false `
‑SiteName "HQ" `
‑SafeModeAdministratorPassword (Read‑Host ‑AsSecureString)Reinicia y valida la replicación:
repadmin /showreplTransferir o migrar roles FSMO (opcional)
Una vez que el 2019 esté completamente replicado y estabilizado, transfiere FSMO críticos como PDC Emulator o RID Master con:
Move‑ADDirectoryServerOperationMasterRole ‑Identity DC19 `
PDCEmulator,RIDMaster,InfrastructureMaster,SchemaMaster,DomainNamingMasterDespromocionar y retirar DC 2012 R2 (fase final)
Cuando existan al menos dos DC 2019 y la replicación sea estable, usa ServerManager.exe o Uninstall‑ADDSDomainController para retirar los DC antiguos.
Tabla de resumen rápido
| Paso | Acción recomendada | Motivo / Detalle |
|---|---|---|
| 1 — Migrar FRS → DFSR | Completa primero la migración de la replicación del SYSVOL. | Server 2019 no admite FRS; sin esta migración la promoción fallará. |
| 2 — Ejecutar adprep | 1) adprep /forestprep2) adprep /domainprep | Actualiza el esquema y los objetos del dominio para 2019. |
| 3 — Promocionar el servidor 2019 | Asistente AD DS o Install‑ADDSDomainController | Una vez completado adprep y replicado, la promoción funciona con normalidad. |
| 4 — Registrar snap‑in de esquema (opcional) | regsvr32 schmmgmt.dll | Solo habilita la consola Active Directory Schema; no es requisito para agregar el DC. |
Preguntas frecuentes
¿Es obligatorio adprep?
Sí. Desde Windows Server 2008 R2, el asistente de promoción puede lanzar adprep de forma automática. Sin embargo, en entornos con restricciones de GPO, antivirus o UAC elevado, ejecutarlo manualmente garantiza visibilidad del proceso y evita retrocesos.
¿Para qué sirve regsvr32 schmmgmt.dll?
Registra la DLL que expone el MMC Active Directory Schema. Esta consola es necesaria solo si planeas extender manualmente el esquema (por ejemplo, instalando Exchange on‑premises). El comando no modifica la base de datos de AD ni condiciona la promoción del DC.
¿Qué ocurre si hay FRS activo?
El asistente detendrá la promoción con el error “The specified domain is still using the File Replication Service (FRS)…”. Por tanto, migra antes, o levanta un Server 2016 intermedio (que todavía tolera FRS) y migra desde él.
¿Puedo elevar el nivel funcional inmediatamente?
Recomendado, pero no obligatorio. Elevar a 2016/2019 desbloquea Privileged Access Management (PAM) y eliminación de SIDHistory por TTL. Espera a retirar los DC 2012 R2 antes de subir niveles.
¿Cuál es la versión de esquema correcta?
| Server 2008 R2 | 47 |
| Server 2012 | 56 |
| Server 2012 R2 | 69 |
| Server 2016 | 87 |
| Server 2019 | 88 |
Buenas prácticas operativas
- Segmenta el tráfico de replicación: usa políticas QoS o sites AD para limitar el ancho de banda en sedes remotas.
- Supervisa la latencia: programa
repadmin /latency <máximo>y alertas SCOM o Zabbix. - Habilita LSA Protection:
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\RunAsPPL = 1y reinicia. - Protege los certificados: reemplaza SHA‑1, instala AD CS con plantillas SHA‑2 256 o superior.
- Actualiza el antivirus: configura exclusiones para
%systemroot%\NTDSy procesoslsass.exe,ntdsutil.exe.
Plan de reversión
- Detener servicios del nuevo DC (netlogon, kdc) para evitar emisión de tickets.
- Restaurar state backup del Maestro de Esquema (autoridad de restauración).
- Forzar
authoritative restoresolo si la actualización de esquema causó corrupción. - Reincorporar gradualmente DC 2012 R2, verificar consistencia y participar de nuevo en el clúster de replicación.
Conclusión
Realizar la transición de 2012 R2 a 2019 es más que una simple actualización de sistema operativo; representa un salto generacional en seguridad, rendimiento y compatibilidad híbrida. Siguiendo las buenas prácticas descritas —evaluación previa, migración SYSVOL, adprep controlado y validaciones post‑promoción— minimizarás riesgos y ganarás una plataforma estable para los próximos años.