Actualizar de Windows Server 2012 R2 Essentials a 2019 Essentials elimina un sistema operativo sin soporte, reduce riesgos de seguridad y simplifica la administración diaria. A continuación encontrarás una guía exhaustiva para deshabilitar Folder Redirect y migrar tu dominio sin perder datos ni interrumpir aplicaciones críticas.

Panorama del escenario

En la red existen dos servidores:

• Servidor A. Windows Server 2012 R2 Essentials. Funciona como único Domain Controller, aloja IIS para “Server Connect”, actúa como servidor VPN/RAS y contiene una instalación de Autoridad Certificadora local (AD CS).
• Servidor B. Windows Server 2019 Essentials. Miembro del dominio. Alberga instancias recientes de SQL Express que sostienen aplicaciones contables (Drake, AMI). Se apaga cada cuatro días debido a un problema de activación de licencia.

El objetivo es retirar totalmente el Servidor A, trasladar sus servicios al Servidor B y, de paso, eliminar la directiva de redireccionamiento de carpetas heredada.

Riesgos de mantener el sistema sin soporte

• Falta de actualizaciones críticas que bloqueen vulnerabilidades conocidas.
• Imposibilidad de abrir casos de soporte oficial con Microsoft.
• Incompatibilidad creciente con versiones modernas de .NET, SQL Server y clientes de escritorio.

Preparativos indispensables

1. Inventario detallado. Documenta roles, servicios, rutas UNC, impresoras, certificados, puertos VPN y dependencias de software.
2. Copias de seguridad verificadas. Utiliza Windows Server Backup, Veeam Community u otro sistema que permita restaurar bare‑metal y granular. Verifica la recuperación de al menos un archivo y de una base de datos.
3. Revisión de licencias. Comprueba que la edición instalada en el Servidor B coincida con su clave mediante:
   DISM /online /Get-CurrentEdition slmgr /dlv
4. Comprobación de salud del dominio. Ejecuta en el Servidor A:
   dcdiag /v repadmin /replsum Corrige advertencias antes de continuar.

Deshabilitar Folder Redirect paso a paso

Acción	Detalle	Consejo práctico
Ubicar la GPO	Carpeta SYSVOL → Policies → GUID correspondiente; o desde Group Policy Management.	Usa «GPO Search» para filtrar directivas que contengan “Folder Redirection”.
Editar la configuración	En User Configuration → Policies → Windows Settings → Folder Redirection fija cada carpeta en “Not Configured” y activa Redirect the folder back to the local userprofile location.	Elige la opción “Move the contents…” si deseas copiar el contenido de nuevo al perfil local automáticamente.
Forzar la aplicación	En cada estación ejecuta: gpupdate /force	En redes lentas programa esta tarea fuera del horario laboral; la copia inversa de datos puede saturar el ancho de banda.
Verificar	Confirma que las carpetas vuelvan a C:\Users\%USERNAME% y que los accesos a archivos no se resuelvan a la ruta UNC.	Un dir /AL mostrará enlaces simbólicos que podrían delatar carpetas aún redirigidas.

Promoción del Servidor B a controlador de dominio

1. Instala el rol Active Directory Domain Services y ejecuta el asistente “Promote this server to a domain controller”. No crees un bosque nuevo; agrega un DC adicional al dominio existente.
2. Selecciona también DNS y, si fuera necesario, Global Catalog.
3. Tras la promoción reinicia y verifica la replicación:
   repadmin /replsummary Get-ADDomainController -Filter *

Transferencia de los roles FSMO

Puedes usar la consola Active Directory Users & Computers (RID, PDC, Infrastructure) y Active Directory Domains & Trusts (Domain Naming) o simplemente:

ntdsutil  
roles  
connections  
connect to server ServidorB  
q  
transfer schema master  
transfer rid master  
transfer pdc  
transfer infrastructure master  
transfer naming master  
q  
q

Migración de servicios anexos

Servicio RAS/VPN

• En el Servidor B instala Remote Access → DirectAccess y VPN (RAS).
• Replica la configuración de puertos, rangos IP y grupos autorizados.
• Exporta los certificados IKE o SSTP del Servidor A y re‑emplázalos en el nuevo.

IIS y “Server Connect”

1. En el Servidor A instala Web Deploy si no lo tiene.
   msiexec /i WebDeploy_x64.msi
2. Ejecuta:
   msdeploy -verb:sync -source:iisapp="ServerConnect" -dest:auto,computerName="ServidorB"
3. Corrige bindings HTTPS para que apunten al nuevo certificado emitido en el Servidor B.

Autoridad Certificadora (AD CS)

Para la mayoría de pequeñas oficinas resulta más simple instaurar una nueva CA interna en 2019 y revocar la antigua. Si necesitas preservar la jerarquía:

# En Servidor A  
certutil -backupdb D:\BackupCA  
certutil -backupkey D:\BackupCA

En Servidor B

Install-AdcsCertificationAuthority
certutil -restoredb D:\BackupCA
certutil -restorekey D:\BackupCA\pfx.p12

Después ajusta la plantilla de firma de certificados de VPN y servidor web.

Migración de aplicaciones Drake y AMI

1. Dentro de Drake ejecuta su asistente de copia de seguridad para bases SQL y configuraciones.
2. Instala la versión idéntica o superior en el Servidor B (misma ruta por defecto ayuda a evitar sorpresas).
3. Restaura los respaldos y verifica conectividad mediante el cliente.
4. Actualiza atajos o archivos .ini en cada PC para que apunten a la nueva ruta UNC.

Retirada definitiva del Servidor A

1. Asegúrate de que msdcs, sites y otros registros SRV de DNS apunten al Servidor B.
2. Ejecuta dcpromo (o Server Manager → Remove Roles) y selecciona “Delete the domain” si es el último DC.
3. Tras el reinicio, espera diez minutos y comprueba:
   Get-ADDomainController -Filter * Solo el Servidor B debe figurar.
4. Apaga y quita la máquina del dominio.
5. En DNS Manager elimina registros estáticos que aún señalen al IP del Servidor A.

¿Servidor o grupo de trabajo?

Algunos MSP optan por dejar estaciones en modo workgroup para simplificar licencias. Sin embargo, renuncias a:

• Directivas de grupo que imponen actualizaciones y políticas de seguridad.
• Inicio de sesión único (SSO) con impresoras y comparticiones.
• Gestión centralizada de contraseñas.

Solo considera la salida del dominio si existen menos de diez equipos, no hay datos sensibles ni auditorías de cumplimiento (HIPAA, PCI).

Verificación posterior a la migración

• Ejecuta dcdiag y repadmin /replsummary una vez al día durante una semana.
• Comprueba que todas las carpetas SYSVOL estén en estado Prepared/Committed.
• Revisa el Visor de eventos filtrando por Directory‑Service, Dns‑Server‑Service y RAS.
• Actualiza la política de bloqueo de cuenta y la caducidad de contraseñas si era heredada de 2012.
• Confirma la activación de Windows en el Servidor B:
  slmgr /ato

Preguntas frecuentes

¿Puedo forzar al Servidor B a ser el único GC antes de transferir FSMO?

Sí, pero no es recomendable. Mantén ambos GC activos hasta que la replicación sea estable; luego deshabilita el rol en el servidor antiguo antes de demotarlo.
El asistente Essentials Dashboard muestra errores tras la migración. ¿Importa?

El Dashboard solo es una consola “lite” sobre ADDS y RWA. Mientras los servicios subyacentes (AD DS, DNS, DHCP, IIS, RAS) funcionen, el mensaje puede ignorarse o corregirse reinstalando el componente.
¿Cómo resuelvo el apagado cada cuatro días?

Sucede cuando instalas Essentials sin una clave válida o con una clave OEM en hardware diferente. Introduce la clave correcta (slmgr /ipk XXXXX-XXXXX-XXXXX-XXXXX-XXXXX) y luego activa.

Lista de comprobación rapida

Punto de control	Estado
Backup verificado	□
GPO Folder Redirect removida	□
Servidor B promovido a DC	□
Roles FSMO transferidos	□
DNS apuntando al nuevo DC	□
RAS reconstruido y probado	□
Aplicaciones restauradas	□
Servidor A demotion completada	□
Registros SRV limpios	□

Conclusión

Con una preparación meticulosa y una secuencia respetuosa de pasos—primero datos y directivas, después roles de dominio y, por último, servicios dependientes—puedes migrar con éxito tu infraestructura Esssentials a una plataforma soportada. Obtendrás parches de seguridad continuos, licenciamiento alineado y menos complejidad operativa, todo sin afectar la productividad diaria del despacho contable.