MENU
  1. Inicio
  2. Windows
  3. Windows Server
  4. Replicación de Active Directory entre sitios con Windows Server 2012 R2 y 2019 Essentials

Replicación de Active Directory entre sitios con Windows Server 2012 R2 y 2019 Essentials

Windows Server

Sin importar el tamaño de la empresa, disponer de un Directorio Activo replicado entre dos sedes aporta autenticación local, tolerancia a fallos y continuidad operativa ante cortes de red o desastres.

Índice

Panorama general de la replicación

Active Directory (AD) utiliza un modelo multimaster donde cada controlador de dominio (DC) mantiene una copia writable de la base de datos NTDS.dit. La replicación es automática y ocurre a nivel de objetos y atributos, garantizando convergencia eventual. Al añadir un segundo DC en otro sitio — un Additional Domain Controller (ADC) — se consigue:

  • Login, Kerberos y DNS locales, evitando la latencia WAN.
  • Protección frente a caídas de hardware o mantenimiento del DC primario.
  • Capacidad de administración desde cualquiera de los nodos.

Requisitos previos

  • Salud del dominio: Ejecuta dcdiag /v y repadmin /replsummary en Server A; resuelve errores antes de continuar.
  • Resolución de nombres: Server B debe usar como DNS preferido la IP del DC existente, o un reenviador que alcance ese DNS.
  • Conectividad: Enlaces WAN estables (mín. 1 Mbps recomendado) con VPN IPsec o túnel SSL permanente.
  • Credenciales: Cuenta de dominio con pertenencia a Domain Admins.
  • Compatibilidad funcional: Un DC Windows Server 2012 R2 permite añadir DCs hasta Windows Server 2022 sin elevar el nivel funcional, pero revisa requisitos de SYSVOL (FRS → DFSR).

Escenario de partida

La organización posee:

ServidorVersiónRol actualSede
Server AWindows Server 2012 R2DC, DNS, todos los roles FSMOSede central
Server BWindows Server 2019 EssentialsMiembro WorkgroupSede remota

Paso a paso para incorporar Server B como ADC

Instalar el rol AD DS

  1. En Server B abre Server Manager ▸ Add Roles and Features.
  2. Selecciona Active Directory Domain Services y, opcionalmente, DNS Server.
  3. Reinicia si se solicita.

Unir el servidor al dominio

  1. Desde System ▸ Change Settings, únete al dominio existente (p.ej. corp.local).
  2. Introduce credenciales de administrador de dominio y reinicia.

Promocionar a controlador de dominio

  1. En Server Manager aparecerá la alerta Promote this server to a domain controller. Haz clic.
  2. Elige Add a domain controller to an existing domain.
  3. Marca Domain Name System (DNS) Server y Global Catalog (GC) si la sede requiere catálogos locales.
  4. Selecciona un Site adecuado (lo crearás más adelante) y define la contraseña de restauración DSRM.
  5. Revisa la validación previa (Prerequisites Check) y presiona Install.

Configurar Sitios y replicación

  1. En Active Directory Sites and Services crea dos sitios: SITE‑HQ y SITE‑REMOTE.
  2. Asocia cada subred (10.0.0.0/24, 172.16.10.0/24, etc.) con su sitio respectivo.
  3. En Inter‑Site Transports ▸ IP ajusta los Site Links:
    • Cost: Usa valores más altos para enlaces lentos (p.ej. 200).
    • Schedule: Permite replicación 24×7 o ventanas fuera de horas pico.

Puertos críticos para abrir en la VPN

ServicioPuerto/protocoloDescripción
RPC Endpoint Mapper135 TCPNegociación de puertos RPC dinámicos
RPC dinámicos49152‑65535 TCPReplica NTDS, SYSVOL y DFSR
LDAP389 TCP/UDPConsultas de directorio
LDAPS636 TCPLDAP sobre SSL/TLS
Kerberos88 TCP/UDPAutenticación de usuarios/servicios
DNS53 TCP/UDPResolución de nombres
SMB445 TCPReplicación SYSVOL y políticas GPO

Verificar la replicación

  • repadmin /replsummary – muestra el estado global; errores cero ≡ éxito.
  • repadmin /showrepl SERVERB /repsto – confirma las últimas llegadas.
  • eventvwr.msc ▸ Directory Service – busca eventos 1308, 1311 o 1988.
  • Prueba crear un usuario de prueba; debe aparecer en Users & Computers de ambos DC en segundos/minutos según enlace.

Consideraciones sobre Windows Server 2019 Essentials

La edición Essentials impone limitaciones contractuales y técnicas que afectan la arquitectura desplegada:

  • El servidor Essentials debe ostentar los cinco roles FSMO (Schema, Domain Naming, PDC, RID, Infrastructure).
  • No admite la coexistencia prolongada con otros DC si no transfiere los roles, so pena de reinicios cada 7 días y mensaje de incumplimiento de licencia.
  • Límite duro de 25 usuarios / 50 dispositivos autenticados.

Si tu organización necesita dos controladores simultáneos y conservar Server A como titular de FSMO, existen dos caminos:

  1. Actualizar Server B a Windows Server Standard (licencia nueva o conversión mediante DISM /online /Set-Edition:ServerStandard).
  2. Instalar una máquina virtual (Hyper‑V/VMware) con Windows Server Standard/Datacenter en la sede remota y promoverla como ADC.

Buenas prácticas complementarias

TemaRecomendación
Sincronización horariaEl DC que aloja PDC FSMO debe apuntar a un origen NTP confiable (p. ej. pool.ntp.org). Los demás DC sincronizan de él.
Copias de seguridadPrograma respaldo System State semanal con wbadmin o software de imagen. Verifica la restauración.
Monitoreo proactivoAutomatiza alertas por email de repadmin /showrepl, latencia DFSR y espacio en disco.
Plan de contingenciaDocumenta cómo transferir o tomar roles FSMO, y cómo sembrar un nuevo DC desde respaldo en caso de corrupción.

Procedimientos de mantenimiento

  • Parcheo gradual: Aplica CU y actualizaciones de seguridad primero en el ADC. Observa 48 h; después actualiza el DC principal.
  • Prueba de recuperación: Cada seis meses restaura un backup System State en laboratorio y verifica ntdsutil authoritative restore.
  • Limpieza de objetos huérfanos: Usa ntdsutil metadata cleanup si un DC se desmantela inesperadamente.

Solución alternativa: DFSR para SYSVOL

Los dominios creados en Windows Server 2008 R2 o anterior pueden seguir usando FRS para replicar SYSVOL. Antes de introducir Server 2019 es recomendable migrar a DFSR:

  1. dfsrmig /getglobalstate – verifica estado.
  2. dfsrmig /setglobalstate 1 – fase Prepared.
  3. Cuando todos los DC muestren Prepared, avanza a 2 (Redirected) y finalmente 3 (Eliminated).

Preguntas frecuentes

¿Qué pasa si el enlace WAN se cae?
Los usuarios de cada sede seguirán autenticándose con su DC local. Los cambios se replicarán cuando vuelva la conectividad.

¿Puedo forzar la replicación manualmente?
Sí. En Server Manager, Active Directory Sites and Services ▸ NTDS Settings, clic derecho en la conexión → Replicate now.

¿Cuánto tiempo debo esperar la replicación inicial?
Depende del ancho de banda y tamaño de la base AD. Un dominio de pocos cientos de objetos se replica en minutos; miles con políticas y GPO extensas pueden tardar horas.

Conclusión

Transformar Server B en un controlador de dominio adicional permite que cada oficina cuente con autenticación local, DNS interno y administración mutua del Directorio Activo. El proceso conlleva validar la salud del dominio, abrir los puertos correctos, diseñar sitios adecuados y comprender las limitaciones de Windows Server Essentials. Si la empresa supera los límites de esta edición, migrar a Standard o desplegar un DC virtual brinda la redundancia deseada sin infringir licenciamiento. Con monitoreo, backups y planes de contingencia, la solución escalará de forma segura y mantendrá la continuidad del negocio.

Windows Server
Active Directory Windows Server Replicación AD
Índice