MENU
  1. Inicio
  2. Windows
  3. Windows Server
  4. Restaurar un Controlador de Dominio tras superar el Tombstone Lifetime

Restaurar un Controlador de Dominio tras superar el Tombstone Lifetime

Windows Server

Un controlador de dominio que supera el Tombstone Lifetime deja de replicar para proteger la integridad del bosque. Aun así puede recuperarse: a continuación encontrarás un análisis profundo de riesgos, estrategias y pasos concretos para devolverlo a producción sin comprometer Active Directory.

Índice

Conceptos esenciales sobre Tombstone Lifetime (TTL)

El Tombstone Lifetime define el período durante el cual los objetos eliminados permanecen en la base de datos de Active Directory (AD) como “tombstones”. Su valor predeterminado cambió a lo largo de los años: en bosques creados con Windows Server 2003 SP1 o posterior suele ser de 180 días; en bosques más antiguos, 60 días. Una vez vencido el TTL:

  • El controlador afectado deja de replicar (estado non‑authoritative).
  • Los partners rechazan solicitudes de replicación para impedir la reintroducción de objetos obsoletos.
  • La única forma segura de volver a sincronizar consiste en reinstalar o limpiar objetos persistentes.

Riesgos de poner en línea un DC expirado sin preparación

Si se reactiva un DC más allá del TTL y se fuerza la replicación sin limpiar:

  • Objetos fantasma (lingering objects): elementos que habían sido eliminados de otros DC pero que el DC antiguo todavía conserva. Pueden reinsertarse y provocar incoherencias de seguridad (por ejemplo, cuentas ya eliminadas con antiguos SID).
  • Divergencia de contraseñas: los objetos krbtgt y cuenta de equipo pueden estar obsoletos, generando errores de Kerberos.
  • Replicación masiva: la base de datos debe “ponerse al día” con meses de cambios, consumiendo ancho de banda y CPU.
  • Eventos 1388/1988: el visor de sucesos registrará rechazos de replicación que, si se ignoran, bloquean el proceso.

Estrategias viables para restaurar el DC

Microsoft recomienda despromover y reinstalar. Sin embargo, en entornos con aplicaciones o hardware legado pueden requerirse alternativas. La siguiente tabla resume opciones, implicaciones y pasos mínimos:

OpciónQué implicaCuándo usarlaPasos esenciales
1. Despromover y reinstalar (recomendada)Eliminar por completo el rol de DC, reinstalar el SO y volver a promocionarlo.La vía más segura: evita inconsistencias y objetos obsoletos.1) Despromover el DC (o, si está muy dañado, limpiar metadatos con ntdsutil metadata cleanup).
2) Instalar un Windows Server actualizado.
3) Promocionar de nuevo el servidor a DC y dejar que replique desde un DC sano.
2. Limpiar objetos persistentes y reanudar replicaciónUsar repadmin /removelingeringobjects para purgar objetos eliminados durante la desconexión.Cuando reinstalar no es viable (p. ej., dependencias de software local).1) Verificar DC sanos con repadmin /replsummary.
2) Ejecutar repadmin /removelingeringobjects <DCdestino> <GUIDDCfuente> <NC> /advisorymode.
3) Repetir sin /advisorymode para eliminar.
4) Habilitar replicación y monitorizar.
3. Reanudar replicación sin limpieza previaVolver a habilitar la replicación tal cual.Desaconsejado: puede introducir objetos fantasma y causar corrupción lógica.1) Desactivar strict replication consistency (no recomendado).
2) Forzar replicación con repadmin /syncall /AeD.
3) Revisar eventos y el estado de AD.

Procedimiento detallado: Despromover y reinstalar

Antes de empezar

  • Asegura que exista al menos otro DC operativo que sea Catálogo Global y FSMO primario del dominio o bosque.
  • Sincroniza la hora del sistema (NTP) en todos los DC restantes.
  • Respaldos: confirma que dispones de copias de seguridad del SYSVOL y del estado del sistema más recientes.

Paso a paso

  1. Despromover con Server Manager o PowerShell
    Uninstall-ADDSDomainController -DemoteOperationMasterRole -RemoveApplicationPartitions
  2. Eliminar metadatos si la despromoción falla
    ntdsutil metadata cleanup connections connect to server DC-SANO quit select operation target list domains select domain <#> list sites select site <#> list servers in site select server <#> quit remove selected server quit
  3. Reinstalar Windows Server (o actualizar a la versión soporte LTS actual).
  4. Promocionar nuevamente:
    Install-ADDSDomainController -DomainName contoso.com -InstallDns -Credential (Get-Credential) -DatabasePath "C:\Windows\NTDS" -LogPath "C:\Windows\NTDS" -SysvolPath "C:\Windows\SYSVOL"
  5. Verificar replicación:
    repadmin /replsummary dcdiag /v

Procedimiento detallado: Limpieza de objetos persistentes

Si no puedes reinstalar—por ejemplo, porque el servidor aloja software industrial con licencias ligadas al hardware—deberás limpiar objetos obsoletos.

Identifica un DC de referencia

Selecciona el DC con mejor salud y que replicó de forma continua durante la ausencia del DC expirado. En entornos con varios sitios, suele ser el más cercano en términos de latencia.

Ejecuta repadmin /removelingeringobjects en modo asesor

Esto genera un informe sin borrar nada, permitiendo estimar el impacto.

repadmin /removelingeringobjects DC-EXPI 11111111-2222-3333-4444-555555555555 "DC=contoso,DC=com" /advisory_mode

Analiza el archivo de registro

Busca objetos con atributo isDeleted=TRUE que no existan en el DC de referencia. Evalúa si son cuentas críticas antes de eliminarlas.

Elimina definitivamente los objetos

repadmin /removelingeringobjects DC-EXPI 11111111-2222-3333-4444-555555555555 "DC=contoso,DC=com"

Restaura replicación estricta y fuerza sincronización

repadmin /regkey DC-EXPI +strict
repadmin /syncall DC-EXPI /e /d /A /P

Monitoriza logs y rendimiento

Asegúrate de que el visor de eventos ya no muestre los IDs 1388, 1988 o 2042 y que los contadores NTDS\LDAP Active Connections vuelvan a valores normales.

Consideraciones de DNS y SYSVOL

Después de reinstalar o limpiar el DC:

  • Verifica que las zonas DNS se repliquen correctamente (dnscmd /enumzones en todos los DC con rol DNS).
  • Revisa la replicación de SYSVOL (moradoras FRS o DFS‑R):
    dfsrdiag pollad dfsrdiag backlog /partner:DC-SANO /rgname:"Domain System Volume" /rfname:"SYSVOL Share"
  • Comprueba la directiva de grupo (gpresult /r) en estaciones de prueba.

Buenas prácticas para prevenir futuros incidentes

  • Supervisión proactiva: configura alertas para eventos 2042 (replicación rechazada) y 1864 (sin replicar en 24 h).
  • Mantenimiento programado: evita apagados prolongados; si es inevitable, documenta la fecha límite de TTL.
  • Topology Awareness: usa Sites and Services y costeo de sitios adecuados para minimizar latencias.
  • Niveles funcionales actualizados: Windows Server 2016 o posterior facilita TLS 1.2, AES 256 y TTL extendido a 180 días.
  • Backups validados: prueba restauras autoritativas y no autoritativas en laboratorio al menos una vez al año.

Preguntas frecuentes

¿Puedo simplemente ampliar el Tombstone Lifetime? Ampliar el TTL no retroactúa sobre objetos ya eliminados y puede posponer, pero no resolver, problemas de coherencia. No sustituye la reinstalación ni la limpieza.“` ¿Qué ocurre con los roles FSMO si el DC expirado los tenía? Debes transferirlos antes de despromover. Si el servidor está fuera de línea, usa ntdsutil seize para apoderarte de ellos en un DC sano. ¿Debo limpiar metadatos en todos los dominios del bosque? Sí, cuando un DC se retira permanentemente conviene ejecutar nltest /dbflag:2080ffff y comprobar que no quede referencia alguna. “`

Conclusiones

Recuperar un controlador de dominio que excedió su Tombstone Lifetime requiere disciplina y un plan claro. La opción más recomendable es despromover y reinstalar, garantizando un directorio limpio y consistente. Solo cuando esa vía no es posible debe acudirse a la limpieza de objetos persistentes, proceso que demanda rigor y monitoreo exhaustivo. Forzar la replicación sin medidas previas, aunque tentador por su rapidez, suele desembocar en complicaciones mayores que comprometen la seguridad y estabilidad de todo el bosque.

Windows Server
Active Directory Windows Server replicación Tombstone Lifetime Domain Controller
Índice