Perder un controlador de dominio principal no tiene por qué significar reconfigurar toda la red. Si se planifica bien, puedes asignar al nuevo servidor la misma dirección IP y mantener intactos los servicios de Active Directory, el LDAP y la autenticación de los equipos.
¿Es recomendable reutilizar la dirección IP del DC anterior?
La respuesta corta es sí, siempre que sigas un proceso disciplinado. Conservar la dirección IP minimiza cortes de servicio y elimina la necesidad de reconfigurar dispositivos, scripts o aplicaciones que aún apuntan a la IP antigua. Sin embargo, hacerlo sin limpieza previa provocará conflictos de duplicación, registros DNS huérfanos y fallos de replicación.
Escenario típico
Imagina un dominio «contoso.local» con dos controladores de dominio: DC01 (192.168.10.10) y DC02 (192.168.10.11). DC01 sufre un fallo irrecuperable y hay que sustituirlo. El administrador quiere que el nuevo servidor herede la IP 192.168.10.10 para evitar cambios en aplicaciones legacy que tienen la dirección codificada. Este artículo describe el procedimiento completo, las comprobaciones y las mejores prácticas.
Buenas prácticas antes de empezar
- Ventana de mantenimiento: Anúnciala con antelación e inicia fuera de horas críticas.
- Backup del estado del sistema: Haz una copia del DC sobreviviente (NTDS.dit, SYSVOL y claves del Registro).
- Credenciales: Usa una cuenta miembro de Domain Admins y Enterprise Admins.
- Versión del SO: Instala un Windows Server con el mismo parche de seguridad o superior para evitar discrepancias de esquema.
- Acceso físico o remoto seguro: Un fallo en pleno dcpromo puede dejar el servidor en un estado intermedio.
Comprobación de que la IP está libre
Antes de asignar la dirección al nuevo host, verifica que nadie la usa:
arp -a | findstr 192.168.10.10
nmap -sn 192.168.10.10
nslookup 192.168.10.10
Si el «ping» responde o ARP devuelve una MAC distinta a la prevista, localiza al intruso y corrige el conflicto. Comprueba además:
- Rangos activos en DHCP (reservas antiguas).
- Tabla de rutas en routers y firewalls.
- Registros A o PTR en DNS que todavía apuntan a la IP.
Limpieza de metadatos del DC averiado
El paso más crítico consiste en retirar todos los rastros del servidor caído:
- Metadata Cleanup: En un símbolo de PowerShell con derechos elevados ejecuta:
ntdsutil "metadata cleanup" connections "connect to server DC02" quit "select operation target" "list domains" ...
y elimina el objeto del DC obsoleto. - AD Sites and Services: Expande el sitio correspondiente y borra el NTDS Settings y el servidor.
- DNS Manager: Borra registros A, AAAA y SRV correspondientes en las zonas msdcs, sites, tcp y udp.
- Herramientas de monitorización: Actualiza tus soluciones de inventario (CMDB, SCCM, Nagios) para que no reintenten contactar a un host inexistente.
Una limpieza incompleta puede hacer que otros DC sigan intentando replicarse con el servidor desaparecido, llenando los registros con eventos 2087, 1311 o 1722.
Planificación de topología y ruteo
Asegúrate de que la dirección pertenece al mismo segmento para el que fue diseñada:
- Rutas estáticas: Verifica enrouters y firewalls que la IP siga enrutándose correctamente.
- VLAN: Comprueba las asignaciones de puertos y las políticas 802.1X.
- Listas de control de acceso (ACL): Si la IP anterior aparecía en reglas de permit, mantendrás la conectividad sin cambios.
Asignar la IP y promover el nuevo DC
- Configura en la interfaz de red la dirección 192.168.10.10, máscara, puerta de enlace y DNS primario = 127.0.0.1.
- En Server Manager → Add Roles and Features instala Active Directory Domain Services.
- Ejecuta la promoción a controlador de dominio «Add a domain controller to an existing domain». Asegúrate de:
- Definir el sitio correcto.
- Marcar la casilla DNS Server para que instale el rol DNS integrado.
- Introducir la contraseña de Directory Services Restore Mode (DSRM).
- Reinicia. Al arrancar, el wizard actualizará el esquema si fuese necesario, creará la zona _msdcs y registrará los SRV.
Validación posterior a la promoción
Una vez en línea, ejecuta:
dcdiag /v /c /e
repadmin /replsummary
repadmin /showrepl
Todos los DC deben reportar «0 fails». Revisa los eventos 4000, 4001 (DNS) y 1869 (KCC). A continuación, traslada los roles FSMO si corresponde:
Move-ADDirectoryServerOperationMasterRole -Identity DC02 -OperationMasterRole SchemaMaster,DomainNamingMaster,RIDMaster,PDCEmulator,InfrastructureMasterImpacto en clientes y servicios dependientes
Una de las ventajas de mantener la IP es que la mayoría de los clientes aprenderán la nueva información automáticamente vía DHCP o consultas DNS. Aun así, revisa:
| Elemento | Acción recomendada |
|---|---|
| Servidores con IP estática | Confirma que su DNS preferido sigue siendo 192.168.10.10 o actualiza a 127.0.0.1 si ahora corren servicios locales. |
| Aplicaciones legacy | Busca direcciones codificadas en archivos .conf, Web.config o en registros ODBC. |
| Equipos no unidos a AD | Actualiza manualmente sus listas de control de controladores LDAP si no usan DNS. |
| Sistemas de copias de seguridad | Re‑asigna destinos de cinta o repositorios que usaban la IP del viejo DC. |
Ventajas y riesgos resumidos
| Ventajas | Riesgos si se omite la limpieza |
|---|---|
| Menos reconfiguración de scripts y dispositivos. | Duplicación de IP que deja host sin conectividad. |
| Continuidad para servicios LDAP y Kerberos. | Registros DNS obsoletos que causan timeouts. |
| Evita cambios en reglas de firewall o ACL. | Errores de replicación por referencias a un DC inexistente. |
¿Direcciones dinámicas o reservas DHCP?
Si tu infraestructura lo permite, usar reservas DHCP para controladores de dominio ofrece flexibilidad sin perder la ventaja de una IP fija. Puedes mover el host a otro hardware modificando sólo la reserva y evitando cambios locales. No obstante, muchos administradores siguen prefiriendo IP estática para DC y DNS por la sencillez de troubleshooting.
Consideraciones de seguridad
- Auditoría: Activa logon auditing y configúralo para enviar eventos críticos al SIEM.
- Restricción de replicación: Usa firewalls internos para limitar los puertos 135, 389, 636, 3268 y 3269 sólo a los DC autorizados.
- Certificados: Si tu PKI emitía certificados al antiguo hostname, asegúrate de renovar/invalidar según tu política de revocación.
Preguntas frecuentes (FAQ)
¿Puedo omitir el metadata cleanup si el DC antiguo aún responde?
No. Primero debes despromover correctamente el DC con dcpromo o Uninstall-ADDSDomainController. Sólo en caso de fallo total se usa la limpieza forzada.
¿Qué pasa con los objetos SYSVOL y políticas de grupo?
Durante la promoción, el nuevo DC replica SYSVOL vía DFS‑R. Revisa el estado con dfsrdiag pollad y dfsrdiag backlog para asegurar que no haya retrasos significativos.
¿Necesito actualizar el site link o el cost en Sites and Services?
Sólo si cambias la ubicación física. La IP por sí sola no afecta al enlace; es el sitio asignado en la promoción lo que determina la topología.
¿La reutilización vale también para un Read‑Only Domain Controller (RODC)?
Sí, el procedimiento es idéntico. Como los RODC no replican cambios entrantes de contraseñas, la limpieza de metadatos es incluso más sencilla.
Recomendación final
Reutilizar la dirección IP del controlador de dominio perdido es una estrategia segura y eficiente si:
- Compruebas que la IP está libre y sin reservas no deseadas.
- Limpias rigurosamente los metadatos de Active Directory, DNS y Sites and Services.
- Verificas replicación y roles FSMO tras la promoción.
- Documentas cada cambio en tu CMDB y realizas copias de seguridad.
Con estos cuidados, tus estaciones de trabajo y servidores percibirán el cambio de hardware como transparente, mantendrás el cumplimiento de SLA y reducirás el riesgo de errores humanos en configuraciones manuales.