MENU
  1. Inicio
  2. Windows
  3. Windows Server
  4. Actualizar dominio Windows Server 2012 R2 a 2019: guía completa paso a paso

Actualizar dominio Windows Server 2012 R2 a 2019: guía completa paso a paso

Windows Server

Una actualización de dominio es un cambio crítico que afecta a todos los usuarios y servicios que dependen de Active Directory. Aunque Microsoft ofrece asistentes que simplifican gran parte del trabajo, la preparación rigurosa y la verificación exhaustiva son la clave para que la transición de Windows Server 2012 R2 a Windows Server 2019 resulte transparente y sin sobresaltos.

Índice

Resumen de alto nivel

El proceso puede resumirse en tres grandes bloques:

  • Preparación: diagnóstico de salud, copias de seguridad y verificación de compatibilidad.
  • Implementación: incorporación del nuevo equipo, promoción a controlador de dominio y transferencia de roles críticos.
  • Retirada: despromoción ordenada del servidor anterior, limpieza de metadatos y consolidación de servicios.

Tabla de ruta de migración

EtapaObjetivoPasos principalesComentarios prácticos
Evaluación y respaldoGarantizar que el entorno actual sea estable y recuperable.Ejecutar dcdiag, repadmin /replsummary y revisar los registros del visor de eventos.
Verificar espacio en SYSVOL y estado de DNS/DHCP.
Generar y probar copias de seguridad del sistema y del estado de AD.		Corrige cualquier error antes de continuar; una réplica con problemas puede propagarlos.
Comprobación de requisitosAsegurar compatibilidad con 2019.Nivel funcional mínimo del bosque y dominio: Windows Server 2008 o superior.
Desactivar controladores, agentes o antivirus incompatibles.
Revisar requisitos de hardware (CPU, RAM y almacenamiento).		Si planeas usar ReFS o características nuevas, confirma compatibilidad de tu hardware.
Preparación del esquemaActualizar esquema de AD manualmente.Ejecutar adprep /forestprep y adprep /domainprep desde el soporte de Windows Server 2019.Facilita la promoción posterior y permite validar el proceso con antelación.
Instalación del nuevo servidor 2019Contar con un host actualizado y parcheado.Instalar Windows Server 2019 con las últimas actualizaciones de seguridad.
Asignar IP fija y unirlo al dominio existente.		Evita nombres de host duplicados y comprueba conexión a otros DC y DNS.
Promoción a controlador de dominioIntegrar el nuevo DC al bosque.Instalar el rol AD DS y promover el servidor.
Durante el asistente, elegir “Agregar controlador a un dominio existente”.		Tras la promoción, reiniciar y revisar eventos críticos en el visor.
Transferencia de funciones FSMOCentralizar operaciones en el DC 2019.Utilizar AD Users & Computers, NTDSUtil o Move-ADDirectoryServerOperationMasterRole para trasladar las cinco funciones FSMO.Comprueba con netdom query fsmo que el traspaso sea correcto.
Migración de servicios dependientesEvitar puntos únicos de fallo.Instalar y autorizar DNS/DHCP (si procede).
Replicar o migrar certificados, GPO y scripts de inicio.
Ajustar encaminadores u opciones DHCP si cambian direcciones.		Mantén ambos DC disponibles hasta confirmar que los clientes usan el nuevo.
Verificación de replicación y autenticaciónValidar el correcto funcionamiento.repadmin /showrepl y dcdiag /test:DNS.
Autenticar con cuentas de prueba y revisar creación de objetos.		Repite pruebas desde sitios remotos para comprobar latencia.
Despromoción y retirada del DC 2012 R2Reducir el plano de control.Ejecutar el asistente de Remove Roles and Features para quitar AD DS.
Limpiar metadata con Remove-ADComputer o NTDSUtil.
Apagar y retirar del inventario.		No elimines la VM o el servidor hasta confirmar que no aloja otros roles críticos.
Limpieza finalCerrar la migración.Elevar niveles funcionales (si procede) a 2016/2019.
Revisar directivas de seguridad heredadas.
Documentar nuevos FSMO y respaldos.		Considera habilitar características nuevas como AD Recycle Bin y DFS‑R en SYSVOL.

Requisitos previos detallados

Antes de introducir un servidor 2019 en un bosque existente, confirma cada uno de los puntos siguientes:

  • Licenciamiento: asegúrate de disponer de licencias de Windows Server 2019 Standard o Datacenter, así como de las correspondientes CAL.
  • Hardware: procesador de 64 bits con compatibilidad para Second Level Address Translation (SLAT), 16 GB de RAM como mínimo para entornos medianos y espacio libre en disco de 40 GB (solo sistema) + 100 GB para la base NTDS, SYSVOL y archivos de paginación.
  • Red: latencia inferior a 10 ms entre controladores de dominio del mismo sitio; puertos TCP/UDP 88, 135, 389, 445, 636, 3268 abiertos entre DC y clientes.
  • Compatibilidad de aplicaciones: verifica que agentes de copia de seguridad, antivirus o soluciones de monitoreo cuenten con versiones listas para 2019.
  • Deprecaciones: File Replication Service (FRS) se elimina; si tu dominio todavía usa FRS en SYSVOL debes migrar a DFS‑R antes de elevar niveles.

Copias de seguridad y validación del estado de salud

Un backup correcto no se limita a la copia de archivos. Debe incluir:

  1. Estado del sistema, que engloba NTDS.dit, registro, SYSVOL, y la Base de datos de certificados (si existe Autoridad de certificación).
  2. Imagen completa de la máquina o la máquina virtual, permitiendo restauración bare-metal.
  3. Verificación mediante montado en entorno aislado (Instant VM Recovery o restore sandbox) para confirmar que se puede iniciar sesión en el AD restaurado.

Ejecuta regularmente dcdiag /v > report.txt y guarda los informes; servirá para comparar antes y después de la migración.

Preparación del esquema y del bosque

Adprep maneja extensiones críticas de objetos y atributos. Puntos clave:

  • Al correr adprep /forestprep se requiere pertenecer al grupo Enterprise Admins y Schema Admins.
  • El comando es idempotente. Si se ejecuta varias veces mostrará que la revisión ya está aplicada.
  • El bosque permanece operativo durante la actualización del esquema, pero conviene ejecutarlo fuera de horas de oficina porque cada DC se replicará con el nuevo schema partition.
cd \support\adprep
adprep.exe /forestprep
adprep.exe /domainprep /domain <TuDominio>

Instalación del nuevo host Windows Server 2019

Instala con el último cumulative update disponible. Una práctica habitual es:

  1. Crear la máquina virtual (o física) con discos de sistema y datos separados.
  2. Configurar NIC con velocidad fija, desactivar adaptadores no usados y establecer DNS principal apuntando a DC 2012 R2.
  3. Renombrar el equipo con convención “DC‑Sede‑N°”.

Promoción a controlador de dominio

Utiliza Server Manager > Add roles and features o PowerShell:

Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Import-Module ADDSDeployment
Install-ADDSDomainController `
  -DomainName "tudominio.local" `
  -InstallDNS `
  -NoGlobalCatalog:$false `
  -SiteName "SedePrincipal" `
  -DatabasePath "D:\NTDS" `
  -LogPath "E:\NTDS-Logs" `
  -SysvolPath "F:\SYSVOL"

El reinicio final replica el directorio. Revisa %SystemRoot%\debug\Dcpromo.log y eventos Directory‑Service 1000.

Transferencia de funciones FSMO

Las cinco funciones (Schema Master, Domain Naming Master, RID, PDC Emulator y Infrastructure Master) pueden moverse en lote:

Move-ADDirectoryServerOperationMasterRole `
  -Identity "DC2019" `
  -OperationMasterRole SchemaMaster,DomainNamingMaster,
                        PDCEmulator,RIDMaster,InfrastructureMaster `
  -Confirm:$false

Valida posteriormente netdom query fsmo. Si se omite este paso, el servidor 2012 R2 seguirá en la ruta crítica y no podrá apagarse.

Migración de servicios dependientes

DNS: al promover el nuevo DC con “Install DNS” se transfiere la zona integrada en AD. Solo resta comprobar reenviadores y scavenging.
DHCP: usa Export-DhcpServer y Import-DhcpServer para copiar ámbitos y reservas, luego netsh dhcp delete server <antiguo> tras confirmar operaciones.
Certificados: si hay una CA empresarial en el DC 2012 R2, clónala o migra a otra máquina separada antes de despromocionar.
SYSVOL: comprueba que funcione con DFS‑R. El comando dfsrmig /getglobalstate debe devolver “Eliminated”.

Verificación exhaustiva

  • Replicación: repadmin /replsummary sin errores ni latencias altas (< 15 min).
  • Kerberos: los eventos 4768 y 4769 deben generarse en el nuevo DC.
  • Inicio de sesión: comprueba que becas de servicio y GPO se aplican desde el nuevo controlador.
  • Herramientas GUI: abre Usuarios y Equipos AD y comprueba creación de objetos.

Despromoción y retirada de Windows Server 2012 R2

Cuando estés absolutamente seguro:

  1. Quita roles de aplicación (WSUS, File Server, etc.) que aún residan en el servidor.
  2. Desde Server Manager, desinstala AD DS y marca “This server is the last domain controller in the domain” solo si realmente lo fuera (no en nuestro caso).
  3. Revisa el visor de eventos por errores DNS o File Replication durante la despromoción.
  4. Limpia metadatos huérfanos: Remove-ADComputer <OldDC> -IncludeAllLinkedObjects.
  5. Actualiza documentación: diagramas de red, IP asignadas, copias de seguridad y contraseña de modo DS.

Limpieza y optimización post‑migración

Subir niveles funcionales desbloquea mejoras como:

  • Autenticación Kerberos con AES 256 y Protected Users.
  • Pruebas dinámicas de NTLM auditing.
  • Mejoras en SYSVOL con compresión diferencial.

Comando:

Set-ADDomainMode -Identity tudominio.local -DomainMode Windows2016Domain
Set-ADForestMode -Identity tudominio.local -ForestMode Windows2016Forest

(No existe modo 2019; el máximo actual es 2016, pero incluye lo necesario para Server 2019).

Novedades relevantes de Windows Server 2019 para AD

  • ADDS Role‑Based Installation via Azure Stack HCI: facilita escenarios híbridos.
  • Escudo de VM (Shielded VMs) con Host Guardian Service para proteger controladores virtuales.
  • Windows Defender ATP integrado, útil para proteger la consola administrativa.
  • Transporte SMB 3.1.1 con cifrado avanzado para scripts de inicio que copian datos.

Preguntas frecuentes

¿Puedo migrar directamente desde 2008 R2?
En teoría sí, pero la ruta soportada obliga a intercalar al menos un DC 2012 R2 o 2016 con el esquema actualizado.

¿Cuánto tiempo debo mantener ambos DC en paralelo?
La práctica recomienda un mínimo de un ciclo completo de inicio de sesión de todos los usuarios y servicios; en entornos grandes suele representar entre dos y cuatro semanas.

¿Se requieren licencias extra de CAL por el breve periodo de coexistencia?
Las CAL son por usuario o dispositivo contra el dominio, no por servidor; no se duplican mientras los usuarios sean los mismos.

Checklist rápida de verificación

  • [ ] Copia de seguridad del estado del sistema validada.
  • [ ] dcdiag y repadmin sin errores críticos.
  • [ ] Esquema actualizado y replicado.
  • [ ] Nuevo DC 2019 con rol Global Catalog y DNS operativo.
  • [ ] FSMO transferidos y netdom query fsmo apunta a DC 2019.
  • [ ] Replicación DFS‑R de SYSVOL en estado “Eliminated”.
  • [ ] Inicio de sesión de prueba con cuentas de usuario y equipo.
  • [ ] Despromoción de DC 2012 R2 completada sin eventos de error.
  • [ ] Documentación y respaldos actualizados.

Conclusión

Migrar un dominio de Windows Server 2012 R2 a 2019 no tiene por qué ser traumático si sigues un enfoque disciplinado. La clave está en validar el estado actual, introducir el nuevo controlador con precaución, transferir roles gradualmente y mantener una fase de coexistencia que permita detectar cualquier inconsistencia. Con las mejoras de seguridad y soporte extendido hasta 2029, la actualización no solo es recomendable: es necesaria para asegurar la continuidad operativa y la defensa frente a amenazas modernas.

Windows Server
Windows Server 2019 Windows Server 2012 R2 Active Directory migración servidores AD DS
Índice