Al agregar un nuevo controlador de dominio Windows Server 2022 en un bosque existente, muchos administradores se topan con un mensaje críptico de “adprep validation”. Este artículo explica por qué aparece, qué comprobaciones previas exige Windows Server 2022 y cada paso para resolverlo definitivamente.
Descripción detallada del error
Al ejecutar el Asistente de configuración de servicios de dominio de Active Directory (dcpromo.exe integrado) o Install‑ADDSDomainController en PowerShell, el proceso se detiene y muestra:
Error determining whether the target server environment requests adprep validation
Unable to check the forest upgrade status
verifyforestupgradestatus.Adprep.Win32Exception ‑2147467259En la práctica, significa que Windows Server 2022 está validando el bosque para confirmar que:
- Los niveles funcionales permiten el nuevo esquema.
- La carpeta SYSVOL ya se replica con DFS‑R (obligatorio desde Windows Server 2019).
- AD está libre de inconsistencias antes de ampliar el directorio.
Por qué Windows Server 2022 es más estricto
Desde Windows Server 2019, Microsoft endureció las comprobaciones de salud de Active Directory con el objetivo de bloquear la introducción de controladores de dominio en entornos inestables. El asistente ya no deja pasar configuraciones que antes “funcionaban” pero que ocultaban problemas latentes:
- FRS está obsoleto y genera retrasos y fallos de replicación.
- Niveles funcionales antiguos impiden atributos de seguridad modernos (PES‑SID, Clave de Sitio KDC, etc.).
- La ejecución parcial de
adpreppuede dejar el esquema en estado incoherente.
Requisitos mínimos de infraestructura
| Componente | Estado requerido | Cómo verificarlo |
|---|---|---|
| Nivel funcional de bosque (FFL) | Windows Server 2008 o superior | Get‑ADForest | Select ForestMode |
| Nivel funcional de dominio (DFL) | Windows Server 2008 o superior | Get‑ADDomain | Select DomainMode |
| Replicación SYSVOL | DFS‑R (estado Eliminado FRS) | dfsrmig /getglobalstate |
| Replicación AD | Sin errores críticos | repadmin /replsummary |
| Salud DNS | Sin advertencias | dcdiag /test:DNS |
Paso a paso para eliminar el bloqueo
Comprobar y elevar los niveles funcionales
Si tu bosque o dominio muestra “2003” o inferior, eleva primero:
- Abre Active Directory Domains and Trusts, botón derecho en el nombre del dominio ➜ Raise Domain Functional Level. Selecciona Windows Server 2008 o superior.
- Repite la operación en la raíz del complemento para el bosque (Raise Forest Functional Level).
- Desde PowerShell también puedes usar:
Set‑ADDomainMode –Identity contoso.com –DomainMode Windows2008DomainySet‑ADForestMode –Identity contoso.com –ForestMode Windows2008Forest.
Advertencia: elevar niveles funcionales es irreversible; verifica que no tengas controladores Windows Server 2003 activos.
Migrar SYSVOL de FRS a DFS‑R
Windows Server 2022 no acepta FRS. Para completar la migración:
dfsrmig /setglobalstate 1(Prepared)- Comprueba con
dfsrmig /getmigrationstateque todos los DC se encuentren en el estado 1. dfsrmig /setglobalstate 2(Redirected) y vuelve a verificar.dfsrmig /setglobalstate 3(Eliminated). En este punto FRS se deshabilita y se borra.
La migración no interrumpe el servicio, pero conviene ejecutarla en una ventana de mantenimiento porque cada fase puede tardar minutos u horas según el tamaño de SYSVOL y la latencia WAN.
Validar la salud del directorio
Antes de tocar el esquema:
repadmin /replsummary
dcdiag /e /v
dcdiag /test:DNSTodos los vínculos deben aparecer con 0 Fails. Si ves errores <>0, corrígelos (DNS faltantes, zonas delegadas sin replicar, puertos bloqueados, etc.).
Ejecutar ADPREP con privilegios correctos
La validación que lanza el asistente delega en adprep.exe. Ejecutarlo manualmente aclara los mensajes de error y permite corregirlos sin interfaz:
- Inicia sesión en el maestro de esquema con una cuenta que pertenezca simultáneamente a Enterprise Admins, Schema Admins y Domain Admins.
- Inserta o monta la ISO de Windows Server 2022.
- Abre cmd como administrador y navega a
D:\support\adprep. adprep /forestprepCuando finalice, espera a que replique (monitorea conrepadmin /syncall /AdeP).adprep /domainprep /gpprepen cada dominio del bosque que vayas a ampliar.
Si apareciera Error 0x13e o “Objeto ya existe”, suele indicar que otro administrador corrió parcialmente adprep. Espera a la replicación o limpia objetos huérfanos en el contenedor CN=LostAndFoundConfig.
Reiniciar e intentar de nuevo
Reinicia el servidor Windows Server 2022 que vas a promocionar, abre el Asistente de AD DS o ejecuta:
Install‑ADDSDomainController `
‑DomainName "contoso.com" `
‑Credential (Get‑Credential contoso\Administrador) `
‑InstallDns `
‑SafeModeAdministratorPassword (Read‑Host –AsSecureString "DSRM password")El proceso debe avanzar sin el mensaje de “adprep validation”.
Diagnóstico avanzado si el error persiste
Visor de eventos enfocado
Abre Event Viewer ➜ Applications and Services Logs ➜ Directory‑Services‑Setup. Filtra por ID = 1926. Copia los detalles de la descripción; suele incluir el atributo o versión de esquema que falta.
Revisar atributos de esquema incompletos
Cuando adprep se queda a medias, crea marcadores en CN=Schema Updates,CN=Configuration,DC=.... Usa ADSI Edit:
- Conecta a
Schema➜CN=Schema,CN=Configuration,.... - Ordena por whenChanged y localiza clases nuevas sin auxiliaryClass.
- Si vieras objetos con atributos vacíos, bórralos y repite
adprep.
Bloqueos frecuentes y sus causas
| Mensaje | Causa real | Solución |
|---|---|---|
| FRS is deprecated | SYSVOL aún en FRS | Migrar a DFS‑R |
| Forest functional level too low | FFL < 2008 | Elevar FFL |
| Domain functional level too low | DFL < 2008 | Elevar DFL |
| Schema update failed | Falta permiso o conflicto de replicación | Ejecutar adprep en maestro de esquema y revisar replicación |
Buenas prácticas posteriores
- Mantén al menos dos controladores Windows Server 2022 en cada sitio para alta disponibilidad.
- Durante 30 días conserva los controladores antiguos por si debes hacer rollback, pero planifica su degradación (
Uninstall‑ADDSDomainController) para evitar controladores huérfanos. - Crea tareas de repadmin /replsummary y dcdiag semanales; la supervisión proactiva evita sorpresas.
- Actualiza Group Policy ADMX con los archivos de Server 2022 para exponer nuevas opciones de seguridad (Applocker reforzado, SMB over QUIC, etc.).
Preguntas frecuentes
¿Puedo saltar directamente de FFL 2003 a 2016?
Sí. Los niveles intermedios se omiten; basta con elegir el valor final. Sin embargo, confirma que ninguna aplicación legada dependa de algoritmos NTLMv1 o cifrados DES.
¿Qué sucede si la migración DFS‑R se detiene en estado 2?
Verifica el servicio DFS Replication y el puerto TCP 5722. Si un DC remoto está desconectado, ejecuta dfsrmig /getmigrationstate hasta que esté online. También revisa C:\Windows\Debug\DFSR*.log.
¿Necesito desconectar los controladores antiguos tras la migración?
No es obligatorio, pero Windows Server 2022 puede funcionar con DC anteriores siempre que estos estén en 2008 R2 o superior. Si decides retirarlos, degrádalos oficialmente para limpiar metadatos y PNTP.
Conclusión
El mensaje “Error determining whether the target server environment requests adprep validation” es la forma que tiene Windows Server 2022 de proteger tu bosque de errores históricos. Elevando FFL/DFL, migrando SYSVOL a DFS‑R y ejecutando correctamente adprep, la promoción se completará a la primera y tendrás una infraestructura lista para la próxima década.