Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En el Administrador del servidor, puede usar el Asistente para configuración de Active Directory Domain Services para promover un servidor a un controlador de dominio y para degradar un servidor. En este artículo se describen los controles de las páginas siguientes de ese asistente.
Para promover un servidor a un controlador de dominio:
Para degradar un controlador de dominio:
Promover un servidor a un controlador de dominio
En las secciones siguientes se describen las páginas que ve al usar el Asistente para configuración de Active Directory Domain Services para promover un servidor a un controlador de dominio.
Configuración de la implementación
El Administrador del servidor comienza todas las instalaciones de controlador de dominio con la página Configuración de implementación. Las opciones y los campos obligatorios que ve en esta página y las páginas posteriores dependen de la operación de implementación que seleccione.
El asistente ejecuta algunas validaciones y pruebas en la página Configuración de implementación y, de nuevo, más adelante como parte de las comprobaciones de requisitos previos. Por ejemplo, se realiza una comprobación al intentar instalar el primer controlador de dominio de Windows Server en un bosque. Si el nivel funcional del bosque no admite la versión de Windows Server del controlador de dominio, aparece un error en esta página.
En las secciones siguientes se describen las operaciones de implementación que puede seleccionar en esta página.
Creación de un bosque
En la captura de pantalla siguiente se muestran las opciones que aparecen al crear un bosque:
Al crear un bosque, debe especificar un nombre para el dominio raíz del bosque.
- El nombre de dominio raíz del bosque no se puede etiquetar con una sola etiqueta. Por ejemplo, debe ser
example-domain.comen lugar deexample-domain. - Debe usar las convenciones de nomenclatura de dominio permitidas del Sistema de nombres de dominio (DNS). Para obtener más información sobre las convenciones de nomenclatura de dominio DNS, consulte Convenciones de nomenclatura en Active Directory para equipos, dominios, sitios y UNIDADES organizativas.
- Puede especificar un nombre de dominio internacionalizado (IDN).
- El nombre de dominio raíz del bosque no se puede etiquetar con una sola etiqueta. Por ejemplo, debe ser
El nombre de cualquier bosque de Active Directory que cree debe ser diferente del nombre DNS externo. Por ejemplo, si la dirección URL del DNS de Internet es
https://example-domain.com, debe elegirse un nombre distinto para el bosque interno, a fin de evitar problemas de compatibilidad en el futuro. Ese nombre debe ser único y poco probable para el tráfico web, comocorp.example-domain.com.Debe ser miembro del grupo Administradores en el servidor en el que desea crear un bosque.
Para obtener más información sobre cómo crear un bosque, consulte Instalar un nuevo bosque de Active Directory de Windows Server 2012 (nivel 200).
Crear un dominio
En la captura de pantalla siguiente se muestran las opciones que aparecen al crear un dominio:
Nota
Si crea un dominio de árbol, debe especificar el nombre del dominio raíz del bosque en lugar del dominio primario. Pero las demás páginas y opciones del asistente son las mismas si crea un dominio secundario o un dominio de árbol.
En Nombre de dominio primario, seleccione Seleccionar para ir al dominio primario o al árbol de Active Directory, o escriba un nombre de árbol o dominio primario válido.
En Nuevo nombre de dominio, escriba el nombre del nuevo dominio.
- Para un dominio de árbol, proporcione un nombre de dominio raíz válido y completo. El nombre no se puede etiquetar de forma única y debe cumplir los requisitos de nombre de dominio DNS.
- Para un dominio secundario, proporcione un nombre de dominio secundario de etiqueta única válido. El nombre debe cumplir los requisitos de nombre de dominio DNS.
Si las credenciales actuales no proceden del dominio, el Asistente para configuración de Active Directory Domain Services le pedirá las credenciales de dominio. Seleccione Cambiar para proporcionar credenciales de dominio.
Para obtener más información acerca de cómo crear un dominio, consulte Instalar un nuevo dominio secundario o de árbol de Active Directory de Windows Server 2012 (nivel 200).
Adición de un controlador de dominio a un dominio existente
En la captura de pantalla siguiente se muestran las opciones que aparecen al agregar un nuevo controlador de dominio a un dominio existente:
En Dominio, seleccione Seleccionar para ir al dominio o escriba un nombre de dominio válido.
Si es necesario, el Administrador del servidor le pide credenciales válidas. La instalación de un controlador de dominio adicional requiere la pertenencia al grupo Admins del dominio.
Además, la instalación del primer controlador de dominio que ejecuta Windows Server en un bosque requiere credenciales que incluyen las pertenencias a los grupos Administradores de empresas y Administradores de esquema. El Asistente para configuración de Active Directory Domain Services le pedirá más adelante si las credenciales actuales no tienen permisos adecuados ni pertenencias a grupos.
Para obtener más información sobre cómo agregar un controlador de dominio en un dominio existente, consulte Instalar una réplica del controlador de dominio de Windows Server 2012 en un dominio existente (nivel 200).
Opciones del controlador de dominio
Las opciones que ve en la página Opciones del controlador de dominio dependen de la operación de implementación. En las secciones siguientes se describen las opciones que se configuran para cada operación.
Nuevas opciones de bosque
Al crear un bosque, la página Opciones del controlador de dominio muestra las opciones que se muestran en la captura de pantalla siguiente:
Los valores predeterminados de los niveles funcionales de bosque y dominio dependen de la versión de Windows Server.
A partir de la versión de Windows Server 2012, el nivel funcional de dominio ofrece la siguiente configuración en la directiva de plantilla administrativa del centro de distribución de claves (KDC) compatibilidad de KDC con notificaciones, autenticación compuesta y protección Kerberos:
- Proporcionar notificaciones siempre
- Producir error en solicitudes de autenticación sin protección
Para obtener más información, consulte Support for claims, compound authentication, and Kerberos armoring.
Cualquier nuevo dominio que cree en un bosque funcionará automáticamente en el nivel funcional del dominio que sea igual al nivel funcional del bosque seleccionado. Además, los controladores de dominio del dominio ejecutan la versión de Windows Server del nivel funcional de dominio seleccionado.
Para obtener más información sobre las características disponibles en varios niveles funcionales, consulte Niveles funcionales de Active Directory Domain Services.
Las características disponibles en un controlador de dominio dependen de la versión de Windows Server que ejecuta el controlador de dominio.
Al crear un bosque, la opción de servidor del Sistema de nombres de dominio (DNS) está seleccionada de forma predeterminada. El primer controlador de dominio del bosque debe ser un servidor de catálogo global y no puede ser un controlador de dominio de solo lectura (RODC).
Para iniciar sesión en un controlador de dominio que no ejecuta AD DS, necesita la contraseña del modo de restauración de servicios de directorio (DSRM). La contraseña que especifique debe cumplir la directiva de contraseñas aplicada al servidor. De forma predeterminada, esa directiva no requiere una contraseña segura. Solo requiere una contraseña que no esté en blanco. Siempre elija una contraseña segura y compleja o, preferentemente, una frase de contraseña. Para obtener información sobre cómo sincronizar la contraseña DSRM con la contraseña de una cuenta de usuario de dominio, consulte el artículo de soporte técnico sobre la sincronización de contraseñas.
Para obtener más información sobre cómo crear un bosque, consulte Instalar un nuevo bosque de Active Directory de Windows Server 2012 (nivel 200).
Nuevas opciones de dominio secundario
Al crear un dominio secundario, la página Opciones del controlador de dominio muestra las opciones que se muestran en la captura de pantalla siguiente:
El valor predeterminado del nivel funcional del dominio depende de la versión de Windows Server. Puede especificar cualquier valor mayor o igual que el nivel funcional del bosque.
Puede configurar las siguientes opciones de controlador de dominio:
- Servidor del sistema de nombres de dominio (DNS)
- Catálogo global (GC)
No puede configurar el primer controlador de dominio en un nuevo dominio para que sea un RODC.
Se recomienda que todos los controladores de dominio proporcionen servicios de catálogo dns y globales para alta disponibilidad en entornos distribuidos. Por este motivo, el asistente habilita estas opciones de forma predeterminada al crear un dominio.
También puede usar esta página para seleccionar un nombre de sitio lógico de Active Directory adecuado en la configuración del bosque. De forma predeterminada, se selecciona el sitio con la subred más correcta. Si solo hay un sitio, ese sitio se selecciona automáticamente.
Importante
Si el servidor no pertenece a una subred de Active Directory y hay más de un sitio, no se selecciona nada. El botón Siguiente no está disponible hasta que seleccione un sitio de la lista.
Para obtener más información acerca de cómo crear un dominio, consulte Instalar un nuevo dominio secundario o de árbol de Active Directory de Windows Server 2012 (nivel 200).
Opciones para agregar un controlador de dominio a un dominio
Al agregar un controlador de dominio a un dominio, la página Opciones del controlador de dominio muestra las opciones que se muestran en la captura de pantalla siguiente:
Puede configurar las siguientes opciones de controlador de dominio:
- Servidor del sistema de nombres de dominio (DNS)
- Catálogo global (GC)
- Controlador de dominio de solo lectura (RODC)
Se recomienda que todos los controladores de dominio proporcionen servicios de catálogo dns y globales para alta disponibilidad en entornos distribuidos. Por este motivo, estas opciones están habilitadas de forma predeterminada. Para obtener más información acerca de la implementación de los RODC, vea la guía de planeación e implementación de controladores de dominio de solo lectura.
Para obtener más información sobre cómo agregar un controlador de dominio en un dominio existente, consulte Instalar una réplica del controlador de dominio de Windows Server 2012 en un dominio existente (nivel 200).
Opciones de DNS
Si instala el rol de servidor DNS, aparece la siguiente página Opciones de DNS :
Al instalar el rol de servidor DNS, los registros de delegación que apuntan al servidor DNS como autoritativo para la zona deben crearse en la zona DNS primaria. Delegación registra la entidad de resolución de nombres de transferencia. También proporcionan una referencia correcta a otros servidores DNS y clientes de nuevos servidores que son autoritativos para la nueva zona. Estos registros de recursos incluyen los siguientes registros:
- Un registro de recursos de servidor de nombres (NS) para realizar la delegación. Este registro de recursos anuncia que el servidor denominado
ns1.na.example.microsoft.comes un servidor autoritativo para el subdominio delegado. - Un registro de recursos de host (A o AAAA), que también se conoce como registro de adherencia. Este registro debe estar presente para resolver el nombre del servidor especificado en el registro de recursos de NS en su dirección IP. El proceso de resolución del nombre de host en este registro de recursos en el servidor DNS delegado en el registro de recursos NS se conoce a veces como búsqueda de adherencias.
Puede hacer que el Asistente para configuración de Active Directory Domain Services cree estos registros automáticamente. En la página Opciones del controlador de dominio , si selecciona Siguiente, el asistente comprueba que existen los registros adecuados en la zona DNS primaria. Si el asistente no puede comprobar que los registros existen en el dominio primario, el asistente le proporciona la opción de crear una delegación DNS para un dominio nuevo (o actualizar la delegación existente) automáticamente y continuar con la nueva instalación del controlador de dominio.
Como alternativa, puede crear estos registros de delegación DNS antes de instalar el rol de servidor DNS. Para crear una delegación de zona, abra administrador de DNS, haga clic con el botón derecho en el dominio primario y, a continuación, seleccione Nueva delegación. Siga los pasos del Asistente para nueva delegación para crear la delegación.
El proceso de instalación intenta crear la delegación para asegurarse de que los equipos de otros dominios puedan resolver las consultas DNS para hosts (incluidos controladores de dominio y equipos miembro) en el subdominio DNS. Los registros de delegación solo se pueden crear automáticamente en servidores DNS de Microsoft. Si la zona de dominio DNS principal reside en servidores DNS de terceros, como los servidores de dominio de nombres de Internet (BIND) de Berkeley, aparece una advertencia sobre el error al crear registros de delegación DNS en la página Comprobación de requisitos previos . Para obtener más información sobre la advertencia, vea Problemas conocidos para instalar y quitar AD DS.
Las delegaciones entre el dominio primario y el subdominio que se va a promocionar se pueden crear y validar antes o después de la instalación. No hay ninguna razón para retrasar la instalación de un nuevo controlador de dominio porque no se puede crear ni actualizar la delegación DNS.
Para obtener más información sobre la delegación, vea Descripción de la delegación de zona. Si la delegación de zonas no es posible en su situación, puede considerar otros métodos para proporcionar una resolución de nombres de otros dominios a los hosts de su dominio. Por ejemplo, el administrador DNS de otro dominio puede configurar reenvío condicional, zonas de referencia o zonas secundarias para resolver nombres en su dominio. Para obtener más información, consulte los siguientes recursos:
- Descripción de los tipos de zona
- Descripción de las zonas de rutas internas
- Descripción de los reenviadores
Opciones de RODC
En la captura de pantalla siguiente se muestran las opciones que aparecen al instalar un RODC.
Puede usar la opción Cuenta de administrador delegado para especificar las cuentas a las que se asignan permisos administrativos locales al RODC. Estos usuarios pueden trabajar con privilegios equivalentes al grupo Administradores del equipo local. No son miembros de los administradores de dominio ni de los grupos administradores de dominio integrados. Esta opción es útil para delegar la administración de sucursales sin conceder permisos administrativos de dominio. No es necesario configurar la delegación de administración. Para obtener más información, consulte Separación de roles de administrador.
Puede usar las opciones restantes de la página para configurar la directiva de replicación de contraseñas (PRP), que actúa como una lista de control de acceso (ACL). Esta directiva determina si un RODC puede almacenar en caché una contraseña. Una vez que RODC recibe una solicitud de inicio de sesión de usuario o equipo autenticada, hace referencia al PRP para determinar si la contraseña de la cuenta debe almacenarse en caché. Después, la misma cuenta puede realizar inicios de sesión posteriores de forma más eficaz. Cuando se almacena en caché una cuenta, el RODC puede autenticarlo incluso si el vínculo WAN al sitio central está sin conexión.
El PRP enumera dos tipos de cuentas:
- Cuentas que tienen contraseñas que se pueden almacenar en caché
- Cuentas que tienen contraseñas que se deniegan explícitamente de almacenarse en caché
Si una cuenta de usuario o equipo está en la lista de cuentas que se pueden almacenar en caché, el RODC no ha almacenado necesariamente en caché la contraseña de esa cuenta. Por ejemplo, un administrador puede especificar con antelación las cuentas que un RODC debe almacenar en caché.
Las contraseñas no se almacenan en caché para ninguna cuenta de usuario o equipo que no esté denegada o permitida, ya sea de manera explícita o implícita. Si esos usuarios o equipos no tienen acceso a un controlador de dominio grabable, no pueden acceder a los recursos o funcionalidades proporcionados por AD DS. Para obtener más información sobre el PRP, consulte Directiva de replicación de contraseñas. Para obtener más información sobre cómo administrar el PRP, consulte Administración de la directiva de replicación de contraseñas.
Para obtener más información sobre cómo instalar RODC, consulte el tema sobre cómo instalar un controlador de dominio de solo lectura de Active Directory de Windows Server 2012 (RODC) (nivel 200).
Opciones adicionales
En la captura de pantalla siguiente se muestra la opción que aparece en la página Opciones adicionales al crear un dominio:
En la captura de pantalla siguiente se muestran las opciones que aparecen en la página Opciones adicionales al agregar un controlador de dominio a un dominio existente:
Puede usar la opción Replicar desde para especificar un controlador de dominio como origen de replicación o para permitir que el asistente elija cualquier controlador de dominio como origen de replicación.
Puede usar la opción Instalar desde medios para especificar un origen multimedia de copia de seguridad que se usará para instalar el controlador de dominio. Si el medio de instalación se almacena localmente, puede usar la opción Ruta de acceso para seleccionar la ubicación del archivo. Esta opción no está disponible para una instalación remota. Puede seleccionar Comprobar para asegurarse de que la ruta de acceso proporcionada sea un medio válido. Debe crear los medios que use para esta opción mediante Copias de seguridad de Windows Server o
ntdsutil.exea partir de otro equipo existente con Windows Server. No puede usar un sistema operativo anterior a Windows Server 2012 para crear medios para el controlador de dominio. Si el medio está protegido con una contraseña sysKey, el Administrador del servidor solicita la contraseña de la imagen durante la comprobación.
Para obtener más información acerca de cómo crear un dominio, consulte Instalar un nuevo dominio secundario o de árbol de Active Directory de Windows Server 2012 (nivel 200). Para obtener más información sobre cómo agregar un controlador de dominio en un dominio existente, consulte Instalar una réplica del controlador de dominio de Windows Server 2012 en un dominio existente (nivel 200).
Rutas
En la captura de pantalla siguiente se muestran las opciones que aparecen en la página Rutas de acceso:
Puede usar la página Rutas de acceso para anular las ubicaciones predeterminadas de las carpetas de la base de datos de AD DS (NTDS.DIT), los registros de transacciones de la base de datos y el recurso compartido SYSVOL. Las ubicaciones predeterminadas siempre están en la %systemroot% carpeta . Para una instalación local, puede seleccionar una ubicación para almacenar los archivos.
Opciones de preparación
En la captura de pantalla siguiente se muestra la página Opciones de preparación :
En esta página se le pide que proporcione las credenciales para ejecutar adprep.exe. El asistente muestra esta página cuando se cumplen las dos condiciones siguientes:
- No estás actualmente conectado con credenciales suficientes para ejecutar comandos
adprep.exe. - Para completar la instalación de AD DS, es necesario que se ejecute
adprep.exe.
La adprep.exe herramienta es necesaria para ejecutarse en las situaciones siguientes:
El
adprep /forestprepcomando debe ejecutarse para agregar el primer controlador de dominio que ejecuta Windows Server 2012 a un bosque existente. Para ejecutar este comando, debe ser miembro de los grupos Administradores de organización, Administradores de esquema y Admins. del dominio del dominio que hospeda el maestro de esquema. Para que este comando se ejecute correctamente, debe haber conectividad entre el equipo donde ejecute el comando y el maestro de esquema para el bosque.El
adprep /domainprepcomando debe ejecutarse para agregar el primer controlador de dominio que ejecuta Windows Server 2012 a un dominio existente. Este comando debe ejecutarse por un miembro del grupo Administradores de dominio del dominio donde se instala el controlador de dominio que ejecuta Windows Server. Para que este comando se ejecute correctamente, debe haber conectividad entre el equipo donde ejecute el comando y el maestro de infraestructura para el dominio.El
adprep /rodcprepcomando debe ejecutarse para agregar el primer RODC a un bosque existente. Este comando debe ejecutarse por un miembro del grupo Administradores de empresas. Para que este comando se ejecute correctamente, debe haber conectividad entre el equipo donde se ejecuta el comando y el maestro de infraestructura para cada partición de directorio de aplicación en el bosque.
Para obtener más información sobre adprep.exe, vea integración deAdprep.exe y Running Adprep.exe.
Revisar opciones
En la captura de pantalla siguiente se muestra la página Opciones de revisión :
Puede usar la página Opciones de revisión para validar la configuración y asegurarse de que cumplen sus requisitos antes de iniciar la instalación. Esta página no es la última oportunidad en el Administrador del servidor para detener la instalación. Puede usar esta página para revisar y confirmar la configuración antes de continuar con la configuración.
En esta página, también tiene la opción de usar el botón Ver script para crear un archivo de texto Unicode que contenga la configuración del módulo actual
ADDSDeploymentcomo un solo script de Windows PowerShell. Como resultado, puede usar la interfaz gráfica del Administrador del servidor como un estudio de implementación de Windows PowerShell:- Use el Asistente para configuración de Active Directory Domain Services para configurar las opciones.
- Exporte la configuración.
- Cancele el asistente.
Este proceso crea un ejemplo válido y sintácticamente correcto para realizar más modificaciones o la utilización directa.
Comprobación de requisitos previos
En la captura de pantalla siguiente se muestra la página Comprobación de requisitos previos :
En esta página se muestran posibles problemas detectados durante la comprobación de requisitos previos. Los resultados pueden enumerar advertencias, incluidas las siguientes:
Los controladores de dominio que ejecutan Windows Server tienen una configuración predeterminada, Permitir algoritmos de criptografía compatibles con Windows NT 4, que impide que los clientes que usen algoritmos de criptografía más débiles establezcan sesiones de canal seguras. Para más información sobre el posible impacto y para obtener una solución alternativa, consulte Deshabilitación de la opción AllowNT4Crypto en todos los controladores de dominio afectados.
No se puede crear ni actualizar una delegación DNS. Para obtener más información, vea Opciones de DNS.
Se produce un error en las llamadas de Instrumental de administración de Windows (WMI). La comprobación de requisitos previos requiere llamadas WMI. Si una llamada WMI es bloqueada por las reglas del firewall, puede fallar y devolver un error de servidor de llamada a procedimiento remoto (RPC) no disponible.
Para obtener más información sobre las comprobaciones de requisitos previos específicas que se realizan para la instalación de AD DS, consulte Pruebas de requisitos previos.
Resultados
En la captura de pantalla siguiente se muestra la página Resultados :
En esta página, se pueden revisar los resultados de la instalación.
También puede reiniciar el servidor de destino desde esta página una vez finalizado el asistente. Pero si la instalación se realiza correctamente, el servidor se reinicia independientemente de si selecciona esa opción.
En algunos casos, el servidor de destino no se puede reiniciar. Si el asistente finaliza en un servidor de destino que no está unido al dominio antes de la instalación, el estado del sistema del servidor de destino puede hacer que el servidor sea inaccesible en la red. El estado del sistema también puede impedir que tenga permisos para administrar el servidor remoto.
Si el servidor de destino no se reinicia en estos casos, debe reiniciarlo manualmente. No puede usar herramientas, como shutdown.exe o Windows PowerShell, para reiniciarla. Puede usar Servicios de Escritorio remoto para iniciar sesión y apagar de forma remota el servidor de destino.
Degradación de un controlador de dominio
En las secciones siguientes se describen las páginas que ve al usar el Asistente para configuración de Active Directory Domain Services para degradar un controlador de dominio.
Credenciales
En la captura de pantalla siguiente se muestra la página Credenciales que aparece al principio del proceso de degradación.
En esta página, configurará las opciones de degradación. Las credenciales siguientes son necesarias para realizar la degradación en varias situaciones:
La degradación de un controlador de dominio adicional requiere credenciales de Administrador de dominio. Si se selecciona la opción Forzar la eliminación del controlador de dominio, se degrada el controlador de dominio sin quitar los metadatos del objeto del controlador de dominio de Active Directory.
Importante
No seleccione la opción Forzar la eliminación de este controlador de dominio a menos que el controlador de dominio no pueda ponerse en contacto con otros controladores de dominio y no hay ninguna manera razonable de resolver ese problema de red. La degradación forzada deja metadatos huérfanos en Active Directory en los controladores de dominio restantes del bosque. Además, todos los cambios no replicados en ese controlador de dominio, como contraseñas o cuentas de usuario nuevas, se pierden para siempre. Los metadatos huérfanos son la causa principal en un porcentaje significativo de casos de soporte técnico de Microsoft para AD DS, Microsoft Exchange, SQL Server y otro software. Si degrada a la fuerza un controlador de dominio, debe realizar la limpieza manual de los metadatos en forma inmediata. Para obtener instrucciones, consulte Limpieza de metadatos del servidor.
La degradación del último controlador de dominio de un dominio requiere pertenencia del grupo de administradores de empresa, ya que esta acción elimina el propio dominio. Si el dominio es el último del bosque, esta acción también quita el bosque. El Administrador del servidor le informa si el controlador de dominio actual es el último controlador de dominio en el dominio. Seleccione Último controlador de dominio en el dominio para confirmar que el controlador de dominio es el último en el dominio.
Para obtener más información sobre cómo quitar AD DS, vea Quitar Active Directory Domain Services (nivel 100) y Degradación de controladores y dominios de dominio.
Advertencias
Cuando se usa el Administrador del servidor para degradar un controlador de dominio, el asistente muestra advertencias en determinados casos. Si el controlador de dominio también hospeda otros roles, como el servidor DNS o los roles de servidor de catálogo global, aparece la siguiente página Advertencias :
Para poder seleccionar Siguiente para continuar, debe seleccionar Continuar con la eliminación para confirmar que la degradación del controlador de dominio hace que esos roles no estén disponibles.
Si fuerza la eliminación de un controlador de dominio:
Los cambios de objetos de Active Directory que no se replican en otros controladores de dominio del dominio se pierden.
Se quitan todas las particiones del directorio de aplicaciones del controlador de dominio. Si el controlador de dominio contiene la última réplica de una o varias particiones de directorio de aplicación, esas particiones ya no existen cuando se completa la operación de eliminación.
Las operaciones críticas en el dominio y el bosque pueden verse afectadas de las siguientes maneras si el controlador de dominio hospeda determinados roles:
Rol Resultado de quitar el controlador de dominio Acción que se debe realizar antes de continuar Catálogo global Es posible que los usuarios tengan problemas para iniciar sesión en dominios del bosque. Asegúrese de que hay suficientes servidores de catálogo globales en el bosque y en el sitio para atender los inicios de sesión de usuario. Si es necesario, designe otro servidor de catálogo global y actualice clientes y aplicaciones con la nueva información. Servidor DNS Se pierden todos los datos DNS almacenados en zonas integradas en Active Directory. Después de quitar AD DS, el servidor DNS no puede realizar la resolución de nombres para las zonas DNS integradas en Active Directory. Actualice la configuración DNS de todos los equipos que hacen referencia actualmente a la dirección IP del servidor DNS para la resolución de nombres. Configúrelos con la dirección IP de un nuevo servidor DNS. Maestro de infraestructura Es posible que los clientes del dominio tengan dificultades para localizar objetos en otros dominios. Transfiera el rol maestro de infraestructura a un controlador de dominio que no sea un servidor de catálogo global. Id. relativo (RID) maestro Es posible que tenga problemas para crear cuentas de usuario, cuentas de equipo y grupos de seguridad. Transfiera el rol maestro RID a un controlador de dominio en el mismo dominio que el controlador de dominio que está siendo degradado. Emulador del controlador de dominio principal (PDC) Las operaciones realizadas por el emulador de PDC, como las actualizaciones de directivas de grupo y los restablecimientos de contraseña para cuentas que no son de AD DS, no funcionan correctamente. Transfiera el rol maestro del emulador de PDC a un controlador de dominio que se encuentra en el mismo dominio que el controlador de dominio que está degradando. Maestro de esquema Ya no puede modificar el esquema del bosque. Transfiera el rol maestro de esquema a un controlador de dominio en el dominio raíz del bosque. Maestro de nomenclatura de dominios Ya no puede agregar o quitar dominios del bosque. Transfiera el rol maestro de nomenclatura de dominios en el dominio raíz del bosque.
Antes de quitar un controlador de dominio que hospede los roles maestros de operaciones, intente transferir el rol a otro controlador de dominio.
Si no es posible transferir el rol, quite primero AD DS del equipo. A continuación, use el rol ntdsutil.exe en el controlador de dominio al que planea quitar el rol. Si es posible, use un asociado de replicación reciente en el mismo sitio que el controlador de dominio que está degradando. Para obtener más información sobre cómo transferir y apropiarse de los roles maestros de operaciones, consulte Transferencia o apropiación de roles maestros de operaciones en Active Directory Domain Services.
Si el asistente no puede determinar si el controlador de dominio hospeda un rol maestro de operaciones, ejecute el comando netdom.exe para determinar si el controlador de dominio desempeña algún rol maestro de operaciones.
Después de desinstalar AD DS del último controlador de dominio del dominio, el dominio ya no existe.
Opciones de eliminación
Si el controlador de dominio que se degrada es un servidor DNS designado para hospedar la zona DNS, usted verá la página siguiente. Proporciona la opción de quitar el servidor DNS de la delegación de zona DNS.
Para obtener más información sobre cómo quitar AD DS, vea Quitar Active Directory Domain Services (nivel 100) y Degradación de controladores y dominios de dominio.
Nueva contraseña de administrador
La página Nueva contraseña de administrador requiere que proporcione una contraseña para la cuenta de administrador del equipo local integrada. Esta contraseña se usa cuando se completa la degradación y el equipo se convierte en un servidor miembro del dominio o equipo de grupo de trabajo.
Para obtener más información sobre cómo quitar AD DS, vea Quitar Active Directory Domain Services (nivel 100) y Degradación de controladores y dominios de dominio.
Revisar opciones
En la captura de pantalla siguiente se muestra la página Opciones de revisión que ve al degradar un controlador de dominio:
Puede usar esta página para revisar las selecciones e iniciar la degradación.
Esta página también le proporciona la oportunidad de exportar las opciones de configuración para degradación a un script de Windows PowerShell para que pueda automatizar otras degradaciones.
Para degradar el servidor, seleccione Degradar.