Compartir a través de

Instalar una réplica del controlador de dominio de Windows Server 2012 en un dominio existente (nivel 200)

  • Artículo

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 y Windows Server 2012.

En este tema se describen los pasos necesarios para actualizar un bosque o dominio existente a Windows Server 2012, bien con el Administrador del servidor o con Windows PowerShell. Se describe cómo agregar controladores de dominio que ejecuten Windows Server 2012 a un dominio existente.

Flujo de trabajo de actualizaciones y réplicas

En el diagrama siguiente verás el proceso de configuración de Servicios de dominio de Active Directory cuando se ha instalado anteriormente el rol de AD DS y se ha iniciado el Asistente para configuración de Servicios de dominio de Active Directory con el Administrador del servidor para crear un nuevo controlador de dominio en un dominio existente.

Diagram that illustrates the Active Directory Domain Services configuration process when you previously installed the AD DS role.

Actualización y réplica con Windows PowerShell

Cmdlet de ADDSDeployment Argumentos (Los argumentos en negrita son necesarios. Los argumentos en cursiva se pueden especificar con Windows PowerShell o con el Asistente para configuración de AD DS).
Install-AddsDomainController -SkipPreChecks

-DomainName

-SafeModeAdministratorPassword

-SiteName

-ADPrepCredential

-ApplicationPartitionsToReplicate

-AllowDomainControllerReinstall

-Confirm

-CreateDNSDelegation

-Credential

-CriticalReplicationOnly

-DatabasePath

-DNSDelegationCredential

-Force

-InstallationMediaPath

-InstallDNS

-LogPath

-MoveInfrastructureOperationMasterRoleIfNecessary

-NoDnsOnNetwork

-NoGlobalCatalog

-Norebootoncompletion

-ReplicationSourceDC

-SkipAutoConfigureDNS

-SiteName

-SystemKey

-SYSVOLPath

-UseExistingAccount

-Whatif

Nota

El argumento -credential solo es necesario si no se ha iniciado sesión como un miembro de los grupos Administradores de empresas y Administradores de esquema (si se va a actualizar el bosque) o el grupo Administradores del dominio (si se va a agregar un nuevo DC a un dominio existente).

Implementación

Configuración de la implementación

Screenshot that shows the Deployment Configuration page.

El Administrador del servidor comienza la promoción de cada controlador de dominio con la página Configuración de implementación. Las opciones restantes y los campos requeridos cambian en esta página y en las páginas siguientes, según qué operación de implementación se seleccione.

Para actualizar un bosque existente o agregar un controlador de dominio que permita la escritura a un dominio existente, haz clic en Agregar un controlador de dominio a un dominio existente y después en Seleccionar para Especificar la información de dominio para este dominio. El Administrador del servidor solicita que escribas credenciales válidas si es necesario.

Para actualizar un bosque se necesitan credenciales, como la pertenencia a los grupos Administradores de empresas y Administradores de esquema en Windows Server 2012. El Asistente para configuración de Servicios de dominio de Active Directory le pedirá confirmación si las credenciales actuales no tienen los permisos o la pertenencia a grupos adecuados.

El proceso automático Adprep es la única diferencia entre agregar un controlador de dominio a un dominio existente de Windows Server 2012 o a un dominio donde los controladores de dominio ejecuten una versión anterior de Windows Server.

Los argumentos del cmdlet de ADDSDeployment de la página Configuración de la implementación son los siguientes:

Install-AddsDomainController
-domainname <string>
-credential <pscredential>

Screenshot that shows where you supply the credentials for deployment operation.

Screenshot that shows where to select a domain in the forest where the new domain controller will reside.

Determinadas pruebas se ejecutan en todas las páginas, y algunas de ellas se repiten posteriormente como comprobaciones de requisitos previos discretas. Por ejemplo, si el dominio seleccionado no cumple con los niveles funcionales mínimos, no será necesario completar todo el proceso de promoción hasta la comprobación de requisitos previos para saberlo:

Screenshot that highlights the message that states if the selected domain does not meet the minimal functional levels.

Opciones del controlador de dominio

Screenshot that shows the Domain Controller Options page.

La página Opciones del controlador de dominio especifica las funcionalidades del nuevo controlador de dominio. Las funcionalidades del controlador de dominio que se pueden configurar son Servidor DNS, Catálogo global y Controlador de dominio de solo lectura. Microsoft recomienda que todos los controladores de dominio proporcionen servicios de DNS y GC para alta disponibilidad en entornos distribuidos. GC siempre está seleccionado de forma predeterminada y el servidor DNS está seleccionado de forma predeterminada si el dominio actual ya hospeda un DNS en sus controladores de dominio según la consulta de Inicio de autoridad. La página Opciones del controlador de dominio también permite elegir el nombre de sitio lógico apropiado de Active Directory de la configuración del bosque. De forma predeterminada, selecciona el sitio con la subred más correcta. Si solo hay un sitio, lo seleccionará automáticamente.

Nota

Si el servidor no pertenece a una subred de Active Directory y hay más de un sitio de Active Directory, no se selecciona nada y el botón Siguiente no estará disponible hasta que elijas un sitio de la lista.

La Contraseña del modo de restauración de servicios de directorio debe cumplir la directiva de contraseñas aplicada al servidor. Siempre elija una contraseña segura y compleja o, preferentemente, una frase de contraseña.

Los argumentos de ADDSDeployment de Opciones del controlador de dominio son los siguientes:

-InstallDNS <{$false | $true}>
-NoGlobalCatalog <{$false | $true}>
-sitename <string>
-SafeModeAdministratorPassword <secure string>

Importante

El nombre del sitio ya debe existir cuando se proporciona como un argumento para -sitename. El cmdlet install-AddsDomainController no crea sitios nuevos. Puedes usar el cmdlet new-adreplicationsite para crear nuevos sitios.

La operación del argumento SafeModeAdministratorPassword es especial:

  • Si no se especifica como un argumento, el cmdlet le pide que escriba y confirme una contraseña enmascarada. Este es el uso preferido cuando se ejecuta el cmdlet en forma interactiva.

    Por ejemplo, para crear un controlador de dominio adicional en el dominio treyresearch.net y que el sistema pida especificar y confirmar una contraseña enmascarada:

    Install-ADDSDomainController "DomainName treyresearch.net "credential (get-credential)

  • Si se especifica con un valor, este debe ser una cadena segura. Este no es el uso preferido cuando se ejecuta el cmdlet en forma interactiva.

Por ejemplo, puedes solicitar una contraseña de forma manual con el cmdlet Read-Host para pedirle al usuario que escriba una cadena segura:

-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring)

Advertencia

Como la opción anterior no confirma la contraseña, tenga mucho cuidado: la contraseña no es visible.

También puedes proporcionar una cadena segura como una variable no cifrada convertida, pero te recomendamos encarecidamente que no lo hagas.

-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)

Por último, puedes almacenar la contraseña cifrada en un archivo y reutilizarla más adelante, sin que la contraseña aparezca descifrada en ningún momento. Por ejemplo:

$file = "c:\pw.txt"
$pw = read-host -prompt "Password:" -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file

-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)

Advertencia

No se recomienda proporcionar ni almacenar contraseñas no cifradas. Cualquier persona que ejecute este comando en un script o que mire sobre su hombro sabrá la contraseña de DSRM de ese controlador de dominio. Cualquier persona que tenga acceso al archivo podría invertir la contraseña cifrada. Si conocen la contraseña, pueden iniciar sesión en un controlador de dominio iniciado en DSRM y llegar a suplantar el controlador de dominio. Elevarían sus privilegios al nivel máximo en el bosque de Active Directory. Te recomendamos que uses un conjunto adicional de pasos con System.Security.Cryptography para cifrar los datos del archivo de texto, pero ese tema no se trata aquí. El procedimiento recomendado es no almacenar la contraseña en absoluto.

El cmdlet de ADDSDeployment ofrece una opción adicional para omitir la configuración automática de las opciones, los reenviadores y las sugerencias de raíz del cliente DNS. Al usar el Administrador del servidor, no se puede omitir esta opción de configuración. Este argumento solo es relevante si instalaste el rol del servidor DNS antes de configurar el controlador de dominio:

-SkipAutoConfigureDNS

En la página Opciones del controlador de dominio se advierte de que no se pueden crear controladores de dominio de solo lectura si los controladores de dominio existentes ejecutan Windows Server 2003. Este es el comportamiento esperado y se puede ignorar la advertencia.

Screenshot that highlights a warning that says that you can't create read only domain controllers if your existing domain controllers run Windows Server 2003.

Opciones de DNS y credenciales de delegación DNS

Screenshot that shows where you can specify the DNS delegation option.

En la página Opciones de DNS puedes configurar la delegación DNS si seleccionaste la opción Servidor DNS en la página Opciones del controlador de dominio y si apuntaste a una zona donde se permitían las delegaciones DNS. Puede que tengas que proporcionar credenciales alternativas de un usuario que sea miembro del grupo Administradores de DNS.

Los argumentos del cmdlet de ADDSDeployment Opciones de DNS son los siguientes:

-creatednsdelegation
-dnsdelegationcredential <pscredential>

Screenshot that shows the Windows Security dialog box for supplying credentials for the deployment operation.

Para obtener más información sobre si es necesario crear una delegación DNS, vea Descripción de la delegación de zonas.

Opciones adicionales

Screenshot that shows where you can find the configuration option to name a domain controller as the replication source.

En la página Opciones adicionales se encuentra la opción de configuración para asignar un nombre a un controlador de dominio como el origen de replicación, o bien se puede usar cualquier controlador de dominio como el origen de replicación.

También puede eligir instalar el controlador de dominio con medios con copia de seguridad mediante la opción Instalar desde medios (IFM). Una vez activada, la casilla Instalar desde el medio proporciona una opción de exploración y debes hacer clic en Comprobar para asegurarte de que la ruta proporcionada es un medio válido. Los medios usados por la opción IFM solo se crean con Copias de seguridad de Windows Server o Ntdsutil.exe a partir de otro equipo de Windows Server 2012 existente; no se puede usar Windows Server 2008 R2 o un sistema operativo anterior para crear los medios para un controlador de dominio de Windows Server 2012. Para obtener más información sobre los cambios en IFM, consulta Apéndice de administración simplificada. Si usas medios protegidos con SYSKEY, el Administrador del servidor pregunta la contraseña de la imagen durante la comprobación.

Screenshot that shows a terminal window during the installation of a domain controller.

Los argumentos del cmdlet ADDSDeployment correspondientes a las Opciones adicionales son:

-replicationsourcedc <string>
-installationmediapath <string>
-syskey <secure string>

Rutas de acceso

Screenshot that shows where you can override the default folder locations of the AD DS database, the database transaction logs, and the SYSVOL share.

La página Rutas de acceso permite reemplazar las ubicaciones de carpeta predeterminadas de la base de datos AD DS, los registros de transacciones de la base de datos y el recurso compartido SYSVOL. Las ubicaciones predeterminadas siempre están en subdirectorios de %systemroot%.

Los argumentos del cmdlet de ADDSDeployment Rutas de Active Directory son los siguientes:

-databasepath <string>
-logpath <string>
-sysvolpath <string>

Preparation Options

Screenshot that shows the Preparation Options page that alerts you that the AD DS configuration includes extending the Schema (forestprep) and updating the domain (domainprep).

La página Opciones de preparación te alerta de que la configuración de AD DS incluye la extensión del esquema (forestprep) y la actualización del dominio (domainprep). Esta página solo se muestra cuando el bosque y el dominio no se han preparado mediante una instalación anterior del controlador de dominio de Windows Server 2012 o mediante la ejecución manual de Adprep.exe. Por ejemplo, el Asistente para configuración de Active Directory Domain Services elimina esta página si se agrega un nuevo controlador de dominio a un dominio raíz del bosque de Windows Server 2012 existente.

Al hacer clic en Siguiente no se extiende el esquema ni se actualiza el dominio. Estos eventos solo se producen durante la fase de instalación. Esta página simplemente informa de los eventos que se producirán más adelante en la instalación.

Esta página también comprueba que las credenciales de usuario actuales pertenecen a los grupos Administradores de esquema o Administradores de organización, porque necesitas pertenecer a estos grupos para extender el esquema o preparar un dominio. Haz clic en Cambiar para proporcionar las credenciales de usuario adecuadas si la página te informa de que las credenciales actuales no proporcionan los permisos suficientes.

Screenshot that shows the Preparation Options page and highlights the Change button.

El argumento del cmdlet de ADDSDeployment correspondiente a las Opciones adicionales es:

-adprepcredential <pscredential>

Importante

Al igual que en versiones anteriores de Windows Server, la preparación automática de dominios para controladores de dominio que ejecuten Windows Server 2012 no ejecuta GPPREP. Ejecuta adprep.exe /gpprep manualmente para todos los dominios que Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2 no prepararon anteriormente. Ejecuta GPPrep solo una vez en el historial de un dominio, no con cada actualización. Adprep.exe no ejecuta /gpprep automáticamente porque podría hacer que todos los archivos y carpetas que hay en la carpeta SYSVOL se vuelvan a replicar en todos los controladores de dominio.

RODCPrep se ejecuta automáticamente cuando se promueve el primer RODC sin preconfigurar de un dominio. Esto no sucede cuando se promueve el primer controlador de dominio de Windows Server 2012 de escritura. Aun así, puedes ejecutar de forma manual adprep.exe /rodcprep si quieres implementar controladores de dominio de solo lectura.

Revisión de opciones y visualización del script

Screenshot that shows the Review Options page which enables you to validate your settings and ensure that they meet your requirements before you start the installation.

La página Revisar opciones permite validar la configuración y asegura que esta cumpla con los requisitos antes de comenzar con la instalación. Esta no es la última oportunidad para detener la instalación con el Administrador del servidor. Esta página simplemente permite revisar y confirmar la configuración antes de continuar con esta.

La página Revisar opciones del Administrador del servidor también ofrece un botón Ver script opcional para crear un archivo de texto Unicode que contiene la configuración ADDSDeployment actual como un script Windows PowerShell único. Esto le permite usar la interfaz gráfica del Administrador del servidor como un estudio de implementación de Windows PowerShell. Use el Asistente para configuración de Servicios de dominio de Active Directory para configurar las opciones, exportar la configuración y, a continuación, cancele el asistente. Este proceso crea un ejemplo válido y sintácticamente correcto para realizar más modificaciones o la utilización directa.

Por ejemplo:

#
# Windows PowerShell Script for AD DS Deployment
#
Import-Module ADDSDeployment
Install-ADDSDomainController `
-CreateDNSDelegation `
-Credential (Get-Credential) `
-CriticalReplicationOnly:$false `
-DatabasePath "C:\Windows\NTDS" `
-DomainName "root.fabrikam.com" `
-InstallDNS:$true `
-LogPath "C:\Windows\NTDS" `
-SiteName "Default-First-Site-Name" `
-SYSVOLPath "C:\Windows\SYSVOL"
-Force:$true

Nota

Normalmente, el Administrador del servidor rellena todos los argumentos con valores al realizar la promoción y no se basa en los valores predeterminados (dado que pueden cambiar entre las futuras versiones de Windows o los Service Pack). La excepción es el argumento -safemodeadministratorpassword. Para aplicar una pregunta de confirmación, pasa por alto el valor al ejecutar el cmdlet interactivamente.

Use el argumento opcional Whatif con el cmdlet Install-ADDSDomainController para revisar la información de la configuración. Esto te permite ver los valores explícitos e implícitos de los argumentos de un cmdlet.

Screenshot of a terminal window that shows using the optional Whatif argument with the Install-ADDSDomainController cmdlet.

Comprobación de requisitos previos

Screenshot that shows the Prerequisites Check page which is a new feature in AD DS domain configuration.

La Comprobación de requisitos previos es una característica nueva en la configuración de dominios de AD DS. Esta nueva fase comprueba si el dominio y el bosque admiten un nuevo controlador de dominio de Windows Server 2012.

Al instalar un nuevo controlador de dominio, el Asistente para configuración de Servicios de dominio de Active Directory del Administrador del servidor invoca diversas pruebas modulares en serie. Las pruebas te envían alertas con opciones de reparación sugeridas. Puedes ejecutar las pruebas tantas veces como sea necesario. El proceso del controlador de dominio no puede continuar hasta que se superen todas las pruebas de requisitos previos.

La Comprobación de requisitos previos también expone información relevante, como los cambios de seguridad que afectan a los sistemas operativos anteriores.

Para obtener más información sobre las comprobaciones específicas de requisitos previos, consulta Comprobación de requisitos previos.

No puedes omitir la Comprobación de requisitos previos al usar el Administrador del servidor, pero sí al utilizar el cmdlet de implementación de AD DS con el siguiente argumento:

-skipprechecks

Advertencia

Microsoft no recomienda omitir la comprobación de requisitos previos: omitirla puede hacer que los controladores de dominio se promuevan parcialmente o puede provocar daños en el bosque de AD DS.

Haz clic en Instalar para comenzar el proceso de promoción del controlador de dominio. Esta es la última oportunidad para cancelar la instalación. Una vez iniciado, el proceso de promoción no se puede cancelar. El equipo se reiniciará automáticamente cuando se complete la promoción, independientemente de los resultados de esta. En la página Comprobación de requisitos previos se muestran los problemas detectados durante el proceso y las instrucciones para solucionarlos.

Instalación

Screenshot that shows the Installation page.

Cuando se muestra la página Instalación, la configuración del controlador de dominio comienza y no se puede detener ni cancelar. Las operaciones detalladas se muestran en esta página y se escriben en los registros:

  • %systemroot%\debug\dcpromo.log

  • %systemroot%\debug\dcpromoui.log

  • %systemroot%\debug\adprep\logs

  • %systemroot%\debug\netsetup.log (si el servidor se encuentra en un grupo de trabajo)

Para instalar un nuevo bosque de Active Directory con el módulo ADDSDeployment, utiliza este cmdlet:

Install-addsdomaincontroller

Consulta los argumentos obligatorios y opcionales en Actualización y réplica con Windows PowerShell.

El cmdlet Install-AddsDomainController solo tiene dos fases (comprobación de requisitos previos e instalación). En las dos ilustraciones siguientes se muestra la fase de instalación con el número mínimo de argumentos necesarios para -domainname y -credential. Ten en cuenta que la operación de Adprep se produce automáticamente como parte del proceso de agregar el primer controlador de dominio de Windows Server 2012 a un bosque de Windows Server 2003 existente:

Screenshot of a terminal window that shows the installation phase with the minimum required arguments of -domainname and -credential.

Al igual que el Administrador del servidor, Install-ADDSDomainController recuerda que la promoción reiniciará automáticamente el servidor. Para aceptar el aviso de reinicio de forma automática, utiliza los argumentos -force o -confirm:$false con cualquier cmdlet de ADDSDeployment de Windows PowerShell. Para impedir que el servidor se reinicie automáticamente al finalizar la promoción, utiliza el argumento -norebootoncompletion.

Advertencia

No se recomienda invalidar el reinicio. El controlador de dominio debe reiniciarse para funcionar correctamente.

Screenshot of a terminal window that shows the domain controller reboot process.

Screenshot of a terminal window that shows the successful completion of the domain controller reboot process.

Para configurar un controlador de dominio de forma remota con Windows PowerShell, encapsula el cmdlet install-addsdomaincontrollerdentro del cmdlet invoke-command. Para ello es necesario usar llaves.

invoke-command {install-addsdomaincontroller "domainname <domain> -credential (get-credential)} -computername <dc name>

Por ejemplo:

Install a replica

Nota:

Para obtener más información sobre el funcionamiento de la instalación y el proceso ADPrep, consulta Solución de problemas de implementación de controladores de dominio.

Results

Screenshot of the Results page that includes the the success or failure message for the promotion and any important administrative information.

La página Resultados indica si la promoción se realizó correctamente o si se produjo algún error, junto con toda la información administrativa importante que corresponda. Si se completa correctamente, el controlador de dominio se reiniciará automáticamente en 10 segundos.

Al igual que en versiones anteriores de Windows Server, la preparación automática de dominios para controladores de dominio que ejecuten Windows Server 2012 no ejecuta GPPREP. Ejecuta adprep.exe /gpprep manualmente para todos los dominios que Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2 no prepararon anteriormente. Ejecuta GPPrep solo una vez en el historial de un dominio, no con cada actualización. Adprep.exe no ejecuta /gpprep automáticamente porque podría hacer que todos los archivos y carpetas que hay en la carpeta SYSVOL se vuelvan a replicar en todos los controladores de dominio.