Cómo promover un servidor a controlador de dominio en Windows Server: guía completa y actualizada

Si gestionas una red basada en Windows Server, seguro que has oído hablar de Directori Activo y la importancia capital de los controladores de dominio para mantener la infraestructura segura, estable y altamente disponible. En entornos empresariales, garantizar la redundancia y la tolerancia a fallos es clave, y para ello, añadir controladores de dominio adicionales se convierte en una de las mejores prácticas recomendadas.

La promoción de un servidor a controlador de dominio es un proceso muy relevante, no sólo cuando se crea el primer dominio, sino también para reforzarlo con nuevos servidores. Ya sea por crecimiento, seguridad, balanceo de carga o alta disponibilidad, tener claro cómo desempeñar esta tarea correctamente puede ahorrarte muchos problemas. En este artículo vamos a explicarte con todo lujo de detalles cómo realizar este proceso sobre Windows Server (2016, 2019 y versiones más recientes), integrando recomendaciones, pasos y trucos que aseguran el éxito y minimizan los riesgos.

¿Por qué promover un servidor a controlador de dominio?

El controlador de dominio (Domain Controller o DC) es el pilar organizativo de Active Directory. Es el encargado de autenticar usuarios, gestionar permisos, almacenar información crítica sobre la red y garantizar la continuidad operativa. Por eso, limitarse a uno solo supone un punto único de fallo.

• Redundancia: Añadir (o promover) más DCs garantiza que si uno falla, otro asuma sus tareas.
• Balanceo de carga: Las peticiones de inicio de sesión y autenticación se distribuyen.
• Recuperación de desastres: Un segundo DC facilita la reconstrucción del dominio tras fallos.
• Disponibilidad geográfica: Puedes tener DCs en diferentes ubicaciones físicas.

Por todo esto, la mayoría de expertos recomiendan tener al menos dos controladores de dominio en cualquier entorno productivo, independientemente del tamaño de la organización.

Consideraciones previas y requisitos imprescindibles

Antes de lanzarte a añadir un nuevo DC, hay varios factores que no debes pasar por alto y que garantizarán que todo el proceso funcione sin problemas:

• IP estática: Asigna siempre una IP fija al servidor que vas a promover. Así evitarás que los equipos pierdan el rastro del controlador si cambia la dirección.
• Configuración de DNS: El servidor debe tener como DNS principal o preferido la IP de un DC existente en el dominio. Si va a ser el primer DC, el propio.
• Nombre del servidor: Usa una nomenclatura clara, descriptiva y refrendada por políticas de tu organización.
• Actualizaciones de seguridad: Instala los últimos parches antes de cualquier cambio de rol crítico.
• Cuenta administrativa: Necesitas una cuenta con privilegios suficientes en el dominio para completar la promoción.

No descuides la hora del sistema: la sincronización horaria es crítica en Active Directory. Asegúrate de que todos los servidores estén correctamente sincronizados para evitar problemas de autenticación y replicación.

Instalación del rol de Servicios de Dominio de Active Directory (AD DS)

Antes de poder promover un servidor a DC, necesitas agregar el rol de Servicios de Dominio de Active Directory al servidor en cuestión. Esta instalación es sencilla usando el Server Manager:las ediciones de Windows Server incluyen esta función y otras adicionales necesarias para el buen funcionamiento de este rol.

1. Accede al servidor de Windows Server que deseas añadir.
2. Inicia sesión con una cuenta que tenga permisos de administrador.
3. Abre Administrador del Servidor y busca la opción Añadir roles y características en el resumen de roles.
4. Pasa la pantalla informativa inicial y selecciona instalación basada en roles o en características.
5. Escoge el servidor de destino (¡verifica que sea el correcto!).
6. Selecciona el rol Servicios de Dominio de Active Directory (AD DS).
7. El instalador también te sugerirá algunas funciones adicionales necesarias para el buen funcionamiento de este rol (como Gestión de directivas de grupo). Acéptalas y sigue adelante.
8. Confirma la selección y, si lo consideras conveniente, activa la opción de Reiniciar automáticamente el servidor tras la instalación si es necesario.
9. Haz clic en Instalar y espera a que el proceso finalice.

Cuando termine la instalación, cierra la ventana. Ya tienes listo el servidor para ser promovido a controlador de dominio. Para ampliar tus conocimientos, también puedes consultar cómo unir un equipo a un dominio Windows para gestionar más eficientemente tus recursos.

Promoción del servidor a controlador de dominio principal o adicional

Llega el momento crucial: convertir tu servidor en un DC. Dependiendo de si vas a crear un nuevo bosque/dominio o simplemente añadir un DC de respaldo a un dominio ya existente, habrá pequeñas diferencias en las opciones, pero el proceso base es el mismo.

Promocionar el primer controlador de dominio

Si aún no tienes ningún DC en el dominio, la configuración inicial es similar a la de otros sistemas, pero es importante seguir cada paso cuidadosamente. Puedes consultar detalles en nuestro artículo sobre problemas con los servicios de dominio si encuentras dificultades en la creación inicial.

1. Haz clic en la notificación que aparece en Server Manager tras instalar el rol AD DS (junto al menú Gestionar).
2. Selecciona Promover el servidor a un controlador de dominio.
3. Elige la opción Agregar un nuevo bosque y escribe el nombre de dominio raíz, asegurándote que sigue las prácticas de nomenclatura estandarizadas (por ejemplo, empresa.local).
4. Escoge el nivel funcional del bosque y del dominio. Es recomendable mantenerlos lo más actualizados posible para aprovechar las funciones de seguridad más modernas.
5. El asistente marca por defecto las opciones para que el servidor sea DNS y Catálogo Global (GC). Si es el primer DC, ambas deben estar activadas.
6. Define la Contraseña de Modo de Restauración de Servicios de Directorio (DSRM). Memorízala o guárdala de forma segura; es clave para tareas de recuperación.
7. Nombre de NetBIOS: Introduce el nombre corto del dominio. Por lo general, es el nombre del dominio raíz sin sufijos.
8. El asistente puede advertirte que no se ha podido crear una delegación DNS (algo habitual en nuevas implementaciones o cuando el DNS está en el mismo DC). Este aviso puede ignorarse.
9. Elije la carpeta donde se almacenarán la base de datos, los archivos de registro y SYSVOL. Lo más común es mantener las rutas predeterminadas.
10. Revisa todas las opciones. Si todo está correcto, permite que el asistente haga una verificación de prerrequisitos y, al aprobarla, haz clic en Instalar.

Al finalizar, el servidor se reiniciará automáticamente y ya tendrás tu primer DC operativo.

Añadir un controlador de dominio a un dominio existente

Para balanceo de carga, redundancia o crecimiento organizativo, puedes añadir servidores adicionales como controladores de dominio al dominio ya existente. El proceso es muy similar, pero con matices. Para ello, es recomendable consultar cómo unir un equipo a un dominio en Windows si aún no está unido correctamente.

1. Verifica que el servidor está unido al dominio existente (si no, únete desde las propiedades del sistema y reinicia el equipo).
2. Haz login usando credenciales de administrador del dominio (puedes emplear el usuario en formato DOMINIO\usuario o usuario@dominio.com).
3. Tras instalar el rol AD DS (como hemos detallado antes), accede a la notificación de Server Manager y selecciona Promover el servidor a controlador de dominio.
4. En la página del asistente, selecciona Añadir un controlador de dominio a un dominio existente e introduce el nombre de dominio objetivo.
5. Confirma el usuario con privilegios suficientes (puedes cambiarlo si estás usando otra sesión).
6. En Opciones del controlador de dominio, deja activas las opciones de servidor DNS y Catálogo Global (GC) salvo necesidades concretas.
7. Selecciona el sitio en el que se ubicará el DC, si tienes varios definidos en Active Directory Sites and Services.
8. Introduce la contraseña de DSRM (puede coincidir con la de administrador, pero se recomienda que sea robusta y bien guardada).
9. El asistente puede advertirte sobre la imposibilidad de crear una delegación DNS; en la inmensa mayoría de los casos, esto es prescindible y se puede ignorar.
10. En Opciones adicionales, elige desde qué DC existente quieres que se realice la replicación inicial (si tienes más de uno). Si no tienes un ancho de banda suficiente entre sedes, existe la opción de instalar desde medios (IFM), aunque normalmente se replica por red.
11. Indica la ubicación de datos, log y SYSVOL, normalmente predeterminadas.
12. Revisa todas las opciones y permite que Active Directory verifique los prerrequisitos.
13. Haz clic en Instalar y espera a que termine el proceso. Se mostrará una barra de progreso y, al terminar, el servidor se reiniciará automáticamente.

Una vez haya arrancado y te conectes de nuevo, el nuevo DC estará operativo y, tras replicar con el resto, asumirá plenamente sus funciones de autenticación, replicación y soporte de la red.

Comprobaciones posteriores a la promoción

Si bien el asistente realiza muchas validaciones automáticas, es importante realizar algunas comprobaciones tras el primer arranque:

• Estado de replicación: Abre una consola de comandos y ejecuta dcdiag /v para comprobar la salud del DC.
• Revisa los eventos: El Visor de Eventos ofrece información detallada de cualquier incidencia.
• DNS: Verifica que los servicios de DNS están funcionando correctamente y que NO existen errores de delegación relevantes.
• Ajusta la configuración de red: En cada DC, establece como DNS preferido el otro DC y como DNS alternativo, él mismo. Esto optimiza la resolución y la disponibilidad.

Así se garantiza que, ante una caída de cualquier DC, la red siga funcionando sin problemas de autenticación o resolución de nombres. En casos donde los servicios DNS puedan presentar dificultades, un análisis con recursos como herramientas NirSoft puede ser de utilidad para verificar la configuración y estado del DNS.

Solución de problemas comunes

Aunque el proceso suele ser directo, a veces pueden surgir inconvenientes:

• Niveles funcionales incorrectos: Si el asistente te muestra versiones previas o incoherentes (por ejemplo, «Windows Server Technical Preview» en lugar de la versión actual), actualiza el sistema con la última actualización acumulativa desde Windows Update antes de promover el servidor.
• Errores de delegación DNS: Esta advertencia es común y, salvo casos muy específicos de topologías complejas, suele ser inofensiva.
• Problemas de replicación: Si tras la instalación los cambios no se replican, revisa la conectividad entre DCs y que los puertos requeridos estén abiertos. Para solucionar estos problemas, también puedes consultar nuestra guía sobre cómo abrir puertos en Active Directory.

Buenas prácticas para entornos robustos y seguros

Para sacar el máximo partido a tu infraestructura AD y evitar dolores de cabeza inesperados, sigue estas recomendaciones:

• Actualiza siempre los sistemas justo antes de cualquier proceso de promoción o instalación de roles críticos.
• Evita hacer pruebas sobre entornos productivos: usa laboratorios o máquinas virtuales siempre que sea posible.
• Documenta todos los cambios y guarda las contraseñas de DSRM en lugares seguros.
• Monitoriza la replicación periódicamente, sobretodo tras la incorporación de nuevos DCs.
• Planifica la ubicación física de los controladores (diferentes CPDs, sitios, etc.) para obtener mayor resiliencia.
• Realiza copias de seguridad periódicamente, incluyendo el estado del sistema, para recuperar AD en caso de desastre.

Dominar el proceso de promoción de servidores a controladores de dominio es fundamental para administrar una red Windows de forma profesional. Siguiendo los pasos y recomendaciones descritos en este artículo, conseguirás una infraestructura sólida, segura y preparada para cualquier imprevisto. Al mantener varios DCs, no sólo incrementas la seguridad y disponibilidad de tus servicios, sino que también contribuyes al buen funcionamiento y crecimiento de tu organización. Además, poner en práctica verificaciones y buenas prácticas complementa y refuerza todo el trabajo previo, minimizando riesgos tanto presentes como futuros.

Artículo relacionado:

Los servicios de dominio de Active Directory no están disponibles [REVISIÓN COMPLETA]

Isaac

Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.