Problema

En entornos de laboratorio o producción pequeña, es frecuente que el proceso de crear un nuevo controlador de dominio (DC) en Windows Server 2022 falle en algún punto: la promoción a Domain Controller no se completa, DNS no responde o la replicación de objetos no se refleja. El síntoma típico es la imposibilidad de iniciar sesión con credenciales del dominio o errores al consultar netdom query dc. La causa suele estar en una configuración previa incompleta (IP estática, nombre del equipo, permisos de administrador) o en pasos omitidos durante la instalación del rol AD DS y la configuración de DNS.

Causa

  1. Privilegios insuficientes – La cuenta que ejecuta la promoción debe ser local admin y estar en el grupo Domain Admins una vez creado el dominio.
  2. Dirección IP no estática – DHCP puede cambiar la IP después del reinicio, rompiendo la zona DNS del DC.
  3. Nombre del servidor no coincidente – Cambios de nombre sin reinicio previo pueden dejar referencias obsoletas en el registro de servicios.
  4. Instalación parcial del rol – Seleccionar solo “Active Directory Domain Services” sin “DNS Server” genera un DC sin resolución interna.
  5. Zonas DNS no creadas o no seguras – Falta la zona de búsqueda directa (forward lookup) y la zona inversa (reverse lookup) o la opción “Secure only” no está habilitada, lo que impide que los clientes registren sus registros.
  6. Configuración de cliente DNS – Los equipos deben apuntar al DC como servidor DNS primario; usar DNS externo (8.8.8.8) como único resolutor rompe la resolución interna.

Solución

Preparación del servidor

  1. Confirmar privilegios

    whoami /groups | findstr /i "S-1-5-32-544"

    El resultado debe contener el SID del grupo Administradores.

  2. Asignar IP estática

    • Configurar 192.168.199.100/24 en la interfaz de red.
    • Definir la puerta de enlace y los DNS: 192.168.199.100 (primario) y 8.8.8.8 (secundario).

  3. Renombrar el equipo

    Rename-Computer -NewName WIN22DC01 -Force
Restart-Computer

Instalación del rol AD DS y DNS

  1. Agregar roles mediante Server Manager o PowerShell:

    Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Install-WindowsFeature DNS -IncludeManagementTools

  2. Verificar que ambos roles estén instalados:

    Get-WindowsFeature AD-Domain-Services, DNS

Promoción a Domain Controller

  1. Ejecutar el asistente de promoción desde PowerShell:

    Install-ADDSForest `
  -DomainName "infosecpat.com" `
  -DomainNetbiosName "INFOPAT" `
  -ForestMode Win2016 `
  -DomainMode Win2016 `
  -InstallDNS:$true `
  -CreateDnsDelegation:$false `
  -DatabasePath "C:\Windows\NTDS" `
  -LogPath "C:\Windows\NTDS" `
  -SysvolPath "C:\Windows\SYSVOL" `
  -SafeModeAdministratorPassword (ConvertTo-SecureString "TuPasswordFuerte123!" -AsPlainText -Force) `
  -Force:$true

  2. El servidor se reinicia automáticamente. Tras el arranque, iniciar sesión con INFOPAT\Administrator.

Configuración DNS

  1. Crear zona directa (infosecpat.com) si no se generó automáticamente.

  2. Crear zona inversa para la subred 192.168.199.0/24:

    • Tipo: Primary, almacenada en Active Directory, solo servidores seguros.
    • Nombre de zona: 199.168.192.in-addr.arpa.

  3. Agregar registros A para el DC:

    Add-DnsServerResourceRecordA -Name "WIN22DC01" -IPv4Address "192.168.199.100" -ZoneName "infosecpat.com"

Validación de la instalación

  1. Comprobar pertenencia al dominio:

    whoami

    Debe devolver infosecpat\usuario.

  2. Consultar el rol de PDC:

    netdom query pdc

  3. Listar todos los DC:

    netdom query dc

  4. Verificar resolución DNS interna:

    nslookup WIN22DC01.infosecpat.com
nslookup 192.168.199.100

  5. Revisar la zona inversa con nslookup y confirmar que el registro PTR aparece.

Cuándo aplicar esta solución

  • Escenarios típicos: despliegue de un nuevo dominio en una red aislada, laboratorios de certificación, entornos de pruebas donde se requiere un DC único.
  • Síntomas: fallos al iniciar sesión con cuentas del dominio, nslookup devuelve “Server failed”, netdom query dc no lista el servidor.
  • Exclusiones: entornos con múltiples DC ya existentes, configuraciones de AD DS en modo “Read‑only” (RODC) o despliegues en Azure AD DS, donde la instalación local de DNS no es necesaria.

Código

# Verificar privilegios
whoami /groups | findstr /i "S-1-5-32-544"

# Renombrar y reiniciar
Rename-Computer -NewName WIN22DC01 -Force
Restart-Computer

# Instalar roles
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Install-WindowsFeature DNS -IncludeManagementTools

# Promover a DC
Install-ADDSForest `
  -DomainName "infosecpat.com" `
  -DomainNetbiosName "INFOPAT" `
  -ForestMode Win2016 `
  -DomainMode Win2016 `
  -InstallDNS:$true `
  -CreateDnsDelegation:$false `
  -DatabasePath "C:\Windows\NTDS" `
  -LogPath "C:\Windows\NTDS" `
  -SysvolPath "C:\Windows\SYSVOL" `
  -SafeModeAdministratorPassword (ConvertTo-SecureString "TuPasswordFuerte123!" -AsPlainText -Force) `
  -Force:$true

# Añadir registro A en DNS
Add-DnsServerResourceRecordA -Name "WIN22DC01" -IPv4Address "192.168.199.100" -ZoneName "infosecpat.com"

Verificación

  1. Iniciar sesión con una cuenta del dominio y ejecutar whoami.
  2. Ejecutar netdom query pdc y netdom query dc; ambos deben devolver WIN22DC01.infosecpat.com.
  3. Realizar nslookup tanto del nombre del DC como de su IP; la respuesta debe mostrar la dirección correcta y el PTR correspondiente.
  4. Abrir Active Directory Users and Computers y confirmar que el contenedor Domain Controllers contiene el nuevo servidor.
  5. En DNS Manager, revisar que la zona directa y la inversa tengan los registros esperados y que la opción “Secure only” esté activada.

Notas adicionales

  • Si la promoción falla con “The DNS server could not be contacted”, verifica que la interfaz de red tenga la IP estática y que el firewall permita tráfico DNS (puerto 53 UDP/TCP).
  • En entornos con varios NIC, deshabilite temporalmente los adaptadores que no forman parte de la subred del DC para evitar que el asistente elija la IP equivocada.
  • Después de la primera promoción, es buena práctica ejecutar repadmin /replsummary para confirmar que no hay errores de replicación, aunque con un solo DC el comando mostrará “No replication partners”.
  • Mantenga una copia de seguridad del SYSVOL (C:\Windows\SYSVOL) antes de aplicar cambios críticos en la política de grupo.
  • Cuando se use una zona inversa, recuerde que el nombre de la zona debe coincidir exactamente con la red; un error tipográfico (p. ej., 192.168.199 vs 199.168.192) impide que los registros PTR se creen automáticamente.