Problema

En entornos donde se promueven servidores a Domain Controllers (DC) y se usan como estaciones de trabajo para administradores, es frecuente encontrarse con el mensaje “The User Profile Service failed the logon” después del primer inicio de sesión exitoso. El primer acceso funciona, pero cualquier cierre de sesión o cambio de usuario deja la pantalla negra y el servicio de perfil no carga. El síntoma se repite tanto en DCs recién promocionados como en controladores restaurados de forma incorrecta. La falla impide que los administradores trabajen directamente en el DC y obliga a usar sesiones remotas, lo que complica la gestión de AD en escenarios de recuperación.

Causa

El error de User Profile Service en un DC suele ser el resultado de una combinación de factores de configuración y de estado del sistema:

  1. Permisos incorrectos en la carpeta %SystemRoot%\System32\config\systemprofile
    Cuando un DC se promociona, la cuenta SYSTEM necesita control total sobre la carpeta del perfil del sistema. Si la restauración o la migración copia ACLs heredadas de un servidor que no era DC, el servicio no puede crear o cargar el perfil.

  2. Perfil predeterminado dañado o ausente
    El DC intenta usar el perfil Default para crear el perfil del sistema. Un archivo ntuser.dat corrupto, o la falta del directorio C:\Users\Default, genera el mismo bloqueo.

  3. Política de grupo (GPO) que redirige perfiles o fuerza scripts de inicio
    GPOs que apuntan a rutas inexistentes o que ejecutan scripts con dependencias no satisfechas pueden interrumpir la carga del perfil después del primer inicio.

  4. Problemas de replicación del SYSVOL
    Si el DC no tiene una copia válida de SYSVOL al momento de la primera sesión, los scripts de inicio de sesión y los archivos de política pueden fallar, provocando que el servicio de perfil termine antes de completarse.

  5. Configuración de registro relacionada con ProfileList
    Entradas huérfanas o con SID duplicado bajo HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList impiden que Windows asocie el SID del usuario con una ruta válida.

  6. Servicios críticos deshabilitados o en estado “Start Pending”
    En una restauración apresurada, servicios como Netlogon, Kerberos Key Distribution Center (KDC) o DFS Replication pueden quedar en estado inconsistente, lo que corta la cadena de confianza necesaria para cargar el perfil.

En la práctica, la causa más recurrente en entornos recuperados es la combinación de permisos erróneos en la carpeta del perfil del sistema y una copia incompleta del perfil predeterminado. Los demás factores aparecen como agravantes.

Solución

La estrategia consiste en validar y corregir los elementos críticos antes de volver a promocionar o reutilizar el DC. Los pasos pueden aplicarse tanto a un DC recién creado como a uno restaurado.

1. Verificar y reparar los permisos de la carpeta del perfil del sistema

icacls "C:\Windows\System32\config\systemprofile" /reset /t /c
icacls "C:\Windows\System32\config\systemprofile" /grant "SYSTEM:(OI)(CI)F" /inheritance:e
  • /reset restaura los permisos predeterminados.
  • La segunda línea asegura que SYSTEM tenga control total y que la herencia esté habilitada.

2. Confirmar la existencia y la integridad del perfil Default

if not exist "C:\Users\Default\ntuser.dat" (
    echo "Perfil Default faltante, restaurando desde una instalación limpia..."
    robocopy "D:\Source\DefaultProfile" "C:\Users\Default" /mir /copyall
)

Utilizar una copia de un servidor limpio con la misma versión de Windows Server garantiza que los archivos esenciales (ntuser.dat, usrclass.dat, etc.) estén presentes y sin corrupción.

3. Limpiar entradas huérfanas en el registro

$profileList = 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList'
Get-ChildItem $profileList | ForEach-Object {
    $sid = $_.PSChildName
    $path = (Get-ItemProperty $_.PSPath).ProfileImagePath
    if (-not (Test-Path $path)) {
        Write-Host "Eliminando entrada huérfana: $sid"
        Remove-Item $_.PSPath -Recurse -Force
    }
}

Este script elimina claves cuyo ProfileImagePath apunta a una ruta inexistente, evitando conflictos al crear nuevos perfiles.

4. Revisar GPO que afecten perfiles

  • Abra gpmc.msc, filtre por GPO que contengan Folder Redirection o Logon Scripts.
  • Desactive temporalmente esas configuraciones en una OU de prueba y verifique si el login vuelve a funcionar.
  • Si la causa es una ruta de red inaccesible, corrija la ruta o replantee la redirección.

5. Forzar una replicación completa de SYSVOL y validar su contenido

dfsrdiag PollAD /Member:"%computername%"
repadmin /syncall /AdeP

Luego, compruebe que los scripts de inicio de sesión y los archivos de política están presentes en C:\Windows\SYSVOL\sysvol\<domain>\scripts y Policies.

6. Reiniciar servicios críticos y comprobar su estado

$services = @('Netlogon','KDC','DFS Replication','NTDS','User Profile Service')
foreach ($svc in $services) {
    Restart-Service $svc -Force -ErrorAction SilentlyContinue
    Get-Service $svc | Select-Object Name, Status
}

Asegúrese de que todos aparecen como Running. Si alguno queda en Start Pending, investigue dependencias y eventos del visor.

7. Probar el inicio de sesión local y de dominio

  1. Inicie sesión con una cuenta local de administrador para confirmar que el perfil del sistema carga.
  2. Cierre sesión y, sin reiniciar, intente con una cuenta de dominio.
  3. Si el segundo intento funciona, el problema estaba aislado a la cuenta de dominio; de lo contrario, continúe con los pasos siguientes.

8. Re‑promocionar el servidor (solo si los pasos anteriores fallan)

Si después de los ajustes el error persiste, despromocione el servidor:

Uninstall-ADDSDomainController -DemoteOperationMasterRole -Force -Credential (Get-Credential)

Limpie la carpeta C:\Windows\NTDS y los metadatos de AD, luego vuelva a ejecutar dcpromo o Install-ADDSDomainController con los parámetros habituales. Esta acción elimina configuraciones residuales que a veces quedan atrapadas en una promoción fallida.

Cuándo aplicar esta solución

  • Síntomas: primer login exitoso, posteriores cierres de sesión generan pantalla negra y el mensaje “The User Profile Service failed the logon”.
  • Entorno: DCs Windows Server 2022/2025, tanto recién promocionados como restaurados después de un desastre.
  • No aplicar: si el error ocurre exclusivamente en estaciones de trabajo que no son DC, ya que el origen suele ser distinto (por ejemplo, perfiles móviles corruptos).
  • Indicadores de que la solución es válida: después de corregir permisos y restaurar el perfil Default, los inicios de sesión sucesivos funcionan sin necesidad de reiniciar el servidor.

Código

icacls "C:\Windows\System32\config\systemprofile" /reset /t /c
icacls "C:\Windows\System32\config\systemprofile" /grant "SYSTEM:(OI)(CI)F" /inheritance:e

if not exist "C:\Users\Default\ntuser.dat" (
    robocopy "D:\Source\DefaultProfile" "C:\Users\Default" /mir /copyall
)

repadmin /syncall /AdeP
dfsrdiag PollAD /Member:"%computername%"

$services = @('Netlogon','KDC','DFS Replication','NTDS','User Profile Service')
foreach ($svc in $services) {
    Restart-Service $svc -Force -ErrorAction SilentlyContinue
}

Verificación

  1. Permisos: ejecute icacls C:\Windows\System32\config\systemprofile y confirme que SYSTEM:(F) aparece.
  2. Perfil Default: abra C:\Users\Default y verifique que ntuser.dat y usrclass.dat existen y su tamaño no es 0 KB.
  3. Registro: abra regedit, navegue a HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList y compruebe que cada SID tiene una ruta válida.
  4. Servicios: Get-Service debe listar los servicios críticos como Running.
  5. Login: inicie sesión con una cuenta de dominio, cierre sesión, vuelva a iniciar. Si la pantalla de carga del perfil avanza sin errores, la solución está confirmada.

Notas adicionales

  • En entornos con Hyper‑V y VMs que comparten disco, asegúrese de que cada DC tenga su propio VHDX; los discos compartidos pueden provocar conflictos de SID y de perfil.
  • Cuando se use EDR o software de seguridad, verifique que no esté bloqueando svchost.exe -k LocalSystemNetworkRestricted o los archivos del perfil Default.
  • Mantenga una copia de seguridad de la carpeta C:\Windows\System32\config\systemprofile antes de modificar ACLs; una restauración rápida evita problemas de arranque en caso de error.
  • Si la infraestructura incluye Read‑Only Domain Controllers (RODC), el problema de perfil suele ser idéntico, pero la solución de permisos también debe aplicarse al RODC.

Con estos pasos, la mayoría de los fallos de User Profile Service en controladores de dominio pueden diagnosticarse y resolverse sin necesidad de reinstalar todo el servidor. La clave está en validar permisos, asegurar la integridad del perfil Default y garantizar que la replicación de AD y SYSVOL esté saludable antes de confiar en el DC para sesiones interactivas.