Paso a paso: Cómo migrar tu Active Directory y controlador de dominio de Windows Server 2008 a 2016

¡Hola a todos los administradores de sistemas y entusiastas de la infraestructura! Hoy nos embarcamos en una misión crucial que muchos de ustedes tienen en mente: la migración de Active Directory y vuestros controladores de dominio desde el veterano Windows Server 2008 hacia la plataforma más robusta y segura de Windows Server 2016. Si sientes que es el momento de modernizar tu infraestructura, mejorar la seguridad y aprovechar nuevas características, has llegado al lugar correcto. Esta guía detallada, paso a paso, te acompañará en cada etapa de este proceso vital.

Es un hecho que Windows Server 2008 ha llegado al final de su ciclo de vida de soporte extendido hace ya tiempo. Esto significa que ya no recibe actualizaciones de seguridad, poniéndonos en una situación vulnerable ante nuevas amenazas cibernéticas. Mantener un entorno desactualizado es como dejar la puerta de tu casa abierta en una zona concurrida; simplemente no es una opción viable en el panorama actual. Además, Server 2016 ofrece mejoras significativas en seguridad, rendimiento y nuevas funcionalidades que optimizarán tu gestión de identidades y recursos.

1. ⚠️ Planificación Exhaustiva y Preparativos Iniciales: La Base del Éxito

Antes de siquiera pensar en encender un nuevo servidor, la planificación es tu mejor aliada. Un buen plan minimiza los riesgos y asegura una transición fluida. No subestimes esta etapa.

1.1. Evaluación del Entorno Actual:

• Inventario Completo: Documenta todos tus controladores de dominio (DCs) de Server 2008. Anota sus nombres, direcciones IP, roles y servicios asociados (DNS, DHCP).
• Roles FSMO: Identifica qué DC posee cada uno de los cinco roles FSMO (Flexible Single Master Operations). Puedes usar el comando netdom query fsmo en cualquier DC para obtener esta información.
• Requisitos de Hardware: Asegúrate de que el hardware o las máquinas virtuales para tus nuevos DCs de Server 2016 cumplan con los requisitos mínimos de sistema de Microsoft, preferiblemente con margen para el crecimiento.

1.2. Copias de Seguridad y Salud del Directorio:

• Copia de Seguridad Completa: Realiza una copia de seguridad del estado del sistema (System State) de todos los controladores de dominio existentes. ¡Esto es innegociable! Guardar estas copias en un lugar seguro es crucial en caso de que necesites revertir cambios.
• Verificación de la Salud de AD: Ejecuta dcdiag /q en cada DC para identificar problemas de configuración o conectividad. Resuelve cualquier error antes de proceder.
• Estado de Replicación: Utiliza repadmin /showrepl para confirmar que la replicación de Active Directory está funcionando correctamente entre todos los DCs. Una replicación saludable es fundamental.

1.3. Preparación de la Red:

• DNS: Asegúrate de que todos los DCs tengan configurado como servidor DNS primario su propia dirección IP (si es Global Catalog) o la de otro DC cercano. Verifica la resolución de nombres.
• Direcciones IP: Planifica las direcciones IP de tus nuevos servidores 2016. Deberían ser estáticas y estar en la misma subred que los DCs actuales (o con rutas apropiadas).

2. 🔧 Preparando el Escenario: Instalación del Nuevo Servidor 2016

Una vez que los preparativos estén en orden, es hora de dar vida a tu futuro controlador de dominio.

2.1. Instalación de Windows Server 2016:

• Instala una copia limpia de Windows Server 2016 en tu nuevo hardware o máquina virtual. Opta por la versión de „Experiencia de Escritorio” si prefieres GUI, o „Server Core” si buscas ligereza y eficiencia.
• Configura un nombre de equipo apropiado y una dirección IP estática.
• Asegúrate de que el servidor apunte a uno de tus DCs de Server 2008 como su servidor DNS primario. Esto es vital para que pueda localizar el dominio y unirse a él más tarde.

3. ⬆️ Ampliando el Esquema de Active Directory (Schema Extension)

Para que Windows Server 2016 pueda funcionar como controlador de dominio, el esquema de Active Directory debe actualizarse. Esto agrega nuevos objetos y atributos que Server 2016 necesita.

3.1. Ejecutar ADPREP:

• Inserta el medio de instalación de Windows Server 2016 en tu nuevo servidor 2016 o móntalo como ISO.
• Desde el nuevo servidor 2016, abre una consola de comandos con permisos de administrador.
• Navega a la carpeta supportadprep del medio de instalación de Server 2016.
• Primero, extiende el esquema del bosque. Ejecuta: adprep /forestprep.
  ⚠️ Este comando solo necesita ejecutarse una vez por bosque. Asegúrate de ejecutarlo en el DC que contiene el rol de Maestro de Esquema. Si no estás seguro, puedes ejecutarlo desde el nuevo Server 2016 y él buscará al Maestro de Esquema.
• Luego, prepara el dominio. Ejecuta: adprep /domainprep.
  ⚠️ Este comando debe ejecutarse una vez por dominio.

Verifica que ambos comandos se ejecuten sin errores. Esto puede llevar un tiempo, ya que los cambios deben replicarse por todo el bosque.

4. ➕ Promoviendo el Nuevo Servidor 2016 a Controlador de Dominio

Ahora es el momento de que el nuevo servidor se una a la fiesta de Active Directory.

4.1. Instalación del Rol AD DS:

• En tu nuevo Windows Server 2016, abre el Administrador del Servidor.
• Haz clic en „Administrar” > „Agregar roles y características”.
• Selecciona „Instalación basada en roles o características”.
• Elige el servidor local y marca la casilla „Servicios de dominio de Active Directory” (AD DS). Acepta las características adicionales.
• Continúa el asistente hasta completar la instalación del rol.

4.2. Promover a Controlador de Dominio:

• Una vez instalado el rol, verás una notificación en el Administrador del Servidor. Haz clic en „Promover este servidor a controlador de dominio”.
• En el asistente de Configuración de Servicios de Dominio de Active Directory:
  • Elige „Agregar un controlador de dominio a un dominio existente”.
  • Introduce el nombre de tu dominio y tus credenciales de administrador de dominio.
  • En las Opciones de Controlador de Dominio, asegúrate de que esté marcado „Servidor de Sistema de Nombres de Dominio (DNS)” y „Catálogo Global (GC)”. Selecciona un sitio (si aplicable).
  • Establece una contraseña de Modo de Restauración de Servicios de Directorio (DSRM) segura.
  • Confirma las rutas de las bases de datos de AD y los archivos de registro.
  • Revisa la configuración y haz clic en „Siguiente” para iniciar la promoción.
• El servidor se reiniciará una vez completada la promoción.

5. 👀 Verificación Post-Promoción y Salud del Sistema

¡No des nada por sentado! Es crucial verificar que todo funciona como se espera.

5.1. Comprobaciones Esenciales:

• Inicia Sesión: Después del reinicio, inicia sesión con una cuenta de dominio para confirmar que el nuevo DC está autenticando correctamente.
• Salud de AD: Vuelve a ejecutar dcdiag /q y repadmin /showrepl en el nuevo DC y en los DCs antiguos. Todos deben mostrarse saludables y replicando sin problemas.

„La fase de verificación es, sin duda, la más crítica del proceso. Un pequeño fallo aquí, si se ignora, puede escalar a problemas catastróficos más adelante. Tómate tu tiempo, revisa cada log, cada replicación y cada servicio. ¡La paciencia es una virtud en la administración de sistemas!”

Asegúrate de que el DNS esté funcionando correctamente. Intenta resolver nombres internos y externos desde el nuevo servidor. Verifica que los registros SRV de Active Directory se hayan creado correctamente en el DNS.

6. 🔄 Transferencia de Roles FSMO: Cediendo el Mando

Con el nuevo controlador de dominio de Server 2016 funcionando a la perfección, es hora de transferirle los roles FSMO para consolidar su importancia y preparar la eventual retirada de los DCs antiguos.

6.1. Métodos de Transferencia:

• Mediante GUI (recomendado para la mayoría de los roles):
  • Maestro de Esquema y Maestro de Nomenclatura de Dominio: Usa „Esquema de Active Directory” (regsvr32 schmmgmt.dll) y „Dominios y Confianzas de Active Directory”.
  • Maestro de RID, Emulador PDC y Maestro de Infraestructura: Usa „Usuarios y Equipos de Active Directory”.

  En cada herramienta, haz clic derecho sobre el nodo principal, selecciona „Cambiar controlador de dominio…” y conéctate al nuevo Server 2016. Luego, vuelve a hacer clic derecho y elige „Maestro de operaciones…” o „Cambiar maestro de operaciones…” para transferir el rol.

• Mediante NTDSUTIL (para expertos o scripts):
  • Abre un Símbolo del sistema con privilegios elevados en el nuevo Server 2016.
  • Escribe ntdsutil y presiona Enter.
  • Escribe roles y presiona Enter.
  • Escribe connections y presiona Enter.
  • Escribe connect to server <nombre_del_nuevo_DC_2016> y presiona Enter.
  • Escribe quit y presiona Enter.
  • Para cada rol, ejecuta el comando correspondiente:
    • transfer schema master
    • transfer naming master
    • transfer rid master
    • transfer pdc
    • transfer infrastructure master
  • Confirma cada transferencia y luego escribe quit dos veces para salir.

Verifica que todos los roles se hayan transferido correctamente ejecutando netdom query fsmo en el nuevo DC. Todos los roles deberían apuntar ahora al Windows Server 2016.

7. 🗑️ Retirando al Veterano: Democión del Controlador de Dominio de Server 2008

Con Server 2016 en pleno funcionamiento y los roles FSMO en su poder, es hora de despedirnos de los antiguos DCs de Server 2008.

7.1. Pasos de Democión:

• En el Windows Server 2008 que deseas demotar, abre el Administrador del Servidor.
• Haz clic en „Roles” > „Servicios de Dominio de Active Directory”.
• Haz clic en „Quitar roles”. Esto iniciará el asistente para quitar roles.
• Sigue las instrucciones del asistente. Se te pedirá que confirmes la democión y que proporciones credenciales de administrador de dominio.
• Se te solicitará establecer una nueva contraseña de administrador local si el servidor ya no será un miembro de dominio.
• El servidor se reiniciará y se habrá demotado de su rol de controlador de dominio.

7.2. Limpieza de Metadatos (si es necesario):

En casos excepcionales donde la democión falla, es posible que debas realizar una limpieza de metadatos de forma manual desde otro DC operativo de Server 2016 utilizando ntdsutil. Esto asegura que el antiguo DC no figure como un DC activo en Active Directory.

8. ✨ Tareas Post-Migración y Optimización

La migración básica ha concluido, pero aún quedan algunos cabos sueltos que atar.

• Ajustes de DNS/DHCP: Actualiza cualquier configuración de DHCP para que apunte a los nuevos DCs de Server 2016 como servidores DNS preferidos. Revisa las configuraciones de DNS en toda tu red.
• Políticas de Grupo (GPOs): Asegúrate de que todas tus GPOs se repliquen correctamente y se apliquen desde los nuevos DCs. Realiza pruebas en equipos cliente.
• Aplicaciones y Servicios: Verifica que todas las aplicaciones y servicios que dependían de los antiguos DCs (por ejemplo, LDAP, Kerberos) funcionen correctamente con los nuevos DCs de Server 2016.
• Eliminación de Objetos Obsoletos: Asegúrate de eliminar cualquier objeto de servidor obsoleto de Active Directory Sites and Services.
• Actualización del Nivel Funcional: Considera elevar el nivel funcional del dominio y del bosque a Windows Server 2016 una vez que todos los DCs de Server 2008 hayan sido retirados y estés seguro de la estabilidad del entorno. Esto desbloqueará nuevas características de AD.

9. 💡 Reflexiones Finales: Un Futuro Más Seguro y Eficiente

Has completado una migración de Active Directory importante, moviendo tu infraestructura de identidad a una plataforma más moderna y segura. Esto no es solo una actualización técnica; es una inversión en la resiliencia y la seguridad de tu organización. Mantener servidores obsoletos como Windows Server 2008 es un riesgo innecesario, expuesto a vulnerabilidades no parcheadas que pueden comprometer toda tu red.

Personalmente, creo que la modernización de la infraestructura, especialmente en lo que respecta a Active Directory, no es un lujo, sino una necesidad imperante. Los datos demuestran que una parte significativa de las brechas de seguridad se originan en sistemas desactualizados y sin soporte. Windows Server 2016, aunque ya no es el más reciente, ofrece una plataforma significativamente mejorada en términos de seguridad con características como Device Guard y Credential Guard, y un rendimiento optimizado que beneficiará a tus usuarios y aplicaciones. Además, te posiciona mucho mejor para futuras transiciones, como hacia Windows Server 2019 o incluso la integración con Azure AD.

Felicidades por haber dado este paso. Tu red es ahora más fuerte, más rápida y mucho más segura. ¡Sigue explorando las nuevas posibilidades que te ofrece Windows Server 2016!