Saltar a contenido

4. AD DS: Promoción a DC y DNS (AWS)

Objetivo: instalar AD DS + DNS y promover el servidor a Controlador de Dominio (DC) creando un bosque nuevo de laboratorio (corp.local).

Prerrequisitos (AWS)

  • EC2 Windows Server 2022/2019. SG con RDP 3389 solo desde IP del aula.
  • Hostname estable (ej.: SRV-AD-01). Disco EBS ≥ 60 GB.
  • Hora: Amazon Time Sync 169.254.169.123.
  • Usuario con privilegios de administrador local.

1) Instalación con GUI (Server Manager)

  1. Server Manager → Add roles and features → Role-based.
  2. Roles → marca “Active Directory Domain Services” y “DNS Server”.
  3. Include management tools → Next → Install.
  4. Espera a la notificación “Promote this server to a domain controller”.

2) Promoción a DC (bosque nuevo)

  1. Promote this server to a domain controller.
  2. Deployment Configuration → Add a new forest → Root domain name: corp.local.
  3. Domain Controller Options → marca DNS y GC. Establece contraseña DSRM.
  4. DNS Options → ignora advertencia de delegación.
  5. Paths (NTDS, SYSVOL) → mantén por defecto.
  6. Review → Install (se reiniciará al finalizar).

Alternativa con PowerShell

Instalar roles:

Install-WindowsFeature AD-Domain-Services, DNS -IncludeManagementTools

Promoción a DC creando bosque:

$secure = Read-Host -AsSecureString 'DSRM Password'
Install-ADDSForest `
  -DomainName 'corp.local' `
  -DomainNetbiosName 'CORP' `
  -CreateDnsDelegation:$false `
  -InstallDns:$true `
  -DatabasePath 'C:\\Windows\\NTDS' `
  -LogPath 'C:\\Windows\\NTDS' `
  -SysvolPath 'C:\\Windows\\SYSVOL' `
  -SafeModeAdministratorPassword $secure `
  -Force:$true

3) Tareas posteriores

  • NTP (recomendado):
w32tm /config /manualpeerlist:"169.254.169.123" /syncfromflags:manual /update
w32tm /resync
  • Comprobar que la NIC usa el propio DC como DNS preferido (127.0.0.1 o IP privada del DC).
  • Configurar SG y etiquetas (Project, Owner) si procede.

4) Verificación detallada

Comandos:

Get-WindowsFeature AD-Domain-Services, DNS
Get-Service DNS,NTDS
Get-ADForest | Format-List *
Get-ADDomain | Format-List *
dcdiag /v | Out-Host
repadmin /replsummary

Consolas MMC: - Active Directory Users and Computers (ADUC). - DNS Manager (zonas corp.local y _msdcs.corp.local con SRV). - Active Directory Sites and Services.

Prueba rápida de DNS:

Resolve-DnsName _ldap._tcp.dc._msdcs.corp.local
Resolve-DnsName dc1.corp.local -Server 127.0.0.1

5) Problemas frecuentes (Troubleshooting)

  • DNS no resuelve tras la promoción
  • Verifica DNS preferido de la NIC (127.0.0.1/IP del DC).
  • Reinicia el servicio: Restart-Service DNS.
  • Comprueba zonas y SRV en DNS Manager.
  • Errores de tiempo/Kerberos
  • w32tm /query /status y desfase < 5 min.
  • Asegura Amazon Time Sync como fuente.
  • “Access is denied” o fallos de elevación
  • Ejecuta PowerShell como Administrador.
  • Revisa SG para RDP; evita políticas que bloqueen.
  • Capacidad/Learner Lab
  • Reduce memoria/servicios, evita roles innecesarios, usa Server Core si es viable.

6) Entregables

  • Captura de ADUC mostrando el dominio corp.local.
  • Captura de DNS Manager con zonas corp.local y _msdcs.corp.local.
  • Salida de dcdiag sin errores críticos (texto o imagen).
  • Notas de configuración (NTP y DNS en NIC).

7) Rúbrica de evaluación

  • Instalación correcta de roles y promoción a DC (40%).
  • Verificación completa (dcdiag, DNS, servicios) (35%).
  • Buenas prácticas NTP/DNS aplicadas (15%).
  • Claridad de entregables (10%).

Tiempo estimado

  • 60–75 minutos.

Notas AWS Academy

  • Restringe RDP por IP en SG; no abras LDAP/LDAPS/WinRM a Internet.
  • Detén la instancia si no la usas para ahorrar créditos.

Siguiente