Joan zuzenean edukira

3.2. Instalación de Active Directory Domain Services (AD DS)

Objetivo: instalar el rol AD DS y promover el servidor a Controlador de Dominio (DC).

Requisitos previos

  • Windows Server actualizado
  • Nombre de equipo definitivo
  • IP estática si el escenario lo requiere (en AWS normalmente DHCP + DNS interno)

Pasos resumidos

  1. Agregar roles y características: AD DS (+ DNS).
  2. Promover a DC: nuevo bosque corp.local (ejemplo).
  3. Reinicio y verificación de servicios.

Notas AWS Academy

  • Instancia EC2 con suficiente memoria (recomendado ≥ 4 vCPU, 8–16 GB RAM si se usa GUI).
  • Security Group con RDP 3389 restringido por IP del aula.
  • Esperar a que la contraseña de administrador esté disponible para el primer inicio de sesión.

Verificación

  • dcdiag, Get-ADForest, Get-ADDomain.
  • Consolas: ADUC, DNS, Sites and Services.

Requisitos previos específicos (AWS Academy)

  • Instancia EC2 Windows Server 2022/2019 con IP privada fija en la subred (DHCP reserva no aplicable; usa nombre estático de host).
  • Security Group: RDP 3389 restringido a tu IP. No expongas LDAP/LDAPS/WinRM públicamente.
  • Hora/NTP: usar 169.254.169.123 (Amazon Time Sync Service) o sincronizar con el DC raíz posteriormente.
  • DNS: tras promover a DC, el propio servidor hospedará DNS. Los clientes del dominio deben usar la IP del DC como DNS preferido.

Procedimiento con GUI (Server Manager)

  1. Agregar roles y características → Roles → marcar “Active Directory Domain Services” y “DNS Server”.
  2. Completar asistente e instalar. Reinicio no suele ser necesario en este punto.
  3. Server Manager → notificación “Promote this server to a domain controller”.
  4. Deployment Configuration → “Add a new forest” → Root domain name: corp.local (laboratorio).
  5. Domain Controller Options → DSRM password. Mantener Default (DNS, GC). Functional level: por defecto (Windows Server 2016+).
  6. DNS Options → ignorar advertencia de delegación.
  7. Paths → dejar por defecto (NTDS, SYSVOL).
  8. Review → Install. Se reiniciará automáticamente.

Procedimiento con PowerShell

Instalación de roles:

Install-WindowsFeature AD-Domain-Services, DNS -IncludeManagementTools

Promoción a DC con bosque nuevo:

$secure = Read-Host -AsSecureString 'DSRM Password'
Install-ADDSForest `
  -DomainName 'corp.local' `
  -DomainNetbiosName 'CORP' `
  -CreateDnsDelegation:$false `
  -InstallDns:$true `
  -DatabasePath 'C:\\Windows\\NTDS' `
  -LogPath 'C:\\Windows\\NTDS' `
  -SysvolPath 'C:\\Windows\\SYSVOL' `
  -SafeModeAdministratorPassword $secure `
  -Force:$true

Tras el reinicio, ajustar NTP (opcional en laboratorio):

w32tm /config /manualpeerlist:"169.254.169.123" /syncfromflags:manual /update
w32tm /resync

Verificación detallada

Comandos:

whoami /groups
Get-ADForest | Format-List *
Get-ADDomain | Format-List *
Get-Service DNS,NTDS
repadmin /replsummary
Dcdiag /v | Out-Host

Consolas MMC: - Active Directory Users and Computers (ADUC) - DNS Manager (revisa zonas corp.local y _msdcs.corp.local con SRV) - Active Directory Sites and Services

Pruebas de cliente (más adelante): unir una VM al dominio y resolver dc1.corp.local por DNS.

Solución de problemas (FAQ)

  • No resuelve DNS tras promoción: verifica que la NIC apunte a 127.0.0.1 o a la IP del DC como DNS preferido; reinicia servicio DNS (Restart-Service DNS).
  • Error de tiempo/Kerberos: verifica w32tm /query /status; sincroniza con 169.254.169.123 y revisa desfase < 5 min.
  • Falta de memoria/capacidad (Learner Lab): usa AMI con menor footprint o detén servicios no críticos; considera Server Core si es posible.
  • “Access is denied” en promoción: ejecuta PowerShell elevado; revisa SG/RDP y políticas.

Checklist de finalización

  • Rol AD DS y DNS instalados
  • Bosque corp.local creado y DC reiniciado
  • Zonas DNS creadas con registros SRV
  • dcdiag sin errores críticos
  • Hora sincronizada (NTP) y hostname correcto
  • SG de RDP restringido por IP

Limpieza de recursos (cuando finalice la práctica)

  • Detén la instancia si no se usa para ahorrar créditos.
  • Documenta el dominio, DSRM y cambios en SG.

Práctica AWS relacionada

Pon en práctica la instalación y promoción a DC (AD DS + DNS) en AWS con la guía paso a paso: AD DS: Promoción a DC y DNS