Skip to main content
Active Directory: Agregar Windows Core como Domain Controller. - Featured image

Active Directory: Agregar Windows Core como Domain Controller.

Saul Ojeda 949 words 5 min

Domain Controller en Windows Core

Si has seguido esta serie, ya sabes cómo levantar un Domain Controller principal y uno secundario utilizando la interfaz gráfica (Desktop Experience). Pero, si realmente queremos llevar nuestra infraestructura al siguiente nivel, minimizar riesgos

En esta tercera y última entrega, vamos a desplegar un Domain Controller utilizando Windows Server Core y puramente la línea de comandos (PowerShell).

¿Por qué elegir Server Core para tu Active Directory?

Si te preguntas por qué deberías renunciar a la comodidad visual de la interfaz gráfica para un rol tan crítico, la respuesta se resume en tres pilares fundamentales para cualquier entorno empresarial:

1. Seguridad Drástica (Hardening por defecto)

Un servidor sin entorno gráfico carece de exploradores web, reproductores multimedia y cientos de DLLs que no pintan nada en un servidor de identidad. Esto reduce dramáticamente la superficie de ataque. Herramientas de EDR modernas, como Cortex XDR, funcionan de maravilla aquí, ya que operan de forma silenciosa y tienen un entorno mucho más “limpio” para detectar anomalías de comportamiento.

2. Eficiencia de Recursos y Mantenimiento

Server Core consume una fracción de RAM (fácilmente por debajo de 1GB en reposo) y espacio en disco comparado con su contraparte gráfica. Además, al no tener los componentes de la GUI, requiere hasta un 60% menos de parches y reinicios.

3. Ecosistema Moderno

No necesitas RDP para administrar. Hoy en día, todo se gestiona de forma remota mediante RSAT, Windows Admin Center o integraciones de terceros. Si utilizas soluciones de respaldo de grado empresarial como Veeam Backup & Replication, estas interactúan perfectamente con los servicios VSS de Server Core sin requerir interacción local, asegurando tus bases de datos ntds.dit sin esfuerzo.

Agregar Windows Core como Domain Controller

Implementar un Domain Controller (DC) en Windows Server Core es una excelente práctica para reducir la superficie de ataque y optimizar el consumo de recursos. A continuación, te detallo el paso a paso basándome en tus capturas, listo para tu blog en Hugo.

Configurar la red (si es necesario)

Asegúrate de que tu servidor tiene una configuración de red adecuada para poder unirse a un dominio o crear uno propio. Tienes dos formas de hacerlo:

Opción A: Usando sconfig Usa la herramienta interactiva sconfig desde la línea de comandos para configurar la red y otros parámetros básicos como el nombre del equipo y las actualizaciones.

  1. Escribe sconfig y presiona Enter.

  2. Selecciona la opción 8) Network Settings.

  1. Selecciona el adaptador de red.

  1. Asigna una IP estática, máscara de subred, puerta de enlace y los servidores DNS (primario y secundario).

** Opción B: Usando PowerShell Para verificar o cambiar la dirección IP rápidamente, usa los siguientes comandos:

PowerShell

# Get the available network adapters
Get-NetAdapter

# Disable DHCP on the specified interface
Set-NetIPInterface -InterfaceAlias "Ethernet" -Dhcp Disabled

# Set static IP address and default gateway
New-NetIPAddress -InterfaceAlias "Ethernet" -IPAddress 192.168.1.10 -PrefixLength 24 -DefaultGateway 192.168.1.1

# Set the DNS server addresses
Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses ("8.8.8.8", "8.8.4.4")

Agregar el rol de Domain Controller

Utiliza PowerShell para agregar el rol de Active Directory Domain Services (AD DS) y preparar el servidor.

Primero, instala el rol de AD DS:

PowerShell

# Install the Active Directory Domain Services role
Install-WindowsFeature AD-Domain-Services

Promover el servidor a Domain Controller

Para configurar el servidor como un Domain Controller, puedes optar por crear un nuevo bosque o unirte a un dominio existente.

Opción 1: Crear un nuevo dominio (Bosque)

Utiliza el siguiente comando, ajustando los parámetros a tu entorno:

  • -DomainName: Nombre de dominio FQDN (ej. mxlit.com).

  • -DomainNetbiosName: Nombre NetBIOS del dominio.

  • -SafeModeAdministratorPassword: Contraseña para el administrador del modo de restauración de Active Directory (DSRM).

  • -InstallDNS: Instala el rol de DNS junto con AD DS.

PowerShell

# Promote the server to a new Domain Controller in a new forest
Install-ADDSForest -DomainName "mxlit.com" -DomainNetbiosName "mxlit" -SafeModeAdministratorPassword (ConvertTo-SecureString "ContraseñaSegura" -AsPlainText -Force) -InstallDNS

Opción 2: Agregar a un Dominio existente

Si ya tienes un dominio creado y este servidor será un DC adicional:

PowerShell

# Add the server as a Domain Controller to an existing domain
Install-ADDSDomainController -DomainName "mxlit.com" -Credential (Get-Credential) -SiteName "Default-First-Site-Name"

Reiniciar el servidor

Una vez que el proceso de instalación y promoción del Domain Controller se complete y confirme, el servidor requerirá un reinicio. Si el comando anterior no lo reinicia automáticamente, ejecútalo manualmente:

PowerShell

# Restart the server to apply changes
Restart-Computer

Verificar la configuración

Después de reiniciar, puedes verificar que el servidor está funcionando correctamente como Domain Controller utilizando varios comandos de PowerShell:

PowerShell

# Get information about the current Active Directory domain
Get-ADDomain

# Get information about the Domain Controllers in the current domain
Get-ADDomainController

Para administrar tu dominio desde este mismo servidor (o habilitar las herramientas), instala las características de administración (RSAT):

PowerShell

# Install Remote Server Administration Tools for AD DS
Install-WindowsFeature RSAT-AD-Tools

Finalmente, asegúrate de tener los complementos de compatibilidad si requieres abrir consolas MMC tradicionales como “Active Directory Users and Computers” directamente instalando la característica Server Core App Compatibility Feature on Demand.

Conclusión

Desplegar un Domain Controller sobre Windows Server Core es una de las mejores prácticas que podemos implementar en nuestra infraestructura. Al prescindir de la interfaz gráfica (GUI), no solo reducimos drásticamente el consumo de recursos de cómputo y almacenamiento —algo vital cuando buscamos optimizar nuestros entornos de virtualización y laboratorios—, sino que también minimizamos la superficie de ataque y el volumen de parches requeridos.

Aunque la configuración inicial por línea de comandos o PowerShell requiere familiarizarse con la sintaxis, las ventajas a largo plazo en rendimiento, estabilidad y seguridad valen totalmente la pena. Una vez que el DC está operando, la administración del día a día se vuelve transparente utilizando RSAT de manera remota.

¡Espero que esta guía te sea de gran utilidad para tus próximos despliegues!