Active Directory on Mexicali IT

Active Directory: Cómo Comprobar el Estado de Active Directory y Forzar Replicación

Sun, 08 Mar 2026 17:00:00 -0700

Un entorno de Active Directory (AD) saludable y sincronizado es la mismísima columna vertebral de cualquier red corporativa basada en Windows. Cuando los Controladores de Dominio (DCs) dejan de comunicarse adecuadamente o fallan al replicar sus metadatos, tu empresa experimentará problemas sumamente bizarros: contraseñas que no son reconocidas, políticas de grupo (GPO) que no se aplican, y usuarios creados en un sitio que “no existen” en otro.

Como administrador de sistemas, saber cómo diagnosticar rápidamente la salud de AD y forzar manualmente su replicación es una habilidad absolutamente crítica. Esta guía detalla los comandos nativos más esenciales en CMD y PowerShell utilizados para verificar el estado de Active Directory, evaluar la salud de la estructura y detonar sincronizaciones manuales entre los servidores.

Active Directory: Agregar Windows Core como Domain Controller.

Wed, 04 Mar 2026 12:00:00 -0800

Domain Controller en Windows Core

Si has seguido esta serie, ya sabes cómo levantar un Domain Controller principal y uno secundario utilizando la interfaz gráfica (Desktop Experience). Pero, si realmente queremos llevar nuestra infraestructura al siguiente nivel, minimizar riesgos

En esta tercera y última entrega, vamos a desplegar un Domain Controller utilizando Windows Server Core y puramente la línea de comandos (PowerShell).

¿Por qué elegir Server Core para tu Active Directory?

Si te preguntas por qué deberías renunciar a la comodidad visual de la interfaz gráfica para un rol tan crítico, la respuesta se resume en tres pilares fundamentales para cualquier entorno empresarial:

Mover roles FSMO

Fri, 20 Feb 2026 21:14:14 -0800

¿Por qué es necesario mover los roles FSMO?

En un entorno de Active Directory, no todos los Controladores de Dominio (DCs) son iguales. Aunque la mayoría de las tareas se replican de forma multidireccional, existen cinco funciones críticas denominadas FSMO (Flexible Single Master Operation) que solo puede ejecutar un servidor a la vez para evitar conflictos de escritura y corrupción en la base de datos ntds.dit.

Mover estos roles no es solo un capricho administrativo; es una necesidad operativa en los siguientes escenarios:

Función de roles FSMO

Fri, 20 Feb 2026 15:14:14 -0800

Los roles FSMO (Flexible Single Master Operations) son roles críticos en un entorno de Active Directory que se asignan a uno o más controladores de dominio para garantizar que ciertas tareas administrativas y de replicación se manejen de manera centralizada. Existen cinco roles FSMO, y cada uno tiene una función específica en el funcionamiento de Active Directory. A continuación, te detallo para qué sirve cada uno:

1. PDC Emulator (Emulador de PDC)

Función Principal: Este rol es responsable de emular el comportamiento de un controlador de dominio de Windows NT (PDC), y es utilizado principalmente en entornos mixtos con versiones anteriores de Windows Server (como Windows NT 4.0).
Funciones Específicas:
- Autenticación de contraseñas: Cuando un usuario cambia su contraseña, el PDC Emulator es responsable de realizar la actualización en la base de datos de contraseñas.
- Sincronización de tiempo: El PDC Emulator es el servidor principal para la sincronización de la hora en el dominio, ya que se asume como la fuente de tiempo para todo el dominio.
- Políticas de Grupo: Es responsable de manejar ciertos tipos de políticas de grupo y la administración de contraseñas.
- Copia maestra de cambios en contraseñas: Es el único servidor autorizado a recibir cambios de contraseñas en todo el dominio, lo que significa que si otros DCs tienen problemas de replicación, las contraseñas no se sincronizarán correctamente.

2. RID Master (Master de RID)

Función Principal: El Master de RID se encarga de asignar rangos de identificadores únicos (RID) a los controladores de dominio dentro del dominio. Los RID son una parte de la identificación única de un objeto en Active Directory (como un usuario o un grupo).
Funciones Específicas:
- Asignación de RIDs: Cada objeto en Active Directory tiene un RID único que es asignado cuando el objeto es creado. El RID Master es el único que puede asignar bloques de RIDs a otros controladores de dominio.
- Si el RID Master está fuera de línea por un tiempo, los otros controladores de dominio no podrán crear nuevos objetos en el directorio porque no podrán obtener nuevos RIDs.

3. Infrastructure Master (Master de Infraestructura)

Función Principal: El Master de Infraestructura se encarga de mantener las referencias a objetos de otros dominios en Active Directory. Este rol es esencial para las relaciones de confianza entre dominios.
Funciones Específicas:
- Referencias cruzadas entre dominios: Si un objeto en un dominio tiene una referencia a un objeto en otro dominio (por ejemplo, si un usuario está en un grupo de otro dominio), el Infrastructure Master asegura que esas referencias estén actualizadas.
- Si el Infrastructure Master está en un dominio que es también un Global Catalog Server, entonces no podrá hacer su trabajo correctamente, ya que el Global Catalog ya maneja información de objetos de todo el bosque.

4. Schema Master (Master de Esquema)

Función Principal: El Schema Master es responsable de manejar cambios en el esquema de Active Directory. El esquema es la definición de todos los tipos de objetos y atributos que pueden almacenarse en Active Directory.
Funciones Específicas:
- Modificaciones al Esquema: Si se desea agregar un nuevo tipo de objeto o atributo a Active Directory (por ejemplo, un nuevo tipo de cuenta o una nueva propiedad para los usuarios), ese cambio debe ser realizado a través del Schema Master.
- Modificaciones del esquema: Solo un controlador de dominio que tenga el rol Schema Master puede aplicar cambios al esquema. Los otros controladores de dominio no pueden hacerlo.

5. Domain Naming Master (Master de Nombres de Dominio)

Función Principal: El Domain Naming Master es responsable de manejar los cambios en el nombre de dominio dentro del bosque de Active Directory.
Funciones Específicas:
- Creación y eliminación de dominios: Si necesitas agregar un nuevo dominio o eliminar uno en el bosque de Active Directory, el Domain Naming Master es el rol que se encarga de este proceso.
- Cambios en los nombres de dominio: Cualquier intento de cambiar el nombre de un dominio o la estructura de dominios dentro de un bosque se realiza a través del Domain Naming Master.

Resumen de las Funciones de Cada Rol FSMO

Rol	Función Principal
PDC Emulator	Sincronización de la hora, gestión de contraseñas, políticas de grupo y emulación de PDC en entornos mixtos.
RID Master	Asigna bloques de RIDs a controladores de dominio para crear objetos.
Infrastructure Master	Mantiene las referencias de objetos entre dominios.
Schema Master	Realiza modificaciones en el esquema de Active Directory (agregar nuevos atributos o clases de objetos).
Domain Naming Master	Gestiona la creación y eliminación de dominios en un bosque.

¿Cuántos Controladores de Dominio Deben Tener Estos Roles?

Idealmente, solo debe haber un controlador de dominio con cada uno de estos roles dentro de un dominio o bosque para evitar conflictos y asegurar que las operaciones se realicen de forma centralizada.
Sin embargo, en entornos grandes o complejos, los roles FSMO pueden ser movidos a otros controladores de dominio si es necesario por razones de disponibilidad o rendimiento. Esto se hace generalmente a través de herramientas como ntdsutil o PowerShell.

Verificación de Roles FSMO

Para verificar qué servidor está gestionando cada uno de los roles FSMO, puedes usar el siguiente comando de PowerShell:

Active Directory: La carpeta SYSVOL no se replica

Mon, 13 Feb 2023 22:39:01 -0800

Introducción

El directorio SYSVOL es una carpeta en los controladores de dominio de Windows que contiene información y datos necesarios para que el sistema de inicio de sesión y otras funciones de Active Directory funcionen correctamente. SYSVOL es esencial para la replicación de controladores de dominio y la coherencia de los datos de Active Directory en todo el dominio.

Cuando la replicación del SYSVOL falla entre controladores de dominio, puede causar problemas graves en la funcionalidad de Active Directory, como por ejemplo la falla al crear GPOs, si estos no se ven reflejados entre los diferentes controladores de dominio puede llegar a ser un gran problema.

Active Directory: Password Settings Objects (PSOs)

Fri, 13 Jan 2023 22:39:01 -0800

Introducción

Active Directory (AD) es un servicio de directorio de Microsoft que permite a los administradores de sistemas centralizar la gestión de usuarios, grupos y recursos en una red.

Una de las funcionalidades de AD es la posibilidad de configurar objetos de configuración de contraseñas (Password Settings Objects, PSOs) para establecer políticas de seguridad para las contraseñas de los usuarios.

Los PSOs son diferentes a las políticas de password que podemos agregar mediante GPO, los PSOs puede ser utilizados para ciertas cosas en concreto, como por ejemplo poner un password con una longitud inferior a la política de nuestro dominio, esto podria ser de ayuda en caso de que se tenga algún sistema que no admita la política de password que actualmente se tiene registrada, también se puede utilizar para reforzar los password a un grupo en particular, como agregar una longitud más grande o bloquear el usuario con un solo intento fallido. Las opciones son múltiples y deben de ser ajustadas a sus necesidades.

ADDS: Configurar y promover un segundo controlador de Dominio.

Fri, 31 Dec 2021 22:39:01 -0800

Introducción

En este post veremos como configurar y promover un segundo controlador de Dominio.

Tener un segundo controlador de dominio podría decir que es algo crucial ya que éste servirá de respaldo en caso de que controlador principal llegue a fallar, siempre es bueno tener una redundancia, en caso de no contar con un controlador de dominio extra y si por algún motivo el controlador primario llega a fallar, todos los usuarios podrían quedar sin acceso a los diferentes sistemas.

GPO: Cómo configurar políticas de passwords.

Thu, 02 Sep 2021 22:39:01 -0800

Introducción

En este post mostraré como crear una un GPO para cumplir con los requerimientos mínimos en las políticas de passwords.

Lo primero será ingresar a Group Policy Management.

Group Policy Management

Click derecho en Group Policy Objects y seleccionar New.

Asignar un nombre relacionado a lo que queremos hacer.

Seleccionar el GPO creado, click derecho y editar.

Dentro de las configuraciones del equipo, expandir las siguientes opciones: Policies, Windows Settings, Security Settings, Account Policies y seleccionar Password Policy.

ADDS: Instalar, configurar y promover un controlador de Dominio

Sat, 28 Aug 2021 22:39:01 -0800

Introducción

En este post veremos como Instalar el rol de ADDS (Active Directory Domain Services) y como promover nuestro nuevo controlador de Dominio.

Un controlador de dominio nos ayudará a poder administrar la autenticación de los usuarios, aplicar politicas, asignar roles y crear grupos de administración dentro de nuestra empresa.

Para ello es recomendable seguir unos requisitos previos antes de continuar con la instalación del rol.

Necesitaremos asignar un nombre que sea desriptivo a nuestro controlador de dominio.

GPO: Habilitar ejecuciÃ³n de scripts.

Sat, 28 Aug 2021 22:39:01 -0800

IntroducciÃ³n

La ejecuciÃ³n de escript de PowerShell dentro de los equipos unidos al dominio por defecto se encuentran desactivados, si se intenta ejecutar un script, tendremos un mensaje diciendo que la politica se encuentra restringida.

Script no permitidos

Nosotros como administradores quizÃ¡s queramos implementar tareas programadas para realizar ciertas automatizaciones por lo que es necesario poder ejecutar scripts sin restricciones.

Si bien es cierto que podemos modificar estos valores manualmente dentro del equipo o realizar un bypass al script como se muestra en la imagen.

Active Directory: DelegaciÃ³n de control.

Thu, 19 Aug 2021 14:00:00 -0800

IntroducciÃ³n

SituaciÃ³n

La delegaciÃ³n de control en Active Directory se puede volver de mucha ayuda cuando se tienen que administrar una gran cantidad de usuarios de diferentes locaciones, como administradores de sistemas pueden delegar permisos a personal de IT de diferentes branches para que Ã©stos se encarguen de administrar los usuarios pertenecientes a su ciudad. Claro, esto puede ser de gran ayuda cuando se tiene delegaciÃ³n de permisos y en su empresa no es necesario tener todo centralizado.

GPO: Mantener el grupo Domain Admins u otros grupos como administradores locales dentro de los equipos.

Thu, 19 Aug 2021 14:00:00 -0800

IntroducciÃ³n

SituaciÃ³n

Esto es algo que he visto en diferentes lugares y es que en ocasiones ciertos usuarios con privilegios de administrador en un equipo unido a dominio, eliminan el grupo de domain admins u otros grupos que es requeridos para la organizaciÃ³n, ya sea para comprobar el estado del equipo o para hacer deploys de software como es el caso de SCCM.

Una de las reglas bÃ¡sicas es: Nunca poner a los usuarios como administrador local, pero en caso de que sea algo requerido y quieren asegurarse de que el grupo que desean siempre estÃ© como administrador local dentro de sus equipos, entonces la soluciÃ³n es aplicar un GPO para que se encargue de esto automÃ¡ticamente, no importa si el usuario elimina el grupo o los grupos del administrador local dentro de sus equipos, al momento de que un GPO se aplique, Ã©ste volverÃ¡ a agregar los grupos requeridos dentro del grupo de administradores del equipo.

Powershell: Como agregar todos los usuarios de un OU a un grupo de seguridad

Sat, 14 Aug 2021 14:00:00 -0800

Introducción

En ocasiones es requerido agregar todos los miembros de un OU (Organization Unit) a un grupo de seguridad en active directory, pero… ¿Cómo podemos realizar esto desde PowerShell?.

Solución

La sintaxis es la siguiente:


Get-ADUser -SearchBase "OU=IT,OU=Networkingzone_Users,DC=NETWORKINGZONE,DC=NET" -Filter * |
ForEach-Object {Add-ADGroupMember -Identity 'Security-Test-Group' -Members $_}

Como se ve en la imagen, solamente cuento con 7 usuarios dentro del OU de IT y en este ejemplo se agregarán todos los usuarios de ese OU al grupo “Security-Test-Group”.