Problema

En entornos de pruebas o pequeñas infraestructuras, es frecuente que el administrador necesite levantar un controlador de dominio rápidamente, pero se topa con configuraciones incompletas, dependencias de DNS rotas o servicios de tiempo que no sincronizan. El patrón típico es: Windows Server 2025 está instalado, pero al intentar promoverlo a Domain Controller el asistente falla, o los equipos cliente no pueden autenticarse porque el DNS interno no responde o el reloj está desincronizado. El objetivo es obtener un dominio funcional que incluya AD DS, DNS y NTP sin depender de configuraciones manuales extensas.

Causa

  1. DNS ausente o mal configurado – AD DS requiere que el propio servidor sea resolutor primario para el dominio. Si la zona no se crea automáticamente, los clientes no pueden localizar el controlador.
  2. Servicios de tiempo no alineados – Un controlador que no actúa como Network Time Server genera errores de Kerberos y bloquea el inicio de sesión.
  3. Roles y características instalados en orden incorrecto – Instalar DNS después de promover el servidor a DC puede dejar la zona sin replicar.
  4. Política de red – Adaptadores con direcciones estáticas que no apuntan a sí mismos como DNS primario provocan bucles de resolución.
  5. Configuración de red incompleta – Falta de una máscara de subred adecuada o de una puerta de enlace predeterminada puede impedir que los clientes alcancen el controlador.

Solución

La forma más fiable es ejecutar los pasos en un solo script de PowerShell, garantizando que los roles se instalen antes de la promoción y que la configuración de red quede coherente. El flujo recomendado:

  1. Ajustar la interfaz de red – Asignar IP estática, máscara, puerta de enlace y, crucialmente, establecer el propio servidor como DNS primario.
  2. Instalar AD DS y DNS – Utilizar Add-WindowsFeature (o Install-WindowsFeature en versiones más recientes) para agregar ambos roles simultáneamente.
  3. Promover a Domain ControllerInstall-ADDSForest con parámetros que creen la zona DNS y habiliten el servicio de tiempo (-NoGlobalCatalog:$false -CreateDnsDelegation:$false).
  4. Configurar NTP – Forzar que el controlador sincronice con un origen externo fiable y, a su vez, actúe como servidor NTP interno.
  5. Validar la replicación DNS y la sincronización horaria – Ejecutar consultas nslookup y w32tm /query /status.
  6. Unir un cliente Windows 11 – Cambiar la configuración DNS del cliente para que apunte al controlador y ejecutar Add-Computer con credenciales de dominio.

Paso a paso en PowerShell

# 1. Configuración de red (ejemplo: NIC Ethernet0)
New-NetIPAddress -InterfaceAlias "Ethernet0" -IPAddress 192.168.10.10 `
    -PrefixLength 24 -DefaultGateway 192.168.10.1
Set-DnsClientServerAddress -InterfaceAlias "Ethernet0" -ServerAddresses 192.168.10.10

# 2. Instalación de roles
Install-WindowsFeature -Name AD-Domain-Services, DNS -IncludeManagementTools

# 3. Promoción a DC (dominio ejemplo.local)
Install-ADDSForest -DomainName "ejemplo.local" -SafeModeAdministratorPassword (ConvertTo-SecureString "P@ssw0rd!" -AsPlainText -Force) `
    -DomainNetbiosName "EJEMPLO" -InstallDns:$true -Force:$true

# 4. Configuración NTP (usar pool.ntp.org)
w32tm /config /manualpeerlist:"pool.ntp.org" /syncfromflags:manual /reliable:yes /update
net stop w32time && net start w32time
w32tm /resync /nowait

# 5. Verificación rápida (opcional)
nslookup -type=SRV _ldap._tcp.ejemplo.local
w32tm /query /status

Nota: Ajusta la contraseña del modo seguro y los nombres de dominio a tu entorno. El script asume que la cuenta con la que lo ejecutas tiene privilegios de administrador local.

Cuándo aplicar esta solución

  • Entornos de laboratorio o POC donde se necesita un dominio funcional en minutos.
  • Pequeñas oficinas con un único controlador que también provee DNS y NTP.
  • Despliegues automatizados mediante scripts de arranque de máquinas virtuales (Hyper‑V, VMware, Azure).

No es la mejor opción cuando:

  • Se requiere un controlador de solo lectura (RODC) o una arquitectura multi‑site con replicación compleja.
  • El dominio ya existe y solo se necesita añadir un Additional Domain Controller; en ese caso, omite la creación de la zona DNS.
  • La política de la organización impone servidores NTP externos obligatorios; entonces, desactiva la configuración NTP del controlador.

Verificación

  1. Comprobar que el servicio AD DS está activo

    Get-Service -Name NTDS

    El estado debe ser Running.

  2. Validar la zona DNS

    Get-DnsServerZone -Name "ejemplo.local"

    La zona debe aparecer con Type = Primary.

  3. Test de resolución desde el cliente
    En el equipo Windows 11, abre PowerShell y ejecuta:

    Resolve-DnsName -Name _ldap._tcp.ejemplo.local -Type SRV

    Debería devolver la dirección del controlador.

  4. Sincronización horaria

    w32tm /query /source

    La salida debe indicar LOCAL CMOS Clock en el controlador y pool.ntp.org en los clientes.

  5. Unir al dominio

    Add-Computer -DomainName ejemplo.local -Credential ejemplo\Administrator -Restart

    Después del reinicio, el equipo debe iniciar sesión con una cuenta de dominio.

Notas adicionales

  • Firewall: Asegúrate de que los puertos 53 (DNS), 88 (Kerberos), 389 (LDAP) y 445 (SMB) estén abiertos entre el controlador y los clientes.
  • Time Service: En entornos con varios DC, solo el PDC Emulator debe sincronizar con fuentes externas; los demás deben usar w32tm /config /syncfromflags:domhier.
  • Backup: Una vez que el dominio está operativo, crea una copia de seguridad del estado del sistema (wbadmin start systemstatebackup).
  • Desinstalación: Si necesitas revertir, usa Uninstall-ADDSDomainController antes de eliminar los roles, para evitar residuos en la base de datos DNS.

Con estos pasos tienes una guía reutilizable para levantar un controlador de dominio completo en Windows Server 2025, lista para que cualquier cliente Windows 11 se una sin sorpresas.