Actualizar servidor windows 2012 FOUNDATION

Esto es lo que diche ChatGPT Pro:

Sí, hay salida, pero no va por “subir ese Foundation directamente a 2025”. Tienes dos bloqueos distintos: Windows Server 2025 solo se puede promover como DC en un dominio que ya esté, como mínimo, en nivel funcional 2016; y desde Windows Server 2016 en adelante ya no se admite un dominio que siga replicando SYSVOL con FRS. O sea: el error de 2025 apunta al nivel funcional, y el error al meter 2016 apunta casi seguro a SYSVOL/FRS/DFSR o a la salud del AD, no a que sea físico o virtual. Además, Windows Server 2012 ya está fuera de soporte desde el 10 de octubre de 2023. (Microsoft Learn)

La ruta razonable es esta: primero sanear el AD actual y dejar SYSVOL en DFSR; después meter un DC intermedio; mover FSMO/DNS; subir niveles funcionales; y solo entonces añadir el 2025. Microsoft indica que no ha habido niveles funcionales nuevos entre 2016 y 2022, y que 2025 usa 2016 como base mínima para entrar en un dominio existente. También indica que 2019 o superior requieren como mínimo bosque 2008, mientras que 2016 requiere como mínimo bosque 2003. Traducido: si tu bosque es muy viejo, el “puente” más seguro es 2016; si ya estás al menos en 2008 y el dominio está sano, también podría servir 2019/2022. (Microsoft Learn)

Lo primero que miraría en el 2012 es esto:
Get-ADDomain | Select-Object DNSRoot,DomainMode,PDCEmulator
Get-ADForest | Select-Object ForestMode

dfsrmig /getglobalstate
dfsrmig /getmigrationstate

net share

repadmin /showrepl
repadmin /replsummary

dcdiag /test:sysvolcheck /test:advertising /v


Con eso sabrás tres cosas críticas: nivel funcional de dominio y bosque, si SYSVOL sigue en FRS o ya está en DFSR, y si hay errores de replicación/AD que estén rompiendo la promoción del nuevo DC. Microsoft recomienda precisamente usar repadmin /showrepl para ver fallos de replicación y documenta la migración de SYSVOL con DFSRMIG. (Microsoft Learn)

Si dfsrmig te devuelve algo equivalente a “Start” o ves síntomas de FRS, no sigas intentando promover 2016/2022/2025: primero hay que terminar la migración FRS → DFSR. Si la migración se queda atascada en Preparing, o ves eventos 8028/6016, Microsoft lo asocia a problemas de permisos/objetos de AD/replicación durante la transición de SYSVOL. En ese caso, la pelea no es “reconstruir DFSR a mano”, sino corregir el problema que impide que DFSRMIG avance y dejar el dominio limpio antes de volver a intentar la promoción. (Microsoft Learn)

Cuando eso esté arreglado, haría esta secuencia: backup de estado del sistema del 2012; añadir un 2016 como DC/DNS/GC; comprobar replicación; transferir FSMO; después subir nivel funcional de dominio y bosque a 2016; y solo entonces añadir el 2025 como DC. Una vez el 2025 esté bien, ya puedes retirar el 2012. El servicio DHCP lo migraría aparte con export/import; Microsoft tiene guía oficial para mover DHCP y también cmdlets Export-DhcpServer e Import-DhcpServer. (Microsoft Learn)

Sobre restaurar una copia en otro servidor: útil como red de seguridad o para laboratorio, sí; como solución al bloqueo de promoción, no. Restaurar en otro hierro no cambia ni el nivel funcional ni el hecho de que 2016+ no acepten SYSVOL en FRS. Si el AD actual está demasiado roto como para completar DFSR y meter un segundo DC, ahí ya me plantearía dejar de “rescatar” ese bosque y pasar a dominio nuevo con migración lógica de usuarios/equipos/datos, pero eso sería el plan B, no el A. (Microsoft Learn)

Pásame la salida de estos cuatro comandos y te digo el siguiente paso exacto, sin adivinar:
Get-ADDomain | Select DomainMode
Get-ADForest | Select ForestMode
dfsrmig /getglobalstate
repadmin /showrepl

Hola,

he probado chatgpt y copilot, los dos llegan al mismo punto, sysvol no se replica en el windows 2016, se pasan FSMO, dominio, etc..


PS C:\Users\Administrador> Get-ADDomain | Select DomainMode

DomainMode
----------
Windows2012Domain


PS C:\Users\Administrador> Get-ADForest | Select ForestMode

ForestMode
----------
Windows2012Forest

PS C:\Users\Administrador> dfsrmig /getglobalstate

No se puede conectar con el emulador de PDC.
Asegúrese de que el PDC es accesible e intente el comando de nuevo más tarde.

PS C:\Users\Administrador> repadmin /showrepl

Repadmin: ejecutando el comando /showrepl en el DC completo localhost
Default-First-Site-Name\SERVIDORSEDE
Opciones de DSA: IS_GC
Opciones de sitio: (none)
GUID del objeto DSA: f77c8454-3179-4f73-9e84-d595138f6f24
Id. de invocación de DSA: f77c8454-3179-4f73-9e84-d595138f6f24

==== VECINOS DE ENTRADA ======================================

DC=granada,DC=local
Default-First-Site-Name\WIN2016 vía RPC
GUID del objeto DSA: 6df92b08-9485-4872-a1f3-2c8ccbadb175
El último intento, efectuado el 2026-04-01 11:38:34, se completó correctamente.

CN=Configuration,DC=granada,DC=local
Default-First-Site-Name\WIN2016 vía RPC
GUID del objeto DSA: 6df92b08-9485-4872-a1f3-2c8ccbadb175
El último intento, efectuado el 2026-04-01 11:38:31, se completó correctamente.

CN=Schema,CN=Configuration,DC=granada,DC=local
Default-First-Site-Name\WIN2016 vía RPC
GUID del objeto DSA: 6df92b08-9485-4872-a1f3-2c8ccbadb175
Error en el último intento efectuado el 2026-04-01 11:25:57, resultado 8524 (0x214c):
La operación DSA no puede continuar debido a un error en la consulta DNS.
1 errores consecutivos.
Última operación correcta efectuada el 2026-03-30 17:54:25.

DC=DomainDnsZones,DC=granada,DC=local
Default-First-Site-Name\WIN2016 vía RPC
GUID del objeto DSA: 6df92b08-9485-4872-a1f3-2c8ccbadb175
El último intento, efectuado el 2026-04-01 11:39:39, se completó correctamente.

DC=ForestDnsZones,DC=granada,DC=local
Default-First-Site-Name\WIN2016 vía RPC
GUID del objeto DSA: 6df92b08-9485-4872-a1f3-2c8ccbadb175
Error en el último intento efectuado el 2026-04-01 11:32:30, resultado 8524 (0x214c):
La operación DSA no puede continuar debido a un error en la consulta DNS.
2 errores consecutivos.
Última operación correcta efectuada el 2026-03-30 17:54:25.

Origen: Default-First-Site-Name\WIN2016
******* 1 ERRORES CONSECUTIVOS desde 2026-03-30 18:12:56
Último error: 8524 (0x214c):
La operación DSA no puede continuar debido a un error en la consulta DNS.


​
​

Las respuestas de ChatGPT normal al PRO se parecen como un huevo a una castaña... Espera un poco que el PRO está pensando y ahora te lo pego.

Sí: con esos datos ya se ve bastante claro dónde está el atasco.

Tu 2025 no puede entrar todavía como **controlador de dominio** porque el dominio y el bosque siguen en **Windows2012**; para promover un DC Windows Server 2025, Microsoft exige que **dominio y bosque estén al menos en nivel funcional 2016**. Además, la forma recomendada por Microsoft sigue siendo **meter un DC nuevo, transferir roles y retirar el viejo**, no un in-place upgrade del DC antiguo. ([Microsoft Learn][1])

El bloqueo real ahora mismo no es “Foundation” ni que sea virtual: es **DNS/replicación**. `dfsrmig /getglobalstate` depende del **PDC Emulator** y falla si no puede alcanzarlo. Y tu `repadmin /showrepl` ya está diciendo exactamente eso con el **8524**: el DC destino no puede continuar por un **fallo de consulta DNS** al resolver el DC origen. Microsoft lo asocia a registros DNS faltantes o no resolubles, especialmente el **CNAME GUID en `_msdcs`** y los registros host del DC. ([Microsoft Learn][2])

Así que el camino bueno es: **arreglar primero el 2016 que ya has metido**, dejar la replicación limpia, y usarlo como puente. Solo después: mover FSMO, retirar el 2012, subir niveles a 2016 y entonces ya sí meter el 2025. Para subir a nivel funcional 2016, Microsoft indica que todos los DC deben ser 2016 o superiores, y que el bosque ya esté al menos en 2012, que es justo tu caso. ([Microsoft Learn][1])

Haz esto, en este orden:

1. **Averigua quién tiene el PDC y los FSMO**:

```powershell
netdom query fsmo
Get-ADDomain | fl PDCEmulator,RIDMaster,InfrastructureMaster
```

2. **Comprueba si `SERVIDORSEDE` resuelve a `WIN2016` por el GUID DNS** que sale en tu `repadmin`:

```powershell
nslookup -type=cname 6df92b08-9485-4872-a1f3-2c8ccbadb175._msdcs.granada.local
ping 6df92b08-9485-4872-a1f3-2c8ccbadb175._msdcs.granada.local
nslookup WIN2016.granada.local
```

Si eso falla, has encontrado la causa directa del 8524. Microsoft recomienda precisamente validar ese CNAME GUID en `_msdcs` y volver a registrar Netlogon si falta. ([Microsoft Learn][3])

3. **En ambos DC**, revisa que la tarjeta de red use **solo DNS internos del AD**. Nada de router, ISP, 8.8.8.8, etc. Luego fuerza registro:

```powershell
ipconfig /all
ipconfig /flushdns
ipconfig /registerdns
net stop netlogon
net start netlogon
repadmin /syncall /AdeP
dcdiag /test:dns /e /v
```

El 8524 suele venir justo de eso: el DC origen o destino apunta a DNS que no alojan o no resuelven bien `_msdcs.<bosque>` y la zona del dominio. ([Microsoft Learn][3])

4. **Comprueba si el 2016 está realmente sano como DC**:

```powershell
net view \\WIN2016
dcdiag /s:WIN2016 /test:sysvolcheck /test:advertising /v
```

Y en `WIN2016`:

```powershell
net share
```

Tienen que aparecer **SYSVOL** y **NETLOGON**. Si no aparecen, la promoción quedó a medias o DFSR no terminó de sembrar SYSVOL.

5. **Solo cuando `repadmin /replsummary` y `dcdiag` salgan limpios**:

* transfieres FSMO al 2016,
* dejas DNS funcionando en el 2016,
* despromueves el 2012,
* subes **DFL/FFL a 2016**,
* y entonces promueves el **2025**. ([Microsoft Learn][1])

Hay una posibilidad adicional bastante plausible en tu caso: si `WIN2016` lo has promovido, despromovido o recreado varias veces en las pruebas, puede haber **metadata vieja** o un **NTDS Settings GUID antiguo** en AD/DNS. Microsoft indica que un DC re-promovido puede registrar un GUID/CNAME distinto, y si el otro DC sigue intentando replicar contra el viejo, te comes un 8524 aunque “por nombre” parezca que todo resuelve. ([Microsoft Learn][3])

No seguiría peleándome todavía con “reconstruir DFSR a mano”. Primero hay que dejar **DNS + AD replication** limpios; si no, `dfsrmig` y SYSVOL van a seguir dando guerra porque dependen de esa base. ([Microsoft Learn][2])

Pégame la salida de estos 6 bloques y te digo el siguiente paso exacto, ya sin tanteo:

```powershell
netdom query fsmo
```

```powershell
ipconfig /all
```

```powershell
dcdiag /test:dns /e /v
```

```powershell
repadmin /replsummary
```

```powershell
nslookup -type=cname 6df92b08-9485-4872-a1f3-2c8ccbadb175._msdcs.granada.local
```

```powershell
net share
```

[1]: https://learn.microsoft.com/en-us/wi...-level-upgrade "Learn about upgrading your domain and forest functional levels in Active Directory Domain Services. | Microsoft Learn"
[2]: https://learn.microsoft.com/en-us/wi...mmands/dfsrmig "dfsrmig | Microsoft Learn"
[3]: https://learn.microsoft.com/en-us/tr...ion-error-8524 "Active Directory Replication fails with Win32 error 8524 - Windows Server | Microsoft Learn"

Hasta el punto 4 todo funcion y apunta a win2016
PS C:\Users\Administrador> net view \\WIN2016
No hay entradas en la lista.


PS C:\Users\administrador.PPGRANADA> net share

Nombre Recurso Descripción

-------------------------------------------------------------------------------
C$ C:\ Recurso predeterminado
IPC$ IPC remota
ADMIN$ C:\Windows Admin remota
Se ha completado el comando correctamente.
pero aqui no parece sysvol, este es el problema, todo lo que me has dicho ya lo habia ejecutado ( y he repetido), que no se replica en el 2016


Un pregunta, cual es la version posterior de windows 2012 FOUNDATION? no encuentro una 2016 FOUNDATION, si he visto una ESSENTIAL

Sí: ese es el problema.
Si en WIN2016 no aparecen SYSVOL ni NETLOGON en net share, ese DC no ha terminado bien la promoción / inicialización de SYSVOL, aunque el objeto DC exista y parte de AD replique. Microsoft recomienda, precisamente para este caso, revisar el estado de DFSR y los eventos del log DFS Replication antes de intentar “reconstrucciones” manuales, porque rehacer DFSR sin saber la causa puede empeorarlo. (Microsoft Learn)

Y sobre tu otra pregunta: no existe Windows Server 2016 Foundation.
En la página de ciclo de vida de Windows Server 2012 sí aparece Foundation como edición de esa generación, pero en la de Windows Server 2016 ya solo aparecen Datacenter, Essentials, MultiPoint Premium y Standard. Además, Microsoft mantiene documentación específica para Windows Server 2016 Essentials y 2019 Essentials; en 2022 Essentials quedó solo OEM. O sea: el “siguiente” de Foundation no fue otro Foundation, sino que Microsoft dejó esa edición y, para entornos pequeños, lo más parecido pasó a ser Essentials; para migraciones de AD como la tuya, normalmente conviene más Standard. (Microsoft Learn)

Yo no me metería con Essentials para este puente. Tiene su propia lógica y restricciones de despliegue; Microsoft documenta, por ejemplo, que en su modo Essentials debe estar en la raíz del bosque/dominio y mantener los FSMO, así que para una migración técnica como la tuya te complica más de lo que ayuda. 2016 Standard es la opción correcta para rescatar ese AD y luego pasar a 2025. (Microsoft Learn)

Tu ruta ahora sería esta:

1. Olvida de momento el 2025. No puede entrar como DC hasta que el dominio esté al menos a nivel funcional 2016 y libre de errores de replicación. (Microsoft Learn)
2. Arregla WIN2016 hasta que tenga SYSVOL y NETLOGON.
3. Cuando WIN2016 esté sano, mueves FSMO, retiras el 2012, subes DFL/FFL a 2016 y entonces ya metes el 2025. (Microsoft Learn)

Ahora mismo el siguiente paso útil no es repetir la promoción, sino mirar qué evento exacto está bloqueando SYSVOL. En WIN2016, ejecuta esto:
Get-WinEvent -LogName "DFS Replication" -MaxEvents 50 |
Select TimeCreated, Id, LevelDisplayName, Message |
Format-List


y también:
wmic /namespace:\\root\microsoftdfs path dfsrreplicatedfolderinfo where "replicatedfoldername='SYSVOL Share'" get replicationgroupname,replicatedfoldername,state,la sterrorcode,lasterrormessageid


El estado de DFSR se interpreta así: 2 = Initial Sync, 3 = Auto Recovery, 4 = Normal, 5 = In Error. Si no estás en 4, ya tienes localizada la clase de fallo. Microsoft además señala como eventos clave 2213 (DFSR pausado por dirty shutdown), 4614 (esperando replicación inicial), 4604 (SYSVOL inicializado correctamente) y 4012 (content freshness). (Microsoft Learn)

La lectura práctica es esta:

• Si ves 2213, suele ser recuperación pendiente del motor DFSR. Microsoft indica reanudar replicación con ResumeReplication en el volumen afectado y luego forzar lectura de AD con dfsrdiag pollad; después deberías ver 4602/4614/4604. (Microsoft Learn)
• Si ves 4614 pero no 4604, el 2016 está esperando la sincronización inicial de SYSVOL y nunca la completa. (Microsoft Learn)
• Si ves 4012, hay bloqueo por content freshness y la recuperación ya es de tipo no autoritativa/autoritaria según el caso. (Microsoft Learn)

Conclusión corta:
sí, tu cuello de botella es SYSVOL en el 2016, no la edición Foundation en sí. Y la respuesta a tu duda es: no hubo 2016 Foundation; el sustituto comercial “pequeño” fue Essentials, pero para lo que tú estás haciendo usaría 2016 Standard como DC intermedio. (Microsoft Learn)

Pégame el resultado del Get-WinEvent de DFS Replication del WIN2016 y te digo cuál de los tres caminos es: 2213, 4614 atascado o 4012.

Tengo claro que de el 2025 me olvido hasta que el 2016 este funcionando.

Habia pensado la opcion 1, actualizar el 2012 a algo mas moderno, por probar otra cosa mientras, se puedo convertir del FOUNDATION A STANDARD?? y luego ir actualizando?

Adjunto te mando la salida