Active Directory : Migrer SYSVOL de FRS à DFSR

I. Présentation

Sur les domaines Active Directory migrés à partir de Windows Server 2003, vous pouvez avoir encore des traces de FRS (ntfrs) pour la réplication du SYSVOL au sein de votre environnement. Suite à une migration vers une version plus récente, notamment Windows Server 2012 R2 ou même Windows Server 2016, vous devez migrer la réplication SYSVOL de FRS vers DFSR qui est désormais le standard. Ceci n'est pas automatique.

Si vous installez un domaine à partir de zéro sur un OS récent, il utilisera directement DFSR.

Note : DFSR est le service de réplication du partage de données via DFS

Ce qui compte c'est qu'il ne faut plus avoir de contrôleur de domaine en Windows Server 2003 ou antérieur dans votre environnement pour pouvoir migrer vers DFSR. Dans cet exemple, l'infrastructure vient d'être migrée à partir de WS 2003 vers WS 2016.

II. Vérifier l'état de santé

Avant de se lancer tête baissée dans la migration vers DFSR, il est indispensable de vérifier que l'état de santé de votre Active Directory est bon.

Pour cela, je vous conseille d'utiliser les commandes repadmin et dcdiag, mais aussi de faire un tour dans l'observateur d'événements. L'utilitaire AD Replication Status Tool est intéressant aussi.

Avec dcdiag vous pouvez vérifier l'état de la réplication SYSVOL avec cette commande :

dcdiag /e /test:sysvolcheck /test:advertising

Ce qui retourne :

Vous pouvez aussi forcer une synchronisation globale de vos contrôleurs de domaine :

repadmin /syncall /AdeP

Et vérifiez ensuite que la synchronisation s'effectue sans erreur :

repadmin /showrepl

et

repadmin /replsum

Si tout va bien, avant de commencer la migration, vérifiez aussi ceci :

  • Le niveau fonctionnel doit être au minimum Windows Server 2008
  • Votre serveur dispose d'un espace disque suffisant pour stocker une copie du SYSVOL

Tout est bon ? Alors c'est parfait, on va pouvoir attaquer la migration.

III. Migration avec l'utilitaire "dfsrmig"

Tout va s'effectuer dans la ligne de commande avec l'utilitaire dfsrmig, déjà intégré à Windows. Vous allez voir que le processus est très simple, mais il ne faut pas aller trop vite.

Ouvrez une invite de commande en tant qu'administrateur sur votre DC qui est émulateur PDC et exécutez :

dfsrmig /setglobalstate 1

La migration passe en mode préparation, une copie du SYSVOL va être créée avec le nom SYSVOL_DFSR.

Avant de continuer, il faut exécuter la commande suivante :

dfsrmig /getmigrationstate

Elle permet de visualiser l'état d'avancement de l'étape que l'on vient de lancer. Si un ou plusieurs DC sont retournés c'est que ce n'est pas encore terminé, il faut encore patienter.

Vous pouvez relancer la commande de temps en temps... Jusqu'à obtenir ceci :

On peut donc passer à la deuxième étape grâce à la commande suivante :

dfsrmig /setglobalstate 2

La copie SYSVOL_DFSR va être montée sur le partage SYSVOL à la place de la copie qui fonctionne sur FRS. Pendant cette opération il faut patienter à nouveau.

Comme pour la première étape, suivez l'évolution avec la même commande, pour rappel :

dfsrmig /getmigrationstate

Quand vous obtenez ce message, vous pouvez poursuivre à la 3ème étape.

Il s'agit de la 3ème et dernière étape, où l'on va retirer complètement FRS et son SYSVOL, pour basculer entièrement sur DFSR. Saisissez la commande suivante :

dfsrmig /setglobalstate 3

Il faut patienter le temps que FRS soit retiré sur tous les DC et que DFSR soit opérationnel.

Lorsque vous arrivez à cet état, vous pouvez considérer que la réplication est migrée sur DFSR !

Si vous accédez à l'observateur d'événement, vous pourrez remarquer différents events liés à DFSR. Ceci reprend avec un peu plus de détails ce que l'on a pu voir en ligne de commande avec dfsrmig.

Vous constaterez le message "La migration DFSR pour le contrôleur de domaine mon-serveur est terminée" au sein d'un événement avec l'ID 8019.

Enfin, si vous regardez sur vos contrôleurs de domaine vous avez un dossier "SYSVOL_DFSR" qui est partagé en tant que SYSVOL et correspond désormais à votre SYSVOL en production.

Si votre antivirus se montre méfiant avec le SYSVOL, pensez à modifier le chemin d'exclusion de SYSVOL en SYSVOL_DFSR.

Bon courage pour votre migration !

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau et cofondateur d'IT-Connect. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian a publié 2904 articlesVoir toutes les publications de cet auteur

21 thoughts on “Active Directory : Migrer SYSVOL de FRS à DFSR

  • Parfait, exactement ce que je cherchais !
    Merci !

    Répondre
  • Bonjour,
    Suite à cette migration qui s’est passée sans aucun problème, j’ai remarqué sur 2 sites, que le contrôleur de domaine sur lequel j’étais connecté était marqué « Non disponible » lorsque je voulais changer de serveur d’annuaire.
    J’ai relancé les serveurs, c’est toujours pareil. Cela n’a aucune incidence sur le fonctionnement, les réplications utilisateurs, GPO, fonctionnent correctement.
    (dans la console « utilisateurs et ordinateurs AD », clic droit sur « utilisateurs et ordinateurs AD » puis « changer de contrôleur de domaine… »)

    Répondre
    • Bonjour,

      Lorsque vous vérifiez l’état de l’AD avec repadmin et dcdiag, il n’y a pas d’erreurs ?
      Pour la réplication : repadmin /showrepl – repadmin /replsum

      Cordialement,
      Florian

      Répondre
  • Super article, clair, concis et efficace.

    Merci

    Répondre
  • Bonjour,
    tout d’abord merci pour l’article.
    ça peut être fait en journée en production? ou il y a coupure de service pendant la migration?

    Répondre
  • Bonjour,

    Vous auriez pu au moins mettre le lien vers le site où vous avez pris toute votre inspiration.

    Répondre
    • Bonjour Laurent,

      C’est-à-dire ? Quel site ? C’est une opération que je maîtrise et que j’ai réalisée plusieurs fois, je n’ai pas besoin de chercher mon inspiration quelque part…

      Cordialement,
      Florian

      Répondre
  • Merci beaucoup pour ce tuto et votre site en général

    Répondre
  • Bonjour,
    Merci pour le tuto.
    Est-ce que les clients Windows 2003 (non DC) pourront continuer à se connecter au domaine DFSR.
    Salutations

    Répondre
  • Bonjour,
    ayant un souci sur une réplication ntfrs (suite à un plantage d’un dc 2012 puis redemarrage où chkdsk s’est lancé. J’ai maintenant des erreurs 13555 et 13552 sur le 1er DC mais les stratégies se lancent toujours, juste la replication qui ne fait plus entre les 2 dc)
    Puis je lancer tout de même la migration avec ces erreurs? niveau fonctionnel: domaine 2008r2 et foret 2008. et juste 2 dc en 2012 sur mon réseau local.
    Merci d’avance

    Répondre
    • Pour retour, j’ai bien effectué la migration et desormais mes stratégies se repliquent de nouveau. Pour mon petit domaine (150 utilisateurs environ), cela m’a pris 25mn environ. le plus long c’est les sauvegardes que j’ai fait avant migration. merci pour la procédure.

      Répondre
      • Bonjour Luis,
        Désolé de ne pas avoir répondu avant, bonne nouvelle si tout s’est bien passé ! 🙂

        Répondre
  • Bonjour,

    Suite à la création d’un nouveau contrôleur de domaine Win2016 (domaine déjà existant), je vois que le dossier de réplication est SYSVOL au lieu de SYSVOL_DFSR, alors que notre infrastructure AD a déjà été migrée vers DFSR.

    Est ce qu’il y a une manipulation à effectuer pour tout nouveau DC ou le changement vers SYSVOL_DFSR est il censé être automatique ?

    Merci de votre aide.

    Répondre
    • Bonjour Hugues,
      Vu que c’est un nouveau contrôleur de domaine qui est arrivé post-migration FRS vers DFSR, c’est normal que le partage soit directement nommé « SYSVOL ».
      Si tu veux en avoir le coeur net, tu peux exécuter la commande « dfsrmig /getmigrationstate » pour avoir l’état actuel 😉
      Cordialement,
      Florian

      Répondre
  • Merci de ta réponse.

    La commande dfsrmig /getmigrationstate lancée sur le nouveau DC donne le message
    « La migration a atteint un état cohérent sur tous les contrôleurs de domaine »
    Mais j’ai toujours le dossier c:\WIndows\SYSVOL au lieu de SYSVOL_DFSR
    De plus la commande dcdiag.exe /test:services /s:[nom du DC] montre bien une erreur :
    Type de démarrage de service non valide: NtFrs sur xxxx
    valeur actuelle DISABLED, valeur attendue AUTO_START
    Le service NtFrs est arrété‚

    Effectivement le service est arrêté car il n’est plus censé être utilisé.

    Du coup je ne sais pas s’il y a une manip à effectuer pour appliquer le changement pour tout nouveau contrôleur de domaine ajouté , post migration SYSVOL.

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.