Migrer le dossier SYSVOL de FRS vers DFS-R

1. Introduction
Cet article a pour but de présenter la migration du SYSVOL de FRS (File Replication
Service) vers DFS-R. Le SYSVOL est un dossier particulier permettant de répliquer les
scripts d’ouverture de sessions ainsi que les GPOs à travers le domaine. Sous Windows 2000
et 2003, la réplication SYSVOL était gérée par le service FRS. A partir de Windows Server
2008, c’est le service de réplication DFS (DFS-R) qui intervient pour la réplication de ce
dossier.

Cette migration intervient notamment dans le cas d’un upgrade d’un domaine en niveau
fonctionnel Windows Server 2000 ou 2003 vers 2008 ou 2008 R2, c’est-à-dire lorsque tous
vos contrôleurs de domaine ont été mis à jour (ou remplacés) sous Windows Server 2008 ou
2008 R2. Dans le cas d’une telle migration, vous pourrez réaliser la migration du SYSVOL de
FRS vers DFS-R permettant d’optimiser la réplication du SYSVOL en bénéficiant des
avantages de la réplication via DFS-R
(http://technet.microsoft.com/en-us/library/cc771058.aspx ) notamment :

 Réplication en mode blocs, au niveau des changements opérés dans les fichiers
(Remote Differential Compression)
 Sécurisation du contenu de SYSVOL sur les RDOC.
 Jusqu’à seize transferts de fichiers simultanément (au lieu de quatre avec FRS)
 Gestion asynchrone des transferts

2. Contexte

 Nom du domaine : Win2003.lab

 Niveau fonctionnel du domaine : Windows Server 2003 (2 DC sous Win 2003)
 La réplication du SYSVOL est gérée par FRS
  Mise à jour du schéma et préparation du domaine à accueillir des contrôleurs de
domaine sous Windows 2008 R2 (adprep /ForestPrep et adprep /DomainPrep)
 Ajout d’un DC sous Windows Server 2008 R2 (DC3)
 DCPROMO pour supprimer un DC sous Windows 2003 (DC1)
 Mise à jour du DC sous Windows Server 2003 en 2008 R2 (DC2) :

 Le niveau fonctionnel sera augmenté vers Windows Server 2008 R2 durant la

migration

3. Etat de migration
Le processus de migration du SYSVOL comporte plusieurs étapes (4 stables + 6 phases de
transitions)

On différencie un état de migration de type Global à celui de type Local.

 L’état de migration de type Global définie la phase attendu sur tous les contrôleurs de
domaine. Cet état est initié via l’outil en ligne de commande dfsrmig et, étant stocké
dans l’Active Directory, est répliqué sur tous les contrôleurs du domaine. L’état de
migration global associé au domaine est stocké sous “CN=DFSR-
GlobalSettings,CN=SYSTEM,DC=<domain>” via l’attribut “msDFSR-Flags” :
  L’état de migration de type Local est associé à l’état du contrôleur de domaine.
Chaque DC va vérifier l’état de migration Global (associé au domaine) stocké dans
l’AD afin de savoir si son état est cohérent avec l’état attendu. Si ce n’est pas le cas,
DFS-R essaiera de faire converger l’état local du DC avec l’état global du domaine.
Chaque contrôleur de domaine va créer un conteneur “DFSR-LocalSettings” et y
référencer son état dans l’attribut “msDFSR-Flags” :

L’état de migration local est stocké dans la base de registre pour chaque DC via la clé
suivante : HKLM\System\CurrentControlSet\Services\DFSR\Parameters\Sysvols\
Migrating Sysvols\Local State

3.1 Détail des Phases

 Valeur de
Etat/Phase Détail msDFSR-
Flags
FRS réplique le dossier SYSVOL avant d’initier le processus
Start (State 0)
de migration
FRS continue la réplication du SYSVOL, les DCs utilisent ce
dossier.
0 pour le global
Prepared
Tous les DCs font un robocopy du SYSVOL vers
(State 1)
SYSVOL_DFSR. Cette copie n’est pas utilisé par les DCs 16 pour le local

DFS-R réplique le dossier SYSVOL_DFSR

Le PDC fait un robocopy local des nouvelles données du
SYSVOL vers SYSVOL_DFSR. Les autres DCs recoivent les
nouveautés via la réplication DFS-R.
96 pour le
Redirected global
La copie du SYSVOL répliquée via DFS-R devient active, les
(State 2) 32 pour le
DCs l’utilisent, le partage SYSVOL est modifié pour pointer
global
vers la copie DFS-R.

FRS continues la réplication de l’ancien SYSVOL.

DFS-R gère les réplications du SYSVOL sur les DCs. 48 pour le
Eliminated
Windows supprime l’ancien (original) dossier SYSVOL et FRS global
(State 3)
n’est plus utilisé pour la réplication SYSVOL. 48 pour le local

La transition entre ces différentes étapes est réalisés à l’aide de la commande dfsrmig

Synthèse des événements associés à ces phases sur le dossier SYSVOL :

1. Création d’une copie du SYSVOL ([drive:\]Windows_folder\SYSVOL_DFSR)

2. Modification du mappage du dossier partagé SYSVOL pour cibler la copie
SYSVOL_DFSR
3. Suppression du dossier original SYSVOL

3.2 Etat de Transition Local

Durant les différentes étapes de la migration (via la commande dfsrmig), les DCs atteindront
différents états de transition entre chaque phases stables. Voici la liste des état de transition
local (pour chaque DC) :

Phase (valeur de la clé Local State) Nom de l’état de Transition

4 Préparation
5 Attente de la synchronisation initiale
6 Redirection
7 Elimination
8 Annulation de la redirection
9 Annulation de la Préparation
Le service DFS-R, sur chaque DC, interroge l’AD pour récupérer la valeur de l’état de
migration global (1 des 4 phases). Dans le cas ou l’état local (du DC) est différent de l’état
global (du domaine), DFS-R se charge de changer l’état local pour correspondre à l’état
global.

La commande dfsrmig permet de parcourir les différentes étapes de migration jusqu’à la

dernière phase “Eliminated”. Avant d’atteindre la phase “Eliminated”, un rollback de la
migration reste possible pour revenir à la phase 0 “Start” ou à une phase précédente. Une fois
la phase “Eliminated” déclenchée, le rollback n’est plus possible et vous ne pourrez plus
utiliser FRS pour répliquer le dossier SYSVOL. La planification de cette dernière phase est
donc importante.

L’enchainement des différentes phases et états de transition locals :

Dans le cas d’un rollback (Phase 2 vers Phase 0):

4. Processus de migration
4.1 Vérifications et pré-requis
Avant de démarrer le processus de migration, plusieurs vérifications et sauvegardes doivent
être planifiées.

 Vérifier l’état du SYSVOL sur chaque DC: via la commande net share
  Vérifier l’état des réplications :
http://blogs.technet.com/b/askds/archive/2008/05/22/verifying-file-replication-during-
the-windows-server-2008-dfsr-sysvol-migration-down-and-dirty-style.aspx

notamment via la commande repadmin /ReplSum

 Vérifier la valeur des clés SYSVOL sur chaque DC : HKEY_LOCAL_MACHINE\

System\CurrentControlSet\Services\Netlogon\Parameters

SysVol pointe sur [drive:\]Windows_folder\SYSVOL\sysvol

SysvolReady est à 1.

 Vérifier l’état du service DFS-R : DFS Replication en Auto

 Augmenter le niveau fonctionnel vers Windows Server 2008 R2 (ou 2008).

  Faire une sauvegarde : avec Windows Server Backup et la commande Wbadmin start
systemstatebackup

4.2 Migration vers la phase “Prepared”

L’outil en ligne de commande dfsrmig va permettre de gérer les différentes étapes de la
migration. Les différentes commandes sont à exécuter sur le DC possédant le rôle FSMO
Emulateur PDC. DFSRMIG contacte directement l’ePDC.

Pour activer la phase “Prepared”, saisir la commande : dfsrmig /setglobalstate 1

La commande dfsrmig /getglobalstate permet de vérifier quel est l’état global de la migration
:
La commande dfsrmig /getmigrationstate va permettre de retourner l’état des DCs de votre
domaine :

Il faut attendre que l’information soit répliquée (stockée dans l’AD) afin que tous les DCs
possèdent un état correspondant à la phase que l’on vient d’initier (“Prepared” ici).

Si vous ne voulez pas patienter vous pouvez saisir les commandes DFSRDIAG POLLAD et
REPADMIN /SYNCALL /E pour forcer la réplication AD et DFS-R.

Cette phase va permettre de copier le contenu du SYSVOL dans un dossier nommé

SYSVOL_DFSR qui sera créé sous [drive:\]Windows_folder\ . La durée de la phase de copie
dépend de la taille du dossier SYSVOL.

Dans la console “DFS Management”, on retrouve la réplication du groupe “Domain System

Volume” qui correspond au dossier SYSVOL_DFSR qui vient d’être créé :
Vous pouvez générer un rapport de diagnostique afin de valider la réplication du dossier
SYSVOL_DFSR :

4.3 Migration vers la phase “Redirected”

Cette phase va permettre de modifier la cible du partage du SYSVOL pour pointer vers le
dossier répliqué via DFS-R : SYSVOL_DFSR.

Pour activer la phase “Redirected”, saisir la commande : dfsrmig /setglobalstate 2

puis dfsrmig /getmigrationstate pour valider que l’état global “Redirected” a été appliqué
sur tout vos DCs (au bout de quelques minutes) :

Attendre que la migration soit dans un état consistent avant de passer à la dernière étape
“Eliminated”

Saisir ensuite la commande Net Share sur vos DCs pour vérifier que le partage du SYSVOL
pointe désormais sur [drive:\]Windows_folder\SYSVOL_DFSR :
Pour vérifier le bon fonctionnement de la réplication DFS-R du SYSVOL, vous pouvez
relancer un rapport de diagnostique via la console “DFS Management”

4.3 Migration vers la phase “Eliminated”

La dernière étape de la migration va permettre d’utiliser la réplication DFS-R pour SYSVOL
et ne permet plus de retour arrière. La réalisation de cette étape est donc à planifier
attentivement.

Vérifier via la commande dfsrmig /getmigrationstate que tous les DCs sont dans un état
convergent correspondant à la phase précédente “Redirected” .

Vérifier via la commande repadmin /ReplSum que la réplication Active Directory

fonctionne :

Refaire un backup via la commande Wbadmin start systemstatebackup

Afin de déclencher la phase globale “Eliminated”, saisir la commande dfsrmig

/setglobalstate :
Saisir la commande dfsrmig /getmigrationstate pour vérifier l’état d’avancement de la
migration (attendre le temps de la réplication pour atteindre un état convergent sur tous les

DCs)

Vérifier ensuite via la commande Net Share (sur tous les DCs du domaine) que le partage
SYSVOL pointe bien sur le dossier SYSVOL_DFSR.

Sur tous les DCs, vérifier que le dossier [drive:\]Windows_folder\SYSVOL est bien
supprimé. Seul le dossier SYSVOL_DFSR est présent :