Active Directory : Migrer SYSVOL de FRS à DFSR
I. Présentation
Sur les domaines Active Directory migrés à partir de Windows Server 2003, vous pouvez avoir encore des traces de FRS (ntfrs) pour la réplication du SYSVOL au sein de votre environnement. Suite à une migration vers une version plus récente, notamment Windows Server 2012 R2 ou même Windows Server 2016, vous devez migrer la réplication SYSVOL de FRS vers DFSR qui est désormais le standard. Ceci n'est pas automatique.
Si vous installez un domaine à partir de zéro sur un OS récent, il utilisera directement DFSR.
Note : DFSR est le service de réplication du partage de données via DFS
Ce qui compte c'est qu'il ne faut plus avoir de contrôleur de domaine en Windows Server 2003 ou antérieur dans votre environnement pour pouvoir migrer vers DFSR. Dans cet exemple, l'infrastructure vient d'être migrée à partir de WS 2003 vers WS 2016.
II. Vérifier l'état de santé
Avant de se lancer tête baissée dans la migration vers DFSR, il est indispensable de vérifier que l'état de santé de votre Active Directory est bon.
Pour cela, je vous conseille d'utiliser les commandes repadmin et dcdiag, mais aussi de faire un tour dans l'observateur d'événements. L'utilitaire AD Replication Status Tool est intéressant aussi.
Avec dcdiag vous pouvez vérifier l'état de la réplication SYSVOL avec cette commande :
dcdiag /e /test:sysvolcheck /test:advertising
Ce qui retourne :
Vous pouvez aussi forcer une synchronisation globale de vos contrôleurs de domaine :
repadmin /syncall /AdeP
Et vérifiez ensuite que la synchronisation s'effectue sans erreur :
repadmin /showrepl
et
repadmin /replsum
Si tout va bien, avant de commencer la migration, vérifiez aussi ceci :
- Le niveau fonctionnel doit être au minimum Windows Server 2008
- Votre serveur dispose d'un espace disque suffisant pour stocker une copie du SYSVOL
Tout est bon ? Alors c'est parfait, on va pouvoir attaquer la migration.
III. Migration avec l'utilitaire "dfsrmig"
Tout va s'effectuer dans la ligne de commande avec l'utilitaire dfsrmig, déjà intégré à Windows. Vous allez voir que le processus est très simple, mais il ne faut pas aller trop vite.
Ouvrez une invite de commande en tant qu'administrateur sur votre DC qui est émulateur PDC et exécutez :
dfsrmig /setglobalstate 1
La migration passe en mode préparation, une copie du SYSVOL va être créée avec le nom SYSVOL_DFSR.
Avant de continuer, il faut exécuter la commande suivante :
dfsrmig /getmigrationstate
Elle permet de visualiser l'état d'avancement de l'étape que l'on vient de lancer. Si un ou plusieurs DC sont retournés c'est que ce n'est pas encore terminé, il faut encore patienter.
Vous pouvez relancer la commande de temps en temps... Jusqu'à obtenir ceci :
On peut donc passer à la deuxième étape grâce à la commande suivante :
dfsrmig /setglobalstate 2
La copie SYSVOL_DFSR va être montée sur le partage SYSVOL à la place de la copie qui fonctionne sur FRS. Pendant cette opération il faut patienter à nouveau.
Comme pour la première étape, suivez l'évolution avec la même commande, pour rappel :
dfsrmig /getmigrationstate
Quand vous obtenez ce message, vous pouvez poursuivre à la 3ème étape.
Il s'agit de la 3ème et dernière étape, où l'on va retirer complètement FRS et son SYSVOL, pour basculer entièrement sur DFSR. Saisissez la commande suivante :
dfsrmig /setglobalstate 3
Il faut patienter le temps que FRS soit retiré sur tous les DC et que DFSR soit opérationnel.
Lorsque vous arrivez à cet état, vous pouvez considérer que la réplication est migrée sur DFSR !
Si vous accédez à l'observateur d'événement, vous pourrez remarquer différents events liés à DFSR. Ceci reprend avec un peu plus de détails ce que l'on a pu voir en ligne de commande avec dfsrmig.
Vous constaterez le message "La migration DFSR pour le contrôleur de domaine mon-serveur est terminée" au sein d'un événement avec l'ID 8019.
Enfin, si vous regardez sur vos contrôleurs de domaine vous avez un dossier "SYSVOL_DFSR" qui est partagé en tant que SYSVOL et correspond désormais à votre SYSVOL en production.
Si votre antivirus se montre méfiant avec le SYSVOL, pensez à modifier le chemin d'exclusion de SYSVOL en SYSVOL_DFSR.
Bon courage pour votre migration !
excellent tutoriel !
Parfait, exactement ce que je cherchais !
Merci !
Bonjour,
Suite à cette migration qui s’est passée sans aucun problème, j’ai remarqué sur 2 sites, que le contrôleur de domaine sur lequel j’étais connecté était marqué « Non disponible » lorsque je voulais changer de serveur d’annuaire.
J’ai relancé les serveurs, c’est toujours pareil. Cela n’a aucune incidence sur le fonctionnement, les réplications utilisateurs, GPO, fonctionnent correctement.
(dans la console « utilisateurs et ordinateurs AD », clic droit sur « utilisateurs et ordinateurs AD » puis « changer de contrôleur de domaine… »)
Bonjour,
Lorsque vous vérifiez l’état de l’AD avec repadmin et dcdiag, il n’y a pas d’erreurs ?
Pour la réplication : repadmin /showrepl – repadmin /replsum
Cordialement,
Florian
Merci Floran pour tous ces tutos qui ont toujours été très pertinents et d’une grande utilité.
J’aimerais savoir si cette opération de migration SYSVOL de FRS à DFSR requiert un arrêt de service voire un redémarrade de DC.
Grand merci!!
Mils
Merci !!
Super article, clair, concis et efficace.
Merci
Bonjour,
tout d’abord merci pour l’article.
ça peut être fait en journée en production? ou il y a coupure de service pendant la migration?
Bonjour,
Vous auriez pu au moins mettre le lien vers le site où vous avez pris toute votre inspiration.
Bonjour Laurent,
C’est-à-dire ? Quel site ? C’est une opération que je maîtrise et que j’ai réalisée plusieurs fois, je n’ai pas besoin de chercher mon inspiration quelque part…
Cordialement,
Florian
Bonjour,
cela fait plusieurs fois que j’utilise ce tuto pour intégrer un DC Win2016 / 2019 dans un AD sous 2008 R2.
(en plus de https://www.it-connect.fr/supprimer-un-controleur-de-domaine-hors-service/)
Clair, simple et efficace.
Merci !
Cordialement,
David C.
Merci pour ce retour 😉
Top !
Merci
Merci beaucoup pour ce tuto et votre site en général
Excellent tuto, fonctionne parfaitement.
Bonjour,
Merci pour le tuto.
Est-ce que les clients Windows 2003 (non DC) pourront continuer à se connecter au domaine DFSR.
Salutations
Bonjour,
ayant un souci sur une réplication ntfrs (suite à un plantage d’un dc 2012 puis redemarrage où chkdsk s’est lancé. J’ai maintenant des erreurs 13555 et 13552 sur le 1er DC mais les stratégies se lancent toujours, juste la replication qui ne fait plus entre les 2 dc)
Puis je lancer tout de même la migration avec ces erreurs? niveau fonctionnel: domaine 2008r2 et foret 2008. et juste 2 dc en 2012 sur mon réseau local.
Merci d’avance
Pour retour, j’ai bien effectué la migration et desormais mes stratégies se repliquent de nouveau. Pour mon petit domaine (150 utilisateurs environ), cela m’a pris 25mn environ. le plus long c’est les sauvegardes que j’ai fait avant migration. merci pour la procédure.
Bonjour Luis,
Désolé de ne pas avoir répondu avant, bonne nouvelle si tout s’est bien passé ! 🙂
Bonjour,
Suite à la création d’un nouveau contrôleur de domaine Win2016 (domaine déjà existant), je vois que le dossier de réplication est SYSVOL au lieu de SYSVOL_DFSR, alors que notre infrastructure AD a déjà été migrée vers DFSR.
Est ce qu’il y a une manipulation à effectuer pour tout nouveau DC ou le changement vers SYSVOL_DFSR est il censé être automatique ?
Merci de votre aide.
Bonjour Hugues,
Vu que c’est un nouveau contrôleur de domaine qui est arrivé post-migration FRS vers DFSR, c’est normal que le partage soit directement nommé « SYSVOL ».
Si tu veux en avoir le coeur net, tu peux exécuter la commande « dfsrmig /getmigrationstate » pour avoir l’état actuel 😉
Cordialement,
Florian
Merci de ta réponse.
La commande dfsrmig /getmigrationstate lancée sur le nouveau DC donne le message
« La migration a atteint un état cohérent sur tous les contrôleurs de domaine »
Mais j’ai toujours le dossier c:\WIndows\SYSVOL au lieu de SYSVOL_DFSR
De plus la commande dcdiag.exe /test:services /s:[nom du DC] montre bien une erreur :
Type de démarrage de service non valide: NtFrs sur xxxx
valeur actuelle DISABLED, valeur attendue AUTO_START
Le service NtFrs est arrété‚
Effectivement le service est arrêté car il n’est plus censé être utilisé.
Du coup je ne sais pas s’il y a une manip à effectuer pour appliquer le changement pour tout nouveau contrôleur de domaine ajouté , post migration SYSVOL.
je pense le tutoriel doit d’abord commencer par vérifier l’état avant de se lancer dans la migration de FRS vers DFS .
Si la commande dfsrmig /getmigrationstate donne « Eliminé » ça veut dire que il ya rien à faire selon moi
Bonjour,
Merci pour le tuto.
J’ai un PDC et SDC en Win2008r2.
La procédure doit elle être appliquée sur les deux serveurs ou juste sur le PDC (role FSMO) ?
Cordialement.
Bonjour,
Merci pour votre article, je dois en effet m’attaquer à cette migration pour ajouter mon premier DC 2019
Tous les tests indiqués sont passés avec succès mais j’ai ce Warning qui vient sur mes 2 DC toutes les 25h
Nom du journal :File Replication Service
Source : NtFrs
Date : 23.08.2021 20:33:12
ID de l’événement :13508
Catégorie de la tâche :Aucun
Niveau : Avertissement
Mots clés : Classique
Utilisateur : N/A
Ordinateur : PDC.domain.local
Description :
Le service de réplication de fichiers (FRS) rencontre des problèmes lors de l’activation de la réplication de PDC vers VDC pour c:\windows\sysvol\domain en utilisant le nom DNS PDC.domain.local. FRS va essayer à nouveau.
Voici quelques-unes des raisons de cet avertissement :
[1] FRS ne peut pas résoudre le nom DNS PDC.domain.local correctement à partir de cet ordinateur.
[2] FRS n’est pas en cours d’exécution sur PDC.domain.local.
[3] Les informations de topologie dans Active Directory pour ce réplica n’ont pas été répliquées vers tous les contrôleurs de domaine.
Avez-vous une idée ? Je peux quand même m’occuper de la migration ?
Merci pour votre aide et vos articles.
Bonjour,
Qu’entendez-vous par : « Enfin, si vous regardez sur vos contrôleurs de domaine vous avez un dossier « SYSVOL_DFSR » qui est partagé en tant que SYSVOL et correspond désormais à votre SYSVOL en production. » ?
Je vois bien le dossier SYSVOL_DFSR consécutivement à l’opération de migration. Mais par partage, vous entendez un partage « classique » qui pointerait vers ce dossier ?
Cordialement
Merci, je suis en train de migrer un domaine 2012 à 2022 et je ne me doutais pas que ce domaine était en 2003, et tes explications mon bien aidé.
Je fais un test de sécurité avec PurpleKnight et il me remonte ceci comme une faille de sécurité, apparemment il resterait des résidus mais pas encore trouvé de solution.
— Description —
This indicator looks for indication of usage of FRS for sysvol replication. Domain controllers are configured to use the NTFRS replication protocol (especially for SYSVOL replication). This protocol is obsolete and unnecessarily adds administrative interfaces to domain controllers. In addition, this protocol is no longer supported by the latest versions of Windows Server, which prevents migration to the latest versions.
— Likelihood of Compromise —
NTFRS is an older protocol that has been replaced by DFSR. Attackers that can manipulate NTFRS vulnerabilities to compromise SYSVOL can potentially change GPOs and logon scripts to propagate malware and move laterally across the environment.
— Result —
Found 1 domains that are suspected to use NTFRS for SYSVOL replication. It is possible that migration to DFSR was completed but the container was not removed.