Migrer le dossier SYSVOL de FRS vers DFS-R

1. IntroductionCet article a pour but de présenter la migration du SYSVOL de FRS (File Replication Service) vers DFS-R. Le SYSVOL est un dossier particulier permettant de répliquer les scripts d’ouverture de sessions ainsi que les GPOs à travers le domaine. Sous Windows 2000 et 2003, la réplication SYSVOL était gérée par le service FRS. A partir de Windows Server 2008, c’est le service de réplication DFS (DFS-R) qui intervient pour la réplication de ce dossier.

Cette migration intervient notamment dans le cas d’un upgrade d’un domaine en niveau fonctionnel Windows Server 2000 ou 2003 vers 2008 ou 2008 R2, c’est-à-dire lorsque tous vos contrôleurs de domaine ont été mis à jour (ou remplacés) sous Windows Server 2008 ou 2008 R2. Dans le cas d’une telle migration, vous pourrez réaliser la migration du SYSVOL de FRS vers DFS-R permettant d’optimiser la réplication du SYSVOL en bénéficiant des avantages de la réplication via DFS-R (http://technet.microsoft.com/en-us/library/cc771058.aspx ) notamment :

Réplication en mode blocs, au niveau des changements opérés dans les fichiers (Remote Differential Compression)

Sécurisation du contenu de SYSVOL sur les RDOC. Jusqu’à seize transferts de fichiers simultanément (au lieu de quatre avec FRS) Gestion asynchrone des transferts

2. Contexte

Nom du domaine : Win2003.lab Niveau fonctionnel du domaine : Windows Server 2003 (2 DC sous Win 2003) La réplication du SYSVOL est gérée par FRS

Mise à jour du schéma et préparation du domaine à accueillir des contrôleurs de domaine sous Windows 2008 R2 (adprep /ForestPrep et adprep /DomainPrep)

Ajout d’un DC sous Windows Server 2008 R2 (DC3) DCPROMO pour supprimer un DC sous Windows 2003 (DC1) Mise à jour du DC sous Windows Server 2003 en 2008 R2 (DC2) :

Le niveau fonctionnel sera augmenté vers Windows Server 2008 R2 durant la migration

3. Etat de migrationLe processus de migration du SYSVOL comporte plusieurs étapes (4 stables + 6 phases de transitions)

On différencie un état de migration de type Global à celui de type Local.

L’état de migration de type Global définie la phase attendu sur tous les contrôleurs de domaine. Cet état est initié via l’outil en ligne de commande dfsrmig et, étant stocké dans l’Active Directory, est répliqué sur tous les contrôleurs du domaine. L’état de migration global associé au domaine est stocké sous “CN=DFSR-GlobalSettings,CN=SYSTEM,DC=<domain>” via l’attribut “msDFSR-Flags” :

L’état de migration de type Local est associé à l’état du contrôleur de domaine. Chaque DC va vérifier l’état de migration Global (associé au domaine) stocké dans l’AD afin de savoir si son état est cohérent avec l’état attendu. Si ce n’est pas le cas, DFS-R essaiera de faire converger l’état local du DC avec l’état global du domaine. Chaque contrôleur de domaine va créer un conteneur “DFSR-LocalSettings” et y référencer son état dans l’attribut “msDFSR-Flags” :

L’état de migration local est stocké dans la base de registre pour chaque DC via la clé suivante : HKLM\System\CurrentControlSet\Services\DFSR\Parameters\Sysvols\Migrating Sysvols\Local State

3.1 Détail des Phases

Etat/Phase DétailValeur de msDFSR-Flags

Start (State 0) FRS réplique le dossier SYSVOL avant d’initier le processus de migration

Prepared (State 1)

FRS continue la réplication du SYSVOL, les DCs utilisent ce dossier.

Tous les DCs font un robocopy du SYSVOL vers SYSVOL_DFSR. Cette copie n’est pas utilisé par les DCs

DFS-R réplique le dossier SYSVOL_DFSR

0 pour le global

16 pour le local

Redirected (State 2)

Le PDC fait un robocopy local des nouvelles données du SYSVOL vers SYSVOL_DFSR. Les autres DCs recoivent les nouveautés via la réplication DFS-R.

La copie du SYSVOL répliquée via DFS-R devient active, les DCs l’utilisent, le partage SYSVOL est modifié pour pointer vers la copie DFS-R.

FRS continues la réplication de l’ancien SYSVOL.

96 pour le global 32 pour le global

Eliminated (State 3)

DFS-R gère les réplications du SYSVOL sur les DCs. Windows supprime l’ancien (original) dossier SYSVOL et FRS n’est plus utilisé pour la réplication SYSVOL.

48 pour le global 48 pour le local

La transition entre ces différentes étapes est réalisés à l’aide de la commande dfsrmig

Synthèse des événements associés à ces phases sur le dossier SYSVOL :

1. Création d’une copie du SYSVOL ([drive:\]Windows_folder\SYSVOL_DFSR) 2. Modification du mappage du dossier partagé SYSVOL pour cibler la copie

SYSVOL_DFSR 3. Suppression du dossier original SYSVOL

3.2 Etat de Transition LocalDurant les différentes étapes de la migration (via la commande dfsrmig), les DCs atteindront différents états de transition entre chaque phases stables. Voici la liste des état de transition local (pour chaque DC) :

Phase (valeur de la clé Local State) Nom de l’état de Transition4 Préparation5 Attente de la synchronisation initiale6 Redirection7 Elimination8 Annulation de la redirection9 Annulation de la Préparation

Le service DFS-R, sur chaque DC, interroge l’AD pour récupérer la valeur de l’état de migration global (1 des 4 phases). Dans le cas ou l’état local (du DC) est différent de l’état global (du domaine), DFS-R se charge de changer l’état local pour correspondre à l’état global.

La commande dfsrmig permet de parcourir les différentes étapes de migration jusqu’à la dernière phase “Eliminated”. Avant d’atteindre la phase “Eliminated”, un rollback de la migration reste possible pour revenir à la phase 0 “Start” ou à une phase précédente. Une fois la phase “Eliminated” déclenchée, le rollback n’est plus possible et vous ne pourrez plus utiliser FRS pour répliquer le dossier SYSVOL. La planification de cette dernière phase est donc importante.

L’enchainement des différentes phases et états de transition locals :

Dans le cas d’un rollback (Phase 2 vers Phase 0):

4. Processus de migration4.1 Vérifications et pré-requisAvant de démarrer le processus de migration, plusieurs vérifications et sauvegardes doivent être planifiées.

Vérifier l’état du SYSVOL sur chaque DC: via la commande net share

Vérifier l’état des réplications : http://blogs.technet.com/b/askds/archive/2008/05/22/verifying-file-replication-during-the-windows-server-2008-dfsr-sysvol-migration-down-and-dirty-style.aspx

notamment via la commande repadmin /ReplSum

Vérifier la valeur des clés SYSVOL sur chaque DC : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters

SysVol pointe sur [drive:\]Windows_folder\SYSVOL\sysvol

SysvolReady est à 1.

Vérifier l’état du service DFS-R : DFS Replication en Auto

Augmenter le niveau fonctionnel vers Windows Server 2008 R2 (ou 2008).

Faire une sauvegarde : avec Windows Server Backup et la commande Wbadmin start systemstatebackup

4.2 Migration vers la phase “Prepared”L’outil en ligne de commande dfsrmig va permettre de gérer les différentes étapes de la migration. Les différentes commandes sont à exécuter sur le DC possédant le rôle FSMO Emulateur PDC. DFSRMIG contacte directement l’ePDC.

Pour activer la phase “Prepared”, saisir la commande : dfsrmig /setglobalstate 1

La commande dfsrmig /getglobalstate permet de vérifier quel est l’état global de la migration :

La commande dfsrmig /getmigrationstate va permettre de retourner l’état des DCs de votre domaine :

Il faut attendre que l’information soit répliquée (stockée dans l’AD) afin que tous les DCs possèdent un état correspondant à la phase que l’on vient d’initier (“Prepared” ici).

Si vous ne voulez pas patienter vous pouvez saisir les commandes DFSRDIAG POLLAD et REPADMIN /SYNCALL /E pour forcer la réplication AD et DFS-R.

Cette phase va permettre de copier le contenu du SYSVOL dans un dossier nommé SYSVOL_DFSR qui sera créé sous [drive:\]Windows_folder\ . La durée de la phase de copie dépend de la taille du dossier SYSVOL.

Dans la console “DFS Management”, on retrouve la réplication du groupe “Domain System Volume” qui correspond au dossier SYSVOL_DFSR qui vient d’être créé :

Vous pouvez générer un rapport de diagnostique afin de valider la réplication du dossier SYSVOL_DFSR :

4.3 Migration vers la phase “Redirected”Cette phase va permettre de modifier la cible du partage du SYSVOL pour pointer vers le dossier répliqué via DFS-R : SYSVOL_DFSR.

Pour activer la phase “Redirected”, saisir la commande : dfsrmig /setglobalstate 2

puis dfsrmig /getmigrationstate pour valider que l’état global “Redirected” a été appliqué sur tout vos DCs (au bout de quelques minutes) :

Attendre que la migration soit dans un état consistent avant de passer à la dernière étape “Eliminated”

Saisir ensuite la commande Net Share sur vos DCs pour vérifier que le partage du SYSVOL pointe désormais sur [drive:\]Windows_folder\SYSVOL_DFSR :

Pour vérifier le bon fonctionnement de la réplication DFS-R du SYSVOL, vous pouvez relancer un rapport de diagnostique via la console “DFS Management”

4.3 Migration vers la phase “Eliminated”La dernière étape de la migration va permettre d’utiliser la réplication DFS-R pour SYSVOL et ne permet plus de retour arrière. La réalisation de cette étape est donc à planifier attentivement.

Vérifier via la commande dfsrmig /getmigrationstate que tous les DCs sont dans un état convergent correspondant à la phase précédente “Redirected” .

Vérifier via la commande repadmin /ReplSum que la réplication Active Directory fonctionne :

Refaire un backup via la commande Wbadmin start systemstatebackup

Afin de déclencher la phase globale “Eliminated”, saisir la commande dfsrmig /setglobalstate :

Saisir la commande dfsrmig /getmigrationstate pour vérifier l’état d’avancement de la migration (attendre le temps de la réplication pour atteindre un état convergent sur tous les

DCs)

Vérifier ensuite via la commande Net Share (sur tous les DCs du domaine) que le partage SYSVOL pointe bien sur le dossier SYSVOL_DFSR.

Sur tous les DCs, vérifier que le dossier [drive:\]Windows_folder\SYSVOL est bien supprimé. Seul le dossier SYSVOL_DFSR est présent :