SYSVOL Migration von FRS zu DFSR

Spätestens vor der Migration auf Domain Controller mit Windows Server 2016 als Betriebssystem steht die Migration des SYSVOL Shared Folders von File Replication Service (FRS) auf Distributed File System Replication (DFSR) an, da FRS nicht mehr weiterentwickelt wird und der Support mit Windows Server 2016 geendet hat.

Für die Migration des SYSVOL Shared Folders von FRS auf DFSR stellt Microsoft das CLI-Tool dfsrmig bereit. Ab Windows Server 2008 ist das Tool im Betriebssystem enthalten. Mit diesem wird die Replikation des SYSVOL Shared Folder nacheinander in verschiedene Migrationsstati versetzt und FRS durch DFSR ersetzt.

Voraussetzungen & Vorbereitungen

Vor der Migration zu DFSR gibt es mehrere Voraussetzungen und optionale Prüfungsaufgaben, die erfüllt sein müssen/sollten:

Domain Functional Level
Der Domain Functional Level muss vor der Migration mindestens auf Windows Server 2008 angehoben werden, sofern dies nicht bereits geschehen ist.

DFSR Service
Die File-Server Rolle inkl. der Services DFS-Replication und DFS-Namespace müssen vor der Installation installiert sein. Die entsprechenden Dienste müssen gestartet und Automatic als Start Type konfiguriert sein.

PDC Emulator
Die Migration von FRS zu DFSR muss auf dem Domain Controller durchgeführt werden, der die PDC Emulator FSMO-Rolle hält.

CLI/PowerShell
Die unten beschriebenen dfsrmig -Befehle müssen in einer CMD oder einer PowerShell als Administrator ausgeführt werden.

SYSVOL Ordner / Freigabe
Vor der Migration sollte geprüft werden, ob der SYSVOL Ordner selbst bereits korrekt freigegeben und verfügbar ist. Der einfachste Weg dazu ist die Nutzung von Dcdiag.exe für 2 spezifische Tests:

Dcdiag /e /test:sysvolcheck /test:advertising

SYSVOL Replikation
Die Replikation des bisherigen FRS-replizierten SYSVOL Shared Folders sollte vor Beginn der Migration auf eventuelle Fehler geprüft werden. Hierzu ist kann z.B. das Eventlog geprüft werden oder mit Tools wie FRSDiag oder Ultrasound das SYSVOL auf Probleme hin überprüft werden.

Speicherplatz
Vor der Migration sollten die DCs auf ausreichen Speicherplatz geprüft werden. Über die PowerShell lässt sich der freie Speicherplatz wie folgt ermitteln:

Get-WmiObject -Class Win32_LogicalDisk -ComputerName <DC-1>,<DC-2>,<DC-n> | FT systemname,deviceid,freespace -auto

Berechtigungen
Der ausführende Administrator muss Mitglied der Domain-Admins sein. Darüber hinaus ist sicherzustellen, dass der ausführende Administrator (oder eine Gruppe des ausführenden Administrators) in der Security Policy Manage Auditing and Security Log berechtigt ist.

Migration: Status Prepared

Nach Abschluss der Phase Prepared wird der SYSVOL Shared Folder weiterhin korrekt mit FRS repliziert, wohingegen DFSR nur eine Kopie des SYSVOL Folders repliziert. Die Migrationsphase besteht aus folgenden Schritten:

Versetzen des SYSVOL Shared Folder in Status Prepared mit folgendem Befehl:

dfsrmig /SetGlobalState 1

Im Anschluss wird gewartet, bis alle Domain Controller den Status Prepared erreicht haben. Der aktuelle Status kann mit folgendem Befehl geprüft werden:

dfsrmig /GetMigrationState

Der Status muss vor dem nächsten Migrationsschritt bei allen Domain Controllern auf Prepared stehen.

Migration: Status Redirected

Nach Abschluss der Phase Redirected übernimmt die DFSR Kopie des SYSVOL Folders die Bereitstellung der SYSVOL Requests der anderen Domain Controller. FRS repliziert weiterhin den original SYSVOL Folder, aber DFSR repliziert nun den produktiven SYSVOL Folder, den die Domain Controller im Status Redirected benutzen.

Versetzen des SYSVOL Shared Folder in Status Redirected mit folgendem Befehl:

dfsrmig /SetGlobalState 2

Im Anschluss wird gewartet, bis alle Domain Controller den Status Redirected erreicht haben. Der aktuelle Status kann mit folgendem Befehl geprüft werden:

dfsrmig /GetMigrationState

Der Status muss vor dem nächsten Migrationsschritt bei allen Domain Controllern auf Redirected stehen.

Migration: Status Elimiated

Nach Abschluss der Phase Eliminated ist DFSR allein verantwortlich für die SYSVOL Shared Folder Replikation. Windows löscht den ursprünglichen SYSVOL Folder und FRS repliziert nicht länger SYSVOL Daten.

Nach Abschluss der Phase Redirected übernimmt die DFSR Kopie des SYSVOL Folders die Bereitstellung der SYSVOL Requests der anderen Domain Controller. FRS repliziert weiterhin den original SYSVOL Folder, aber DFSR repliziert nun den produktiven SYSVOL Folder, den die Domain Controller im Status Redirected benutzen.

Versetzen des SYSVOL Shared Folder in Status Eliminated mit folgendem Befehl:

dfsrmig /SetGlobalState 3

Im Anschluss wird gewartet, bis alle Domain Controller den Status Eliminated erreicht haben. Der aktuelle Status kann mit folgendem Befehl geprüft werden:

dfsrmig /GetMigrationState

Sobald der Status bei allen Domain Controllern auf Redirected steht, ist die Migration vollständig abgeschlossen.

Rollback

Der Migrationsprozess kann jederzeit auf einen vorherigen stabilen Status zurückgestellt werden, bevor mit dem Migrationsstatus Eliminated begonnen wird. Danach ist kein Rollback des SYSVOL Shared Folders auf FRS möglich.

Hierzu kann auf den vorherigen Status oder auf Status Start (Ursprungszustand) zurück migriert werden.

Von Status Redirected auf Status Prepared:

dfsrmig /SetGlobalState 1

Von Status Redirected oder von Status Prepared auf Status Start:

dfsrmig /SetGlobalState 0

Quick & Dirty

Für die Mutigen unter uns gibt es auch die Möglichkeit, die Migration in nur einem Schritt und ohne große Vorbereitung durchzuführen. Von dieser Vorgehensweise wird allerdings in produktiven Umgebungen abgeraten, da es keine Rollbackmöglichkeit gibt.

Bei dieser Methode ist lediglich die Berechtigung der Security Policy zu prüfen (siehe oben), danach wird der Migrationsstatus direkt auf Eliminated gesetzt. dfsrmig führt bei dieser Methode die einzelnen Migrationsschritte in einem Schritt gebündelt aus.

dfsrmig /SetGlobalState 3