Напомним, что каталог Sysvol присутствует на всех контроллерах домена Active Directory и используется для хранения логон скриптов и объектов групповых политик (подробнее о репликации в Active Directory можно почитать тут). В том случае, если вы развернули новый домен с нуля на функциональном уровне Windows Server 2008, то для репликации каталога SYSVOL используется механизм репликации DFS ( Особенности и преимущества DFS ).
Если же функциональный уровень домена Windows Server 2003 (или ниже), то для репликации SYSVOL используется служба FRS. После того, как функциональный уровень домена поднят до Windows Server 2008, то для репликации объектов AD можно использовать DFS, но только осуществив процедуру миграции, о которой мы и поговорим.
Узнаем текущий тип репликации
1.На контроллере домена с правами администратора домена откройте mmc консоль adsiedit.msc.
2. Жмем правой кнопкой по ADSIEdit и выбираем Connectto.
3. Указываем Select a well known Naming Context и Default naming context.
?
4. Жмем OK.?
5. Развернем элемент Default Naming Context -> Domain Name — > CN=System -> CN=File Replication Service
6. Т.е. сейчас для репликации SYSVOL используется механизм File Replication Service
Предварительные требования
- Все контроллеры домена должны быть обновлены до функционального уровня Windows Server 2008 или выше
- Перед процедурой миграции необходимо выполнить принудительную полную миграцию разделов Active Directory на каждом из контроллеров домена, выполнив команды:
repadmin /syncall /Aed
repadmin /syncall /AedP
Устанавливаем роль DFS
На всех контроллерах домена устанавливаем роль DFS командой:
ServerManagercmd -iFS-DFS
Проверим состояние службы DFS, выполнив команды:
dfsrmig /get/GlobalStatedfsrmig /getMigrationState
Начало миграции?
1. Установим флаг подготовки к миграции (global state:
Prepared), выполнив команду:
dfsrmig /setGlobalState 1
2. Текущее состояние контроллеров проверим командой:
dfsrmig /getmigrationstate,
В том случае, если хотя бы у одного из контролеров состояние не изменится на Prepared, не переходите к следующему шагу!
Принудительно запустить репликации DFS и AD, можно командами:
repadmin /syncall /Aed
repadmin /syncall /AedP
dfsrdiag /pollad /member:dc1.contoso.com
3. Запустите консоль ADSI Edit, и перейдите в
раздел
Default naming context ->Domain name-> CN=System — > CN=DFSR-GlobalSettings
Как вы видите, появился новый раздел, который будет использоваться для управления репликацией.
4. Запустите редактор реестра и перейдите в ключу
HKLM\SYSTEM\CurrentControlSet\Services\DFSR\Parameters\Sysvols\Migrating sysVols\Local State
Значение: Local State = 1 говорит о том, что текущий статус — Prepared.
5. Перейдем к ключу HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SysVol
Как вы видите, AD все еще использует папку SYSVOL
6. Служба DFS в каталоге %WINDIR% должна создать полную копию каталога SYSVOL с именем SYSVOL_DFSR
Перенаправление продуктивной папки
- Прежде чем перейди к следующему этапу миграции (состояние Redirected), необходимо убедиться что:
- Все контроллеры домена находятся в состоянии Prepared. Удостоверьтесь, что шара SYSVOL еще доступна.
1. Перейдем к следующему этапу миграции, набрав
dfsrmig /setGlobalState 2
2. Убедимся, что все контроллеры домена находятся в статусе Redirected:
dfsrmig /getmigrationstate
?3. В редакторе реестра проверим, что LocalState=2 и SYSVOL= C:\windows\SYSVOL_DFSR\sysvol.
?Удаляем старый каталог SYSVOL?
Примечание! Процесс удаления («Eliminated«) не может быть отменен!
Прежде чем перейди в режим Elminated, необходимо убедиться что:
- Все контроллеры домена находятся в статусе Redirected
- Шара SYSVOL все еще доступна
1. Набираем команду:
dfsrmig /setGlobalState 3
2. Проверяем статус командой:
dfsrmig /getmigrationstate
?В результате каталог SYSVOL будет мигрирован в папку SYSVOL_DFSR. И теперь для репликации шары SYSVOL применяется механизм DFS.
После проделанной работы по Вашей статье в журнале постоянно регистрируется ошибка с кодом 13575
«Этот контроллер домена был мигрирован с целью использования службы репликации DFS для репликации общего ресурса SYSVOL. Использование службы репликации файлов для репликации наборов содержимого, не являющегося содержимым SYSVOL, было отключено, и поэтому служба была остановлена. Для репликации папок, общего ресурса SYSVOL на контроллерах домена и объектов ссылок DFS рекомендуется использовать службу репликации DFS.»
Сергей Проверьте что на контроллере домена созданы и расшарены папки NETLOGON & SYSVOL.
А вообще оригинальная статья по миграции на Технете
_http://technet.microsoft.com/en-us/library/dd640019%28v=ws.10%29.aspx
Вопрос такой — была настроена довольно давно репликация по SYSVOL по DFS на 3-х контроллерах. Вылетел один контроллер, причем напрочь, пришлось чистить AD через ADSIedit. В общем ставился на чистую, так как ни system state ни точек восстановления не осталось. Теперь у меня на двух контроллерах папки DFSR_SYSVOL, а на восстановленом соотв. просто SYSVOL.
На запрос dfsrmig /getmigrationstate отвечает, что все контроллеры успешно перешли в глобальное состояние «Удалено», т.е. пройдена стадия 3. В ADSI тоже все прописано как репликация по DFS, но на восттановленом контроллере в реестре нет ветки DFSR вообще. Так вот вопрос — надо все-таки как-то добиваться появления папки DFSR_SYSVOL на восстановленом контроллере или нет? Репликация при этом идет прекрасно между всеми контроллерами.
Если состояние контроллеров домена — ELIMINATED, это означает, что репликация DFS станала единственным механизмом репликации, а FRS отключен. ИМХО, если репликация идет, и в логах ошибок нет, не парьтесь
Изначально был кд на WinServer 2008. В один прекрасный момент он рухнул. Пришлось все прописывать ручками. После был приобретен второй кд. Ключ CN=File Replication Servvise пустой. Netlogon & Sysvol расшарены. В реестре localState = 3, папки Sysvol_dfsr нет. Реплика идет нормально, но сообщение 13575 задолбало с периодичностью 5 мин. Перерыл инет ничего не нашел. Есть похожие статьи, но все о миграции, а у меня ее не было. Подскажите, где рыть?
Имеются лес (повышенный с 2003 до 2008 уровня) и 2 домена.
Все DC 2008 R2 и недавно был добавлен DC 2012 R2.
repadmin /replsum нет ошибок в реплике.
Вопрос: как проверить по какому протоколу реплики FSRили DFSR?
Достаточно ли комманды dfsrmig /GetGlobalState ?
И с какого DC ее запускать ,что бы проверить все контроллеры ?
На любом контроллере домена выполните команду:
dfsrmig /GetGlobalState
Если она вернет:
Current DFSR global state: ‘Eliminated’
Succeeded.
— все ОК за репликацию отвечает служба DFS.
Также можно определить текущего провайдера репликации как описано в статье: с помощью adsiedit.msc.
Настроена репликация SYSVOL по DFS, но с ней есть проблема. Периодически репликация просто перестает работать, соответственно политики не реплицируются на другие контроллеры и появляется разница в политиках на разных компьютерах. Чтобы она заработала, необходимо произвести два действия:
1. Перезапустить службу репликации DFS
2. Через оснастку Управление DFS на Domain System Volume нажать правой кнопкой, нажать Создать диагностический отчёт… , выбрать Тест распространения, нажать пару раз далее и дождаться его успешного окончания.
Любое из этих действий отдельно или в другом порядке не приводят к восстановлению работоспособности. Тесты через оснастку всегда показывают, что все хорошо. В журнале Репликация DFS ошибок нет, только сообщения о перезапуске мной и о приостановке службы при архивации и восстановлении её работоспособности. Архивацию проверил вручную, после окончания архивации все работает. Мигрировал на DFSR с FRS. Домен поднимался на 2003. Сейчас все контроллеры на 2012 (не R2).Других DFS-папок на контроллерах нет. StopReplicationOnAutoRecovery=FALSE. Можете что-нибудь подсказать? Команды
dfsdiag /testdcs /domain:domain.lan
dfsdiag /testreferral /dfspath:\\domain.lan
dfsrmig /GetGlobalState
dfsrmig GetMigrationState
Показывают, что все хорошо.
Починил, помогла авторитативная синхронизация DFS SYSVOL (аналог D4 для FRS), описанная в данной статье https://support.microsoft.com/en-us/kb/2218556.
Windows 2012 R2 в качестве контроллеров домена
и …
C:\>ServerManagercmd -iFS-DFS
‘ServerManagercmd’ is not recognized as an internal or external command,
operable program or batch file.
и как? что не так делаю?
Командную строку с повышением прав попробуйте.
Статья хорошая!
Наглядно расписано, где и что проверить, чтобы убедиться в правильности миграции на всех DC. Натолкнулся на проблему при установке ролей DFS из консоли. В итоге нашел немного другой мануал, который проще вашего и сделал так:
http://www.rebeladmin.com/2015/04/step-by-step-guide-for-upgrading-sysvol-replication-to-dfsr-distributed-file-system-replication/
Там все сводится к использованию консоли Powershell (от имени админа, конечно). Все просто и легко!
Просто спасибо за статью
Пошагово сделал — и наслаждаюсь
Спасибо ещё раз
Свою проблему решил случайно (коммент от 01.05.3013). В GPO в разделе «системные службы» остался, наверное, от старого КД автоматическй запуск и, не смотря на то, что frs была отключена, система всеравно пыталась ее запустить.
Вопрос такой: А зачем это вообще нужно. Что будет, если оставить репликацию в режиме FRS?
У меня контроллер домена повышен с 2003 до 2008. Репликация SYSVOL нормально работает в режиме FRS. По опыту знаю, что начнёшь что-то менять в такой сложной системе, как AD, поимеешь кучу проблем. Так стоит ли это делать, если и так всё работает?
Добрый день. Некоторые технологии, такие как DirecrAccess, требуют DFS-R. Также технология экономит трафик репликации между серверами. В принципе, если инфраструктура небольшая, FRS подходит.
начиная с Server 2016 , FRS утилизирован ….
кроме того на DC под 2016 фрс забанена окончательно
Windows Server 2016 RS3 no longer supports FRS: Windows Server 2016 RS3 can no longer be added as an Active Directory domain controller (DC) to an existing domain that is still using File Replication Service (FRS) for replication of the SYSVOL share.
Добрый день!
Для перехода на DFS репликацию, можно ли сразу поднимать уровень работы домена и леса с 2003 до 2012 R2 или лучше сначала повысить до 2008, перейти на DFS и затем уже повышать до 2012 R2 ?
Спасибо!
Можно сразу повысить уровень домена до 2012 R2, а после этого уже перейти на DFSR репликацию.
Спасибо большое!
Ещё прошу помощи со следующей проблемой т.к. нагуглить ничего не смог.
Был домен с работающими контроллерами домена на Windows Server 2008 и 2008 R2, а ещё ранее видимо на 2003 т.к. режим работы домена 2003.
В строй введены новые контроллеры на Windows Server 2012 R2.
Старые контроллеры понижены в ролях и с них удалены службы AD, DNS, DHCP.
При понижении роли(через dcpromo) была ошибка удаления делегирования в DNS (видимо из-за того что первичным DNS на них был 127.0.0.1).
Теперь в записях DNS домена в разделах DomainDnsZones и ForestDnsZones наблюдаю записи с IP адресами старых контроллеров.
Вопросы:
Что это за записи и нужны ли они?
Можно ли удалять их вручную или делать это нужно через adsiedit ?
Если через adsiedit, то где именно их можно найти(я не смог найти подобных записей) ?
Буду благодарен за грамотный и полный ответ.
Спасибо!
В AD остались записи старых контроллеров домена (компьютеров)?
Попробуйте выполнить поиск удаленных DC по имени
dsquery * -filter «(Name=DC01)»
Если ничего не будет найдено, и у зон DomainDnsZones / ForestDnsZones имеются корректные настройки новых серверох, старые можно удалить руками в консоли DNS.
В AD есть записи о старых контроллерах, но они там в разделе «Computers», а не «Domain Controllers»
Один из контроллеров полностью отключен, второй работает в качестве сервера KSC(Kaspersky Security Center)
В DomainDnsZones/ForestDnsZones есть IP новых контроллеров тоже.
Просто удалите адреса старых DC из зон DomainDnsZones/ForestDnsZones. Ну и изучите подробнее журналы DC и ошибки репликации, может где еще и всплывут старые сервера.
Спасибо!
В журналах на данный момент нет ошибок.
Спасибо за статью, делал по ней, всё завелось. Одна из самых подробных в рунете!
Огромное спасибо за статью
Имеется единственный КД под 2016. Ести старые тачки под winxp в домене. Если я совершу миграцию на DFS, то смогут ли пользователи со старых тачек авторизороваться в домене?
Насколько я помню, Windows XP поддерживали DFS — мне кажется не будет проблем при миграции. Главное, чтобы на DC не отключали SMBv1
ServerManagercmd -iFS-DFSэто полная лажа. Рекомендую как минимум убрать ее и сказать что необходима установка службы «Репликация DFS» из роли «Файловые службы».Как максимум убедится что ServerManagercmd должен как минимум иметь аргумент «install»
dfsrmig /get/GlobalStatedfsrmig /getMigrationStateребята — тупая копи-паста еще никогда и никого до добра не доводила! Исправляем:dfsrmig /getGlobalStatedfsrmig /getMigrationStateНекоторый команды поправил.Спасибо. Но! статья 2012 года, версия Windows Server 2008 🙂 Не актуализировал до сих пор… каюсь.
У вас явно что-то новее )
Статья хоть и старая, но до сих пор актуальная!
Немало доменов переехавших с 2003 не завершили миграцию до сих пор…
Я вот например о репликации «вспомнил» только при попытке добавить еще один DC на 2019 😉
Если скриншотики, команды и краткое описание новых для моментов пришлете — с удовольствием обновлю статью. 🙂
аналогично
repadmin /syncall Aedменяем на
repadmin /syncall /AedЯ тоже споткнулся на этом месте.
Озадачил вопрос необходимости установки роли FS-DFS (т.е. ролей «Пространства имен DFS» и «Репликация DFS»).
На всех контролерах домена 2008 R2 и 2012 R2, какие есть под рукой — эти две службы уже присутствуют и работают, а консоль Server Manager говорит, что роли не установлены.
По факту эти службы установились еще в момент повышения каждого контроллера домена
И поэтому вопрос — реально ли нужно устанавливать их еще раз именно как роли?
Не думаю, что это хорошая идея — не трогайте DFS на DC. 🙂
Так ведь статья призывает трогать:
А по факту службы DFS там уже есть. Отсюда и возник мой вопрос
Добрый день. Правильно ли я понимаю, что папка SYSVOL_DFSR появится только на DC , которые апгрейдились с 2003 режима? В домене, например, который изначально разворачивался на 2008 R2 я наблюдаю просто папку SYSVOL.
Да, SYSVOL_DFSR это следы от старого домена с FRS репликацией.
Начиная с 2008R2 используется DFSR для репликации sysvol
Добрый вечер!
Хочу перенастроить репликацию на DFS. Есть 2 контроллера на 2008 R2 (мигрировал с 2003).
Поднял функциональный уровень домена и леса до 2008 R2.
Начал миграцию, выполнил команды Dfsrmig /setglobalstate 1 и Dfsrmig /setglobalstate 2.
Сейчас имею такое состояние:
Dfsrmig /getmigrationstate
Все контроллеры домена успешно мигрировали в глобальное состояние («Перенаправлено»).
Состояние миграции согласовано на всех контроллерах домена.
Успешно.
Планирую переводить в состояние «Удалено», но хотелось уточнить пару моментов.
Можно ли посмотреть какой-нибудь командой или в логах, какие клиенты подключаются к КД используя протокол SMB1 (для доступа на SYSVOL)?
В сети имеем клиентов на windows XP, потеряют ли они возможность аутентификации при переходе на FRS?
Я так понимаю, что по умолчанию SMB1 включен на 2008 R2, специально я его не отключал.
Команда по проверке возвращает это:
sc.exe query mrxsmb10
Имя_службы: mrxsmb10
Тип : 2 FILE_SYSTEM_DRIVER
Состояние : 4 RUNNING
(STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
Код_выхода_Win32 : 0 (0x0)
Код_выхода_службы : 0 (0x0)
Контрольная_точка : 0x0
Ожидание : 0x0
и так:
Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}
PSPath : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service
s\LanmanServer\Parameters
PSParentPath : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service
s\LanmanServer
PSChildName : Parameters
PSProvider : Microsoft.PowerShell.Core\Registry
ServiceDll : C:\Windows\system32\srvsvc.dll
ServiceDllUnloadOnStop : 1
EnableAuthenticateUserSharing : 0
NullSessionPipes : {, netlogon, samr, lsarpc}
autodisconnect : 15
enableforcedlogoff : 1
enablesecuritysignature : 1
requiresecuritysignature : 1
restrictnullsessaccess : 1
Lmannounce : 0
Size : 3
AdjustedNullSessionPipes : 3
Guid : {158, 4, 220, 31…}
Вроде бы все норм, можно завершать миграцию?
Завершай, не парься, у меня все прошлоо удачно при ваших условиях еще в 2019
Исправьте пожалуйста
repadmin /syncall Aedна:
repadmin /syncall /Aed+
Поставил Win2022 Std Server, хотел сделать очередной КД с дальнейшим повышением уровня домена и леса до 2022 и тут вылезла проблема:
Сбой проверки реплики. Указанный домен xxxx.ru все еще использует службу репликации файлов (FRS) для репликации общего ресурса SYSVOL. Служба FRS устарела.
Повышающийся сервер не поддерживает FRS, и его нельзя повысить как реплику в указанном домене.
Вы ДОЛЖНЫ перенести указанный домен, чтобы использовать репликацию DFS с помощью команды DFSRMIG, прежде чем продолжить.
Коллеги, просьба подсказать чем мне (точнее клиентским машинам и серверам) это грозит?
— основной парк машин Windows 8.1, есть Windows 10 и 11
— основной парк серверов Windows Server 2012 R2
— КД и уровень леса/домена Windows Server 2016
После процедуры эти все машины корректно будут работать и КД видеть и с ними общаться?
Если я предварительно перед процедурой сделаю бэкап виртуалок контроллеров домена 2016 и в случае проблем их в тот же день восстановлю из бэкапа — все ли нормально восстановится?
1) Для клиентов проблем не будет, FRS и DFS на DC относятся к серверной части и впрямую клиентами не используется.
2) Если в домене несколько DC, то восстановление их как обычных ВМ приведет к проблемам.
Хотя сама процедура миграции несложная и врядли чтото пойдет не так, в любом случае внимательно пройдитесь по офиц гайду Migrate SYSVOL replication to DFS Replication
_https://learn.microsoft.com/en-us/windows-server/storage/dfs-replication/migrate-sysvol-to-dfsr
Спасибо!
У меня все получилось, успешно перевел на DFS репликацию, добавил новый контроллер домена Windows 2022.
Спасибо за статью!
Статья хоть и старая, но реально нужная. Давеча как вчера переводил свой 18летний домен с FRS на DFSR как раз, в основном, по этой статье (DC — Windows Server 2008SP2), за что автору мои благодарности.
Но она, как и указали в комментах, не без косяков:
Необходимо исправить в статье!