SYSVOL-Replikation auf DFSR umstellen

<




SYSVOL-Replikation auf DFSR umstellen

SYSVOL-Replikation auf DFSR umstellen

Migration: Windows Active Directory

Einführung

Jeder Domänencontroller in einem Windows-Netzwerk besitzt eine Ordnerfreigabe namens SYSVOL. Diese dient zur Replikation von Skripten und Gruppenrichtlinien zu anderen Domänencontrollern. Der zugrunde liegende Replikationsmechanismus basiert ab Windows Server 2008 auf dem Distributed File Replication Service (DFRS). Bis Windows Server 2016 wurde auch der ältere Replikationsmechanismus File Replication Service (FRS) unterstützt.

Migration durchführen

Das Werkzeug zur Durchführung der Migration hört auf den Namen Dfsrmig.exe. Mit Dfsrmig.exe kannst Du die Migration in drei Schritten bei laufendem Betrieb durchführen:

  1. Schritt 1 – Vorbereiten (Prepare): In diesem Status wird DFSR parallel zu FRS aktiviert. DFSR legt eine eigene Kopie des SYSVOL-Ordners unter SYSVOL_DFRS an, macht sonst aber erstmal gar nichts.
  2. Schritt 2 – Umleiten (Redirect): In diesem Status beginnt DFSR mit der Arbeit und nimmt Replikationsanfragen entgegen. SYSVOL_DFRS wird zum Hauptordner. FRS bleibt aber noch aktiv und arbeitet parallel mit seinem alten SYSVOL-Ordner.
  3. Schritt 3 – Beseitigen (Eliminate): In diesem Status geht DFSR weiter seiner Arbeit nach. FRS wird jedoch deaktiviert und der alte SYSVOL-Ordner gelöscht.

Die Aufteilung in drei separate Schritte erlaubt eine Rollback-Migration im Fall eines Fehlers.

Beispielkonfiguration

Domäne: intranet.beispiel.de
Primärer Domänencontroller: DC01
Sekundärer Domänencontroller: DC02

Schritt 1: Vorbereiten (Prepare)

Als erstes prüfen wir, ob die aktuelle Replikation unter FSR in Ordnung ist.


  net share
  

Die Ausgabe sollte in etwa wie folgt aussehen:


  Name         Ressource                       Beschreibung
  -------------------------------------------------------------------------------
  C$           C:\                             Standardfreigabe
  IPC$                                         Remote-IPC
  ADMIN$       C:\Windows                      Remoteverwaltung
  NETLOGON     C:\Windows\SYSVOL\sysvol\intranet.beispiel.de\SCRIPTS
                                               Ressource für Anmeldeserver
  SYSVOL       C:\Windows\SYSVOL\sysvol        Ressource für Anmeldeserver
  

Ein weitere Prüfung:


  dfsrmig /getglobalstate
  

Die Ausgabe sollte wie folgt aussehen:


  Die DFSR-Migration wurde noch nicht initialisiert. Legen Sie den
  globalen Status auf den gewünschten Wert fest, um die Migration zu starten.
  

Jetzt starten wir den Migrationsprozess, in dem wir den Status auf 1 (Prepared) setzen:


  dfsrmig /setglobalstate 1
  

Die Ausgabe sollte wie folgt aussehen:


  Aktueller globaler DFSR-Status: "Starten"
  Neuer globaler DFSR-Status: "Vorbereitet"
  Die Migration wechselt in den Status "Vorbereitet". Der DFSR-Dienst
  kopiert den Inhalt von SYSVOL in den Ordner SYSVOL_DFSR.
  

Unmittelbar danach überprüfen wir den Migrationsstatus:


  dfsrmig /getmigrationstate
  

Es dauert eine Weile, bis alle Domänencontroller den Status übernommen haben. Daher sieht die Ausgabe wahrscheinlich wie folgt aus:


  Die folgenden Domänencontroller haben den globalen Status (""Vorbereitet"") nicht erreicht:

  Domänencontroller (lokaler Migrationsstatus) - Domänencontrollertyp
  ===================================================================

  DC01 ("Starten") - Primary DC
  DC02 ("Starten") - Writable DC

  Die Migration hat noch nicht auf allen Domänencontrollern einen konsistenten Status erreicht.
  Möglicherweise sind die Statusinformationen aufgrund der Wartezeit der Active Directory-Domänendienste veraltet.

  Diese Abfrage können wir beliebig oft wiederholen. Irgendwann bekommen wir diese Ausgabe:

  Alle Domänencontroller wurden erfolgreich zum globalen Status (""Vorbereitet"") migriert.
  Die Migration hat auf allen Domänencontrollern einen konsistenten Status erreicht.
  Erfolgreich
  

Mit Schritt 1 sind wir fertig.

Schritt 2: Umleiten (Redirect)

Jetzt wollen wir den Status auf 2 (Redirected) setzen:


  dfsrmig /setglobalstate 2
  

Die Ausgabe sollte wie folgt aussehen:


  Aktueller globaler DFSR-Status: "Vorbereitet"
  Neuer globaler DFSR-Status: "Umgeleitet"
 






Migrationsstatus

Migrationsstatus

Schritt 3: Beseitigen (Eliminate)

Zu guter Letzt wollen wir den Status auf 3 (Eliminate) setzen:

dfsrmig /setglobalstate 3

Die Ausgabe sollte wie folgt aussehen:

    Aktueller globaler DFSR-Status: "Umgeleitet"
    Neuer globaler DFSR-Status: "Entfernt"

    Die Migration wechselt in den Status "Entfernt". Es ist nicht möglich,
    diesen Schritt rückgängig zu machen.

    Verwenden Sie die Option "/DeleteRoNtfrsMembers", wenn ein schreibgeschützter Domänencontroller
    zu lange im Status "Wird entfernt" verbleibt.
    Erfolgreich
  

Wir prüfen wieder den Migrationsstatus:

dfsrmig /getmigrationstate

Und auch hier, erst so:

    Die folgenden Domänencontroller haben den globalen Status ("Entfernt") nicht erreicht:

    Domänencontroller (lokaler Migrationsstatus) - Domänencontrollertyp
    ===================================================================

    DC01 ("Umgeleitet") - Primary DC
    DC02 ("Umgeleitet") - Writable DC

    Die Migration hat noch nicht auf allen Domänencontrollern einen konsistenten Status erreicht.
    Möglicherweise sind die Statusinformationen aufgrund der Wartezeit der Active Directory-Domänendienste veraltet.
  

Später dann so:

    Alle Domänencontroller wurden erfolgreich zum globalen Status ("Entfernt") migriert.
    Die Migration hat auf allen Domänencontrollern einen konsistenten Status erreicht.
    Erfolgreich
  

Mit dem letzten Schritt 3 sind wir fertig. Abschließende Überprüfung

Werfen wir wieder einen Blick auf unsere Netzwerkfreigaben:

net share

Die Ausgabe sollte in etwa wie folgt aussehen:

    Name         Ressource                       Beschreibung
    -------------------------------------------------------------------------------
    C$           C:\                             Standardfreigabe
    IPC$                                         Remote-IPC
    ADMIN$       C:\Windows                      Remoteverwaltung
    NETLOGON     C:\Windows\SYSVOL_DFSR\sysvol\intranet.beispiel.de\SCRIPTS
                                                 Ressource für Anmeldeserver
    SYSVOL       C:\Windows\SYSVOL_DFSR\sysvol   Ressource für Anmeldeserver

    Der Befehl wurde erfolgreich ausgeführt.

    Der Name der Netzwerkfreigabe ist gleich geblieben, aber der verknüpfte Ordner lautet nun SYSVOL_DFSR. So war es ja geplant, also alles ok.

    Wenn Du einen migrierten Domänencontroller herunterstufst und anschließend wieder heraufstufst, dann heißt der verknüpfte Ordner wieder SYSVOL. Das gleiche gilt, wenn Du einen neuen Domänencontroller zur Domäne hinzufügst.
  

Eine abschließende Prüfung soll sicherstellen, dass der Dienst für FSR deaktiviert ist.

sc query NtFrs

Die Ausgabe sollte so aussehen:

    SERVICE_NAME: NtFrs
            TYPE               : 10  WIN32_OWN_PROCESS
            STATE              : 1  STOPPED
            WIN32_EXIT_CODE    : 0  (0x0)
            SERVICE_EXIT_CODE  : 0  (0x0)
            CHECKPOINT         : 0x0
            WAIT_HINT          : 0x0