Teil eines vergangenen Kundenprojektes war die Ablösung der vorhandenen Domain Controller durch Windows Server 2016. Die Domäne wurde bis zu diesem Zeitpunkt auf Windows Server 2008 R2 Domain Controllern mit Windows Server 2003-Funktionsebene betrieben. Da hierdurch das vorhandene SYSVOL noch mittels NT File Replication Services (NtFRS) repliziert wurde, musste die Umstellung auf die Distributed File System Replication (DFS-R) durchgeführt werden.

 

Was macht eigentlich ein SYSVOL bzw. für was ist es vorhanden? SYSVOL (System Volume) ist ein freigegebenes Verzeichnis welches eine Serverkopie der öffentlichen Dateien einer Domäne speichert und für den gemeinsamen Zugriff und die Replikation innerhalb einer Domäne vorhanden sein muss. Unter anderem befinden sich dort Gruppenrichtlinien-Dateien und Vorlagen und in vielen Fällen noch Anmeldeskripte. In einer Domäne die mit Windows Server 2008 neu erstellt wurde, wird die Replikation des SYSVOLs schon mit DFS-R realisiert. Wurde die Domäne aber mit Windows 2000 oder Windows 2003 erstellt und anschließend auf eine neuere Version aktualisiert, wird der Datei-Replikationsmechanismus nicht automatisch umgestellt.

Der FRS-Dienst wurde mit Windows 2016 abgekündigt. FRS war fehleranfälliger, schlechter überwachbar, und auch die Replikation nicht für schmale Bandbreiten optimiert. FRS wurde seit Jahren nicht mehr weiterentwickelt und wird jetzt letztlich komplett ersetzt.

Daher sollte man spätestens mit der Migration auf Windows 2012 oder 2012 R2 die SYSVOL-Replikation auf DFSR umstellen.

 

Anleitung zur Vorgehensweise

1. Voraussetzungen prüfen

– Funktioniert die bisherige Replikation? Dazu am einfachsten eine Textdatei in die NETLOGON-Freigabe eines Domain-Controllers legen und auf einem weiteren DC überprüfen ob diese Textdatei dort ebenfalls auftaucht.

– Die Domänenfunktionsebene muss mindestens Windows 2008 sein, was bedeutet das Domain Controller unter Windows Server 2003 abgelöst sein müssen. Dies kann man mit einem Power Shell Befehl überprüfen. Dazu einfach eine Power Shell Konsole als Admin ausführen und folgenden Befehl ausführen: Get-ADDomain. Unter dem Punkt DomainMode seht man dann die aktuelle Domänenfunktionsebene.

 

Zusätzlich sollte man noch das FRS-Ereignisprotokoll auf den DCs überprüfen und ggfs. Fehler korrigieren.

 

2. Migration starten

Sofern alle Voraussetzungen erfüllt sind kann man mit der Migration fortfahren. Es empfiehlt sich meistens die Migration von einem Domain-Controller auszuführen welcher auch die PDC-Rolle beinhaltet. Alle Befehle können in einer CMD oder Power Shell Konsole ausgeführt werden. Die Konsole dabei immer als Administrator ausführen.

Jeder Schritt kann insbesondere in größeren und verteilten Umgebungen einige Minuten dauern. Wichtig ist, dass jeder Einzelschritt komplett abgeschlossen ist, bis der nächste gestartet wird.

  • Status “Starten“

Dazu folgenden Befehl ausführen: dfsrmig /setGlobalState 0

Jetzt sollten alle Domänencontroller auf den Status „Starten“ gesetzt sein. Mit folgendem Befehl kann der Status verifiziert werden:

dfsrmig /GetMigrationState

Dort sollte jetzt „Alle Domänencontroller wurden erfolgreich zum globalen Status (““Starten““) migriert“ stehen.

 

  • Status “Vorbereitet“

Dazu folgenden Befehl ausführen: dfsrmig /setGlobalState 1

Hiermit werden alle Domänencontroller auf den Status „Vorbereitet“ gesetzt.

Dies kann ein paar Minuten Zeit dauern bis der Status überall gesetzt ist. Mit folgendem Befehl kann der Status geprüft und verifiziert werden:

dfsrmig /GetMigrationState

 

 

Sobald die Meldung „Alle Domänencontroller wurden erfolgreich zum globalen Status (““Vorbereitet““) migriert“ angezeigt wird, können wir mit dem nächsten Schritt weitermachen.

  • Status “Umgeleitet“

Dazu folgenden Befehl ausführen: dfsrmig /setGlobalState 2

Hiermit werden alle Domänencontroller auf den Status „Umgeleitet“ gesetzt.

 

 

Sobald die Meldung „Alle Domänencontroller wurden erfolgreich zum globalen Status (““Umgeleitet““) migriert“ angezeigt wird, kann der letzte Schritt ausgeführt werden.

  • Status “Entfernt“

Dazu folgenden Befehl ausführen: dfsrmig /setGlobalState 3

Hiermit werden alle Domänencontroller auf den Status „Entfernt“ gesetzt. Dieser Schritt kann nicht rückgängig gemacht werden.

 

 

Sobald die Meldung „Alle Domänencontroller wurden erfolgreich zum globalen Status („Entfernt“) migriert“ angezeigt wird, ist die Migration abgeschlossen.

 

3. Migration überprüfen

Durch die Migration wurde der ein zusätzlicher SYSVOL-Ordner „SYSVOL_DFSR“ unter C:\Windows angelegt. Nicht benötigte Ordner wie z.B. der Staging-Ordner wurden nicht mitmigriert. SYSVOL und NETLOGON-Freigaben zeigen nun auf die Inhalte des neuen SYSVOL_DFSR. Der alte Dateireplikationsdienst FRS wurde deaktiviert.

SYSVOL wird jetzt nur noch über DFSR repliziert.

Weitere Details finden sich im Microsoft Technet: https://technet.microsoft.com/en-us/library/dd641227(v=ws.11).aspx

 

Redakt.: Marco Walter