Перенос репликации SYSVOL в репликацию DFS Migrate SYSVOL replication to DFS Replication
Обновлено: 25 августа 2010 г. Updated: August 25, 2010
Область применения. Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 и Windows Server 2008 Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, and Windows Server 2008
Контроллеры домена используют специальную общую папку с именем SYSVOL для репликации скриптов входа в систему и файлов объекта групповой политики на другие контроллеры домена. Domain controllers use a special shared folder named SYSVOL to replicate logon scripts and Group Policy object files to other domain controllers. Windows 2000 Server и Windows Server 2003 используют для репликации SYSVOL службу репликации файлов (FRS), тогда как Windows Server 2008 использует более новую службу «Репликация DFS» в доменах с режимом работы Windows Server 2008, или FRS для доменов с более старыми режимами работы. Windows 2000 Server and Windows Server 2003 use File Replication Service (FRS) to replicate SYSVOL, whereas Windows Server 2008 uses the newer DFS Replication service when in domains that use the Windows Server 2008 domain functional level, and FRS for domains that run older domain functional levels.
Чтобы использовать репликацию DFS для репликации папки SYSVOL, вы можете создать новый домен с режимом работы Windows Server 2008 либо выполнить описанную в этом документе процедуру, которая обновит существующий домен и перенесет репликацию в службу «Репликация DFS». To use DFS Replication to replicate the SYSVOL folder, you can either create a new domain that uses the Windows Server 2008 domain functional level, or you can use the procedure that is discussed in this document to upgrade an existing domain and migrate replication to DFS Replication.
В этом документе предполагается, что у вас есть базовые знания о доменных службах Active Directory (AD DS), FRS и репликации DFS (репликация распределенной файловой системы). This document assumes that you have a basic knowledge of Active Directory Domain Services (AD DS), FRS, and Distributed File System Replication (DFS Replication). Дополнительные сведения см. в статьях Обзор доменных служб Active Directory, Обзор FRS и (или) Обзор репликации DFS. For more information, see Active Directory Domain Services Overview, FRS Overview, or Overview of DFS Replication
Решено переход на DFS репликацию sysvol
Diversant
Случайный прохожий
Здравствуйте пытаюсь обновить контроллеры домена с 2008r2 до windows server 2016. У меня используется старый тип репликации ntfrs и я пытаюсь сначала сделать через DFS.
Проверяем, какой тип репликации используется для текущего каталога AD.
Для этого запускаем утилиту ADSI Edit на контроллере домена и подключаемся к «контексту именования по умолчанию». Далее ищем в вашем каталоге текущие контроллеры домена и выбираем один из них. Если вы видите каталог «CN=NTFRS Subscriptions» , значит у вас используется тип репликации «FRS». Если же «CN=DFSR-LocalSettings» – значит используется новый тип репликации DFS-R и тогда 5 шаг мы пропускаем.
Получаем текущее глобальное состояние миграции DFSR через команду
dfsrmig /getglobalstate
Начинаем процесс миграции. Выполняем команду
dfsrmig /setglobalstate 1
С помощью команды dfsrmig /getmigrationstate проверяем, когда 1 этап миграции завершится на всех контроллерах.
Чтобы ускорить процесс репликации между контроллерами, выполним команды
Repadmin /syncall /AeS
на каждом контроллере
Переходим к следующему этапу:
dfsrmig /setglobalstate 2
И опять ускоряем процесс синхронизации командой
Repadmin /syncall /AeS
Как только команда dfsrmig /getmigrationstate выдаст положительный результат, запускаем заключительный этап
dfsrmig /setglobalstate 3
и повторяем те же действия, чтобы завершить процесс перехода на DFS-R.
Миграция DFSR еще не инициализирована. Что бы начать миграцию установите глобальное состояние в нужное значение
Lehhaa
Случайный прохожий
Вы это не выполнили.
Делайте строго по порядку выше
Diversant
Случайный прохожий
GoodWIN
Участник
repadmin /replsummary — отображает краткое состояние репликации и относительную работоспособность леса
repadmin /syncall — синхронизирует контроллер домена (указанный) со всеми партнерами репликации
repadmin /kcc — принуждает перерасчитать входящую топологию репликации
repadmin /replicate — запускает немедленную репликацию (указанного раздела)
repadmin /? — покажет подробную справку по командам
Вы сервер новый повысили до контроллера домена или нет? На каком вы сейчас шаге?:guru:
Diversant
Случайный прохожий
Служба репликации DFS обнаружила ошибку во время записи в файл журнала отладки. Сбой записи в журнал отладки может произойти из-за переполнения диска, сбоя в работе диска или достижения папкой, содержащей журналы, предела квоты. Ведение журнала будет отключено до тех пор, пока эта ошибка не будет исправлена.
Дополнительные сведения:
Ошибка: 5 (Отказано в доступе.)
Путь к файлу журнала отладки: C:\Windows\Debug\
Наибольшее количество файлов журнала отладки: 999
Серьезность сведений в журнале отладки: 4
Наибольшее количество сообщений журнала отладки: 10000
Служба репликации DFS обнаружила, что по крайней мере одно подключение настроено для группы репликации Domain System Volume.
Дополнительные сведения:
Идентификатор группы репликации: B17FFC21-A8A4-44B1-A4ED-3B46503C5F3F
Идентификатор члена: 36C0DBFC-A593-401F-936B-2247396C0C91
Служба репликации DFS останавливает подключение к партнеру SDC группы репликации Domain System Volume из-за ошибки. Служба будет периодически пытаться повторить подключение.
Дополнительные сведения:
Ошибка: 9036 (Пауза по причине архивации или восстановления)
Идентификатор подключения: 248DFEAC-7E0A-42AD-B782-276A8C9FC717
Идентификатор группы репликации: B17FFC21-A8A4-44B1-A4ED-3B46503C5F3F
Служба репликации DFS успешно установила входящее подключение с партнером SDC для группы репликации Domain System Volume.
Дополнительные сведения:
Адрес использованного подключения: SDC.domen.Local
Идентификатор подключения: 248DFEAC-7E0A-42AD-B782-276A8C9FC717
Идентификатор группы репликации: B17FFC21-A8A4-44B1-A4ED-3B46503C5F3F
Diversant
Случайный прохожий
Я делаю по этой статье. Вроде все повысилось без проблем, роли FSMO передал. Но теперь как то надо все проверить
Обновление контроллеров домена до Windows Server 2016
1. Проверяем, что каталоги AD синхронизируются без проблем. Запускаем
repadmin /replsum
Убеждаемся, что в столбце «Fails» нет ошибок, а дельта синхронизации не превышает той, которая настроена между сайтами.
2. Текущий уровень домена и леса должен быть не ниже Windows Server 2008. Если он ниже, то сначала поднимаем уровень домена до 2008 (этого не произойдет, если у вас остались в домене контроллеры, которые работают на Windows Server 2003 или 2003R2). После поднимаем уровень леса до 2008 (также надо предварительно убедиться, что все домены в лесу имеют уровень 2008). Поднятие уровня домена и леса осуществляется через оснастку «Active Directory – домены и доверие».
3. Разворачиваем новый сервер Windows Server 2016. Добавляем его в домен. Задаем статичный IP-адрес и имя хоста.
4. Проверяем, какой тип репликации используется для текущего каталога AD.
Для этого запускаем утилиту ADSI Edit на контроллере домена и подключаемся к «контексту именования по умолчанию». Далее ищем в вашем каталоге текущие контроллеры домена и выбираем один из них. Если вы видите каталог « CN=NTFRS Subscriptions » , значит у вас используется тип репликации «FRS». Если же « CN=DFSR-LocalSettings » – значит используется новый тип репликации DFS-R и тогда 5 шаг мы пропускаем.
5. Получим текущее глобальное состояние миграции DFSR через команду
dfsrmig /getglobalstate
Начинаем процесс миграции. Выполняем команду
dfsrmig /setglobalstate 1
С помощью команды dfsrmig /getmigrationstate проверяем, когда 1 этап миграции завершится на всех контроллерах.
Чтобы ускорить процесс репликации между контроллерами, выполним команды
Repadmin /syncall /AeS
на каждом контроллере
Переходим к следующему этапу:
dfsrmig /setglobalstate 2
И опять ускоряем процесс синхронизации командой
Repadmin /syncall /AeS
Как только команда dfsrmig /getmigrationstate выдаст положительный результат, запускаем заключительный этап
dfsrmig /setglobalstate 3
и повторяем те же действия, чтобы завершить процесс перехода на DFS-R.
6. Делаем новые сервера контроллерами домена: устанавливаем на них роль Active Directory Domain Services и DNS-сервера.
7. Запускаем службу KCC для создания новых связей с новыми контроллерами домена.
repadmin /kcc
и проверяем, что синхронизация проходит без ошибок на каждом из контроллеров
где dc-01 и dc-02 новые сервера на WS2016
Еще раз запускаем репликацию на всех контроллерах:
repadmin /syncall /AeS
Командой netdom query fsmo убеждаемся, что все роли переехали на нужные сервера.
9. На новых серверах в настройках сетевых адаптеров указываем в качестве DNS-сервера новые контроллеры домена.
10. Выполняем команду dcpromo на старых контроллерах для понижения уровня сервера. После отключения всех серверов не забываем запустить
Переход на репликацию SYSVOL по DFS
Напомним, что каталог Sysvol присутствует на всех контроллерах домена Active Directory и используется для хранения логон скриптов и объектов групповых политик (подробнее о репликации в Active Directory можно почитать тут). В том случае, если вы развернули новый домен с нуля на функциональном уровне Windows Server 2008, то для репликации каталога SYSVOL используется механизм репликации DFS ( Особенности и преимущества DFS ).
Если же функциональный уровень домена Windows Server 2003 (или ниже), то для репликации SYSVOL используется служба FRS. После того, как функциональный уровень домена поднят до Windows Server 2008, то для репликации объектов AD можно использовать DFS, но только осуществив процедуру миграции, о которой мы и поговорим.
Узнаем текущий тип репликации
1.На контроллере домена с правами администратора домена откройте mmc консоль adsiedit.msc.
2. Жмем правой кнопкой по ADSIEdit и выбираем Connectto.
3. Указываем Select a well known Naming Context и Default naming context.
?
4. Жмем OK.?
5. Развернем элемент Default Naming Context -> Domain Name — > CN=System -> CN=File Replication Service
6. Т.е. сейчас для репликации SYSVOL используется механизм File Replication Service
- Все контроллеры домена должны быть обновлены до функционального уровня Windows Server 2008 или выше
- Перед процедурой миграции необходимо выполнить принудительную полную миграцию разделов Active Directory на каждом из контроллеров домена, выполнив команды:
Устанавливаем роль DFS
На всех контроллерах домена устанавливаем роль DFS командой:
Проверим состояние службы DFS, выполнив команды:
1. Установим флаг подготовки к миграции (global state:
Prepared), выполнив команду:
2. Текущее состояние контроллеров проверим командой:
В том случае, если хотя бы у одного из контролеров состояние не изменится на Prepared, не переходите к следующему шагу!
Принудительно запустить репликации DFS и AD, можно командами:
3. Запустите консоль ADSI Edit, и перейдите в
раздел
Default naming context ->Domain name-> CN=System — > CN=DFSR-GlobalSettings
Как вы видите, появился новый раздел, который будет использоваться для управления репликацией.
4. Запустите редактор реестра и перейдите в ключу
HKLM\SYSTEM\CurrentControlSet\Services\DFSR\Parameters\Sysvols\Migrating sysVols\Local State
Значение: Local State = 1 говорит о том, что текущий статус — Prepared.
5. Перейдем к ключу HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SysVol
Как вы видите, AD все еще использует папку SYSVOL
6. Служба DFS в каталоге %WINDIR% должна создать полную копию каталога SYSVOL с именем SYSVOL_DFSR
Перенаправление продуктивной папки
- Прежде чем перейди к следующему этапу миграции (состояние Redirected), необходимо убедиться что:
- Все контроллеры домена находятся в состоянии Prepared. Удостоверьтесь, что шара SYSVOL еще доступна.
1. Перейдем к следующему этапу миграции, набрав
2. Убедимся, что все контроллеры домена находятся в статусе Redirected:
?3. В редакторе реестра проверим, что LocalState=2 и SYSVOL= C:\windows\SYSVOL_DFSR\sysvol.
?Удаляем старый каталог SYSVOL ?
Примечание ! Процесс удаления («Eliminated«) не может быть отменен!
Прежде чем перейди в режим Elminated, необходимо убедиться что:
- Все контроллеры домена находятся в статусе Redirected
- Шара SYSVOL все еще доступна
1. Набираем команду:
2. Проверяем статус командой:
?В результате каталог SYSVOL будет мигрирован в папку SYSVOL_DFSR. И теперь для репликации шары SYSVOL применяется механизм DFS.
После проделанной работы по Вашей статье в журнале постоянно регистрируется ошибка с кодом 13575
«Этот контроллер домена был мигрирован с целью использования службы репликации DFS для репликации общего ресурса SYSVOL. Использование службы репликации файлов для репликации наборов содержимого, не являющегося содержимым SYSVOL, было отключено, и поэтому служба была остановлена. Для репликации папок, общего ресурса SYSVOL на контроллерах домена и объектов ссылок DFS рекомендуется использовать службу репликации DFS.»
Сергей Проверьте что на контроллере домена созданы и расшарены папки NETLOGON & SYSVOL.
А вообще оригинальная статья по миграции на Технете
_http://technet.microsoft.com/en-us/library/dd640019%28v=ws.10%29.aspx
Вопрос такой — была настроена довольно давно репликация по SYSVOL по DFS на 3-х контроллерах. Вылетел один контроллер, причем напрочь, пришлось чистить AD через ADSIedit. В общем ставился на чистую, так как ни system state ни точек восстановления не осталось. Теперь у меня на двух контроллерах папки DFSR_SYSVOL, а на восстановленом соотв. просто SYSVOL.
На запрос dfsrmig /getmigrationstate отвечает, что все контроллеры успешно перешли в глобальное состояние «Удалено», т.е. пройдена стадия 3. В ADSI тоже все прописано как репликация по DFS, но на восттановленом контроллере в реестре нет ветки DFSR вообще. Так вот вопрос — надо все-таки как-то добиваться появления папки DFSR_SYSVOL на восстановленом контроллере или нет? Репликация при этом идет прекрасно между всеми контроллерами.
Если состояние контроллеров домена — ELIMINATED, это означает, что репликация DFS станала единственным механизмом репликации, а FRS отключен. ИМХО, если репликация идет, и в логах ошибок нет, не парьтесь
Изначально был кд на WinServer 2008. В один прекрасный момент он рухнул. Пришлось все прописывать ручками. После был приобретен второй кд. Ключ CN=File Replication Servvise пустой. Netlogon & Sysvol расшарены. В реестре localState = 3, папки Sysvol_dfsr нет. Реплика идет нормально, но сообщение 13575 задолбало с периодичностью 5 мин. Перерыл инет ничего не нашел. Есть похожие статьи, но все о миграции, а у меня ее не было. Подскажите, где рыть?
Имеются лес (повышенный с 2003 до 2008 уровня) и 2 домена.
Все DC 2008 R2 и недавно был добавлен DC 2012 R2.
repadmin /replsum нет ошибок в реплике.
Вопрос: как проверить по какому протоколу реплики FSRили DFSR?
Достаточно ли комманды dfsrmig /GetGlobalState ?
И с какого DC ее запускать ,что бы проверить все контроллеры ?
На любом контроллере домена выполните команду:
dfsrmig /GetGlobalState
Если она вернет:
Current DFSR global state: ‘Eliminated’
Succeeded.
— все ОК за репликацию отвечает служба DFS.
Также можно определить текущего провайдера репликации как описано в статье: с помощью adsiedit.msc.
Настроена репликация SYSVOL по DFS, но с ней есть проблема. Периодически репликация просто перестает работать, соответственно политики не реплицируются на другие контроллеры и появляется разница в политиках на разных компьютерах. Чтобы она заработала, необходимо произвести два действия:
1. Перезапустить службу репликации DFS
2. Через оснастку Управление DFS на Domain System Volume нажать правой кнопкой, нажать Создать диагностический отчёт… , выбрать Тест распространения, нажать пару раз далее и дождаться его успешного окончания.
Любое из этих действий отдельно или в другом порядке не приводят к восстановлению работоспособности. Тесты через оснастку всегда показывают, что все хорошо. В журнале Репликация DFS ошибок нет, только сообщения о перезапуске мной и о приостановке службы при архивации и восстановлении её работоспособности. Архивацию проверил вручную, после окончания архивации все работает. Мигрировал на DFSR с FRS. Домен поднимался на 2003. Сейчас все контроллеры на 2012 (не R2).Других DFS-папок на контроллерах нет. StopReplicationOnAutoRecovery=FALSE. Можете что-нибудь подсказать? Команды
dfsdiag /testdcs /domain:domain.lan
dfsdiag /testreferral /dfspath:\\domain.lan
dfsrmig /GetGlobalState
dfsrmig GetMigrationState
Показывают, что все хорошо.
Починил, помогла авторитативная синхронизация DFS SYSVOL (аналог D4 для FRS), описанная в данной статье https://support.microsoft.com/en-us/kb/2218556.
Windows 2012 R2 в качестве контроллеров домена
и …
C:\>ServerManagercmd -iFS-DFS
‘ServerManagercmd’ is not recognized as an internal or external command,
operable program or batch file.
и как? что не так делаю?
Командную строку с повышением прав попробуйте.
Наглядно расписано, где и что проверить, чтобы убедиться в правильности миграции на всех DC. Натолкнулся на проблему при установке ролей DFS из консоли. В итоге нашел немного другой мануал, который проще вашего и сделал так:
http://www.rebeladmin.com/2015/04/step-by-step-guide-for-upgrading-sysvol-replication-to-dfsr-distributed-file-system-replication/
Там все сводится к использованию консоли Powershell (от имени админа, конечно). Все просто и легко!
Просто спасибо за статью
Пошагово сделал — и наслаждаюсь
Спасибо ещё раз
Свою проблему решил случайно (коммент от 01.05.3013). В GPO в разделе «системные службы» остался, наверное, от старого КД автоматическй запуск и, не смотря на то, что frs была отключена, система всеравно пыталась ее запустить.
Вопрос такой: А зачем это вообще нужно. Что будет, если оставить репликацию в режиме FRS?
У меня контроллер домена повышен с 2003 до 2008. Репликация SYSVOL нормально работает в режиме FRS. По опыту знаю, что начнёшь что-то менять в такой сложной системе, как AD, поимеешь кучу проблем. Так стоит ли это делать, если и так всё работает?
Добрый день. Некоторые технологии, такие как DirecrAccess, требуют DFS-R. Также технология экономит трафик репликации между серверами. В принципе, если инфраструктура небольшая, FRS подходит.
кроме того на DC под 2016 фрс забанена окончательно
Windows Server 2016 RS3 no longer supports FRS: Windows Server 2016 RS3 can no longer be added as an Active Directory domain controller (DC) to an existing domain that is still using File Replication Service (FRS) for replication of the SYSVOL share.
Для перехода на DFS репликацию, можно ли сразу поднимать уровень работы домена и леса с 2003 до 2012 R2 или лучше сначала повысить до 2008, перейти на DFS и затем уже повышать до 2012 R2 ?
Можно сразу повысить уровень домена до 2012 R2, а после этого уже перейти на DFSR репликацию.
Ещё прошу помощи со следующей проблемой т.к. нагуглить ничего не смог.
Был домен с работающими контроллерами домена на Windows Server 2008 и 2008 R2, а ещё ранее видимо на 2003 т.к. режим работы домена 2003.
В строй введены новые контроллеры на Windows Server 2012 R2.
Старые контроллеры понижены в ролях и с них удалены службы AD, DNS, DHCP.
При понижении роли(через dcpromo) была ошибка удаления делегирования в DNS (видимо из-за того что первичным DNS на них был 127.0.0.1).
Теперь в записях DNS домена в разделах DomainDnsZones и ForestDnsZones наблюдаю записи с IP адресами старых контроллеров.
Вопросы:
Что это за записи и нужны ли они?
Можно ли удалять их вручную или делать это нужно через adsiedit ?
Если через adsiedit, то где именно их можно найти(я не смог найти подобных записей) ?
Буду благодарен за грамотный и полный ответ.
Спасибо!
В AD остались записи старых контроллеров домена (компьютеров)?
Попробуйте выполнить поиск удаленных DC по имени
dsquery * -filter «(Name=DC01)»
Если ничего не будет найдено, и у зон DomainDnsZones / ForestDnsZones имеются корректные настройки новых серверох, старые можно удалить руками в консоли DNS.
В AD есть записи о старых контроллерах, но они там в разделе «Computers», а не «Domain Controllers»
Один из контроллеров полностью отключен, второй работает в качестве сервера KSC(Kaspersky Security Center)
В DomainDnsZones/ForestDnsZones есть IP новых контроллеров тоже.
Просто удалите адреса старых DC из зон DomainDnsZones/ForestDnsZones. Ну и изучите подробнее журналы DC и ошибки репликации, может где еще и всплывут старые сервера.
Спасибо!
В журналах на данный момент нет ошибок.
Спасибо за статью, делал по ней, всё завелось. Одна из самых подробных в рунете!
Огромное спасибо за статью
Имеется единственный КД под 2016. Ести старые тачки под winxp в домене. Если я совершу миграцию на DFS, то смогут ли пользователи со старых тачек авторизороваться в домене?
Насколько я помню, Windows XP поддерживали DFS — мне кажется не будет проблем при миграции. Главное, чтобы на DC не отключали SMBv1
ServerManagercmd -iFS-DFS это полная лажа. Рекомендую как минимум убрать ее и сказать что необходима установка службы «Репликация DFS» из роли «Файловые службы».
Как максимум убедится что ServerManagercmd должен как минимум иметь аргумент «install»
dfsrmig /get/GlobalStatedfsrmig /getMigrationState ребята — тупая копи-паста еще никогда и никого до добра не доводила! Исправляем:
dfsrmig /getGlobalState
dfsrmig /getMigrationState
Некоторый команды поправил.Спасибо. Но! статья 2012 года, версия Windows Server 2008 🙂 Не актуализировал до сих пор… каюсь.
У вас явно что-то новее )
Статья хоть и старая, но до сих пор актуальная!
Немало доменов переехавших с 2003 не завершили миграцию до сих пор…
Я вот например о репликации «вспомнил» только при попытке добавить еще один DC на 2019 😉
Если скриншотики, команды и краткое описание новых для моментов пришлете — с удовольствием обновлю статью. 🙂
аналогично
repadmin /syncall Aed
меняем на
repadmin /syncall /Aed
Я тоже споткнулся на этом месте.
Озадачил вопрос необходимости установки роли FS-DFS (т.е. ролей «Пространства имен DFS» и «Репликация DFS»).
На всех контролерах домена 2008 R2 и 2012 R2, какие есть под рукой — эти две службы уже присутствуют и работают, а консоль Server Manager говорит, что роли не установлены.
По факту эти службы установились еще в момент повышения каждого контроллера домена
И поэтому вопрос — реально ли нужно устанавливать их еще раз именно как роли?
Не думаю, что это хорошая идея — не трогайте DFS на DC. 🙂
Так ведь статья призывает трогать:
На всех контроллерах домена устанавливаем роль DFS командой:
ServerManagercmd -i FS-DFS
А по факту службы DFS там уже есть. Отсюда и возник мой вопрос