Active Directory è uno dei ruoli più critici ed importanti dell’intera infrastruttura ed ogni Domain Controller è trattato come un diamante in una teca: nessuno deve toccarli, non si aggiornano, non si riavviano, non si fanno modifiche, non si fa niente di niente. Concettualmente giusto, praticamente errato perchè i DC devono essere sempre aggiornati e messi in sicurezza per evitare problemi di protezione e compliance.
Proprio per la logica del “non vedo, non so, non voglio sapere”, molti amministratori avranno ignorato o mancato questo messaggio all’interno dell’event viewer di Windows – figura 1.
Il dettaglio recita questo:
The specified domain %1 is still using the File Replication Service (FRS) to replicate the SYSVOL share. FRS is deprecated. The server being promoted does not support FRS and cannot be promoted as a replica into the specified domain.
You MUST migrate the specified domain to use DFS Replication using the DFSRMIG command before continuing. For more information, see https://go.microsoft.com/fwlink/?linkid=849270.
A cominciare da Windows Server v1709, non è più possibile aggiungere un Domain Controller all’interno di un’infrastruttura obsoleta che utilizza, come replica della cartella SYSVOL, il servizio di File Replication Service (FRS).
Tanto per fare un di storia, il File Replication Service è sbarcato con Windows Server 2000. Questo servizio è stato utilizzato per replicare il contenuto della SYSVOL tra i vari Domain Controller ma con l’arrivo di Windows Server 2008, Microsoft ha deciso di utilizzare il Distributed File System Replication (DFSR) per replicare la SYSVOL.
Non è però la versione di sistema operativo a fare la differenza ma il livello di Foresta e Dominio, perché se avete un Domain Controller basato su Windows Server 2008 R2 ma con un livello 2003, allora il sistema continuerà ad utilizzare FRS per replicare la SYSVOL.
Quindi, se la vostra infrastruttura è stata costruita prima del 2008, state utilizzando ancora un sistema di replica obsoleto, anche se avete aggiornato Active Directory ed avete installato Domain Controller basati su Windows Server 2016, anche se avete aggiornato lo schema di dominio e foresta.
Migrazione
Per risolvere questa problematica, è necessario effettuare la migrazione del motore di replica. L’operazione può essere svolta su un solo DC, ma prima di iniziare assicuratevi di sapere cosa fate, che tutto sia correttamente in regola e di avere un backup.
Aprite il Prompt e verificate che tutti i Domain Controller siano replicati tra di loro correttamente, attraverso il comando repadmin /syncall /force /aped
Se tutto è a posto, la migrazione può avere inizio. Ci sono quattro fasi che vengono effettuate, anche se in verità ne vengono usate solo tre:
- 0 – Start State
- 1 – Prepared State
- 2 – Redirected State
- 3 – Eliminated State
Il primo step consiste nel Prepared State con il comando dfsrmig /SetGlobalState 1
All’interno dell’event viewer verrà mostrato un nuovo evento indicante l’inizio della migrazione – figura 3.
La prima cosa che si potrebbe desiderare di fare è quello di controllare quale replica SYSVOL che viene utilizzata nel proprio ambiente. A tale scopo, dal prompt dei comandi ed eseguire il comando dfsrmig /GetGlobalState
Dato che le operazioni potrebbero richiedere tempo, è possibile verificare lo stato di migrazione, attraverso il comando dfsrmig /GetMigrationState
Non eseguire nessun comando successivo fino a quando non vengono preparati tutti i Domain Controller. Quando tutto è ok, è possibile eseguire la seconda fase (Redirect) con il comando dfsrmig /SetGlobalState 2
Questo scatenerà un nuovo evento all’interno dell’event viewer – figura 6.
Non solo eventi, ma il comando andrà a creare una nuova cartella in tutti i DC, chiamata SYSVOL_DFSR, come mostra la figura 7.
Ancora una volta è possibile eseguire il comando dfsrmig /GetMigrationState per verificare lo stato ed ancora una volta non eseguire niente fino a completamento dei task.
In caso si voglia forzare un po’ i tempi di migrazione, si può usare il comando repadmin /syncall /AdeP per invocare la replica tra i vari Domain Controller. Dopo qualche minuto, sarà possibile verificare lo stato con il comando dfsrmig /GetMigrationState
L’ultima fase è quella chiamata Eliminate, che consiste nella cancellazione della vecchia cartella SYSVOL all’interno di tutti i Domain Controller. In questo caso, il comando da eseguire è dfsrmig /SetGlobalState 3.
Anche in questo caso è possibile forzare la sync con il comando repadmin /syncall /AdeP. Dopo qualche minuto, sarà possibile verificare lo stato con il comando dfsrmig /GetMigrationState
Se tutto risulta ok verificare la presenza di un nuovo evento nell’event viewer, relativo al completamento della migrazione – figura 12.
Aprire la console services.msc e verificate che il servizio File Replication Service sia disabilitato in ogni Domain Controller – figura 13.
Per chiedere il cerchio, verificate che la vecchia cartella SYSVOL sia stata eliminata da tutti i DC – figura 14.
Conclusioni
Questa è la procedura di migrazione da effettuare nella vostra infrastruttura Active Directory, dal vecchio FRS al nuovo DFSR. Ricordate che ogni fase richiede da 15 minuti fino a 60 minuti, questo dipende dal nuovo di DC che avete, dalla tipologia e dai tempi di replica impostati.