Migrar Replicação do SYSVOL de FRS para DFS

-

Com do lançamento do Windows Server 2019, começamos a ter contato com a primeira versão do ADDS (Active Directory Domain Services) que não suporta a execução da replicação do SYSVOL utilizando FRS. Até a versão 2016, havia um aviso de que o FRS estava descontinuado, mas ainda assim era permitido incluir um servidor Domain Controller com Windows Server 2016 em um domínio que ainda usava o FRS.

A partir da versão 2019 isso não é mais possível. Quando você tenta incluir um servidor executando o Windows Server 2019 em um domínio em que o SYSVOL está sendo replicado via FRS, será exibida a mensagem de erro abaixo.

Verification of replica failed. The specified domain {Domain-Name} is still using the File Replication Service (FRS) to replicate the SYSVOL share. FRS is depreciated.
The server being promoted does not support FRS and cannot be promoted as a replica into the specified domain.
You MUST migrate the specified domain to use DFS Replication using the DFSRMIG command before continuing.

Para resolver esse problema é necessário migrar a replicação do SYSVOL para DFS. Antes disso é necessário verificar dois pre-requisitos:

  1. Todos os Domain Controllers precisam estar rodando Windows Server 2008 ou mais recente;
  2. O 'functional level' da floresta precisa ser Windows Server 2008 ou superior.

Satisfeitos esses dois pré-requisitos, é possível iniciar a migração da replicação do SYSVOL.

A partir de um dos Domain Controllers existentes, abra uma janela de Prompt de Comando no modo Administrador e execute os comandos abaixo.

Primeiro valide se o status atual está 'limpo', ou seja, se não há nenhum processo de migração iniciado e pendente. 

C:\>dfsrmig /getglobalstate

DFSR migration has not yet initialized. To start migration please
set global state to desired value.

Após ter a confirmação que nenhuma migração foi iniciada, é possível iniciar com o comando abaixo. Isso ira colocar todos os Domain Controllers no estado 'Prepared'. 

C:\>dfsrmig /setglobalstate 1

Current DFSR global state: 'Start'
New DFSR global state: 'Prepared'

Migration will proceed to 'Prepared' state. DFSR service will
copy the contents of SYSVOL to SYSVOL_DFSR
folder.

If any domain controller is unable to start migration, try manual polling.
Or run with option /CreateGlobalObjects.
Migration can start anytime between 15 minutes to 1 hour.
Succeeded.

Após a execução desse comando, use o mesmo comando usado inicialmente para validar se havia alguma migração iniciada, dessa vez para validar que o status foi transitado para 'Prepared'. 

C:\>dfsrmig /getglobalstate

Current DFSR global state: 'Prepared'
Succeeded.

Depois pode acompanhar o processo até que todos os Domain Controllers transitem para o estado de Prepared. Para acompanhar utilize o comando abaixo. Assim que o retorno indicar que todos os Domain Controllers chegaram num estado consistente, pode passar para a etapa seguinte.

Obs.: A transição de estado em todos os Domain Controllers pode demorar bastante, principalmente se o seu domínio possui sites remotos com link de pouca banda ou se o seu SYSVOL possui muitos arquivos. 

C:\>dfsrmig /getmigrationstate

All domain controllers have migrated successfully to the Global state ('Prepared').
Migration has reached a consistent state on all domain controllers.
Succeeded.

Assim que todos os DCs chegarem nesse estado consistente e a mensagem acima for exibida, pode segui para a próxima etapa, mudando o estado para 'Redirected'. 

C:\>dfsrmig /setglobalstate 2

Current DFSR global state: 'Prepared'
New DFSR global state: 'Redirected'

Migration will proceed to 'Redirected' state. The SYSVOL share
will be changed to SYSVOL_DFSR folder,
which is replicated using DFSR.

Succeeded.

Novamente, pode validar o status global e o andamento da migração com os comandos já usados anteriormente. 

C:\>dfsrmig /getglobalstate

Current DFSR global state: 'Redirected'
Succeeded.

C:\>dfsrmig /getmigrationstate

All domain controllers have migrated successfully to the Global state ('Redirected').
Migration has reached a consistent state on all domain controllers.
Succeeded.

A partir desse momento o SYSVOL do seu domínio já está sendo replicado e servido a partir do DFS. Você pode validar isso com o comando NET SHARE, que exibirá que os compartilhamentos do SYSVOL e NETLOGON estão sendo compartilhados a partis da pasta do SYSVOL_DFSR. 

C:\\>net share

Share name   Resource                        Remark
-------------------------------------------------------------------
[…]
NETLOGON     C:\Windows\SYSVOL_DFSR\sysvol\corp.contoso.com\SCRIPTS
                                             Logon server share
SYSVOL       C:\Windows\SYSVOL_DFSR\sysvol   Logon server share

Nesse ponto, é possível para para o próximo e último estado: 'Eliminated'. 

C:\>dfsrmig /setglobalstate 3

Current DFSR global state: 'Redirected'
New DFSR global state: 'Eliminated'

Migration will proceed to 'Eliminated' state. It is not possible
to revert this step.

If any read-only domain controller is stuck in the 'Eliminating' state for too long
run with option /DeleteRoNtfrsMember.
Succeeded.

Pode acompanhar novamente o status com os comandos já utilizados anteriormente. 

C:\>dfsrmig /getglobalstate

Current DFSR global state: 'Eliminated'
Succeeded.

C:\>dfsrmig /getmigrationstate

All domain controllers have migrated successfully to the Global state ('Eliminated').
Migration has reached a consistent state on all domain controllers.
Succeeded.

A partir deste ponto a migração está concluída.

O antigo diretório do SYSVOL deve ter sido removido em todos os seus Domain Controllers (caso tenha ficado aberto em algum aplicativo, tipo um Command Prompt, terá que remover manualmente) e o serviço de replicação do FRS de ter sido parado e desativado.


Comentários

Postar um comentário

Postagens mais visitadas deste blog

Gerar uma cadeia de certificados usando OpenSSL

-
Nesse post vou explicar como criar uma cadeia de certificação utilizando apenas o OpenSSL. É muito comum em ambientes corporativos que se use Autoridades Certificadoras Privadas (Private CAs) para gerar cadeias de certificados para uso interno, normalmente para proteger com SSL/HTTPS sites privados (domínios *.corp, *.local, *.inet, etc.) Normalmente para isso usamos um serviço de Private CA, como o Microsoft Active Directory Certificate Services (AD CS). No entanto, para empresas menores que não queiram usar softwares proprietários com custo de licenciamento e que demandem manutenção e gerenciamento, ou então para pequenos projetos e ambientes de teste, podemos utilizar apenas o OpenSSL para gerar toda uma cadeia certificadora. O primeiro passo é gerar um certificado raiz (Root CA) composto com um par de chaves pública/privada. openssl req -x509 \ -sha256 -days 10950 \ -nodes \ -newkey rsa:2048 \ -subj "/CN=rootca.exem...
Leia mais

Converter um certificado PEM/CRT + KEY para PFX

-
Para converter um certificado que está no formato PEM/CRT juntamente com o arquivo de chave privada (KEY) em um arquivo PFX, que pode ser usado de forma mais simplificada em ambientes Windows/IIS, precisamos do OpenSSL . Caso esteja usando uma máquina com Linux, ele já estará disponível. Para instalar no Windows baixe a partir deste site . O comando abaixo é que faz a mágica. # openssl pkcs12 -export -out certificado.pfx -inkey privateKey.key -in certificado.pem -certfile CACert.crt Onde: - certificado.pfx: arquivo a ser gerado. - certificado.pem: arquivo com o certificado no formato PEM. Pode estar com a extensão .crt também. - privateKey.key: arquivo com a chave privada do certificado. - CAcert.crt: arquivo com o certificado da entidade certificadora e os certificados intermediários. Este item não é obrigatório. Obs.: um erro que costuma ocorrer é quando algum dos arquivos de entrada (pem, key ou crt) estão codificados com UTF8 BOM. O OpenSSL não...
Leia mais