Если ваша среда Active Directory была создана во времена Windows Server 2003 или раньше, скорее всего, для репликации критически важной папки SYSVOL вы до сих пор используете устаревшую службу репликации файлов (FRS). В современных реалиях FRS — это медленная, неэффективная и более не поддерживаемая технология. Microsoft давно представила ей на смену репликацию DFS (DFSR).
Переход с FRS на DFSR — это не просто «хорошая практика», это необходимый шаг для обеспечения безопасности, производительности и совместимости вашей инфраструктуры AD. DFSR предлагает значительные улучшения, включая алгоритм Remote Differential Compression (RDC), который реплицирует только изменения в файлах, а не целые файлы.
В этой статье мы предоставим пошаговое руководство по миграции репликации SYSVOL с FRS на DFSR с помощью встроенной утилиты dfsrmig.exe. Мы пройдем через все этапы подготовки, выполнения и проверки, чтобы процесс прошел гладко и безболезненно.
Почему необходимо выполнить миграцию на DFSR?
Прежде чем мы начнем, важно понять, почему этот переход так важен:
— Эффективность: Как упоминалось, DFSR использует RDC. Для SYSVOL, который в основном состоит из GPO (объектов групповой политики) и скриптов, это означает кардинальное снижение трафика репликации. Вместо того чтобы копировать весь 50 МБ файл GPO из-за изменения одного параметра, DFSR передаст всего несколько килобайт.
— Надежность: DFSR имеет более совершенные механизмы ведения журналов, автоматического восстановления после сбоев (например, USN journal rollback) и лучшую обработку конфликтов.
— Устаревшая технология: FRS официально устарела. Новые версии Windows Server больше не поддерживают ее в полной мере, и вы не сможете добавлять новые контроллеры домена на базе последних ОС в домен, все еще использующий FRS для SYSVOL.
— Безопасность: DFSR лучше интегрируется с современными протоколами безопасности и более устойчив к повреждению базы данных.
Ключевые этапы подготовки к миграции
Миграция FRS на DFSR — это процесс, который нельзя начинать спонтанно. Неправильная подготовка может привести к остановке репликации групповых политик. Выполните эти шаги в обязательном порядке.
1. Проверка уровня функциональности домена (DFL)
Миграция на DFSR поддерживается только в том случае, если уровень функциональности вашего домена (DFL) установлен как Windows Server 2008 или выше. FRS не может быть заменен на более низких уровнях.
— Как проверить: Откройте оснастку «Active Directory — домены и доверие» (domain.msc), щелкните правой кнопкой мыши по вашему домену и выберите «Свойства».
2. Полная проверка здоровья Active Directory
Никогда не начинайте миграцию, если в вашем домене есть проблемы с репликацией. Вы гарантированно усугубите ситуацию.
— Запустите dcdiag /e /c /q на всех DC и убедитесь, что нет критических ошибок.
— Запустите repadmin /replsummary и убедитесь, что «Наибольшая дельта» (Largest Delta) для всех DC находится в разумных пределах (минуты, а не дни) и что в столбце «Сбои» (Fails) нет ошибок.
— Исправьте все проблемы с DNS и репликацией AD, прежде чем двигаться дальше.
3. Проверка эмулятора PDC
Процесс миграции управляется централизованно и запускается с контроллера домена, обладающего ролью FSMO «Эмулятор PDC». Этот DC должен быть в сети, работоспособен и доступен.
— Как найти PDC: В командной строке выполните netdom query fsmo.
4. Резервное копирование
Этот пункт не подлежит обсуждению. Прежде чем вносить столь фундаментальные изменения, сделайте полную резервную копию состояния системы (System State) каждого контроллера домена в вашем домене.
Четыре состояния миграции (утилита dfsrmig)
Весь процесс управляется через утилиту командной строки dfsrmig.exe. Миграция — это не мгновенное переключение, а тщательно управляемый процесс, проходящий через четыре «глобальных состояния».
Важно понимать, что вы устанавливаете глобальное состояние (Global State) на эмуляторе PDC, а затем ждете, пока все остальные DC достигнут этого состояния через репликацию AD.
— Состояние 0 (Start / Начальное): Это состояние по умолчанию. FRS выполняет репликацию папки SYSVOL. DFSR «не знает» о SYSVOL.
— Состояние 1 (Prepared / Подготовлено): В этом состоянии DFSR создает копию папки SYSVOL (в SYSVOL_DFSR) и начинает ее репликацию между DC. Однако «официальной» и используемой клиентами папкой все еще остается старая SYSVOL, реплицируемая FRS. Обе службы работают параллельно.
— Состояние 2 (Redirected / Перенаправлено): Это критический этап переключения. DFSR берет на себя роль основного. AD указывает, что новой точкой общей папки SYSVOL теперь является SYSVOL_DFSR. FRS прекращает репликацию SYSVOL.
— Состояние 3 (Eliminated / Устранено): Это этап очистки. Он необратим. Служба DFSR удаляет старую папку SYSVOL, реплицируемую FRS, и останавливает службу FRS (если она больше ни для чего не используется).
Пошаговая инструкция по миграции на DFSR
Выполняйте все команды в командной строке от имени администратора домена на контроллере домена с ролью эмулятора PDC.
Шаг 0: Проверка текущего состояния
Прежде чем что-либо менять, давайте убедимся, что мы в исходной точке.
dfsrmig /getglobalstate
Скорее всего, вы увидите «Not yet initiated» (Не инициировано) или «State 0: Start». Это означает, что вы готовы к миграции.
Теперь проверьте, что все DC синхронизированы с этим состоянием (хотя на данном этапе это формальность).
dfsrmig /getmigrationstate
Шаг 1: Переход в состояние «Подготовлено» (State 1)
Запускаем первый этап. Мы даем команду всем DC подготовить свои папки SYSVOL_DFSR.
dfsrmig /setglobalstate 1
Эта команда немедленно вернет «Current DFSR global state: ‘Prepared'». Но это не значит, что все готово. Это значит, что PDC установил желаемое состояние.
Критически важная проверка:
Теперь вы должны ждать. Active Directory должна реплицировать эту «команду» на все DC, и каждый DC должен выполнить ее. Используйте команду:
dfsrmig /getmigrationstate
Вы будете видеть, как DC переходят в состояние «Preparing» (Подготовка), а затем в «Prepared» (Подготовлено).
НЕ ПЕРЕХОДИТЕ К СЛЕДУЮЩЕМУ ШАГУ, пока все контроллеры домена в списке не покажут «State 1 (‘Prepared’)». Если какой-то DC «застрял», вам нужно разбираться с проблемами репликации AD или DFSR на этом конкретном сервере (проверяйте журналы событий DFS Replication).
Шаг 2: Переход в состояние «Перенаправлено» (State 2)
После того как все DC сообщили о готовности (State 1), мы готовы к фактическому переключению.
dfsrmig /setglobalstate 2
Снова, это команда, а не действие. PDC устанавливает глобальное состояние 2.
Критически важная проверка:
Снова используем команду для мониторинга.
dfsrmig /getmigrationstate
Контроллеры домена перейдут из «Prepared» в «Redirecting», а затем в «Redirected» (Перенаправлено). На этом этапе общая папка SYSVOL будет переключена на папку SYSVOL_DFSR.
— Что проверить: Зайдите на несколько DC и проверьте вывод команды net share. Вы должны увидеть, что путь к общей папке SYSVOL теперь указывает на папку \SYSVOL_DFSR\domain
— Дождитесь, пока все DC не сообщат о состоянии «State 2 (‘Redirected’)».
Шаг 3: Переход в состояние «Устранено» (State 3)
Это финальный и необратимый этап. Убедитесь, что все работает стабильно в состоянии 2 (проверьте применение GPO на клиентах, создание/изменение политик). Если вы уверены, запускайте очистку.
ВНИМАНИЕ: Откат после этого шага невозможен без восстановления из резервной копии.
dfsrmig /setglobalstate 3
Финальная проверка:
Снова используем мониторинг.
dfsrmig /getmigrationstate
Вы будете наблюдать, как DC переходят в состояние «Eliminating», а затем в «Eliminated» (Устранено). Это означает, что старая папка SYSVOL и репликация FRS были удалены.
После того как все DC достигли состояния 3, ваша миграция SYSVOL на DFSR официально завершена.
Что делать, если что-то пошло не так (Откат)
Ошибки случаются. Главное — не паниковать.
— Если вы находитесь в Состоянии 1 и какой-то DC не может его достичь, вы можете безопасно вернуться в исходное, выполнив:
dfsrmig /setglobalstate 0
— Если вы находитесь в Состоянии 2 (самый маловероятный сценарий для сбоя, если вы правильно выполнили Шаг 1), вы также можете откатиться, установив глобальное состояние 1:
dfsrmig /setglobalstate 1
— Если вы уже выполнили команду для Состояния 3, откат невозможен. Процесс очистки запущен, и единственный путь назад — это восстановление AD из бэкапа (чего мы все хотим избежать).
В 99% случаев проблемы с миграцией — это скрытые проблемы репликации Active Directory, которые не были устранены на этапе подготовки.
Переход с FRS на DFSR для репликации SYSVOL — это обязательная процедура для любой современной среды Active Directory. Несмотря на то, что процесс кажется многоэтапным, утилита dfsrmig делает его невероятно управляемым и надежным. Следуя этому руководству, проверяя состояние на каждом шаге и не торопясь, вы обеспечите плавный переход на более быструю, эффективную и надежную технологию репликации.
