Se vi portate dietro dei domini molto vecchi, magari partiti da Windows Server 2000 o 2003, prima o poi, aggiornando i domain controller vi troverete nella situazione di dover aggiornare il meccanismo di replica della SYSVOL da FRS a DFSR. Grazie alla sysvol sono replicati nel dominio script di logon e GPO. Il servizio responsabile della replica della sysvol tra domain controller era il file replication service. Da Windows server 2008 (R2?!?) il servizio di replica e' stato sostituito dal DFSR (distribuited file system), decisamente piu efficiente. Creando un nuovo dominio, a partire partendo da un server 2008 il servizio di replica di SYSVOL si appoggiava nativamente su DFS, mentre se il vostro dominio e' nato su versioni precedenti di windows e nel tempo e' stato portato avanti ed aggiornato avra mantenuto DFSR. Oggi la cosa non e' piu possibile. Da Windows Server 2016 in poi, oltre ai soliti discorsi di adprep, sarete costretti ad aggiornare FRS a DFSR.
Come al solito l'idea e' quella di partire con il piede giusto. Prima di iniziare la procedura verificate tutti i log degli eventi FRS, DFRS, AD
Eseguite un DCDIAG: dcdiag /e /v /c /fix /f:c:\dcdiag.txt
Forzate una replica tra domain controller:
repadmin /syncall /force /aped
Verificate di non essere troppo indietro con gli aggiornamenti. Mi e' capitato di trovare 2008 R2 neppure aggiornati all'SP1.
Il processo e' molto semplice e si svolge in varie fasi. Una volta avviate le potremo ritenere concluse dopo che tutti i domain controller si sono sincronizzati. E' possibile verificarne l'esito tramite event viewer (replica DFS/DFSR). Solo dopo la conferma tramite eventi viewer vi consiglio di procedere alla successiva. In pratica e' una questione di pazienza
Le fasi sono le seguenti:
0 – Start State
1 – Prepared State
2 – Redirected State
3 – Eliminated State
Sono tutte reversibili tranne l'ultima.
tramite il comando dfsrmig /GetGlobalState e' possibile monitorarne l'avanzamento
dfsrmig /SetGlobalState 1
dfsrmig /GetGlobalState
L'evento da controllare: 8014 - DFSR
Non procedete prima di vedere questo evento su tutti i DC - E' possibile il rollback
dfsrmig /SetGlobalState 2
dfsrmig /GetGlobalState
L'evento da controllare: 8017 - DFSR
Non procedete prima di vedere questo evento su tutti i DC - E' possibile il rollback
dfsrmig /SetGlobalState 3
dfsrmig /GetGlobalState
L'evento da controllare: 8019 - DFSR
Al termine di tutto il servizio File replication service verra definitivamente stoppato e disabilitato.
Verificate che gli share netlogon e sysvol siano presenti e visibili.
Provate ad aggiungere un client al dominio, eventualmente.
E se si verificano problemi? E' un problema. Ho incontrato problemi la prima volta che ho affrontato il processo e sono stato costretto ad effettuare un rollback.
In primo luogo, per i rollback vale la stessa regola dell'avvio del processo:
va fatto in modo sequenziale, cioe' non si puo passare dalla fase 2 alla fase 0
e' necessario aspettare che il processo sia ultimato prima di procedere oltre
Il punto e' che se siete costretti ad un rollback vuol dire che qualcosa non ha funzionato. Anche il rollback potrebbe dare qualche noia. Ad esempio a me erano sparite netlogon e sysvol. Se questo dovesse succedere, molto probabilmente i client avranno problemi di accesso al dominio, e vi potreste trovare un po pressati. Vista la situazione ho deciso di aspettare e rifare a ritroso i vari passaggi, fino al dfsrmig /SetGlobalState 0. Dopodiche ho riavviato il servizio NETLOGON/Accesso di rete e le share, dopo poco sono riapparse e tutto a ripreso a funzionare bene.
Ho cercato di analizzare le cause del problema, ma alla ho deciso di puntare sugli aggiornamenti, visto che la macchina era molto indietro. Ricordate la macchina senza SP1 di cui ho parlato all'inizio? :)
REFERENCE
