MENU
  1. Accueil
  2. Windows
  3. Windows Server
  4. Migration SYSVOL : passer de FRS à DFSR sans interruption sous Windows Server 2019/2022

Migration SYSVOL : passer de FRS à DFSR sans interruption sous Windows Server 2019/2022

Windows Server

La coexistence de FRS et de DFS Replication sur vos contrôleurs de domaine freine l’évolution de votre annuaire Active Directory : sans migration, l’ajout d’un DC Windows Server 2019/2022 est impossible et les correctifs de sécurité récents deviennent inapplicables. Heureusement, une transition contrôlée vers DFSR se réalise sans interruption de service si chaque étape est validée avec rigueur.

Sommaire

Constat initial : où en est votre SYSVOL ?

L’exécution de dfsrmig /getmigrationstate affiche :

All domain controllers have migrated successfully to the Global state ('Start'). 
Migration has reached a consistent state on all domain controllers.

Cette phrase est trompeuse : l’outil ne fait que constater que tous les DC sont toujours bloqués à l’état 0 (Start). Aucune action de migration n’a réellement débuté et la réplication SYSVOL s’effectue encore via FRS. Vous pouvez le vérifier dans l’arborescence réseau : seul le partage \\<DC>\SYSVOL est exposé, le dossier SYSVOL_DFSR n’ayant pas encore été créé.

Pourquoi FRS doit disparaître

  • Compatibilité : Windows Server 2019 et ultérieurs bloquent la promotion d’un DC si FRS est détecté.
  • Sécurité : FRS n’a plus évolué depuis 2003 ; son code n’est plus audité et n’intègre pas les mécanismes modernes d’intégrité (RPC sécurisé, chiffrement AES, etc.).
  • Stabilité : DFSR gère la reprise après incident fichier par fichier, là où FRS resynchronise l’intégralité du jeu de réplication, rallongeant les fenêtres d’indisponibilité.
  • Clarté opérationnelle : entretenir deux moteurs de réplication double le volume d’événements à superviser et complique les analyses post‑incident.

Prérequis techniques

Avant toute modification, assurez‑vous :

  1. D’avoir une sauvegarde état système de chaque DC datant de moins de 24 h.
  2. Que dcdiag /v et repadmin /replsummary ne remontent aucune erreur – corrigez‑les sinon.
  3. Que la veille de réplication AD couvre l’ensemble des sites (au moins une réplication entrante et sortante réussie pour chaque DC).
  4. Que la stratégie de temps (W32Time) converge (différence < 5 min, idéalement < 1 min).
  5. D’avoir un compte membre des groupes Domain Admins et Enterprise Admins.

Plan de migration guidée

Phase DFSRMIGCommandeEffet attenduPoints de vigilance
0 – Start (état actuel)dfsrmig /setglobalstate 0Aucun changement : tous les DC utilisent FRS.Contrôlez la santé AD avant d’avancer.
1 – Prepareddfsrmig /setglobalstate 1Création de SYSVOL_DFSR, initialisation de la réplication DFSR (en parallèle de FRS).Suivez dfsrmig /getmigrationstate jusqu’à « Consistent » ; événement 8014 dans le journal DFSR.
2 – Redirecteddfsrmig /setglobalstate 2Les DC pointent vers SYSVOL_DFSR ; FRS reste installé mais inactif.Vérifiez l’exécution des scripts d’ouverture de session, des GPO, et l’absence d’événement 135 dans FRS.
3 – Eliminateddfsrmig /setglobalstate 3Désinstallation de FRS ; suppression de l’ancien dossier SYSVOL ; DFSR devient le mécanisme exclusif.Étape irréversible : confirmez sauvegardes et réplication AD exemptes d’erreurs.

Détail opérationnel de chaque phase

Prepared : premiers paquets DFSR

Lorsque vous lancez l’état 1, DFSR crée un nouveau réplica SYSVOL et se sert de l’algorithme RDC (Remote Differential Compression) pour calculer des blocs delta. Cette phase est la plus longue sur les topologies multi‑sites à faible bande passante ; attendez patiemment l’événement 8008 « File Replication Service is no longer read‑only » pour chaque DC avant de poursuivre.

Redirected : bascule transparente

La commande dfsrmig /setglobalstate 2 bascule les partages SYSVOL et SCRIPTS sur le chemin DFSR. Les utilisateurs ne voient aucune différence, mais vos outils de supervision doivent dès lors se baser sur le journal DFSR (Applications and Services Logs → DFS Replication). Pour vérifier la bonne diffusion des GPO :

gpupdate /force
rsop.msc
gpresult /r

Eliminated : nettoyage et gain de performances

Une fois l’état 3 atteint et confirmé cohérent, deux actions finales sont appliquées :

  • Suppression du service NTFRS et de ses clés de registre.
  • Renommage de SYSVOL_DFSR en SYSVOL pour conserver la compatibilité des chemins UNC historiques.

À ce stade, la réplication se fait exclusivement via DFSR, qui offre :

  • Compression différentielle intégrée (économie de bande passante de 30‑70 %).
  • Gestion automatique des conflits et journaux détaillés (événements 4000‑6008).
  • Pause et reprise granulaire en cas de maintenance réseau.

Surveiller la migration en temps réel

Le trio commande‑événement‑journal suivant fournit une visibilité exhaustive :

  1. dfsrmig /getmigrationstate : statut global et ID de phase.
  2. Journal DFS Replication : événements 8002 (start), 8004 (consistency), 8017 (roll‑back detection).
  3. Journal Directory Service : événements 4602/4604 certifiant la réplication AD réussie d’un DC vers ses pairs.

Pensez également à exporter un rapport Health Report via l’outil dfsrdiag /Health, qui produit un fichier XML convertible en HTML pour audit.

Bonnes pratiques complémentaires

  • Désactiver l’anti‑virus sur %systemroot%\SYSVOL_DFSR pendant la phase 1, ou au minimum ajouter une exclusion temps réel.
  • Éviter les tâches de sauvegarde à chaud sur SYSVOL durant la migration ; privilégiez un instantané VSS avant la phase 1 et après la phase 3.
  • Respecter un créneau de maintenance prolongé pour les topologies comportant plus de 50 DC ou des liens WAN < 10 Mb/s.
  • Documenter chaque changement (commande exécutée, heure, DC principal) afin de faciliter un potentiel support Microsoft.

FAQ – Questions fréquentes

Que faire si un DC reste bloqué dans l’état « Waiting for Initial Synchronization » ? Exécutez dfsrmig /setglobalstate 1 à nouveau sur le DC concerné, redémarrez le service DFSR et vérifiez qu’aucun filtre de pare‑feu n’empêche RPC/135 et SMB/445. Puis‑je revenir à FRS après l’état 3 ? Non. L’opération est one‑way. Vous devrez restaurer un état système antérieur ou reconstruire le DC. Quel impact sur mes sites RODC ? Les Read‑Only Domain Controllers participent à DFSR comme n’importe quel DC. Assurez‑vous simplement qu’ils disposent du cache de lecture nécessaire (feature « Pre‑create staging »). Le dossier NTFRS_PreExisting grossit après la phase 2, est‑ce normal ? Oui, il stocke temporairement les fichiers encore verrouillés par FRS. Sa taille redescendra après l’état 3 ; vous pouvez forcer la suppression programmée via dfsrdiag /cleanup. DFS Replication chiffre‑t‑il le trafic SYSVOL ? Pas nativement. Mais tout le trafic SMB suit la politique de signature/chiffrement CIFS si activée. Vous pouvez également encapsuler dans un tunnel IPsec inter‑sites.

Checklist récapitulative avant de lancer la phase 1

  • Sauvegarde état système & partition SYSVOL pour chaque DC.
  • Résultat dcdiag : zéro erreur.
  • Résultat repadmin /replsummary : zéro échec.
  • Synchronisation horaire NTP confirmée.
  • Fenêtre de maintenance validée avec l’équipe sécurité et réseau.
  • Plan de communication rédigé pour les équipes support et bureau de service.

Conclusion

La migration FRS vers DFSR est souvent repoussée par crainte de la complexité. Pourtant, menée étape par étape et centrée sur la cohérence de réplication, elle permet :

  • La prise en charge immédiate de Windows Server 2022 et des GPO modernisées (ADMX central store).
  • Une réduction de bande passante grâce au moteur RDC.
  • Des journaux détaillés simplifiant l’investigation et l’audit.
  • Une posture de sécurité renforcée grâce à la suppression d’un composant hérité.

En appliquant scrupuleusement les consignes de ce guide, votre annuaire Active Directory gagne en pérennité, conformité et performance.

Mémorisez ceci : tant que l’état global n’a pas atteint Eliminated, votre environnement reste techniquement dépendant de FRS.

Windows Server
Active Directory Windows Server DFSR SYSVOL FRS
Sommaire