Migrer SYSVOL de FRS à DFSR puis élever les niveaux fonctionnels AD (domaine & forêt)

Besoin de passer votre réplication SYSVOL de FRS à DFSR et d’élever les niveaux fonctionnels ? Voici un guide clair, sûr et reproductible pour environnements Windows Server 2012 R2 avec forêts et domaines en niveau 2008 R2.

Sommaire

Vue d’ensemble de la question

Vous disposez de deux contrôleurs de domaine Windows Server 2012 R2 dans une forêt et un domaine au niveau fonctionnel 2008 R2. Votre objectif est double :

Migrer SYSVOL de l’ancienne réplication FRS vers DFSR.
Élever les niveaux fonctionnels d’abord du domaine, puis de la forêt.

Réponse rapide : Oui, vous pouvez lancer la migration dans cette configuration. L’ordre correct est :
1) migrer SYSVOL de FRS vers DFSR, 2) élever le niveau fonctionnel du domaine, 3) élever le niveau fonctionnel de la forêt.

Pourquoi cet ordre est essentiel

Compatibilité : Les contrôleurs de domaine modernes (ex. Windows Server 2019/2022) n’embarquent plus FRS. Migrer d’abord SYSVOL élimine le risque d’un blocage futur.
Gouvernance AD : On ne peut élever la forêt que lorsque tous les domaines qu’elle contient sont déjà au niveau souhaité. Il faut donc élever le domaine avant la forêt.
Réversibilité : Pendant les phases Prepared et Redirected de la migration DFSR, un retour arrière reste possible. Après Eliminated, FRS est définitivement retiré.

Conditions requises et vérifications préalables

Avant toute action, assurez-vous que l’Active Directory et la réplication sont en parfaite santé.

Vérification	Commande / Action	Ce qu’il faut observer
Santé générale AD	`dcdiag /v`	Aucune erreur critique (DNS, NetLogon, Services AD). Corrigez tout échec.
Réplication AD	`repadmin /replsummary` `repadmin /showrepl *`	Latence normale, pas d’échecs persistants.
Niveaux fonctionnels actuels	`Get-ADDomain \| fl DomainMode` `Get-ADForest \| fl ForestMode`	Doivent indiquer Windows2008R2Domain/Forest (ou supérieur).
Nombre et état des DC	`Get-ADDomainController -Filter *`	Liste complète, tous en ligne avec rôle DNS/GC selon votre design.
Antivirus	Configurer des exclusions	Exclure les dossiers et processus AD/DFSR pour éviter des blocages d’E/S.
Horaire et NTP	W32Time synchronisé	Pas d’écart d’horloge significatif entre DC (< 5 min).
Sauvegardes	État système + SYSVOL	Backups récents et testés (au minimum, sur le Primary DC).

Chemin de migration SYSVOL : FRS vers DFSR

La migration se fait avec l’outil dfsrmig.exe en trois étapes. Entre chaque étape, attendez la convergence complète.

Étape	Commande	Effet	Contrôles	Retour arrière ?
Prepared	`dfsrmig /setglobalstate 1`	DFSR crée sa structure SYSVOL en parallèle de FRS.	`dfsrmig /getmigrationstate` jusqu’à “100%”.	Oui : `/setglobalstate 0`
Redirected	`dfsrmig /setglobalstate 2`	Les partages `SYSVOL` et `NETLOGON` sont redirigés vers DFSR.	`dcdiag /test:sysvolcheck`, `net share`, tests GPO.	Oui : `/setglobalstate 1`
Eliminated	`dfsrmig /setglobalstate 3`	FRS est retiré. DFSR devient l’unique moteur SYSVOL.	Journal “DFS Replication”, GPO OK.	Non

Procédure détaillée, pas à pas

Exécuter les contrôles préalables mentionnés plus haut. Corriger toute alerte avant de commencer.
Phase Prepared
dfsrmig /setglobalstate 1 dfsrmig /getmigrationstate Attendre que tous les DC atteignent l’état Prepared. Vous pouvez accélérer la prise en compte en forçant les DC à relire AD : dfsrdiag pollad
Phase Redirected
dfsrmig /setglobalstate 2 dfsrmig /getmigrationstate Une fois convergé :
- Vérifier que les partages sont servis par DFSR : net share doit montrer SYSVOL/NETLOGON pointant vers %systemroot%\SYSVOL_DFSR\....
- Créer une GPO de test et confirmer sa réplication et son application (gpupdate /force, gpresult /r ou RSOP).
Phase Eliminated
dfsrmig /setglobalstate 3 dfsrmig /getmigrationstate Quand l’état est à 100 %, FRS est hors service pour SYSVOL. Vérifiez l’Observateur d’événements : canal Applications and Services Logs → DFS Replication ; pas d’erreurs récidivantes.

Repères et chemins importants

Avant migration : SYSVOL via FRS dans %systemroot%\SYSVOL\sysvol.
Après redirection/élimination : SYSVOL via DFSR dans %systemroot%\SYSVOL_DFSR\sysvol.
Partages : SYSVOL et NETLOGON restent identiques pour les clients ; seule la source change.

Bonnes pratiques pendant la migration

Fenêtre de maintenance : exécutez les bascules en heures creuses.
Un DC à la fois (en termes de surveillance) : s’assurer que chaque DC converge avant d’enchaîner.
Antivirus : exclure NTFRS (tant qu’il existe), DFSR et les chemins SYSVOL/SYSVOL_DFSR.
Sites AD : si vous avez plusieurs sites, confirmez les liaisons et horaires de réplication (Sites et Services AD).

Élévation des niveaux fonctionnels (après migration DFSR)

Quand SYSVOL est entièrement sous DFSR (Eliminated), vous pouvez élever les niveaux fonctionnels. L’élévation est irréversible.

Niveau fonctionnel du domaine

Pré-requis : tous les DC du domaine doivent être au moins à la version du niveau ciblé.
Exemples de commandes PowerShell :

Import-Module ActiveDirectory

# Vérifier les niveaux actuels

Get-ADDomain | fl Name,DomainMode
Get-ADForest | fl Name,ForestMode

# Élever le domaine (ex. vers 2012 R2)

Set-ADDomainMode -Identity "votre-domaine.local" -DomainMode Windows2012R2Domain

# (Optionnel) Élever directement vers 2016 si tous les DC sont au niveau 2016+

# Set-ADDomainMode -Identity "votre-domaine.local" -DomainMode Windows2016Domain

# Contrôler après élévation

Get-ADDomain | fl Name,DomainMode

Niveau fonctionnel de la forêt

Condition : tous les domaines de la forêt doivent déjà être au niveau cible.
Commande PowerShell :

# Élever la forêt après tous les domaines
Set-ADForestMode -Identity "votre-domaine.local" -ForestMode Windows2012R2Forest

# (Optionnel) Forêt 2016 si tous les domaines sont déjà 2016

# Set-ADForestMode -Identity "votre-domaine.local" -ForestMode Windows2016Forest

# Vérifier

Get-ADForest | fl Name,ForestMode

Règle d’or sur les niveaux fonctionnels

Domaine avant Forêt : la forêt vérifie que chaque domaine a le niveau requis.
Pas de nouveau niveau au‑delà de 2016 pour l’instant ; Windows Server 2019/2022 n’introduisent pas de nouveaux niveaux fonctionnels, mais exigent DFSR pour SYSVOL.

Tableau récapitulatif (de FRS→DFSR jusqu’à l’élévation)

Étape	Action clé	Détails pratiques	Validation
0. Pré‑requis	Santé AD	`dcdiag /v`, `repadmin /replsummary`. Corriger les erreurs avant tout.	Pas d’échec, réplication stable.
1. FRS → DFSR	`dfsrmig`	1) `/setglobalstate 1` (Prepared) 2) `/setglobalstate 2` (Redirected) 3) `/setglobalstate 3` (Eliminated)	Après chaque étape : `/getmigrationstate` à 100 %, `dcdiag /test:sysvolcheck`.
2. Niveau Domaine	UI ou PowerShell	Domaines et relations d’approbation AD ou `Set-ADDomainMode`.	Contrôler avec `Get-ADDomain`.
3. Niveau Forêt	UI ou PowerShell	Une fois tous les domaines élevés : `Set-ADForestMode`.	Contrôler avec `Get-ADForest`.

Contrôles post‑migration indispensables

Partages : net share doit indiquer que SYSVOL/NETLOGON pointent vers SYSVOL_DFSR.
GPO : créer une GPO de test dans le domaine, lier à une OU, puis vérifier la réplication et l’application (gpupdate /force, gpresult /r).
Journaux : “DFS Replication” (avertissements/erreurs), “Directory Service”, “DNS Server”.
Monitoring : vérifier la latence de réplication AD après montée de niveaux.

Dépannage : scénarios courants

Symptôme	Cause probable	Correctif
`dfsrmig /getmigrationstate` ne converge pas	Réplication AD lente, DC injoignable, problèmes DNS.	Vérifier `repadmin`, enregistrer les DC dans DNS, forcer `dfsrdiag pollad`, corriger connectivité.
Erreur d’accès lors de `dfsrmig`	Compte non membre d’Enterprise Admins / Domain Admins.	Utiliser un compte avec les privilèges adéquats.
Les clients ne voient plus les scripts de connexion	Redirection SYSVOL incomplète, antivirus bloque DFSR, GPO non répliqués.	Vérifier le chemin du partage, exclusions AV, forcer la réplication, recréer une GPO de test.
Impossible d’ajouter un DC Windows Server 2019/2022	SYSVOL encore en FRS.	Terminer la migration DFSR (jusqu’à Eliminated), puis recommencer l’ajout du DC.
Élévation des niveaux refusée	Un domaine de la forêt n’est pas encore au niveau demandé.	Élever d’abord chaque domaine, puis la forêt.

FAQ rapides

Peut‑on lancer la migration SYSVOL vers DFSR avec des niveaux fonctionnels 2008 R2 ?
Oui. Le niveau 2008/2008 R2 prend en charge DFSR pour SYSVOL. Assurez‑vous simplement de la bonne santé de la réplication avant de commencer.

Quel est l’ordre correct pour les montées de niveau ?
1) Migrer SYSVOL vers DFSR → 2) Élever le domaine → 3) Élever la forêt.

Peut‑on revenir en arrière après Eliminated ?
Non. Après Eliminated, FRS est désinstallé de la topologie SYSVOL. D’où l’importance des vérifications et sauvegardes avant cette étape.

Les niveaux fonctionnels 2019/2022 existent‑ils ?
Non. À ce jour, le niveau le plus élevé est Windows Server 2016. Les versions 2019/2022 n’ajoutent pas de nouveaux niveaux, mais exigent DFSR pour SYSVOL.

Check‑list exécutable

Confirmer sauvegardes état système + SYSVOL.
Exclure dossiers/processus AD/DFSR de l’antivirus.
Lancer dcdiag et repadmin, corriger les erreurs.
dfsrmig /setglobalstate 1 → attendre 100 %.
dfsrmig /setglobalstate 2 → attendre 100 % → tester GPO/partages.
dfsrmig /setglobalstate 3 → attendre 100 % → vérifier journaux.
Élever le niveau fonctionnel du domaine (UI ou PowerShell).
Élever le niveau fonctionnel de la forêt (UI ou PowerShell).
Validation finale : Get-ADDomain, Get-ADForest, tests GPO, journaux propres.

Modèles de commandes prêts à copier

Ajustez les noms d’hôte/du domaine selon votre environnement.

:: Contrôles initiaux
dcdiag /v
repadmin /replsummary
repadmin /showrepl *

:: Migration DFSR
dfsrmig /setglobalstate 1
dfsrmig /getmigrationstate

dfsrmig /setglobalstate 2
dfsrmig /getmigrationstate

dfsrmig /setglobalstate 3
dfsrmig /getmigrationstate

:: Vérifications SYSVOL
dcdiag /test:sysvolcheck
net share

:: PowerShell - niveaux fonctionnels
Import-Module ActiveDirectory
Get-ADDomain | fl Name,DomainMode
Get-ADForest | fl Name,ForestMode

Set-ADDomainMode -Identity "votre-domaine.local" -DomainMode Windows2012R2Domain

# Ou si éligible :

# Set-ADDomainMode -Identity "votre-domaine.local" -DomainMode Windows2016Domain

Set-ADForestMode -Identity "votre-domaine.local" -ForestMode Windows2012R2Forest

# Ou si éligible :

# Set-ADForestMode -Identity "votre-domaine.local" -ForestMode Windows2016Forest

Conseils d’exploitation et de sécurité

Communication : informer les équipes (poste, sécurité, réseau) de la fenêtre de maintenance.
Plan de reprise : en phases Prepared ou Redirected, un retour arrière est possible si nécessaire. Documentez la procédure.
Surveillance : placez des alertes sur les canaux “DFS Replication” et “Directory Service”.
Documentation : notez les horodatages des bascules, les ID d’événements majeurs, et les tests réalisés.

Résultat attendu

À l’issue de la procédure, SYSVOL est répliqué par DFSR, offrant une réplication plus efficace et robuste. Les niveaux fonctionnels domaine puis forêt sont élevés, débloquant des fonctionnalités AD récentes et assurant la compatibilité avec des DC modernes.

Résumé décisionnel (pour validation rapide)

Question	Réponse	Justification
Peut‑on démarrer la migration dans une forêt/domaine 2008 R2 avec des DC 2012 R2 ?	Oui	Le niveau 2008/2008 R2 prend en charge DFSR pour SYSVOL. 2012 R2 est pleinement compatible.
Quel ordre pour l’élévation des niveaux fonctionnels ?	DFSR → Domaine → Forêt	DFSR d’abord pour éviter tout blocage (FRS obsolète) ; la forêt ne peut être élevée qu’après tous ses domaines.

Avec ce guide, vous réduisez drastiquement les risques opérationnels : vous migrez SYSVOL proprement, vous sécurisez l’avenir de votre annuaire et vous gardez la main sur le calendrier de modernisation de vos DC.