Actualizar Dominios Active Directory – Replicación SYSVOL: FRS a DFS-R

Hay un tema muy importante que está quedando olvidado para muchos administradores de Active Directory, y que está relacionado con el protocolo de replicación de la carpeta SYSVOL

Hasta Windows Server 2003 R2 el único protocolo posible de replicación de la carpeta SYSVOL es DFS (Distributed File System) con todas sus limitaciones y problemas que muchos han tenido que superar

A partir de Windows Server 2008 se puede usar otro protocolo mucho más eficiente y robusto para la sincronización de la carpeta SYSVOL como es DFS-R

Pero este cambio no es automático, ni aún eliminando los “viejos” Controladores de Dominio, ni elevando los niveles funcionales de Dominio y Bosque (Forest). Se debe hacer en forma manual

Lo primero y más importante a conocer es ¿está usando FRS o DFS-R? y no es fácil porque la interfaz gráfica usada para administrar o configurar el Dominio no nos dice nada al respecto

Pero tenemos una opción para verlo a través del Registro (Registry) así que debemos valernos de REGEDIT.EXE y buscar en el siguiente lugar:
”HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters”

Acá tenemos dos posibilidades, que exista o no una subcarpeta “Sysvols\Migrating SysVols”

Si existe: “HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Sysvols\Migrating SysVols”
Entonces se está utilizando DFS-R

Si esa carpeta no se encontrara, entonces está usando FRS

La primera figura, la que usa DFS-R, está tomada en un Controlador de Dominio donde se ha creado un Dominio y Bosque nuevos directamente con niveles funcionales Windows 2012 R2

La segunda figura, corresponde a un Dominio que se ha actualizado desde versiones anteriores. Para más detalles: es el correspondiente a la nota publicada Actualizar Dominio Windows 2003 a Windows Server 2012 R2

Así que en este caso, utilizaré como base para la demostración el segundo caso donde migraremos desde FRS a DFS-R

Este cambio es importante hacerlo para aprovechar y obtener las mejoras correspondientes al nuevo protocolo aunque viene desde Windows Server 2008. Entre ellas además de la robustez y velocidad, quizás lo más importante es que DFS-R utiliza RDC (Remote Differential Compression) con lo cual disminuye notablemente el tráfico de replicación de SYSVOL

Para el que le interese profundizar en el tema DFS-R le recomiendo: DFS Replication: Frequently Asked Questions (FAQ)

Además, y como es habitual en estas notas, veremos el procedimiento pero sin profundizar en la “teoría” y detalles. Para quien quiera le recomiendo el siguiente enlace: SYSVOL Replication Migration Guide: FRS to DFS Replication

Como vamos a usar la infraestructura ya creada para la nota publicada Actualizar Dominio Windows 2003 a Windows Server 2012 R2 y que para migrar a DFS-R es necesario que los niveles funcionales de Dominio sean por lo menos Windows 2008, en mi caso despromoví a DC0 (W2003-R2), para así poder elevar los niveles funcionales de Dominio, y de paso también Bosque, de acuerdo a la versión de los nuevos sistemas operativos de los Controladores de Dominio (W2012-R2); con W2008 hubiera alcanzado también

Primero elevaremos el nivel funcional del Dominio, así que en uno de los Controladores de Dominio que tenga el Dominio, en “Active Directory Users and Computers” con botón derecho sobre el Dominio elegimos “Raise Domain Functional Level”

Para luego elevar el nivel funcional del Bosque (Forest) desde “Active Directory Domains and Trusts” con botón derecho sobre la raíz de la consola

 

Una muy buena explicación y detalles del proceso los pueden encontrar en estas dos notas:

 

Para comenzar el cambio, en uno de los Controladores de Dominio abrimos una línea de comandos como administrador y para pasar al primer estado debemos ejecutar:

DFSRMIG /SetGlobalState 1

Y periódicamente verificar si el proceso fue completado con:

DFSRMIG /GetGlobalState

Una vez alcanzado el nuevo estado (Prepared) podemos seguir con el siguiente:

DFSRMIG /SetGlobalState 2

De forma análoga pasaremos al estado 3

Y si queremos comprobar, podemos verificar en el registro, que aparece la carpeta mencionada al principio de la nota, y además que el estado es 3 (Eliminated)

 

Resumiendo, el cambio desde FRS a DFS-R tiene muchas ventajas, pero sin embargo permanece oculto para muchos administradores de Active Directory que erróneamente suponen que este cambio es automático cuando actualizan el Dominio, pero sin embargo no es así.

Y aún más, se ve agravado porque la interfaz gráfica no lo muestra normalmente, y actualmente la mayoría de los Dominios existentes vienen migrando desde versiones anteriores

Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Jorge Cavallin  On 02/11/2013 at 21:42

    Excelente Guillermo!!

    • Guillermo Delprato  On 03/11/2013 at 08:04

      Gracias Jorge
      Este tema es importante tenerlo en cuenta, porque por un lado el tema de siempre poder hacer actualizaciones hace que quede mucho de compatibilidad hacia atrás, y además por lo que he estado leyendo W2012R2 es el último con compatibilidad W2003
      Además es un tema poco comentado

  • Jorge Cavallin  On 04/11/2013 at 09:34

    Hola Guillermo . Una ves que elevaremos el nivel funcional del Dominio , no tendríamos tener controladores de de dominio 2003 R2? Gracias

    • Guillermo Delprato  On 04/11/2013 at 09:41

      Hola Jorge, para poder usar DFS-R el nivel mínimo es W2008
      Para poder elevar el nivel todos los Controladores de Dominio tienen que tener, por lo menos, W2008
      Si hay alguno W2003 funcionando o no, o inclusive si fue uno sacado pero no eliminado en AD, no va a dejar elevar el nivel funcional
      Hace un tiempo vi esto último, habían quedado rastros en el AD de un W2003 que no había sido despromovido correctamente, y no había forma de elevar el nivel funcional

  • Javier O  On 06/11/2013 at 08:56

    Gracias Guillermo.
    Tenía mi bosque con un nivel funcional 2003, por pura inercia. Sin mantener ya ningún servidor 2003. Acabo de subirlo a 2008R2 (aún no tengo máquinas 2012) y he podido actualizar a DFS-R sin problemas siguiendo tu “receta de cocina”.
    Si te pasas/vives por Madrid, dame un toque y te invito a unas cañas.

    • Guillermo Delprato  On 06/11/2013 at 10:53

      ¡Un gusto que te haya servidor Javier!

      Realmente me gustaría tomar las cañas, pero realmente estoy muy lejos, en Buenos Aires, Argentina
      Quizás en algún momento lo pueda hacer, pero por ahora ni posibilidades :(

  • Dario  On 28/01/2014 at 13:11

    Estimado Guillermo. Hola! Perdón que desvirtue este tema, solo que no sé como poder contactarte.
    Tengo el siguiente problema. Estoy investigando/aprendiendo acerca del funcionamiento de dominios.
    Actualmente estoy trabajando con virtualbox para la emulación y con Server 2008 R2 y Seven Ultimate.
    El problema que tengo es el siguiente: Instalo un ws2008r2 (DC) como controlador de dominio, otro ws2008r2 (DATOS) como servidor de archivos y el w7ultimate (USUARIO1) como cliente.
    Ahora bien… En DATOS, creo una carpeta compartida llamada “Carpeta.Compartida”. Le quito el acceso a Todos y agrego Usuarios del dominio, guardo los cambios y listo.
    Cuando quiero ver nuevamente las propiedades de esta carpeta compartida, aparece durante breves instantes lo siguiente “S-1-5-21-1061970563-1227404869-1608755610-513”, para luego cambiar a “None (DATOS\None)” en el lugar donde tendría que decir “Usuarios del dominio”.
    Tenés idea de cual puede ser el problema?
    Muchas gracias.

    • Guillermo Delprato  On 29/01/2014 at 17:33

      Hola Darío, si por favor no quisiera desvirtuar el tema de la nota, ni tampoco convertir los comentarios de la nota en soporte :-)
      De todas formas para ayudar, el problema más común de ese error es porque alguno está usando un DNS que no corresponde.
      Todas las máquinas de un Dominio Active Directory, inclusive lo Controladores de Dominio, deben tener configurado como DNS *solamente* al Controlador de Dominio. *Nunca* a un DNS externo

  • Andrés  On 06/04/2014 at 23:31

    Guillermo, buenas noches. Cómo estás?
    Mi consulta puntualmente es la siguiente, si tengo Servidores DFS con namespaces en Windows Server 2003 R2 y Windows Server 2008 R2, y replican entre si, afecta en algún modo el sentido de la replicación si elevo esta característica? O sigue todo bien entre ambas versiones?
    Te lo consulto porque los namespaces que creé en Windows Server 2008 R2 al generar los DFS, puse que fueran en modo 2008, por ende no puedo replicar las carpetas de un DFS 2008 hacia un DFS bajo 2003.
    Muchas gracias!

    • Guillermo Delprato  On 07/04/2014 at 15:45

      Hola Andrés, recién hoy veo tu comentario :-)
      Si hay W2003 la única opción es FRS. Tanto FRS como DFS tienen la misma finalidad, pero son dos protocolos diferentes y no interoperan entre ellos
      En realidad W2012 aún mantiene una compatabilidad con FRS, de otra forma no se podría hacer actualización de Dominio, y se puede. El problema, es si no me falla la memoria, es que no pudes seleccionar al crear el DFS, habría que probarlo
      Y por otra parte, si ya lo haz puesto en modo 2008, no creo que exista forma de pasar al protocolo anterior

      • Andrés  On 08/09/2014 at 00:59

        Guillermo! Un gusto saluidarte nuevamente. Retomando este tema, entiendo que entre Domain Controllers es la cuestión, pero yo me refiero a los File Servers, te pongo un ejemplo, tengo dos File Servers, uno lo tengo sobre Windows Server 2003 R2 SP2 y el otro en Windows Server 2008 R2 SP1. La información del primero, se encuentra replicada mediante DFS hacia el segundo, con un modo intermedio por tener un 2003. Si yo a mi Domain Controller (los tengo todos bajo Windows Server 2008 R2 SP1 y tanto el nivel funcional del dominio como del bosque, se encuentran en esa versión, modifico este tema para hacer uso del DFS-R, afecta de alguna manera a la comunicación del DFS de los File Servers sabiendo que uno de los miembros es un 2003?
        Gracias nuevamente!

      • Guillermo Delprato  On 08/09/2014 at 08:25

        Hola Andrés, estoy leyendo y tratando de interpretar :-)
        Cuidado por que son muy confusos los nombres que ha puesto Microsoft: el DFS de W2003 usa FRS, y el nuevo protocolo es DFS-R. O sea que DFS es diferente a DFS :-D
        Voy escribiendo lo que voy interpretando de tu mensaje
        1.- W2003 DFS replicando a un W2008R2 (modo compatibilidad)
        2.- DCs W2008R2 quieres cambiar la replicación *del SYSVOL* a DFS-R
        ¿Es así?
        Si es así, realmente los W2008R2 DCs deberían estar usando ambos protocolos de replicación, uno para los archivos, y otro para el SYSVOL
        Entiendo que no debería haber problemas, pero yo no lo haría sin antes hacer la prueba en un ambiente de laboratorio y probarlo muy bien, porque dudo que Microsoft soporte la solución de ambos protocolos

      • Andrés  On 08/09/2014 at 08:28

        Guillermo, buen día!
        Se entendió perfectamente. Ya que el cambio es irreversible, coincido en que probarlo en un ambiente de testing va a ser la mejor opción para evitar un posible martes 13 ;)
        Gracias por la aclaración! ;).

      • Guillermo Delprato  On 08/09/2014 at 08:31

        Estamos online :-)
        Pero ya me voy que tengo que seguir con otra cosa

  • Toni  On 06/03/2016 at 09:56

    Hola.
    Esta guia me resulta muy interesante para poder cambiar definitivamente de FRS a DFS-R.
    La duda que tengo es que, una vez realizados los cambios hay que detener el servicio de replicación de archivos?
    Un saludo y muchas gracias.

    • Guillermo Delprato  On 07/03/2016 at 08:24

      Hola Toni, la nota la hice hace tiempo, no recuerdo el detalle, pero si quedara en funcionamiento el servicio, se puede detener sin problmas, salvo que tuvieras un DFS que lo esté usando
      Lo pasaría primero a manua, durante un tiempo para verificar que no existan problemas, y luego directamente lo deshabilitaría

      • istpapawar  On 08/03/2016 at 19:45

        Ok, muchas gracias.

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: