Migração do SYSVOL de FRS para DFSR no Windows Server: guia completo e passo a passo

Assumiu um domínio Windows Server 2012 R2 e viu “Global state = Start (0) – Succeeded” no dfsrmig? Isso indica que a migração do SYSVOL ainda não começou e o domínio segue em FRS. Este guia mostra por que migrar, como executar com segurança e como validar cada etapa.

Índice

Visão geral do cenário

O administrador executou dfsrmig /getmigrationstate e dfsrmig /getglobalstate.
Resultado retornado: Global state = Start (0) – Succeeded.
Existe apenas o compartilhamento SYSVOL; não há SYSVOL_DFSR.
Os serviços File Replication Service (FRS) e DFS Replication (DFSR) estão em execução.
Dúvidas comuns: o que “Start” significa, se já houve migração e se é seguro iniciar novamente as fases Prepared, Redirected e Eliminated.

Resposta direta

Start (0) significa que a migração do SYSVOL ainda não foi iniciada. A mensagem “All domain controllers have migrated successfully to the global state (‘Start’)” apenas confirma que todos os DCs estão sincronizados no ponto de partida. A ausência do compartilhamento SYSVOL_DFSR confirma que o domínio continua em FRS. Nesse estado, é seguro iniciar o processo de migração com o dfsrmig, seguindo as fases Prepared → Redirected → Eliminated.

Por que migrar o SYSVOL de FRS para DFSR

Suporte: FRS está obsoleto desde o Windows Server 2008 R2 e não é suportado a partir do Windows Server 2019. Para atualizar seus controladores para 2019/2022 ou implantações que interagem com Azure AD DS, o SYSVOL precisa estar em DFSR.
Confiabilidade e desempenho: DFSR é mais robusto que FRS, usa replicação baseada em blocos (Remote Differential Compression), compressão e melhores mecanismos de detecção de conflitos.
Observabilidade: DFSR oferece relatórios e diagnósticos mais consistentes (dfsrdiag, eventos e contadores de desempenho).

Pré‑requisitos e checklist de saúde

Antes de migrar, valide a integridade do Active Directory e minimize riscos.

Tarefa	Comandos ou Ações	Critério de Sucesso
Verificar replicação do AD	`dcdiag /e /c /v /f:dcdiag.log repadmin /replsummary repadmin /showrepl *`	Sem erros críticos; latência dentro do normal.
Confirmar nível funcional do domínio	`powershell Get-ADDomain \| Select-Object Name,DomainMode`	Nível funcional Windows Server 2008 ou superior.
Sincronismo de tempo	`w32tm /query /status`	Todos os DCs com horário sincronizado e fonte confiável.
Espaço em disco	Verificar volume do sistema e `%systemroot%`.	Espaço livre suficiente para staging e banco do DFSR.
Backup ou snapshot	Imagem/snapshot recente dos DCs (especialmente o PDC Emulator).	Capacidade de restauração ponto‑no‑tempo se necessário.
Saúde do FRS atual	Verificar log “File Replication Service” no Visualizador de Eventos.	Sem “journal wrap”, backlogs persistentes ou erros não resolvidos.

Dica: se houver RODCs, garanta que estejam alcançáveis durante a migração. Em ambientes geograficamente distribuídos, considere executar cada fase fora do horário de pico.

Entendendo as fases da migração

O utilitário dfsrmig conduz a migração em quatro estados globais. Use a tabela como guia rápido:

Fase	Comando	Objetivo	Reversão
Start (0)	(estado atual)	Nada migrou; FRS publica o `SYSVOL`.	—
Prepared (1)	`dfsrmig /setglobalstate 1`	Cria cópia DFSR do SYSVOL (`SYSVOL_DFSR`) sem alterar o compartilhamento publicado.	Sim (volta para Start).
Redirected (2)	`dfsrmig /setglobalstate 2`	Controladores passam a publicar `SYSVOL_DFSR`; FRS fica secundário.	Sim (volta para Prepared).
Eliminated (3)	`dfsrmig /setglobalstate 3`	FRS é desativado e removido da equação; DFSR mantém o SYSVOL.	Não (reversão exige restauração).

Em cada transição, acompanhe até o estado “Succeeded” para todos os DCs antes de avançar.

Plano de execução passo a passo

Validações iniciais

Corrija eventuais erros em dcdiag e repadmin.
Confirme que somente o compartilhamento SYSVOL existe: net share | findstr /i sysvol
Confirme o estado atual: dfsrmig /getglobalstate dfsrmig /getmigrationstate

Fase Prepared

Objetivo: preparar e popular a árvore SYSVOL_DFSR sem impacto nos clientes.

dfsrmig /setglobalstate 1
dfsrmig /getmigrationstate

Critério de sucesso: “All domain controllers have migrated successfully to the global state (‘Prepared’).”
Verificações:
- Pasta %systemroot%\SYSVOL_DFSR criada e sincronizando.
- Backlog sob controle: dfsrdiag backlog /rgname:"Domain System Volume" /rfname:"SYSVOL Share" /smem:<DCFonte> /rmem:<DCDestino>
- Sem erros críticos nos logs “DFS Replication”.
Reversão possível: é viável voltar para Start se necessário.

Fase Redirected

Objetivo: alterar a publicação do compartilhamento para a cópia replicada por DFSR.

dfsrmig /setglobalstate 2
dfsrmig /getmigrationstate

Critério de sucesso: “All domain controllers have migrated successfully to the global state (‘Redirected’).”
Verificações:
- net share mostra SYSVOL apontando para a árvore do SYSVOL_DFSR.
- Perfis de logon, scripts e GPOs continuam disponíveis para usuários e máquinas.
Reversão possível: é viável voltar para Prepared se algo inesperado ocorrer.

Fase Eliminated

Objetivo: remover FRS da equação e consolidar 100% em DFSR.

dfsrmig /setglobalstate 3
dfsrmig /getmigrationstate

Critério de sucesso: “All domain controllers have migrated successfully to the global state (‘Eliminated’).”
Verificações:
- Serviço FRS parado e desabilitado: sc query ntfrs sc config ntfrs start= disabled
- SYSVOL_DFSR é a única fonte de publicação do SYSVOL.
Reversão: não existe reversão simples; só com restauração de backup.

Critérios de validação por fase

Fase	Validações essenciais	Indicadores de problema
Prepared	Pasta `SYSVOL_DFSR` presente em todos os DCs. `dfsrmig /getmigrationstate` concluído com “Succeeded”.	Backlog elevado por longos períodos (`dfsrdiag backlog`). Erros no log “DFS Replication”.
Redirected	Compartilhamento `SYSVOL` ativo e apontando para DFSR. Aplicação de GPOs e scripts sem falhas.	Falha de GPO nos clientes (`gpresult` mostra erros). Inconsistência de conteúdo entre DCs.
Eliminated	FRS desabilitado em todos os DCs. Sem eventos de erro recorrentes no “DFS Replication”.	Compartilhamento `SYSVOL` ausente ou inacessível. Erros de autenticação ou processamento de políticas.

Boas práticas operacionais

Avance por ondas: só mude de fase quando todos os DCs reportarem “Succeeded”.
Janela de mudança: execute fases Redirected e Eliminated fora do horário de pico.
Monitoramento: acompanhe os logs “Directory Service”, “DNS Server”, “DFS Replication” e “File Replication Service”.
Comunicação: avise times de segurança e help desk sobre a janela e os testes de validação.

Validações de ponta a ponta

Clientes: em estações representativas, execute: gpupdate /force gpresult /r Confirme que as GPOs são aplicadas normalmente.
Conteúdo do SYSVOL: verifique scripts e templates em: %systemroot%\SYSVOL_DFSR\domain\Policies %systemroot%\SYSVOL_DFSR\domain\Scripts
Backlog: use: dfsrdiag backlog /rgname:"Domain System Volume" /rfname:"SYSVOL Share" /smem:<DC1> /rmem:<DC2>
Topologia: valide que todas as conexões esperadas existem no grupo de replicação “Domain System Volume”.

Resolução de problemas

Sintomas e correções rápidas

Sintoma	Possível causa	Ação recomendada
`dfsrmig /getmigrationstate` não sai de “Waiting for…”.	Algum DC está offline, com replicação de AD atrasada ou serviço DFSR com falha.	Traga o DC online, corrija replicação do AD, verifique o serviço DFSR e os eventos; use `dfsrdiag pollad` e repita.
Backlog elevado entre dois DCs	Links lentos, staging pequeno ou muitos arquivos alterados.	Amplie staging do DFSR, aguarde estabilizar, priorize a WAN e volte a medir.
GPOs não aplicam após Redirected	Clientes apontando para DC desatualizado ou problemas de nomeação do compartilhamento.	Forçar atualização de políticas, validar `net share` em todos os DCs, conferir event logs dos clientes.
Erro “journal wrap” no FRS antes de migrar	Banco do FRS corrompido ou backlog antigo.	Executar recuperação apropriada do FRS (restauração não‑autoritativa/autoritaria conforme política) e só então iniciar a migração.
`SYSVOL_DFSR` não é criado em um DC	Falha ao ler objetos do AD ou permissões inconsistentes.	Verificar conectividade com DCs de catálogo global e integridade do AD; revisar permissões no grupo de replicação.

Comandos úteis de diagnóstico

dfsrmig /getglobalstate
dfsrmig /getmigrationstate
dfsrdiag backlog /rgname:"Domain System Volume" /rfname:"SYSVOL Share" /smem:&lt;DCA&gt; /rmem:&lt;DCB&gt;
dfsrdiag pollad
repadmin /replsummary
dcdiag /e /c
net share
Get-SmbShare -Name SYSVOL

Boas práticas de segurança e conformidade

Backups testados: snapshots sem restauração testada não são backup. Faça test restore.
Segregação de funções: restrinja quem pode executar dfsrmig e alterar o AD.
Auditoria: documente a linha do tempo, decisões, evidências de validação e aprovações.
Plano de rollback: permitido apenas até Eliminated. Após isso, a recuperação é via restauração.

Próximos passos recomendados

Resolver alertas de replicação e saúde do AD.
Executar dfsrmig /setglobalstate 1 e aguardar “Succeeded”.
Repetir para dfsrmig /setglobalstate 2 e depois dfsrmig /setglobalstate 3, validando a cada fase.
Documentar o processo para auditoria e atualizações futuras.

Perguntas frequentes

Posso repetir a migração se o estado está em Start?

Sim. Start indica que nada foi migrado. Inicie normalmente em Prepared e siga as fases com validações.

É obrigatório migrar para atualizar para Windows Server 2019 ou 2022?

Sim. A atualização de controladores para versões atuais requer o SYSVOL em DFSR.

Ambientes com sites remotos muito lentos são um problema?

Não necessariamente. Planeje janelas adequadas, monitore o backlog e ajuste staging conforme necessário.

O serviço FRS pode ser removido depois?

Após Eliminated, você pode manter o serviço FRS desabilitado. Se houver política corporativa para limpeza adicional, faça de forma padronizada e documentada.

Modelo de runbook pronto para uso

A seguir, um roteiro que pode ser colado no seu runbook de mudança.

Nome: Migração do SYSVOL de FRS para DFSR
Escopo: Todos os Controladores de Domínio do domínio <SEU_DOMÍNIO>

Pré-mudança:

- Validar dcdiag/repadmin sem erros críticos
- Confirmar DFL ≥ Windows Server 2008
- Garantir backup/snapshot no PDC e pelo menos 1 DC por site
- Avisar times (Segurança, Help Desk, Rede)

Execução:

1. dfsrmig /setglobalstate 1

   - Acompanhar dfsrmig /getmigrationstate até “Succeeded”
   - Validar criação de SYSVOL\_DFSR e backlog sob controle
2. dfsrmig /setglobalstate 2

   - Acompanhar “Succeeded”
   - Validar GPOs em clientes, net share e logs
3. dfsrmig /setglobalstate 3

   - Acompanhar “Succeeded”
   - Desabilitar FRS (sc config ntfrs start= disabled)
   - Validar operação normal por 1-2 ciclos de logon

Pós-mudança:

- Arquivar evidências (logs, capturas)
- Atualizar CMDB e documentação
- Registrar lições aprendidas

Resumo executivo para decisão

O domínio está sincronizado no ponto inicial de migração. Migrar para DFSR é necessário por suporte, robustez e futuras atualizações. Seguindo as fases guiadas pelo dfsrmig, com validações entre etapas, o risco operacional é baixo e o impacto para usuários é mínimo. Concluída a etapa final, o serviço FRS deixa de ser usado e o ambiente fica apto para evoluir o parque de DCs e o nível funcional do domínio com tranquilidade.

Em ambientes que planejam elevar o nível funcional, adicionar novos DCs Windows Server 2019/2022 ou integrar com serviços modernos, concluir a migração do SYSVOL para DFSR é requisito prático e técnico.