La migration de FRS (File Replication Service) vers DFSR (Distributed File System Replication) est une étape nécessaire pour moderniser et sécuriser les contrôleurs de domaine Active Directory.
FRS était utilisé avec les anciennes versions de Windows Server (2000 et 2003 ?par exemple) pour la réplication des dossiers SYSVOL. En somme, les scripts de démarrage ainsi que les GPo.
Cependant, FRS avait des limitations en termes de performance, de gestion et de fiabilité. Bref, ce n’était pas vraiment optimisé disons-le.
DFSR est un mécanisme (ou une technologie) un peu plus moderne et plus performant(e) qui remplace FRS pour la réplication SYSVOL ; de mémoire, c’est à partir de Windows Server 2003 R2 pour la réplication DFS.
Migration vers DFSR
Ce sont des étapes qui ne sont pas bien compliquées. Il faut cependant réunir quelques conditions, comme la version de Windows Server, une bonne réplication entre les contrôleurs de domaine, mémoire de masse suffisante nécessaire pour la phase de cohabitation, Mode 1 ci-dessous) et enfin un niveau fonctionnel du domaine valorisé à 2008 a minima.
La migration en elle-même s’effectue en 5 étapes, cela en utilisant quelques utilitaires natifs de Microsoft Windows dont dfsrmig.
Les étapes sont les suivantes :
- Première étape : préparation, vérifie que tous les contrôleurs sont prêts pour la migration,
dcdiag /e /test:sysvolcheck /test:advertising
repadmin /replsum
repadmin /syncall /ADeP
dfsrmig /setglobalstate 0
- Seconde étape : transition vers DFSR, réplique SYSVOL avec DFSR tout en maintenant FRS,
dfsrmig /setglobalstate 1
- Troisièmle étape : transition complète, DFSR prend en charge la réplication de SYSVOL exclusivement,
dfsrmig /setglobalstate 2
- Quatrième étape : finalisation, FRS est entièrement retiré et SYSVOL est répliqué uniquement via DFSR,
dfsrmig /setglobalstate 3
Pour passer d’un mode à celui d’après, il convient de vérifier l’état d’avancement de chaque contrôleur de domaine avec la commande dfsrmig /getglobalstate.
- Cinquième étape : il s’agit de la validation. Cette étape est cruciale car elle doit nous permettre de nous assurer que la réplication DFSR fonctionne correctement, et que tous les contrôleurs de domaine répliquent désormais les données via DFSR.
Avantages de DFSR
Le protocole DFSR présente quelques avantages comme la performance, la simplification de la gestion et la réduction des conflits lors de la réplication des données. Il est donc optimisé dans la gestion du trafic réseau. En fin de compte, en quelques mots, le niveau de sécurité DFSR est largemet plus élevé que celui de FRS.
Apport sécurité
DFSR apporte une sécurité renforcée par rapport à FRS grâce à des mécanismes de cryptage des données, un meilleur contrôle d’accès, une surveillance avancée.
Le contrôle d’accès est plus précis avec DFSR et il utilise l’authentification basée sur Kerberos.
Le contrôle de la bande passante est dans le kit DFSR également, ce qui permet de diminuer considérablement les empruntes réseau (en économisant la quantité de données transférées). Tout ceci limite indirectement les possibilités d’attaques de type DoS (abus de ressource, abus de réplication et cætera).
Conclusion
Pour conclure, la migration de FRS vers DFSR reste une étape importante dans une démarche de sécurisation Active Directory.
Elle permet de garantir une gestion plus performante et sécurisée des réplications SYSVOL dans les environnements Windows modernes.
FRS est un protocole obsolète, moins fiable et limité. Il représente tout ce que nous ne souhaitons pas avoir dans un exercice de sécurisation.
Le protocole DFSR permet de garantir que les données répliquées restent sécurisées, cohérentes et de nous de nous prémunir contre les risques liés à la réplication dans un environnement Active Directory.