Actualizar la replicación de SYSVOL de FRS a DFSR es una de las tareas de mantenimiento más rentables para mejorar rendimiento y seguridad de Active Directory; esta guía explica cómo completarla con controladores Windows Server 2012 R2 sin interrumpir el servicio.

Resumen del problema

En muchos entornos heredados la carpeta SYSVOL todavía se replica mediante el servicio File Replication Service (FRS). Este método, vigente desde Windows 2000, presenta limitaciones de rendimiento, diagnósticos poco claros y carencia de compresión diferencial. Para aprovechar al máximo las mejoras introducidas en Windows Server 2008 y posteriores, es necesario pasar a Distributed File System Replication (DFSR). El escenario que abordamos incluye:

• Dos controladores de dominio ejecutando Windows Server 2012 R2.
• Nivel funcional de dominio y de bosque aún en Windows Server 2008 R2.

Los responsables de la infraestructura quieren saber:

1. Si es posible migrar SYSVOL a DFSR antes de elevar los niveles funcionales.
2. Cuál es el orden correcto para aumentar dichos niveles tras la migración.

¿Es viable migrar de FRS a DFSR antes de subir niveles funcionales?

Sí. La única condición técnica para iniciar la migración es que todos los controladores del dominio ejecuten como mínimo Windows Server 2008. No importa el nivel funcional mientras se cumpla ese requisito: DFSR forma parte del propio sistema operativo desde Windows Server 2008 y funciona sin que el dominio o el bosque estén elevados.

Requisitos y comprobaciones previas

• Compatibilidad: no deben existir controladores de dominio con Windows Server 2003 o anteriores; impiden la operación.
• Respaldos: realiza un backup del estado del sistema o una instantánea de las máquinas virtuales. La migración altera la manera en que se replican las GPO y los scripts de inicio/cierre de sesión.
• Salud de replicación: ejecuta dcdiag y repadmin /replsummary para verificar que no hay errores pendientes.
• Espacio en disco: DFSR crea una carpeta SYSVOL_DFSR; asegúrate de tener al menos 2 GB libres en la partición del sistema de cada DC.
• Conectividad: todos los DC deben tener conectividad estable y sin bloqueos entre los puertos RPC/SMB utilizados por DFSR.

Proceso paso a paso de la migración

Paso	Acción	Detalles clave
1. Verificaciones previas	Confirmar versiones ≥ 2008, backups al día, estado de replicación sano.	Los errores latentes se amplifican con la migración; corrígelos primero.
2. Estado Prepared	Ejecutar dfsrmig /setglobalstate 1.	Se crea y populariza SYSVOL_DFSR; FRS sigue activo pero se replica en paralelo.
3. Verificar migración	dfsrmig /getmigrationstate debe mostrar “Succeeded” en todos los DC antes de continuar.	No avances sin este mensaje; evita inconsistencias de GPO.
4. Estado Redirected	dfsrmig /setglobalstate 2.	Las referencias de SYSVOL en el registro apuntan ya a la carpeta gestionada por DFSR.
5. Nueva verificación	De nuevo dfsrmig /getmigrationstate hasta “Succeeded”.	Hasta aquí se puede revertir a FRS (setglobalstate 0) en caso de problemas.
6. Estado Eliminated	dfsrmig /setglobalstate 3.	FRS se desinstala del servicio; la reversión exigiría restaurar copias de seguridad.

Comprobaciones posteriores a cada fase

• En el Visor de eventos, la fuente DFSR no debe arrojar errores de replicación.
• La carpeta %systemroot%\SYSVOL_DFSR contiene los mismos objetos que la antigua SYSVOL.
• repadmin /syncall /AdeP devuelve éxito para todos los DC.

Elevación de niveles funcionales tras la migración

Una vez DFSR está en el estado Eliminated y el entorno demuestra estabilidad durante al menos un ciclo completo de replicación (24 h en la mayoría de topologías), eleva los niveles funcionales con este orden estricto:

1. Nivel funcional de dominio: en el Active Directory Domains and Trusts o vía PowerShell, eleva cada dominio a Windows Server 2012 R2. Esto habilita características como Kerberos AES‑256, políticas de contraseña por afinidad (Fine‑Grained Password Policies) mejoradas y la Papelera de reciclaje de AD más eficiente.
2. Nivel funcional de bosque: cuando todos los dominios hayan sido elevados y no existan controladores con sistema operativo inferior, eleva el bosque. El asistente impedirá hacerlo si detecta dominios pendientes.

Ventajas clave de DFSR

• Replicación diferida por bloques: sólo se transmiten las partes modificadas de cada archivo, reduciendo el tráfico WAN.
• Compresión automática: la compresión RPC optimizada reduce aún más el ancho de banda.
• Detección y recuperación de fallos: algoritmos que priorizan la topología óptima y se autorreparan.
• Visibilidad y monitoreo: los contadores de rendimiento y eventos de DFSR facilitan la supervisión proactiva.
• Escalabilidad: diseñado para miles de DC, permite backlogs de replicación más extensos sin corrupción.

Riesgos y mitigaciones

La migración es segura cuando se siguen los pasos, pero ten presente:

• Corrupción de GPO: evita cambios en políticas mientras avanzas de un estado a otro.
• Convergencia lenta en enlaces lentos: si la ventana de mantenimiento es corta, programa los cambios fuera de horas pico.
• Reversión limitada: una vez en estado 3 Eliminated solo podrás volver a FRS restaurando un backup completo del estado del sistema en todos los DC.

Buenas prácticas posteriores

• Habilita la Papelera de reciclaje de Active Directory si aún no lo has hecho; con nivel funcional 2012 R2 tendrás recuperación de objetos sin reiniciar DC.
• Configura dfsutil diag pollad /verbose para vigilar la latencia y los contadores DFS Replicated Folders.
• Documenta los desplazamientos de roles FSMO y los cambios en topología para auditoría.
• Implementa alertas SCOM, Zabbix o la herramienta que uses, basadas en los eventos 4112 (backlog) y 5002 (falla de replicación).

Preguntas frecuentes

¿Necesito tiempo de inactividad?

No. La migración es in‑place y no interrumpe la autenticación ni el acceso a los shares SYSVOL.

¿Puedo mezclar DC Windows Server 2016 o 2019 con 2012 R2 durante la migración?

Sí, siempre que cada DC sea 2008 o superior. Planifica la elevación de niveles después de que todos los controladores estén al menos en 2012 R2 si quieres usar funciones exclusivas de ese nivel.

¿Qué pasa con los objetos GPT y GPC ya replicados?

Se conservan; DFSR replica la carpeta completa preservando ACL, SIDs y atributos de archivo. No pierdes configuraciones.

¿La migración cambia el SIDHistory o las contraseñas?

No. DFSR solo replica el contenido de SYSVOL; la base de datos de AD (NTDS.dit) continúa replicándose vía el motor de AD DS, independiente de FRS/DFSR.

Conclusión

La transición de FRS a DFSR, seguida de la elevación de niveles funcionales, moderniza la infraestructura de Active Directory con mínimos riesgos y máximos beneficios en rendimiento, seguridad y capacidad de diagnóstico. Siempre que verifiques la salud del entorno, hagas copias de seguridad y respetes el orden de los pasos, el proceso resulta fluido incluso en dominios todavía configurados en nivel 2008 R2. Al finalizar, contarás con un SYSVOL más eficiente y la base necesaria para adoptar futuras versiones de Windows Server sin bloqueos heredados.