Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle Anleitungen
📘 Anleitung Windows Server 04.06.2026 · 10 min Lesezeit

SYSVOL von FRS auf DFSR migrieren – Pflichtschritt vor Windows Server 2025

Windows Server 2025 hat die FRS-Binaries vollständig entfernt – ein neuer DC repliziert SYSVOL nie, solange die Domäne noch FRS nutzt. Diese Anleitung führt dich Schritt für Schritt durch die dfsrmig-Migration bis State 3 (Eliminated).

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Serverraum mit zwei Rack-Systemen in blau-orangenem Kontrast – symbolisiert die Migration von FRS auf DFSR

Wer in seiner Active-Directory-Umgebung einen Windows Server 2025 als Domänencontroller einführen möchte, stößt auf eine harte Voraussetzung: Microsoft hat die FRS-Binaries (ntfrs.exe, ntfrs.dll) vollständig aus Windows Server 2025 entfernt. Ein neu promovierter Server-2025-DC in einer Domäne, die noch auf FRS (File Replication Service) setzt, wird SYSVOL und NETLOGON niemals freigeben – Gruppenrichtlinien werden nie angewendet, die Anmeldung an der Domäne funktioniert nur eingeschränkt. Die Migration auf DFSR (DFS Replication) ist kein optionaler Modernisierungsschritt mehr, sondern eine zwingende Bedingung. Diese Anleitung zeigt dir die vollständige Abfolge mit dfsrmig.exe von State 0 bis zum finalen State 3 (Eliminated), inklusive Verifikation, Troubleshooting und den häufigsten Fallstricken.

Voraussetzungen

  • Domänenfunktionsebene (DFL) mindestens Windows Server 2008 – alle DCs müssen Windows Server 2008 oder neuer sein
  • Rolle „DFS Replication" auf allen DCs installiert und der Dienst gestartet
  • Mitgliedschaft in „Domain Admins" oder „Enterprise Admins" für den ausführenden Account
  • Benutzerrecht „Manage Auditing and Security Log" (SeSecurityPrivilege) der Gruppe „Administrators" auf allen DCs zugewiesen
  • Vollständig gesunde AD-Replikation: repadmin /replsum und dcdiag ohne kritische Fehler
  • SYSVOL wird auf allen DCs geteilt, Registry-Wert SysvolReady = 1 gesetzt
  • Zugang zum PDC-Emulator (alle setglobalstate/getglobalstate-Befehle laufen dort)
  • Ausreichend freier Festplattenplatz auf allen DCs für temporäres Doppelhalten von SYSVOL und SYSVOL_DFSR in den Phasen 1 und 2
  • System-State-Backup aller DCs vor Beginn von State 3

Schritt 1: Aktuellen Migrationsstatus und AD-Gesundheit prüfen

Bevor du irgendetwas änderst, stellst du sicher, dass die Domäne noch FRS nutzt und die AD-Replikation fehlerfrei läuft. Alle folgenden Befehle führst du direkt auf dem PDC-Emulator aus – andere DCs können durch AD-Replikationslatenz veraltete Zustände anzeigen.

# Aktuellen globalen Migrationsstatus abfragen
dfsrmig /getglobalstate

# Erwartete Ausgabe bei FRS-Betrieb:
# Current DFSR global state: Start
# Successful.

Zeigt die Ausgabe „Start", nutzt die Domäne noch FRS. „Eliminated" bedeutet, DFSR ist bereits aktiv – dann ist keine Migration mehr nötig. Prüfe anschließend die AD-Replikation:

repadmin /replsum
dcdiag /test:replications /test:advertising /test:fsmo

Alle Tests müssen ohne Fehler bestehen. Replikationsprobleme müssen vor dem ersten setglobalstate-Befehl vollständig behoben sein – ein DC, der den neuen globalen Status nie erhält, bleibt dauerhaft in einem Zwischenzustand hängen. Wie du AD-Replikationsprobleme erkennst und behebst, erklärt die Anleitung zu Active Directory: Domäne einrichten.

Schritt 2: Zu State 1 (Prepared) migrieren

In State 1 repliziert FRS SYSVOL weiterhin wie bisher. Parallel dazu baut DFSR auf jedem DC ein neues Verzeichnis %SystemRoot%\SYSVOL_DFSR\sysvol auf und beginnt mit der initialen Synchronisation. Gruppenrichtlinien sind nicht betroffen – Clients bemerken nichts.

# State 1 (Prepared) setzen – nur auf dem PDC-Emulator ausführen!
dfsrmig /setglobalstate 1

# AD-Replikation beschleunigen (optional, empfohlen)
repadmin /syncall /APed
dfsrdiag pollad

# Konvergenz aller DCs abwarten, dann prüfen:
dfsrmig /getglobalstate
dfsrmig /getmigrationstate

Warte, bis dfsrmig /getmigrationstate folgende Meldung für alle DCs ausgibt:

All Domain Controllers have migrated successfully to Global state (Prepared).
Migration has reached a consistent state on all Domain Controllers.
Succeeded.

Wichtig: Schreite erst zum nächsten State, wenn dieser Text erscheint. Solange einzelne DCs noch „Preparing" anzeigen, ist die AD-Replikation noch nicht abgeschlossen.

Prüfe anschließend auf allen DCs, ob das neue DFSR-Verzeichnis existiert:

dir %SystemRoot%\SYSVOL_DFSR\sysvol

Das Verzeichnis muss auf allen DCs vorhanden und befüllt sein.

Schritt 3: Zu State 2 (Redirected) migrieren

In State 2 übernimmt DFSR die aktive SYSVOL-Freigabe. FRS läuft noch im Hintergrund, wird aber nicht mehr für SYSVOL genutzt. Die Freigabe SYSVOL zeigt ab jetzt auf SYSVOL_DFSR. Clients und Gruppenrichtlinien merken davon nichts.

# State 2 (Redirected) setzen
dfsrmig /setglobalstate 2

# Konvergenz abwarten
dfsrmig /getglobalstate
dfsrmig /getmigrationstate

# SYSVOL-Freigabe prüfen – muss jetzt auf SYSVOL_DFSR zeigen
net share

Empfehlung: Verbleibe mehrere Tage in State 2 und beobachte die DFSR-Replikation. Prüfe das DFSR-Ereignisprotokoll auf Fehler-Events (Ereignisanzeige → Anwendungs- und Dienstprotokolle → DFS Replication). State 2 ist der letzte Zustand, aus dem ein Rollback theoretisch noch möglich ist – wenngleich Microsoft dies ab State 2 bereits als komplex einstuft. Ab State 3 gibt es keinen Rückweg.

Schritt 4: System-State-Backup vor State 3

Bevor du den irreversiblen letzten Schritt ausführst, erstellst du ein System-State-Backup aller Domänencontroller. State 3 (Eliminated) löscht das originale FRS-SYSVOL-Verzeichnis – danach gibt es keine Wiederherstellungsoption ohne dieses Backup.

# System-State-Backup auf jedem DC durchführen
wbadmin start systemstatebackup -backuptarget:<ZielLaufwerk>

# Beispiel: Backup auf externes Laufwerk E:
wbadmin start systemstatebackup -backuptarget:E:

Warte, bis das Backup auf allen DCs erfolgreich abgeschlossen ist, bevor du mit State 3 fortfährst. Mehr zur Backup-Strategie für Windows Server findest du in der Anleitung zu Microsoft 365 Backup – Grundlagen.

Schritt 5: Zu State 3 (Eliminated) migrieren

State 3 ist das Ziel: FRS wird gestoppt, das alte %SystemRoot%\SYSVOL-Verzeichnis (FRS-Pfad) wird gelöscht, und DFSR übernimmt dauerhaft. Nach diesem Schritt ist die Migration abgeschlossen und nicht mehr rückgängig zu machen.

# State 3 (Eliminated) setzen – nur auf dem PDC-Emulator!
dfsrmig /setglobalstate 3

# Konvergenz aller DCs abwarten
dfsrmig /getglobalstate
dfsrmig /getmigrationstate

Erwartete Ausgabe nach vollständiger Konvergenz:

All Domain Controllers have migrated successfully to Global state (Eliminated).
Migration has reached a consistent state on all Domain Controllers.
Succeeded.

Schritt 6: Post-Migration-Verifikation

Nach erfolgreichem State 3 prüfst du, ob SYSVOL und NETLOGON korrekt geteilt werden und die AD-Replikation weiterhin sauber läuft.

# SYSVOL- und NETLOGON-Freigaben prüfen (auf allen DCs)
net share
# SYSVOL und NETLOGON müssen in der Ausgabe erscheinen

# DFSR nutzt jetzt %SystemRoot%\SYSVOL\ (nicht mehr SYSVOL_DFSR)
dir %SystemRoot%\SYSVOL\sysvol

# AD-Replikation nochmals prüfen
repadmin /replsum

# DFSR-Replikationsstatus prüfen
dfsrdiag replicationstate

Tauchen SYSVOL und NETLOGON in net share auf, repliziert DFSR korrekt. Falls nicht, prüfe den Registry-Wert SysvolReady (siehe Troubleshooting-Abschnitt).

Schritt 7: FRS-Dienst deaktivieren

Der FRS-Dienst (ntfrs) wird durch die Migration nicht automatisch deaktiviert. Auf älteren DCs (Windows Server 2008 bis 2022) ist er noch vorhanden, aber nicht mehr benötigt. Deaktiviere ihn auf allen DCs:

# FRS-Dienst stoppen und deaktivieren (cmd/PowerShell)
sc stop ntfrs
sc config ntfrs start=disabled

# Alternativ per PowerShell:
Get-Service ntfrs | Stop-Service -PassThru | Set-Service -StartupType Disabled

Unter Windows Server 2025 ist der Dienst nicht mehr vorhanden – dort entfällt dieser Schritt.

Migrationszustände im Überblick

StateNameFRSDFSRSYSVOL-FreigabeRollback möglich
0StartaktivinaktivFRS-Pfad
1Preparedaktivbaut SYSVOL_DFSR aufFRS-PfadJa (zu State 0)
2Redirectedläuft nochübernimmt FreigabeDFSR-PfadKomplex
3Eliminatedgestopptalleinig aktivDFSR-PfadNein

Troubleshooting / Typische Fehler

  • Server-2025-DC: SYSVOL und NETLOGON erscheinen nie. Ursache: Die Domäne nutzt noch FRS, FRS-Binaries sind in Server 2025 nicht vorhanden. Lösung: Migration zu State 3 (Eliminated) abschließen, bevor Server-2025-DCs promoviert werden.
  • Error 5 / Access denied bei State-1-Transition. Ursache: Das Benutzerrecht „Manage Auditing and Security Log" (SeSecurityPrivilege) wurde per GPO der Gruppe Administrators entzogen. Lösung: GPO prüfen (gpresult /h bericht.html), Administrators-Gruppe eintragen, dann gpupdate /force auf dem PDC-Emulator, anschließend dfsrmig /createglobalobjects ausführen.
  • DC verharrt dauerhaft im Zustand „Preparing". Ursache: AD-Replikation hat den neuen globalen State nicht geliefert, oder SeSecurityPrivilege fehlt. Lösung: repadmin /syncall /APed und dfsrdiag pollad auf dem betreffenden DC. DFSR-Ereignisprotokoll auf Event ID 8028 prüfen. GPO korrigieren, dann dfsrmig /createglobalobjects auf PDC-Emulator.
  • dfsrmig /setglobalstate schlägt fehl oder liefert veraltete Infos. Ursache: Befehl wurde nicht auf dem PDC-Emulator ausgeführt. Lösung: Immer sicherstellen, dass du auf dem PDC-Emulator eingeloggt bist. FSMO-Rolleninhaber prüfen: netdom query fsmo.
  • SysvolReady = 0 nach Migration – SYSVOL und NETLOGON werden nicht geteilt. Ursache: DFSR-Initialisierung noch nicht abgeschlossen oder ein Fehler ist aufgetreten. Prüfe zuerst das DFSR-Ereignisprotokoll. Das manuelle Setzen des Registry-Werts auf 1 (HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SysvolReady) ist nur als temporärer Workaround nach Behebung der eigentlichen Ursache zulässig.
  • RODC nach Migration hinzugefügt: Replikation bleibt stecken (Event ID 8028). Ursache: Für den neuen RODC wurden keine DFSR-AD-Objekte automatisch erstellt. Lösung: dfsrmig /createglobalobjects auf dem PDC-Emulator ausführen, dann dfsrdiag pollad auf dem RODC.
  • Domänenfunktionsebene zu niedrig (Windows Server 2003). Ursache: dfsrmig verweigert die Ausführung, wenn die DFL unter Windows Server 2008 liegt. Lösung: Zuerst alle DCs auf mindestens Windows Server 2008 aktualisieren, dann DFL anheben, dann Migration starten.
  • Ungesunde AD-Replikation vor Migrationsbeginn. Ursache: Replikationsfehler verhindern, dass einzelne DCs die neue DFSR-Konfiguration erhalten. Lösung: Alle repadmin /replsum-Fehler vor dem ersten setglobalstate-Befehl beheben.

Häufige Fragen

Wie erkenne ich, ob meine Domäne noch FRS oder bereits DFSR nutzt?

Führe auf dem PDC-Emulator dfsrmig /getglobalstate aus. Die Ausgabe „Current DFSR global state: Start" bedeutet FRS-Betrieb. „Eliminated" bedeutet, DFSR ist bereits vollständig aktiv. Alternativ kannst du in ADSI Edit (adsiedit.msc) unter CN=DFSR-GlobalSettings,CN=System,DC=<domain>,DC=<tld> das Attribut msDFSR-Flags prüfen.

Kann ich einen Server-2025-DC hinzufügen, wenn die Domäne noch in State 2 (Redirected) ist?

Nein. Auch State 2 reicht nicht aus. Windows Server 2025 benötigt zwingend State 3 (Eliminated). Erst wenn dfsrmig /getmigrationstate für alle DCs „All Domain Controllers have migrated successfully to Global state (Eliminated)" ausgibt, sollte ein Server-2025-DC hinzugefügt werden.

Wie lange dauert die Migration in großen Umgebungen?

Das hängt von der AD-Replikationslatenz und der SYSVOL-Größe ab. Für jede Phase solltest du nach dem Setzen des States mindestens 15 Minuten warten – in standortverteilten Umgebungen können es Stunden bis Tage sein. Zwischen State 2 und State 3 empfiehlt Microsoft, mehrere Tage Beobachtungszeit einzuplanen. dfsrmig /getmigrationstate zeigt den aktuellen Stand aller DCs.

Was passiert mit Gruppenrichtlinien während der Migration?

In State 1 und 2 sind beide Verzeichnisse aktiv, Gruppenrichtlinien werden ohne Unterbrechung angewendet. In State 2 bedient DFSR die SYSVOL-Freigabe, Clients bemerken keinen Unterschied. Bei korrekter Ausführung ist die Migration für Endgeräte vollständig transparent.

Muss ich den FRS-Dienst nach der Migration manuell deaktivieren?

Ja. Der Dienst ntfrs wird von der Migration nicht automatisch deaktiviert. Nach erfolgreichem State 3 stoppst und deaktivierst du ihn auf allen DCs: sc stop ntfrs && sc config ntfrs start=disabled. Unter Windows Server 2025 ist der Dienst nicht mehr vorhanden.

Was tun, wenn ein DC nach dfsrmig /setglobalstate 1 dauerhaft im Zustand „Preparing" hängt?

Erzwinge zunächst die AD-Replikation mit repadmin /syncall /APed und dfsrdiag pollad auf dem betreffenden DC. Prüfe danach dfsrmig /getmigrationstate erneut. Persistiert das Problem, prüfe das DFSR-Ereignisprotokoll auf Event ID 8028 – häufig fehlt das Benutzerrecht „Manage Auditing and Security Log". GPO korrigieren (gpresult /h), dann dfsrmig /createglobalobjects auf dem PDC-Emulator ausführen.

Ist der Rollback von State 2 zurück zu State 1 möglich?

Theoretisch ja, aber Microsoft stuft einen Rollback ab State 2 (Redirected) bereits als komplex ein. Zuverlässig unterstützt ist nur der Rückfall von State 1 zu State 0 (dfsrmig /setglobalstate 0). Ab State 3 (Eliminated) ist jeder Rollback vollständig ausgeschlossen. Das unterstreicht die Bedeutung des System-State-Backups vor State 3.

Fazit

Die Migration von FRS auf DFSR ist mit Windows Server 2025 vom empfohlenen Best-Practice zum absoluten Pflichtschritt geworden. Wer ohne abgeschlossene DFSR-Migration einen Server-2025-DC promoviert, erhält einen DC, der SYSVOL nie repliziert und Gruppenrichtlinien nie ausliefert – ohne offensichtliche Fehlermeldung im Promovierungsassistenten. Die gute Nachricht: Die Migration mit dfsrmig.exe ist bei gesunder AD-Replikation unkompliziert und für Endgeräte vollständig transparent. Die kritischen Punkte sind: immer auf dem PDC-Emulator arbeiten, jeden State vollständig konvergieren lassen, System-State-Backup vor State 3 erstellen und den FRS-Dienst nach Abschluss deaktivieren. Mit dieser Checkliste ist die Umgebung bereit für Windows Server 2025.

Weiterführende Anleitungen und Quellen

Offizielle Quellen: dfsrmig – Microsoft Learn | Migrate SYSVOL replication from FRS to DFS Replication – Microsoft Learn | DFSR SYSVOL Troubleshooting (KB2567421) – Microsoft Learn

Verwandt

Weiter lesen

Alle Artikel →
Digitales Schloss auf Laptop symbolisiert BitLocker-Laufwerkverschlüsselung
04.06.2026 ·12 min

BitLocker im Betrieb richtig ausrollen: Recovery-Keys sicher verwalten – mit und ohne Intune

Recovery-Keys niemals verlieren: Diese Anleitung zeigt die drei praxisrelevanten Sicherungswege – Entra ID/Intune, Active Directory (msFVE) und Standalone-Export – plus Silent Encryption, AES-256-XTS, TPM-only vs. PIN und Notfallwiederherstellung.
Entscheidungsweg Windows 10 zu Windows 11 Migration im Büroumfeld
04.06.2026 ·11 min

Windows 10 ist tot: Migration auf Windows 11 für KMU – alte Hardware, ESU, TPM-Realität

Windows 10 EOL seit Oktober 2025: Welche Geräte auf Windows 11 migrieren, welche ESU brauchen und wann Linux oder Neukauf sinnvoller ist – Entscheidungsbaum mit PowerShell-Inventur und realen Kostenzahlen.
Serverraum mit leuchtendem Rack und holografischer Verbindungsübersicht für Remote Desktop Services
04.06.2026 ·11 min

Remote Desktop Services einrichten und lizenzieren: Terminalserver für KMU

Schritt für Schritt RDS auf Windows Server 2022/2025 aufsetzen: Rollen installieren, Lizenzserver aktivieren, Per-User vs. Per-Device-CALs richtig wählen – inklusive Workgroup-Betrieb und der 120-Tage-Karenzzeit-Falle.