DC離線，轉移AD帳號該如何實行？

DC離線，轉移AD帳號該如何實行？
到iT邦幫忙

lasteva（iT邦初學者10級）發問：
舊的DC已經故障，但我有備份Windows\ntds\裡面的資料到隨身碟了。新買的DC安裝Windows Server 2003，也設定AD、DNS、網域等，而且IP也與舊DC一樣。請問該如何將資料匯入新的DC呢？或是要手動重新輸入使用者的帳號？

fran633（iT邦初學者1級）：
只有備份「Windows\ntds\」嗎？那「sysvol」有備嗎？沒有的話，那就毀一半了！

raytracy（iT邦超人10級）：
備份DC千萬不要自己去撈檔案出來備，因為Active Directory的資料散落在各處，不是一個NTDS就可以全部解決的，而且檔案可能被Lock 住，或是更改位置，而且不會有通知。

請記得，Server內建的NTBackup備份軟體（2008起叫WSB：Windows Server Backup），已經具備備份系統檔案的功能，你只要在備份時候選擇要備：System state（系統狀態），他就會幫你把DC系統的東西全部都完整備出來，以後隨時可以復原。

有這種現成準備好的軟體，可以馬上拿來用，何必自己花功夫去找檔案，還不見得齊全呢？

還原System state時，DC必須重開機按進入「目錄還原模式」，才可以開始還原。否則在一般狀況下還原，檔案會寫不進去。

但若你的系統內有多臺DC，只還原一臺，可能還是無法正常作業。因為還原後，DC複寫的USN版本號碼會回溯，造成其他未執行還原作業DC的誤判，甚至再度複寫回來把你還原的東西蓋掉。要排除USN Rollback的問題，有一些準備工作要先做，請參考「KB 875495：如何偵測並修復從 Windows Server 2003中的USN復原」。

如果沒有其他應用程式依賴AD，全部重建帳號當然可以恢復登入，但所有會用到權限控管的地方，都要重新設定（例如：分享資料夾、印表權限），還有個人的Local Profile也可能出問題，桌面也許會改變，建議先備份下來。GPO當然一定消失，必須重新設定。

oowo（iT邦初學者8級）：
可以考量用BESR做虛擬機來轉移。選擇手動輸入，只有一個問題要考量，就是要知道原有的設定，否則光是重設就夠頭大了。若原有的設定就有問題，整個重來是最好的方案。此外，不止是Server端，連個人端也要做設定，因此工程很大。