采用AD域后，AD域的服务器就是整个企业的核心，AD域数据备份十分重要。在只有一台域控制器的情况下，备份相对来说还是比较简单的。可以采用Acronis Backup&Recovery，Symantec BackupExec Recovery(BESR)等工具可以恢复。但在实际操作中为了AD数据容灾会存在多台域控制器，在这种情况下如果再采取上述方法，还原后将会发生多台AD域控制器数据复制错误。这时只能手工强迫降级域控制器到只剩下一台，然后清理metadata，再添加域控制器，过程会相当繁琐，而且容易出现数据丢失。一般情况下，无论一台还是多台会采用备份软件来备份AD上的数据，这里以Symantec BackupExec 为例，当然Windows Backup 也能进行正常的操作。以下的恢复方式适合在相同（近似）硬件下的裸机恢复，对于域控制器备一台空闲服务器还是有必要的。

  一、备份

  备份非常简单，需要注意的是，建议除了系统状态外，将C盘及安装有程序的文件夹备份下，避免恢复后会发生各种妖怪的问题。

  二、还原

  AD的还原有授权还原和非授权还原二种，如果执行非授权还原，在域控制器还原后，AD域数据可能被额外域控制器的数据替代。以下是还原的的一般操作过程：

•  安装 Windows 的原始版本。

1. 需要此基本 Windows 安装以便为 Backup Exec 提供可将系统还原到的目标。计算机名称、Windows 目录以及文件系统（如 NTFS）必须与先前的 Windows 安装相同。本安装将会被备份的版本覆盖，该备份版本将还原原来的系统配置、应用程序设置以及安全性设置。
2. 如果要从整个硬盘故障恢复，请在安装过程中使用 Windows 安装程序对新磁盘进行分区和格式化。
4. 请采用与故障前相同的文件系统来格式化分区，如下所述
5. 如果系统属于特定的域或工作组，则此时不要加入域或工作组。
6. 如果正在恢复域控制器，则此时不要执行域控制器安装过程。 这条很重要
7. 将 Backup Exec 安装到其初始安装（这是临时安装）目录之外的目录。
8. 在导航栏上单击“恢复”从包含硬盘上的逻辑驱动器的完全和增量备份中选择所有备份集。如果要还原差异备份集，请仅选择最近一次的差别集。确保将“系统状态”和 Shadow Copy 组件作为还原选择项的一部分。
9. 在“属性”窗格的“设置”下，单击“常规”，然后选择下列选项：通过现有文件还原，还原安全性，保留
10. 在“属性”窗格的“设置”下，单击“高级”，然后选择合适的选项。如果正在还原的计算机是域内唯一的域控制器，或者正在重建整个域且此计算机是第一个域控制器，则请选择“还原由文件复制服务管理的文件夹，或还原系统状态中的 SYSVOL 时，将此服务器标为复制的主仲裁器”选项。
11. 单击“立即运行”。
12. 如果要还原的计算机是域中唯一的域控制器，或者重建整个域而这是第一个域控制器，则在成功完成还原作业后重新启动计算机。
13. 您的计算机操作系统现在已还原到灾难前的状态。您的数据文件已被还原（除那些受 Backup Exec 数据库代理保护的文件之外）。

  重启后可以执行授权还原

    打开命令提示窗口。

• 键入 NTDSUTIL 并按 Enter 键。

• 键入 Authoritative Restore 并按 Enter 键。

• 键入 Restore Database，按 Enter 键，单击“确定”，然后单击“是”。

    通过执行以下操作来还原 Active Directory 中的特定对象：

    打开命令提示窗口。

• 键入 NTDSUTIL 并按 Enter 键。

• 键入 Authoritative Restore 并按 Enter 键。

• 键入 Restore Subtree "ou=.dc=<域名>,dc=（不包括引号），然后按 Enter 键，其中 是要还原的组织单元的名称，<域名> 是 OU 所在的域名， 是域控制器的顶级域名，如 com、org 或 net。可以对需要还原的任意多个对象执行任意多次此操作。

 8.恢复完 Active Directory 信息后，请退出 NTDSUTIL。

 9.重新启动计算机。

 据说 Symantec BackupExec 2012 开始：

Backup Exec 2012支持基于微软Active Directory的组织单元的项目还原，其中包括用户、OU和其他对象及属性等。以下的一些状况希望大家注意一下：

1， 还原回来的用户账号，默认为禁用状态。

2， 无需进入AD还原模式，即可直接进行还原。