AD域控的备份与恢复（包含重设还原密码）

假设一家大型企业的AD（Active Directory，目录服务）数据库中有上千名用户数据，某一天AD数据库遭到有意或无意的破坏，导致了用户数据的丢失，此时如果逐个恢复数据，那么工作量无疑将是惊人的巨大。所以，有经验的网管通常会定期进行AD数据库的备份，当AD数据库出现种种问题时，就可以轻轻松松地完成AD数据库的数据还原了。当然也有很多网管对这么重要的备份操作并不了解或忽视了。
备份AD数据库
备份AD数据库的操作并不复杂，因为备份操作是透过备份向导来完成的，所以即使是菜鸟级网管也可以轻松上手。
依次点击“开始→程序→附件→系统工具→备份”（你也可以通过 开始—-运行—-ntbackup来打开备份和还原精灵），在打开的“备份或还原向导”对话框中点击“下一步”按钮进入“备份或还原”选择对话框。
在选择“备份文件和设定”项后，点击“下一步”按钮进入“要备份的内容”对话框，选择“让我选择要备份的内容”项并点击“下一步”按钮。在“要备份的项目”对话框中依次展开“桌面→我的计算机”，勾选“System State”项（图1）。
在下一步的“备份类型、目标和名称”对话框中根据提示选择好备份文件的存储路径，并设定好备份文件的名称，点击“下一步”按钮。接着在打开的对话框中点击“完成”按钮。

此时请中断计算机系统中的其它操作，因为片刻后AD数据库的备份操作就会开始进行了。（切记，在此期间请勿断电活重启）
还原AD数据库
相对于AD数据库的备份操作，AD数据库的还原操作就显得稍微有些复杂了。因为除了按备份向导的提示进行操作外，还需要进行一些额外的操作才能顺利完成还原。主要的原因是因为AD服务正常运行时，是不能够进行AD数据库还原操作的。
所以AD数据库的还原操作应该按以下方式进行：
1.进入目录服务还原模式
重新启动计算机在进入Windows Server 2003的初始画面前，按F8键进入Windows高级选项菜单接口。此时可以透过键盘上的上下方向键选择“目录服务还原模式（仅用于Windows域控制器）”项。
在回车确认后，使用具有管理员权限的账户登录系统，此时可以看出系统是处于安全模式的。
2.使用还原向导
在进入目录服务还原模式后，依次点击“开始→程序→附件→系统工具→备份”，在打开的“备份或还原向导”对话框中点击“下一步”按钮进入“备份或还原”选择对话框，选择“还原文件和设定”。在“还原项目”对话框中选中备份文件（图2）。
在稍后弹出的接口中点击“完成”按钮。稍等片刻，系统将弹出一个警告提示框，点击“确定”按钮，确认数据库的覆盖操作即可开始AD数据库的还原。

在完成还原操作后，点击对话框中的“关闭”按钮就可以结束了。最后将会弹出一个“备份工具”提示框，点击“是”按钮重新启动计算机即可。

最后要提醒大家的是，有些朋友还原AD数据库时会出现忘记当初设定的还原密码（添加AD服务时设定）的情况，这个时候就无法进入目录还原模式了。
遇到这种情况时请勿慌张，因为我们可以透过依次点击“开始→运行”，在弹出的运行栏中输入“Ntdsutil”命令的方法来重设还原密码。
C:\>ntdsutil
ntdsutil: ?

?                             - 显示这个帮助信息
Authoritative restore         - 授权还原 DIT 数据库
Configurable Settings         - 管理可配置的设置
Domain management             - 准备新域创建
Files                         - 管理 NTDS 数据库文件
Help                           - 显示这个帮助信息
LDAP policies                 - 管理 LDAP 协议策略
Metadata cleanup               - 清理不使用的服务器的对象
Popups %s                     - 用“on”或“off”启用或禁用弹出
Quit                           - 退出实用工具
Roles                         - 管理 NTDS 角色所有者令牌
Security account management   - 管理安全帐户数据库 - 复制 SID 清理
Semantic database analysis     - 语法检查器
Set DSRM Password             - 重置目录服务还原模式管理员帐户密码

ntdsutil: set dsrm password
重置 DSRM 管理员密码: reset password on server hello.com   //所要重设DC的域名
请键入 DS 还原模式管理员帐户的密码: *****     //注意：设置简单密码会出现下面的报错
请确认新密码: *****
密码设置失败。
         WIN32 错误代码: 0x6ba
         错误信息: RPC 服务器不可用。

重置 DSRM 管理员密码: reset password on server hello.com
请键入 DS 还原模式管理员帐户的密码: *************   //复杂密码，测试成功。
请确认新密码: *************
密码设置成功。

重置 DSRM 管理员密码: quit
ntdsutil: quit
从 \\btest.hello.com 断开...