windows server 2003 ad應(yīng)用程序目錄分區(qū)深入了解

1、WindowsServer2003AD應(yīng)用程序目錄分區(qū)深入了解應(yīng)用程序目錄分區(qū)深入了解江小帥江小帥2010020316:31:56標(biāo)簽：WindowsServer應(yīng)用程序分區(qū)江小帥[推送到技術(shù)圈]江小帥的作品我很喜歡，大家可以讀一下，很有名氣！他目前在江小帥的作品我很喜歡，大家可以讀一下，很有名氣！他目前在WINITPRO工作，之前工作，之前有幸跟他本人通過電話！希望他會繼續(xù)出更好的文章，這是文章是他有幸跟他本人通過電話！希望他會繼續(xù)出

2、更好的文章，這是文章是他N年前發(fā)的年前發(fā)的不過還是不會過時！不過還是不會過時！WindowsServer2003AD應(yīng)用程序目錄分區(qū)深入了解應(yīng)用程序目錄分區(qū)深入了解作者：江小帥作者：江小帥微軟的技術(shù)知識庫實在是太龐大了，以至一些新的功能我們在徹底熟悉的時候會花費太多的微軟的技術(shù)知識庫實在是太龐大了，以至一些新的功能我們在徹底熟悉的時候會花費太多的時間，沒辦法，這是由于產(chǎn)品的復(fù)雜性決定的。面對時間，沒辦法，這是由于產(chǎn)品的復(fù)雜性決定的。面對

3、OS或服務(wù)組件及或服務(wù)組件及AD我們應(yīng)該經(jīng)常我們應(yīng)該經(jīng)常問的是：默認(rèn)為什么會出現(xiàn)這個？為什么要有這樣的功能？這個功能如何實現(xiàn)？這個功能有問的是：默認(rèn)為什么會出現(xiàn)這個？為什么要有這樣的功能？這個功能如何實現(xiàn)？這個功能有什么限制？拿此文做例子，可能一些人認(rèn)為不去了解活動目錄的應(yīng)用程序目錄分區(qū)或什么限制？拿此文做例子，可能一些人認(rèn)為不去了解活動目錄的應(yīng)用程序目錄分區(qū)或DNS區(qū)域中隨區(qū)域中隨DC增加而帶來的新記錄的變化，網(wǎng)絡(luò)環(huán)境也一樣運行。呵呵

4、！那就大可不必看了增加而帶來的新記錄的變化，網(wǎng)絡(luò)環(huán)境也一樣運行。呵呵！那就大可不必看了。一、一、WindowsServer2003AD應(yīng)用程序目錄分區(qū)應(yīng)用程序目錄分區(qū)1)什么是應(yīng)用程序目錄分區(qū)？什么是應(yīng)用程序目錄分區(qū)？應(yīng)用程序目錄分區(qū)是僅復(fù)制到特定域控制器的目錄分區(qū)。參與特定應(yīng)用程序目錄分區(qū)復(fù)制的應(yīng)用程序目錄分區(qū)是僅復(fù)制到特定域控制器的目錄分區(qū)。參與特定應(yīng)用程序目錄分區(qū)復(fù)制的域控制器寄存該分區(qū)的副本。只有運行域控制器寄存該分區(qū)的副本。只

5、有運行WindowsServer2003的域控制器可以寄存的域控制器可以寄存應(yīng)用程序目錄分區(qū)的副本。應(yīng)用程序目錄分區(qū)可包含任何類型的對象（除了安全主體）。在應(yīng)用程序目錄分區(qū)的副本。應(yīng)用程序目錄分區(qū)可包含任何類型的對象（除了安全主體）。在Windows2000的DC時代默認(rèn)時代默認(rèn)DC上會存留三個常規(guī)的目錄分區(qū)：上會存留三個常規(guī)的目錄分區(qū)：Schema目錄分目錄分區(qū)，區(qū)，Configuration目錄分區(qū)，目錄分區(qū)，Domain目錄分區(qū)（

6、如果是目錄分區(qū)（如果是GC的話，那么還存在的話，那么還存在GC的目錄）。的目錄）。Schema目錄分區(qū)全森林復(fù)制，一般也很少對其做修改設(shè)置，除非當(dāng)安裝像目錄分區(qū)全森林復(fù)制，一般也很少對其做修改設(shè)置，除非當(dāng)安裝像Exchange這樣的應(yīng)用程序或需要添加雇員的這樣的應(yīng)用程序或需要添加雇員的ID和Number到AD的時候這個分區(qū)的內(nèi)的時候這個分區(qū)的內(nèi)容才會需要更改。容才會需要更改。Configuration目錄分區(qū)也是全森林復(fù)制的，對于域配置

7、的變化，目錄分區(qū)也是全森林復(fù)制的，對于域配置的變化，DC的增加減少，站點的變化等而隨之變化。所以對于一個成熟的企業(yè)域環(huán)境，這個變化也會很的增加減少，站點的變化等而隨之變化。所以對于一個成熟的企業(yè)域環(huán)境，這個變化也會很少。少。Domain目錄分區(qū)為全域復(fù)制的分區(qū)，這個分區(qū)微軟當(dāng)初定義的時候是用來容納一些目錄分區(qū)為全域復(fù)制的分區(qū)，這個分區(qū)微軟當(dāng)初定義的時候是用來容納一些user、computer、OU、GPO等對象?；旧弦粋€公司的這些對象

8、在使用等對象。基本上一個公司的這些對象在使用Domain目錄分區(qū)存儲的時候變化是客觀的，用戶或計算機、策略的變化必然要使維持這個目錄分區(qū)的錄分區(qū)存儲的時候變化是客觀的，用戶或計算機、策略的變化必然要使維持這個目錄分區(qū)的宿主宿主DC之間同步。那為什么之間同步。那為什么Windows2003還要提供應(yīng)用程序目錄分區(qū)的功能呢？還要提供應(yīng)用程序目錄分區(qū)的功能呢？2)為什么為什么Windows2003AD要支持應(yīng)用程序目錄分區(qū)？要支持應(yīng)用程序目錄

9、分區(qū)？AD的對象一般都是相對靜態(tài)的，這樣對提高的對象一般都是相對靜態(tài)的，這樣對提高DC的性能、提高的性能、提高KCC之間的平衡有很大的之間的平衡有很大的幫助。所以在幫助。所以在“向AD中發(fā)布對象中發(fā)布對象”的時候?qū)τ诮?jīng)常，頻繁性變化的對象不適合使用的時候?qū)τ诮?jīng)常，頻繁性變化的對象不適合使用AD這樣的分布數(shù)據(jù)庫來進行存儲。在樣的分布數(shù)據(jù)庫來進行存儲。在Windows2000DC時代，時代，DNS的區(qū)域是可以集成到的區(qū)域是可以集成到AD的，

10、這是因為的，這是因為AD的數(shù)據(jù)庫為了優(yōu)化客戶程序定位的數(shù)據(jù)庫為了優(yōu)化客戶程序定位DC必須需要必須需要DNS來實現(xiàn)底層的定來實現(xiàn)底層的定位，而將位，而將DNS的區(qū)域文件保存在的區(qū)域文件保存在AD的數(shù)據(jù)庫里可以實現(xiàn)客戶程序以任意形式來定位任意的數(shù)據(jù)庫里可以實現(xiàn)客戶程序以任意形式來定位任意DC，那么，那么DNS的區(qū)域保存在哪里？答案是保存在的區(qū)域保存在哪里？答案是保存在Domain目錄分區(qū)里（圖目錄分區(qū)里（圖5指出了指出了DNS區(qū)域文件如果存

11、儲在區(qū)域文件如果存儲在Domain目錄分區(qū)時它的位置），它將在域的范圍內(nèi)復(fù)制，這就目錄分區(qū)時它的位置），它將在域的范圍內(nèi)復(fù)制，這就讓一些不提供讓一些不提供DNS服務(wù)但身份是服務(wù)但身份是DC的計算機干了的計算機干了“狗拿耗子狗拿耗子”的事情（也有備份的考慮在的事情（也有備份的考慮在內(nèi)）。內(nèi)）。DNS的區(qū)域記錄對于一些網(wǎng)絡(luò)也是經(jīng)常變化的，比如客戶計算機名字頻繁變化的環(huán)的區(qū)域記錄對于一些網(wǎng)絡(luò)也是經(jīng)常變化的，比如客戶計算機名字頻繁變化的環(huán)境，所

12、有的同域境，所有的同域DC都在跟著復(fù)制變化的都在跟著復(fù)制變化的DNS區(qū)域記錄，不管你到底提不提供區(qū)域記錄，不管你到底提不提供DNS服務(wù)服務(wù)（類比一下電影（類比一下電影《大腕大腕》里王小柱說的話：直播要覆蓋到全球每個角落，允許你不看，但不里王小柱說的話：直播要覆蓋到全球每個角落，允許你不看，但不允許說你收不到）。所以活動目錄應(yīng)用程序分區(qū)才在允許說你收不到）。所以活動目錄應(yīng)用程序分區(qū)才在Windows2003中出現(xiàn)了。中出現(xiàn)了。DNS區(qū)域：

13、區(qū)域：默認(rèn)默認(rèn)Dcpromo創(chuàng)建了兩個創(chuàng)建了兩個DNS區(qū)域：區(qū)域：_msdcs.jzlld.g、jzlld.g，小帥自己手，小帥自己手工創(chuàng)建了一個工創(chuàng)建了一個DNS反向搜索區(qū)域：反向搜索區(qū)域：10.0.0.xsub，下面小帥一個個的說明這些區(qū)域，下面小帥一個個的說明這些區(qū)域。DNS區(qū)域區(qū)域_msdcs.jzlld.g的“復(fù)制作用域復(fù)制作用域”為“至ActiveDirecty林jzlld.g中的所有中的所有DNS服務(wù)器服務(wù)器”，所以該，所

14、以該DNS區(qū)域?qū)嶋H上是存儲在區(qū)域?qū)嶋H上是存儲在FestDnsZones.jzlld.g這個默認(rèn)創(chuàng)建的這個默認(rèn)創(chuàng)建的DNS應(yīng)用程序分區(qū)中了。注意該區(qū)域是被默認(rèn)委派的，因為在應(yīng)用程序分區(qū)中了。注意該區(qū)域是被默認(rèn)委派的，因為在jzlld.g的區(qū)域里面有一個委派記錄。圖的區(qū)域里面有一個委派記錄。圖3是利用是利用ADSI顯示該應(yīng)用程序分區(qū)的情況。顯示該應(yīng)用程序分區(qū)的情況。提示：提示：Dcpromo默認(rèn)創(chuàng)建的名為默認(rèn)創(chuàng)建的名為_msdcs.jzll

15、d.g的DNS區(qū)域是主持區(qū)域是主持ActiveDirecty林中所有域控制器的域控制器定位器林中所有域控制器的域控制器定位器DNS資源記錄。它還可用于在資源記錄。它還可用于在ActiveDirecty域或域或ActiveDirecty林中定位具有特定角色的域控制器（林中定位具有特定角色的域控制器（PDC、GC），），如果域已重命名，則可通過搜索域控制器的如果域已重命名，則可通過搜索域控制器的GUID來定位它（那個長長數(shù)字）。另外來定位它

16、（那個長長數(shù)字）。另外:suppt.kb817470zhcn中詳細(xì)說明了中詳細(xì)說明了Windows2000及Windows2003在創(chuàng)建默認(rèn)的在創(chuàng)建默認(rèn)的DNS區(qū)域時的不同、升級到區(qū)域時的不同、升級到Windows2003的DNS做配置全林性應(yīng)用程序目錄分區(qū)的修改、理解做配置全林性應(yīng)用程序目錄分區(qū)的修改、理解_msdcs區(qū)域在區(qū)域在windows2003域控制器中的任一的兩中存儲方式。另外注意在域控制器中的任一的兩中存儲方式。另外注意在

17、WindowsServer2003SP1中，當(dāng)中，當(dāng)創(chuàng)建一個已位于現(xiàn)有區(qū)域下的新的正向查找區(qū)域時，向?qū)谠摤F(xiàn)有區(qū)域下自動創(chuàng)建一個新創(chuàng)建一個已位于現(xiàn)有區(qū)域下的新的正向查找區(qū)域時，向?qū)谠摤F(xiàn)有區(qū)域下自動創(chuàng)建一個新的委派。的委派。DNS區(qū)域區(qū)域jzlld.g的復(fù)制作用域為的復(fù)制作用域為“至ActiveDirecty域jzlld.g中的所有中的所有DNS服務(wù)器服務(wù)器”，所以該，所以該DNS區(qū)域?qū)嶋H上是存儲在區(qū)域?qū)嶋H上是存儲在DomainDn