AD活动目录的应用程序目录分区详解

1 为什么引入应用程序目录分区。

应用程序目录分区可包含任何类型的对象(除了安全主体)。

从Windows2000开始,DC上的AD数据库中会默认放置以下三个目录分区。
(1)Schema目录分区
  在整个森林中复制,除非进行Schema拓展,否则不会有变化。
(2)Configuration目录分区
  在整个森林中复制,对于AD配置的变化,如对DC的增减,站点的变化等进行复制。。
(3)Domain目录分区
  在域内进行复制,用来容纳user,computer,OU,GPO等对象。

在Windows2000AD中,DNS的区域文件保存在AD数据库的Domain目录分区中。这样,将在AD的所有DC中复制,不提供DNS服务的DC中,也要保存DNS的区域文件。所以在Windows2003AD中,引入应用目录分区,存储类似DNS的区域文件内容。

2 应用程序目录分区的命名

与域目录分区遵循相同的域名系统和可分辨名称命名约定。可以出现在林名称空间中可出现域目录分区的任何地方。基本上是:域目录分区的

子项,应用程序目录分区的子项,林中的新树。

3 默认的DNS应用程序分区

默认会创建ForestDnsZones目录分区、DomainDnsZones目录分区。这两个目录分区都可以存储DNS的区域记录。但复制的范围(复制作用域)是不一样的,一个是整个森林范围内的DC间复制,一个域范围内的DC间复制。
依据创建DNS服务器时的选项而不同   
(1) 至AD林中的所有DNS服务器     --将创建的DNS区域存储在ForestDnsZones目录分区中。
(2) 至AD域中的所有DNS服务器     --将创建的DNS区域存储在DomainDnsZones目录分区中。
(3) 至AD域中的所有域控制器      --将创建的DNS区域存储在Domain目录分区中。
(4) 到在以下应用程序目录分区的范围内指定的所有域控制器  --只有当使用应用程序分区创建命令创建了一个新的应用程序目录分区后才可以使用。

4 应用程序目录分区的查找

Configuration目录分区中的Partition容易下包含了所有的应用程序目录分区,这样每个域的DC在复制这个名称上下文的时候都可以查看到森林中有哪些应用程序目录分区。在每一个应用程序目录分区的属性中有一个属性叫msDS-NC-Replica-Locations,这个属性的值决定着该目录分区的副本有几个,也就是都由哪几台DC来宿主的


5 应用程序分区和DC的升、降级

如果域控制器拥有某个应用程序目录分区的副本,则必须从该应用程序目录分区的副本集中删除此域控制器,或者删除该应用程序目录分区,然后才能降级此域控制器。 如果域控制器拥有某个应用程序目录分区的“最新”副本,则必须删除该应用程序目录分区,然后才能降级此域控制器。