通过

关于应用程序目录分区

  • 项目

对于使用 ADSI 或 LDAP 在 Active Directory 域服务中存储和访问相对静态和全局数据的开发人员,为实现简便性和统一性,还可继续使用 ADSI 或 LDAP 访问来满足其动态数据要求。 动态数据更改的频率高于建议存储在 Active Directory 域服务中的内容。 动态数据通常比传播对数据的所有副本的更改所涉及的复制延迟更为频繁。

在 Windows 2000 中,对动态数据的支持受到限制。 在域分区中存储动态数据可能十分复杂。 数据会被复制到域中的所有域控制器,而此操作通常并无必要,并且可能会因复制延迟而导致数据不一致。 它可能会影响网络性能。 此外,域分区对于必须跨域边界来复制数据的应用程序无效。 Windows 2000 中的另一选项是将动态数据存储在标记为非复制的属性中。 但此安排存在限制,因为它具有单一故障点,即单个域控制器会托管对象的非复制属性的唯一副本。

应用程序目录分区提供用于控制复制范围的功能,并允许以更适合动态数据的方式放置副本。 因此,应用程序目录分区可提供在 Active Directory 服务器中托管动态数据的功能,从而允许 ADSI/LDAP 访问它而不影响网络性能。

Windows 2000 DNS 服务便是一种可利用应用程序目录分区的服务示例。 在 Windows 2000 中,如果 DNS 服务被配置(可选)为使用 Active Directory 域服务,DNS 区域数据则会存储在域分区中的 Active Directory 服务器上。 换言之,无论是否将 DNS 服务器配置为在域控制器上运行,该数据均会复制到域中的所有域控制器。 这是无需进行全域复制的一个实例。 通过将 DNS 区域数据存储在应用程序目录分区中,此服务可将复制范围重新定义为实际运行 DNS 服务器的域中的一部分域控制器。

以以下用于托管应用程序目录分区副本的场景为例:

  • 可在 Active Directory 域服务林中的任一 Windows Server 2003 操作系统和更高版本的域控制器上创建应用程序目录分区的副本。
  • 可指定用于托管应用程序目录分区副本的域控制器集。 与域分区不同,应用程序目录分区无需被复制到域中的所有域控制器,并可复制到林中不同域的域控制器上。
  • 具有应用程序目录分区副本的域控制器可与运行 Windows 2000 或 Windows NT 4.0 的其他计算机共存,并在混合模式环境中运行。

可存储在应用程序目录分区中的数据类型包括:

  • 应用程序目录分区可包含除安全主体(例如用户、计算机或组)以外的任一对象类型的实例。
  • 应用程序目录分区中的对象可维护对同一应用程序目录分区中其他对象的 DN 值引用、对配置与架构分区中对象的 DN 值引用,以及对任一命名上下文标头(它是目录分区的顶部对象;例如,位于应用程序目录分区顶部的 domainDNS 对象)的 DN 值引用。
  • 有关详细信息以及可存储在应用程序目录分区中的动态数据类型的示例,请参阅动态对象。 从 Windows Server 2003 开始,动态对象受到支持。 动态对象具有一个属性,它可用于确定生存时间,而在超过此时间后 Active Directory 服务器会删除该对象。

应用程序目录分区的部分限制包括:

  • 应用程序目录分区中的对象无法维护对其他应用程序目录分区或域分区中的对象的 DN 值引用。 (DN 值引用是指对可分辨名称值的永久性引用,例如“CN=someuser,DC=corp,DC=Fabrikam,DC=com”)。 同样,域、配置和架构分区中的对象也无法维护对应用程序目录分区中的对象的 DN 值引用。 可将 DN 值引用维护到命名上下文标头。
  • 应用程序目录分区中的对象不会复制到全局目录。 与所有域控制器一样,还可将全局目录服务器配置为包含应用程序目录分区的完整副本,但应用程序目录分区数据与全局目录数据会完全分开。
  • 创建应用程序目录分区副本时,“域命名 FSMO”角色必须位于某一 Windows Server 2003 及更高版本的操作系统域控制器上。 创建应用程序目录分区副本后,可将“域命名 FSMO”角色分配回 Windows 2000 域控制器。
  • 应用程序目录分区对象无法移至创建应用程序目录分区之外的其他 Active Directory 分区。

其他应用程序目录分区功能包括:

  • 应用程序目录分区的安全与访问控制模型与针对 Active Directory 域服务中其他分区的模型相同。
  • 可为每个应用程序目录分区单独配置用于控制针对站点内复制伙伴的原始更改通知的发起延迟的时间间隔。
  • 应用程序目录分区可命名为常规域、附加到可在其中使用域的 Active Directory 命名空间内的任意位置,甚至还可由下层 Windows 2000 系统使用 DNS 来进行发现。
  • 可创建应用程序目录分区、定义其复制范围,以及使用标准 LDAP 和 ADSI API 并以编程方式来调整其可配置设置。 有关以编程方式操作应用程序目录分区的详细信息,请参阅应用程序目录分区