Windows Server 2003 AD应用程序目录分区深入了解
出处:江小帅 作者:江小帅 时间:2007-12-13 12:50:59
微软的技术知识库实在是太庞大了,以至一些新的功能我们在彻底熟悉的时候会花费太多的时间,没办法,这是由于产品的复杂性决定的。面对OS或服务组件及AD我们应该经常问的是:默认为什么会出现这个?为什么要有这样的功能?这个功能如何实现?这个功能有什么限制?拿此文做例子,可能一些人认为不去了解活动目录的应用程序目录分区或DNS区域中随DC增加而带来的新记录的变化,网络环境也一样运行。呵呵!那就大可不必看了。
一、Windows Server 2003 AD应用程序目录分区
1) 什么是应用程序目录分区?
应用程序目录分区是仅复制到特定域控制器的目录分区。参与特定应用程序目录分区复制的域控制器寄存该分区的副本。只有运行 Windows Server 2003 的域控制器可以寄存应用程序目录分区的副本。应用程序目录分区可包含任何类型的对象(除了安全主体)。在Windows 2000的DC时代默认DC上会存留三个常规的目录分区:Schema目录分区,Configuration目录分区,Domain目录分区(如果是GC的话,那么还存在GC的目录)。Schema目录分区全森林复制,一般也很少对其做修改设置,除非当安装像Exchange这样的应用程序或需要添加雇员的ID和Number到AD的时候这个分区的内容才会需要更改。Configuration目录分区也是全森林复制的,对于域配置的变化,DC的增加减少,站点的变化等而随之变化。所以对于一个成熟的企业域环境,这个变化也会很少。Domain目录分区为全域复制的分区,这个分区微软当初定义的时候是用来容纳一些user、computer、OU、GPO等对象。基本上一个公司的这些对象在使用Domain目录分区存储的时候变化是客观的,用户或计算机、策略的变化必然要使维持这个目录分区的宿主DC之间同步。那为什么Windows 2003还要提供应用程序目录分区的功能呢?
2) 为什么Windows 2003 AD要支持应用程序目录分区?
AD的对象一般都是相对静态的,这样对提高DC的性能、提高KCC之间的平衡有很大的帮助。所以在“向AD中发布对象”的时候对于经常,频繁性变化的对象不适合使用AD这样的分布数据库来进行存储。在Windows 2000 DC时代,DNS的区域是可以集成到AD的,这是因为AD的数据库为了优化客户程序定位DC必须需要DNS来实现底层的定位,而将DNS的区域文件保存在AD的数据库里可以实现客户程序以任意形式来定位任意DC,那么DNS的区域保存在哪里?答案是保存在Domain目录分区里(图5指出了DNS区域文件如果存储在Domain目录分区时它的位置),它将在域的范围内复制,这就让一些不提供DNS服务但身份是DC的计算机干了“狗拿耗子”的事情(也有备份的考虑在内)。DNS的区域记录对于一些网络也是经常变化的,比如客户计算机名字频繁变化的环境,所有的同域DC都在跟着复制变化的DNS区域记录,不管你到底提不提供DNS服务(类比一下电影《大腕》里王小柱说的话:直播要覆盖到全球每个角落,允许你不看,但不允许说你收不到)。所以活动目录应用程序分区才在Windows 2003中出现了。
3) 目录应用程序的命名
提前理解这个有利于帮助我们理解2003AD默认的DNS应用程序目录分区。应用程序目录分区是整个林名称空间的一部分,就像域目录分区一样。它与域目录分区遵循相同的域名系统 (DNS) 和可分辨名称命名约定。应用程序目录分区可出现在林名称空间中可出现域目录分区的任何地方。在林名称空间中,应用程序目录分区可能出现在三处:域目录分区的子项、应用程序目录分区的子项、林中的新树。
二、Windows Server 2003 DNS应用程序目录分区(创建jzlld.org的AD环境,所有计算机全部为2003SP1的操作系统)
1) 默认的DNS应用程序分区
默认全新装Windows Server 2003 DC的时候AD会自动创建两个应用程序目录分区:ForestDnsZones目录分区、DomainDnsZones目录分区。这两个目录分区都可以存储DNS的区域记录。但复制的范围(复制作用域)是不一样的,一个是整个森林范围内的DC间复制,一个域范围内的DC间复制。
2) DNS区域的创建向导
DNS区域的创建向导会出现一个特殊的选项如图1,理解这些选项的区别将帮助我们理解区域的复制,更涉及到DC上KCC的运行性能。
“至Active Directory林jzlld.org中的所有DNS服务器”---将创建的DNS区域存储在默认的ForestDnsZones.jzlld.org应用程序目录分区,所以将导致创建的DNS区域被复制到森林jzlld.org中所有运行2003DC并提供DNS服务的服务器上。
“至Active Directory域jzlld.org中的所有DNS服务器”---将创建的DNS区域存储在默认的DomainDnsZones.jzlld.org应用程序目录分区,所以将导致创建的DNS区域被复制到域jzlld.org中所有运行2003DC并提供DNS服务的服务器上。
“至Active Directory域jzlld.org中的所有域控制器”---将创建的DNS区域存储在Domain目录分区,所以将导致创建的DNS区域被复制到域jzlld.org中所有的域控制器上。因为2000不支持应用程序目录分区,所以当域中包含2000操作系统的DC时推荐选择此项。
“到在以下应用程序目录分区的范围内指定的所有域控制器”(默认灰色)---只有当使用应用程序目录分区创建命令创建一个新的应用程序目录分区的时候才可以使用,小帅在后面的部分中将创建一个应用程序目录分区之后,这个部分就可以选择了。
3) 建立森林jzlld.org中的第一台域控制器:dc01.jzlld.org
默认建立林中第一台DC的时候都会让Dcpromo向导自动安装DNS服务,安装过程小帅在这里忽略了。建立好的该DC之后,我们来仔仔细细看看DNS区域及DNS特殊记录。如图2
DNS区域:
默认Dcpromo创建了两个DNS区域:_msdcs.jzlld.org、jzlld.org,小帅自己手工创建了一个DNS反向搜索区域:10.0.0.x subnet,下面小帅一个个的说明这些区域。
DNS区域_msdcs.jzlld.org的“复制作用域”为“至Active Directory林jzlld.org中的所有DNS服务器”,所以该DNS区域实际上是存储在ForestDnsZones.jzlld.org这个默认创建的DNS应用程序分区中了。注意该区域是被默认委派的,因为在jzlld.org的区域里面有一个委派记录。图3是利用ADSI显示该应用程序分区的情况。
提示:Dcpromo默认创建的名为_msdcs.jzlld.org的DNS区域是主持 Active Directory 林中所有域控制器的域控制器定位器 DNS 资源记录。它还可用于在 Active Directory 域或 Active Directory 林中定位具有特定角色的域控制器(PDC、GC),如果域已重命名,则可通过搜索域控制器的 GUID 来定位它(那个长长数字)。另外http://support.microsoft.com/kb/817470/zh-cn中详细说明了Windows 2000及Windows 2003在创建默认的DNS区域时的不同、升级到Windows 2003的DNS做配置全林性应用程序目录分区的修改、理解_msdcs区域在windows 2003域控制器中的任一的两中存储方式。另外注意在Windows Server 2003 SP1 中,当创建一个已位于现有区域下的新的正向查找区域时,向导会在该现有区域下自动创建一个新的委派。
DNS区域jzlld.org的复制作用域为“至Active Directory域jzlld.org中的所有DNS服务器”,所以该DNS区域实际上是存储在DomainDnsZones.jzlld.org这个默认创建的DNS应用程序分区中了。图4是利用ADSI显示该应用程序分区的情况。
DNS区域10.0.0.x subnet的复制作用域小帅在创建的时候选择的是“至Active Directory域jzlld.org中的所有域控制器”,所以该DNS区域实际上是存储在Domain目录分区中了。图5显示的是利用ADSI显示的该目录分区
DC=RootDNSServers容器中保存的是根提示
特殊的DNS记录:
回到图2上,在区域jzlld.org下有两个“域”:ForestDnsZones和DomainDnsZones。这两个位置是用来说明:在哪台DC宿主ForestDnsZones.jzlld.org应用程序目录分区(所以该记录的格式只有tcp.sitename._site.forestdnszones.jzlld.org.或tcp.forestdnszones.jzlld.org形式,别忘了该目录分区是林复制性的,所以没域什么事儿),哪台DC是宿主DomainDnsZones.jzlld.org应用程序目录分区的,此时的SRV记录都应该时dc01.jzlld.org,
图6是利用Replmon.exe显示的dc01.jzlld.org上的目录分区情况(由于是第一台DC,所以没有任何复制链接)
利用LDP.exe也显示了dc01.jzlld.org上存在5个NamingContexts(目录分区),如图7高亮显示的部分(注意他们的DN格式)
4) 建立域jzlld.org中的第二台域控制器:dc02.jzlld.org
在建立域jzlld.org的第二台域控制器的时候,默认都是将要成为dc02.jzlld.org的计算机的DNS服务器地址指向dc01.jzlld.org。Dcpromo向导不会有是否选择安装DNS服务的提示。安装步骤小帅这里省略。安装完dc02.jzlld.org重启后并没有安装DNS服务,所以dc02.jzlld.org上不应该宿主ForestDnsZones.jzlld.org和DomainDnsZones.jzlld.org这两个应用程序目录分区。图8是利用LDP.exe显示dc02.jzlld.org的名称上下文
下面的图9是利用Replmon.exe查看的复制情况(两台DC都属于一个站点,形成的是站点内部的复制)
大家也可以在c:\windows\debug\下找到Dcpromo.txt。该文件内详细说明了,当dc02被提升为DC的时候从dc01上复制了哪些目录分区。(只有3个)
在DNS控制台中jzlld.org区域下面的两个特殊“域”中仍然只有dc01的SRV记录,因为此时dc02上根本就没有任何应用程序目录分区。
接下来在dc02.jzlld.org上安装DNS服务,安装步骤小帅省略,这样经过一定的复制周期,站点链接建立完成,同步完成之后,dc02.jzlld.org将与dc01.jzlld.org一样拥有5个名称上下文。如图10所示
在DNS的控制台中我们也可以看到jzlld.org区域下面的两个特殊的“域”内包含了两个DC提供LDAP服务的SRV记录。如图11我们以“DomainDnsZones”域为例证明目前应用程序分区DomainDnsZones.jzlld.org存在两个副本。应用程序目录分区ForestDnsZones.jzlld.org也是一样的。
其他识别应用程序目录分区的工具和办法:
Configuration目录分区中的Partition容易下包含了所有的应用程序目录分区,这样每个域的DC在复制这个名称上下文的时候都可以查看到森林中有哪些应用程序目录分区。在每一个应用程序目录分区的属性中有一个属性叫msDS-NC-Replica-Locations,这个属性的值决定着该目录分区的副本有几个,也就是都由哪几台DC来宿主的。如图12
图12中ForestDnsZones应用程序目录分区的msDS-NC-Replica-Locations属性值有两个:
CN=NTDS Settings,CN=DC01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configureation,DC=jzlld,DC=org
CN=NTDS Settings,CN=DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configureation,DC=jzlld,DC=org
msDS-NC-Replica-Locations属性值请参考以下链接:
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/ad/ad/active_directory.asp
应用程序目录分区的对象类型是crossRef,请参考以下链接:
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/adschema/adschema/c_crossref.asp
你也可以使用dnscmd的一个子命令来查询某个DNS应用程序目录分区的情况。比如在dc01上查看DNS应用程序目录分区ForestDnsZones.jzlld.org的信息可以使用如下命令:
“dnscmd.exe dc01.jzlld.org /DirectoryPartitionInfo ForestDnsZones.jzlld.org”
5) 建立子域sub.jzlld.org并建立该域的第一台域控制器:dc03.sub.jzlld.org
在建立子域sub.jzlld.org的第一台域控制器的时候,将dc03的DNS服务器的地址指向dc01,这样可以使其联系到域命名FSMO(dc01.jzlld.org),以便对新域命名及对新DC的添加给予允许操作。Dcpromo同样也不会出现安装DNS服务的提示。建立的步骤小帅省略(3台DC都在一个站点内部)。这样的3台DC的KCC同步是需要时间的,所以等“AD站点和服务”中出现了环状链接说明KCC服务已经达到平衡了。dc03会在dc01的jzlld.org区域创建一个“子域”sub,并将自己的一些SRV记录登记在下面,当然也会在dc01的_msdcs.jzlld.org区域注册一些记录,别忘了上面我们提到的这个DNS区域的作用。
利用replmon.exe查看的目录分区及应用程序分区复制情况如图13,(请看仔细,略微有点儿长)
为什么dc01.jzlld.org有一个“DC=sub,DC=jzlld,DC=org”的名称上下文,而且是单向的?因为dc01.jzlld.org是GC(注意dc01上的特殊标记),需要从sub域内的基础机构主控(dc03.sub.jzlld.org)抄写该域对象的属性子集。如果dc02.jzlld.org也是GC的话,那么它也会有这样一个名称上下文。
此时,应用程序目录分区的msDS-NC-Replica-Locations属性仍然是两个值,因为dc03目前还不是DNS服务器。而且dc01和dc02的DNS控制台中的两个特殊的“域”(ForestDnsZones和DomainDnsZones)也不会有什么变化,依然是两个LDAP服务的SRV记录,分别是dc01和dc02的。
接下来对jzlld.org区域做区域分割,将目前的DNS区域名称空间分割成两个区域:jzlld.org和sub.jzlld.org,然后做授权给dc03.sub.jzlld.org来维护DNS区域sub.jzlld.org的操作并在dc03.sub.jzlld.org上安装DNS服务并建立相应的区域,修改dc03.sub.jzlld.org网卡上的DNS服务器地址的指向,配置对jzlld.org区域的所有查询转发到dc01.jzlld.org(一定要注意配置转发)。建立的步骤小帅省略。此时dc03应该有默认的ForestDnsZones.jzlld.org的应用程序目录分区(DNS区域_msdcs.jzlld.org能够自动复制到dc03就说明了这点),还应该有自己本域的一个默认应用程序目录分区:DomainDnsZones.sub.jzlld.org(这个应用程序目录分区与DomainDnsZones.jzlld.org是不同的,可以查看两个应用程序目录分区的GUID及他们的宿主来区别)如图14
dc01.jzlld.org的DNS区域jzlld.org的两个“域”(ForestDnsZones和DomainDnsZones)的变化如图15、如图16
ForestDnsZones.jzlld.org应用程序目录分区的3个宿主分别在该“域”内注册了LDAP的SRV记录。
DomainDnsZones.jzlld.org应用程序目录分区的2个宿主分别在该“域”内注册了LDAP的SRV记录,因为这个应用程序目录分区是在jzlld.org域内的DC兼DNS的计算机上宿主的。所以没有dc03的LDAP服务的SRV记录,只有dc01和dc02的。
当小帅在dc03.sub.jzlld.org的自己的DNS控制台上创建一个DNS区域sub.jzlld.org,并且复制作用域设置为“至Active Directory域sub.jzlld.org中的所有DNS服务器”的时候,在该DNS区域下将出现DomainDnsZones“域”,其内的记录为DomainDnsZones.sub.jzlld.org应用程序目录分区宿主dc03上的LDAP服务注册的SRV记录,如图17
为什么反向查找区域没有区域??
因为小帅在dc01上创建10.0.0.x subnet区域的时候设置该区域是在jzlld.org域内的全域复制的,所以它包含在jzlld.org域的Domain目录分区内,当然不会被复制过来。
为什么sub.jzlld.org的DNS区域下面没有名为ForestDnsZones“域”?
因为宿主ForestDnsZones.jzlld.org应用程序目录分区的宿主SRV记录保存在dc01和dc02的DNS区域jzlld.org下面,是不会复制到该位置的。_msdcs.jzlld.org区域能够出现(不是小帅手工创建的,是复制出来的)能够出现本身也意味着dc03.sub.jzlld.org计算机是ForestDnsZones.jzlld.org应用程序目录分区的宿主。
既然这样,那如果子域sub中的一些应用程序目录分区的客户端应用程序需要定位企业中的某些应用程序目录分区那怎么办??
别忘了,小帅说过Configuration目录分区中包含了企业中的所有名称上下文,也就是包含了所有AD林中的目录分区(目录分区和应用程序分区),并且该目录分区是全林性复制的。另外从一个应用程序分区的命名上客户端程序就知道应该上哪台DNS上去定位记录了。如图18
jzlld.org企业森林中到目前为止有7种不同的名称上下文(目录分区),至于它们各自的复制作用域,各位自己分析吧。
6) 命令行工具dnscmd
这个工具可以用来管理DNS应用程序目录分区,大家可以参看如下链接
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/15791aea-a110-400f-a99a-4e3efe3a5cc2.mspx?mfr=true
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/15791aea-a110-400f-a99a-4e3efe3a5cc2.mspx?mfr=true
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/15791aea-a110-400f-a99a-4e3efe3a5cc2.mspx?mfr=true
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/15791aea-a110-400f-a99a-4e3efe3a5cc2.mspx?mfr=true
默认情况下,DNS 服务器服务将尝试在 Active Directory 中定位和创建默认的 DNS 应用程序目录分区。如果 DNS 服务器服务无法做到这一点,那么管理员可以使用该过程手动创建应用程序目录分区。如果当前在 Active Directory 中默认的 DNS 应用程序目录分区可用,在 DNS 控制台中创建默认应用程序目录分区的选项将不可用。可以使用DNS控制台,也可以使用命令行工具dnscmd.exe来完成该操作。
默认情况下,只有 Enterprise Admins 组的成员才可以创建 DNS 应用程序目录分区。
利用dnscmd.exe命令来创建一个DNS应用程序分区。
小帅在dc01.jzlld.org上利用dnscmd.exe命令行工具来创建一个DNS应用程序分区,FQDN名字为TestDnsZones.jzlld.org。如图19
此时,在dc01上的DNS控制台中创建一个DNS区域jxs.org并将其存储在小帅刚建立好的DNS应用程序目录分区TestDnsZones.jzlld.org中,此时在选择上有区别了。如图20
注意,由于此时DNS应用程序目录分区TestDnsZones.jzlld.org只登记了dc01.jzlld.org这台计算机,所以只能在dc01上建立区域的时候有这个特殊的选项,在dc02、dc03上的DNS控制台上创建区域的时候都不会出现该选项。
图21是在dc01上建立好名为jxs.org的DNS区域之后出现的一个特殊的“域”TestDnsZones及dc01上LDAP服务注册的SRV记录
接下来小帅将 dc02、dc03登记到该目录分区,让dc01、dc02和dc03这三台DC兼DNS的计算机来宿主这个DNS应用程序目录分区TestDnsZones.jzlld.org。要执行此过程,必须是 Active Directory 中 DnsAdmins组(默认域管理员不是这个组的成员,另外注意DnsAdmins是本地组) 或域管理员组的成员,或者被委派了适当的权限。如图22、图23
下面是DNS控制台中和DNS应用程序目录分区TestDnsZones.jzlld.org的msDS-NC-Replica-Locations属性的截图及DNS控制台中该应用程序目录分区的注册记录。如图24
当然你也可以利用“dnscmd.exe servername /UnenlistDirectoryPartition FQDN”命令来删除某个服务器在某个应用程序分区的登记。
注意:因为DNS应用程序目录分区也是应用程序目录分区的一种,所以使用dnscmd命令是无法删除该应用程序目录分区的,只能使用ntdsutil命令来删除应用程序目录服务分区,下面的部分小帅会介绍利用ntdsutil命令对应用程序目录分区的操作。
三、 自定义应用程序目录分区
应用程序目录分区不一定就是为了DNS这个应用程序使用,以上AD默认创建的ForestDns.jzlld.org、DomainDnsZones.jzlld.org和小帅手工创建的TestDnsZones.jzlld.org几个DNS应用程序目录分区是专为DNS这个应用程序设置的目录分区,当然我们也可以根据企业的相关需要来为可行的应用程序定义应用程序目录分区,并设置他们的复制范围。比如很多企业使用的TAPI就是一个很好的例子,TAPI的详细内容请参考:http://msdn.microsoft.com/librar ... ming_interfaces.asp
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/7055a4b3-33ec-43a5-9cf9-9bd547b1f6ae.mspx?mfr=true
在使用ntdsutil命令来管理应用程序目录分区的之前需要先理解一些概念
1) 应用程序分区的命名(在第一部分中我们已经解释了)
2) 应用程序目录分区复制
信息一致性检查器 (KCC) 自动生成和维护企业中所有应用程序目录分区的复制拓扑。当应用程序目录分区在多个站点拥有副本时,那些副本和域目录分区有着相同的站点间复制日程安排。
3) 安全描述符参考域
网络的每个容器和对象都有一组附加于其中的访问控制信息。此信息称为安全描述符,可控制用户、组和计算机所允许的访问类型。如果对象或容器未被创建它的应用程序或服务分配安全描述符,那么它将被分配架构中定义的该对象类的默认安全描述符。这种默认的安全描述符是不明确的,它向 Domain Admins 组的成员分配对对象的读取权限,但不指定域管理员属于哪个域。当在某个域命名分区中创建该对象时,此域命名分区就用来指定读取权限实际上分配给了哪个 Domain Admins 组。
在应用程序目录分区中创建对象时,默认安全描述符的定义是不同的,因为应用程序目录分区可以在属于不同域的不同域控制器上拥有副本。因为存在这种潜在的不确定性,所以在创建应用程序目录分区时会分配一个默认的安全描述符参考域。
默认的安全描述符参考域定义了当该应用程序目录分区中的对象需要为默认安全描述符定义域值时应使用什么域名。默认的安全描述符参考域是在创建时分配的。如果该应用程序目录分区是某个域目录分区的子项,那么在默认情况下,父域目录分区将变成安全描述符参考域。如果该应用程序目录分区是另一个应用程序目录分区的子对象,则父应用程序目录分区的安全描述符参考域将变成新的子应用程序目录分区的参考域。如果新的应用程序目录分区创建为新树的根,那么此林根域将用作默认的安全描述符参考域。
4) 应用程序分区和DC的升、降级
如果域控制器拥有某个应用程序目录分区的副本,则必须从该应用程序目录分区的副本集中删除此域控制器,或者删除该应用程序目录分区,然后才能降级此域控制器。
如果域控制器拥有某个应用程序目录分区的“最新”副本,则必须删除该应用程序目录分区,然后才能降级此域控制器。
理解以上的应该差不多了,其他的相关资源请参考Windows Server 2003帮助或
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/6a561189-2221-47fd-be72-c85cb42949f2.mspx?mfr=true
5) 小帅先利用ntdsutil将在上面建立的TestDnsZones.jzlld.org的应用程序目录分区的3个副本删除,然后将该应用程序目录分区删除,如图25,在此小帅使用的命令全部为缩写并且没有显示帮助。
此时存储在该DNS应用程序目录分区TestDnsZones.jzlld.org内的DNS区域jxs.org中的数据也将被删除,从整个AD中消失,你也可以使用上面小帅介绍的各种方法来检验该DNS目录分区的存在。如图26
小帅然后建立一个新的应用程序目录分区名为AppDS.sub.jzlld.org(注意命名和默认参考域),并将dc01,dc03作为该应用程序目录分区的副本集。如图27
因为在运行ntdsutil的时候connect的就是dc01,所以当创建该应用程序目录分区的时候dc01就已经是该目录分区的副本了,所以只添加dc03就可以了。
该应用程序分区当你在创建DNS区域并选择“复制作用域”的时候也是可见的,就跟图20选择的位置类似。
图28显示的是使用LDP查看dc01上存储的目录分区及查看AppDS.sub.jzlld.org应用程序分区属性msDS-NC-Replica-Locations值的情况。
到此其他操作应该非常简单了。请参考ntdsutil.exe帮助信息或Windows Server 2003 AD帮助或
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/6a561189-2221-47fd-be72-c85cb42949f2.mspx?mfr=true
四、 从媒体安装域控制器的应用程序目录相关
2003SP1提供了一个功能就是从媒体来安装新的域控制器,如果想实现从媒体的无应答安装,并复制相应的应用程序目录分区需要提升林功能,并安装2003SP1。下面小帅将jzlld.org林提升功能(要求森林中的每个域都为2003模式才可以提升整个森林的模式),并将dc04利用媒体的安装形式将其提升为jzlld.org域的第三台DC,还要将我们在上面刚刚建立的应用程序目录分区AppDS.sub.jzlld.org及默认的DNS应用程序目录分区之一ForestDnsZones.jzlld.org复制到dc04,注意dc04上没有安装DNS服务(小帅省略所有操作步骤,只将应答文件及最终结果呈现)。如图29、图30
注意:其中c:\Ntdsretore为小帅将备份好的dc01的系统状态SystemState.bkf恢复到dc04上的“备用位置”生成的临时文件夹。
验证AppDS.sub.jzlld.org应用程序分区如图31
具体步骤请参考
http://support.microsoft.com/kb/311078/zh-cn
五、注意事项及相关资源
http://support.microsoft.com/default.aspx?scid=kb;en-us;867464#appliesto#appliesto
“Event ID 4515 is logged in the DNS Server log in Windows Server 2003”。理解完应用程序目录分区就知道为什么会出现4515的错误了。
http://windowssdk.msdn.microsoft.com/library/default.asp?url=/library/en-us/adschema/adschema/a_dnstombstoned.asp
应用程序目录分区的限制
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/ad/ad/active_directory.asp
该链接从目录架构的方面描述了应用程序目录分区
http://technet2.microsoft.com/WindowsServer/en/Library/2bd36720-ed2e-47ed-a80d-fa43a403b4361033.mspx
DNS与AD应用程序之间的关系(包扩GC)
http://support.microsoft.com/kb/817470/zh-cn
在从 Windows 2000 升级到 Windows Server 2003 时,如何将 _msdcs 子域重新配置为全林性 DNS 应用程序目录分区
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/bb99fdd4-f8e0-490f-adae-6814cf081ff7.mspx?mfr=true
Active Directory 的新功能概述
六、总结
其实本文小帅很早就想写了,不过进度却一直拖拖拉拉,可能是由于不是每天都很快乐的原因吧,郁闷和烦恼就象家常便饭一样,快乐的时光越来越少,如果某一天出现了快乐的事儿,那小帅会觉得算很幸运捡了个便宜,不快乐和郁闷的时候就纯属是正常状态了。转念又一想谁又能每天都快乐呢?傻子也许可以。谁也不愿意永远做傻子,就像不能永远快乐一样……
一、Windows Server 2003 AD应用程序目录分区
1) 什么是应用程序目录分区?
应用程序目录分区是仅复制到特定域控制器的目录分区。参与特定应用程序目录分区复制的域控制器寄存该分区的副本。只有运行 Windows Server 2003 的域控制器可以寄存应用程序目录分区的副本。应用程序目录分区可包含任何类型的对象(除了安全主体)。在Windows 2000的DC时代默认DC上会存留三个常规的目录分区:Schema目录分区,Configuration目录分区,Domain目录分区(如果是GC的话,那么还存在GC的目录)。Schema目录分区全森林复制,一般也很少对其做修改设置,除非当安装像Exchange这样的应用程序或需要添加雇员的ID和Number到AD的时候这个分区的内容才会需要更改。Configuration目录分区也是全森林复制的,对于域配置的变化,DC的增加减少,站点的变化等而随之变化。所以对于一个成熟的企业域环境,这个变化也会很少。Domain目录分区为全域复制的分区,这个分区微软当初定义的时候是用来容纳一些user、computer、OU、GPO等对象。基本上一个公司的这些对象在使用Domain目录分区存储的时候变化是客观的,用户或计算机、策略的变化必然要使维持这个目录分区的宿主DC之间同步。那为什么Windows 2003还要提供应用程序目录分区的功能呢?
2) 为什么Windows 2003 AD要支持应用程序目录分区?
AD的对象一般都是相对静态的,这样对提高DC的性能、提高KCC之间的平衡有很大的帮助。所以在“向AD中发布对象”的时候对于经常,频繁性变化的对象不适合使用AD这样的分布数据库来进行存储。在Windows 2000 DC时代,DNS的区域是可以集成到AD的,这是因为AD的数据库为了优化客户程序定位DC必须需要DNS来实现底层的定位,而将DNS的区域文件保存在AD的数据库里可以实现客户程序以任意形式来定位任意DC,那么DNS的区域保存在哪里?答案是保存在Domain目录分区里(图5指出了DNS区域文件如果存储在Domain目录分区时它的位置),它将在域的范围内复制,这就让一些不提供DNS服务但身份是DC的计算机干了“狗拿耗子”的事情(也有备份的考虑在内)。DNS的区域记录对于一些网络也是经常变化的,比如客户计算机名字频繁变化的环境,所有的同域DC都在跟着复制变化的DNS区域记录,不管你到底提不提供DNS服务(类比一下电影《大腕》里王小柱说的话:直播要覆盖到全球每个角落,允许你不看,但不允许说你收不到)。所以活动目录应用程序分区才在Windows 2003中出现了。
3) 目录应用程序的命名
提前理解这个有利于帮助我们理解2003AD默认的DNS应用程序目录分区。应用程序目录分区是整个林名称空间的一部分,就像域目录分区一样。它与域目录分区遵循相同的域名系统 (DNS) 和可分辨名称命名约定。应用程序目录分区可出现在林名称空间中可出现域目录分区的任何地方。在林名称空间中,应用程序目录分区可能出现在三处:域目录分区的子项、应用程序目录分区的子项、林中的新树。
二、Windows Server 2003 DNS应用程序目录分区(创建jzlld.org的AD环境,所有计算机全部为2003SP1的操作系统)
1) 默认的DNS应用程序分区
默认全新装Windows Server 2003 DC的时候AD会自动创建两个应用程序目录分区:ForestDnsZones目录分区、DomainDnsZones目录分区。这两个目录分区都可以存储DNS的区域记录。但复制的范围(复制作用域)是不一样的,一个是整个森林范围内的DC间复制,一个域范围内的DC间复制。
2) DNS区域的创建向导
DNS区域的创建向导会出现一个特殊的选项如图1,理解这些选项的区别将帮助我们理解区域的复制,更涉及到DC上KCC的运行性能。
“至Active Directory林jzlld.org中的所有DNS服务器”---将创建的DNS区域存储在默认的ForestDnsZones.jzlld.org应用程序目录分区,所以将导致创建的DNS区域被复制到森林jzlld.org中所有运行2003DC并提供DNS服务的服务器上。
“至Active Directory域jzlld.org中的所有DNS服务器”---将创建的DNS区域存储在默认的DomainDnsZones.jzlld.org应用程序目录分区,所以将导致创建的DNS区域被复制到域jzlld.org中所有运行2003DC并提供DNS服务的服务器上。
“至Active Directory域jzlld.org中的所有域控制器”---将创建的DNS区域存储在Domain目录分区,所以将导致创建的DNS区域被复制到域jzlld.org中所有的域控制器上。因为2000不支持应用程序目录分区,所以当域中包含2000操作系统的DC时推荐选择此项。
“到在以下应用程序目录分区的范围内指定的所有域控制器”(默认灰色)---只有当使用应用程序目录分区创建命令创建一个新的应用程序目录分区的时候才可以使用,小帅在后面的部分中将创建一个应用程序目录分区之后,这个部分就可以选择了。
3) 建立森林jzlld.org中的第一台域控制器:dc01.jzlld.org
默认建立林中第一台DC的时候都会让Dcpromo向导自动安装DNS服务,安装过程小帅在这里忽略了。建立好的该DC之后,我们来仔仔细细看看DNS区域及DNS特殊记录。如图2
DNS区域:
默认Dcpromo创建了两个DNS区域:_msdcs.jzlld.org、jzlld.org,小帅自己手工创建了一个DNS反向搜索区域:10.0.0.x subnet,下面小帅一个个的说明这些区域。
DNS区域_msdcs.jzlld.org的“复制作用域”为“至Active Directory林jzlld.org中的所有DNS服务器”,所以该DNS区域实际上是存储在ForestDnsZones.jzlld.org这个默认创建的DNS应用程序分区中了。注意该区域是被默认委派的,因为在jzlld.org的区域里面有一个委派记录。图3是利用ADSI显示该应用程序分区的情况。
提示:Dcpromo默认创建的名为_msdcs.jzlld.org的DNS区域是主持 Active Directory 林中所有域控制器的域控制器定位器 DNS 资源记录。它还可用于在 Active Directory 域或 Active Directory 林中定位具有特定角色的域控制器(PDC、GC),如果域已重命名,则可通过搜索域控制器的 GUID 来定位它(那个长长数字)。另外http://support.microsoft.com/kb/817470/zh-cn中详细说明了Windows 2000及Windows 2003在创建默认的DNS区域时的不同、升级到Windows 2003的DNS做配置全林性应用程序目录分区的修改、理解_msdcs区域在windows 2003域控制器中的任一的两中存储方式。另外注意在Windows Server 2003 SP1 中,当创建一个已位于现有区域下的新的正向查找区域时,向导会在该现有区域下自动创建一个新的委派。
DNS区域jzlld.org的复制作用域为“至Active Directory域jzlld.org中的所有DNS服务器”,所以该DNS区域实际上是存储在DomainDnsZones.jzlld.org这个默认创建的DNS应用程序分区中了。图4是利用ADSI显示该应用程序分区的情况。
DNS区域10.0.0.x subnet的复制作用域小帅在创建的时候选择的是“至Active Directory域jzlld.org中的所有域控制器”,所以该DNS区域实际上是存储在Domain目录分区中了。图5显示的是利用ADSI显示的该目录分区
DC=RootDNSServers容器中保存的是根提示
特殊的DNS记录:
回到图2上,在区域jzlld.org下有两个“域”:ForestDnsZones和DomainDnsZones。这两个位置是用来说明:在哪台DC宿主ForestDnsZones.jzlld.org应用程序目录分区(所以该记录的格式只有tcp.sitename._site.forestdnszones.jzlld.org.或tcp.forestdnszones.jzlld.org形式,别忘了该目录分区是林复制性的,所以没域什么事儿),哪台DC是宿主DomainDnsZones.jzlld.org应用程序目录分区的,此时的SRV记录都应该时dc01.jzlld.org,
图6是利用Replmon.exe显示的dc01.jzlld.org上的目录分区情况(由于是第一台DC,所以没有任何复制链接)
利用LDP.exe也显示了dc01.jzlld.org上存在5个NamingContexts(目录分区),如图7高亮显示的部分(注意他们的DN格式)
4) 建立域jzlld.org中的第二台域控制器:dc02.jzlld.org
在建立域jzlld.org的第二台域控制器的时候,默认都是将要成为dc02.jzlld.org的计算机的DNS服务器地址指向dc01.jzlld.org。Dcpromo向导不会有是否选择安装DNS服务的提示。安装步骤小帅这里省略。安装完dc02.jzlld.org重启后并没有安装DNS服务,所以dc02.jzlld.org上不应该宿主ForestDnsZones.jzlld.org和DomainDnsZones.jzlld.org这两个应用程序目录分区。图8是利用LDP.exe显示dc02.jzlld.org的名称上下文
下面的图9是利用Replmon.exe查看的复制情况(两台DC都属于一个站点,形成的是站点内部的复制)
大家也可以在c:\windows\debug\下找到Dcpromo.txt。该文件内详细说明了,当dc02被提升为DC的时候从dc01上复制了哪些目录分区。(只有3个)
在DNS控制台中jzlld.org区域下面的两个特殊“域”中仍然只有dc01的SRV记录,因为此时dc02上根本就没有任何应用程序目录分区。
接下来在dc02.jzlld.org上安装DNS服务,安装步骤小帅省略,这样经过一定的复制周期,站点链接建立完成,同步完成之后,dc02.jzlld.org将与dc01.jzlld.org一样拥有5个名称上下文。如图10所示
在DNS的控制台中我们也可以看到jzlld.org区域下面的两个特殊的“域”内包含了两个DC提供LDAP服务的SRV记录。如图11我们以“DomainDnsZones”域为例证明目前应用程序分区DomainDnsZones.jzlld.org存在两个副本。应用程序目录分区ForestDnsZones.jzlld.org也是一样的。
其他识别应用程序目录分区的工具和办法:
Configuration目录分区中的Partition容易下包含了所有的应用程序目录分区,这样每个域的DC在复制这个名称上下文的时候都可以查看到森林中有哪些应用程序目录分区。在每一个应用程序目录分区的属性中有一个属性叫msDS-NC-Replica-Locations,这个属性的值决定着该目录分区的副本有几个,也就是都由哪几台DC来宿主的。如图12
图12中ForestDnsZones应用程序目录分区的msDS-NC-Replica-Locations属性值有两个:
CN=NTDS Settings,CN=DC01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configureation,DC=jzlld,DC=org
CN=NTDS Settings,CN=DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configureation,DC=jzlld,DC=org
msDS-NC-Replica-Locations属性值请参考以下链接:
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/ad/ad/active_directory.asp
应用程序目录分区的对象类型是crossRef,请参考以下链接:
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/adschema/adschema/c_crossref.asp
你也可以使用dnscmd的一个子命令来查询某个DNS应用程序目录分区的情况。比如在dc01上查看DNS应用程序目录分区ForestDnsZones.jzlld.org的信息可以使用如下命令:
“dnscmd.exe dc01.jzlld.org /DirectoryPartitionInfo ForestDnsZones.jzlld.org”
5) 建立子域sub.jzlld.org并建立该域的第一台域控制器:dc03.sub.jzlld.org
在建立子域sub.jzlld.org的第一台域控制器的时候,将dc03的DNS服务器的地址指向dc01,这样可以使其联系到域命名FSMO(dc01.jzlld.org),以便对新域命名及对新DC的添加给予允许操作。Dcpromo同样也不会出现安装DNS服务的提示。建立的步骤小帅省略(3台DC都在一个站点内部)。这样的3台DC的KCC同步是需要时间的,所以等“AD站点和服务”中出现了环状链接说明KCC服务已经达到平衡了。dc03会在dc01的jzlld.org区域创建一个“子域”sub,并将自己的一些SRV记录登记在下面,当然也会在dc01的_msdcs.jzlld.org区域注册一些记录,别忘了上面我们提到的这个DNS区域的作用。
利用replmon.exe查看的目录分区及应用程序分区复制情况如图13,(请看仔细,略微有点儿长)
为什么dc01.jzlld.org有一个“DC=sub,DC=jzlld,DC=org”的名称上下文,而且是单向的?因为dc01.jzlld.org是GC(注意dc01上的特殊标记),需要从sub域内的基础机构主控(dc03.sub.jzlld.org)抄写该域对象的属性子集。如果dc02.jzlld.org也是GC的话,那么它也会有这样一个名称上下文。
此时,应用程序目录分区的msDS-NC-Replica-Locations属性仍然是两个值,因为dc03目前还不是DNS服务器。而且dc01和dc02的DNS控制台中的两个特殊的“域”(ForestDnsZones和DomainDnsZones)也不会有什么变化,依然是两个LDAP服务的SRV记录,分别是dc01和dc02的。
接下来对jzlld.org区域做区域分割,将目前的DNS区域名称空间分割成两个区域:jzlld.org和sub.jzlld.org,然后做授权给dc03.sub.jzlld.org来维护DNS区域sub.jzlld.org的操作并在dc03.sub.jzlld.org上安装DNS服务并建立相应的区域,修改dc03.sub.jzlld.org网卡上的DNS服务器地址的指向,配置对jzlld.org区域的所有查询转发到dc01.jzlld.org(一定要注意配置转发)。建立的步骤小帅省略。此时dc03应该有默认的ForestDnsZones.jzlld.org的应用程序目录分区(DNS区域_msdcs.jzlld.org能够自动复制到dc03就说明了这点),还应该有自己本域的一个默认应用程序目录分区:DomainDnsZones.sub.jzlld.org(这个应用程序目录分区与DomainDnsZones.jzlld.org是不同的,可以查看两个应用程序目录分区的GUID及他们的宿主来区别)如图14
dc01.jzlld.org的DNS区域jzlld.org的两个“域”(ForestDnsZones和DomainDnsZones)的变化如图15、如图16
ForestDnsZones.jzlld.org应用程序目录分区的3个宿主分别在该“域”内注册了LDAP的SRV记录。
DomainDnsZones.jzlld.org应用程序目录分区的2个宿主分别在该“域”内注册了LDAP的SRV记录,因为这个应用程序目录分区是在jzlld.org域内的DC兼DNS的计算机上宿主的。所以没有dc03的LDAP服务的SRV记录,只有dc01和dc02的。
当小帅在dc03.sub.jzlld.org的自己的DNS控制台上创建一个DNS区域sub.jzlld.org,并且复制作用域设置为“至Active Directory域sub.jzlld.org中的所有DNS服务器”的时候,在该DNS区域下将出现DomainDnsZones“域”,其内的记录为DomainDnsZones.sub.jzlld.org应用程序目录分区宿主dc03上的LDAP服务注册的SRV记录,如图17
为什么反向查找区域没有区域??
因为小帅在dc01上创建10.0.0.x subnet区域的时候设置该区域是在jzlld.org域内的全域复制的,所以它包含在jzlld.org域的Domain目录分区内,当然不会被复制过来。
为什么sub.jzlld.org的DNS区域下面没有名为ForestDnsZones“域”?
因为宿主ForestDnsZones.jzlld.org应用程序目录分区的宿主SRV记录保存在dc01和dc02的DNS区域jzlld.org下面,是不会复制到该位置的。_msdcs.jzlld.org区域能够出现(不是小帅手工创建的,是复制出来的)能够出现本身也意味着dc03.sub.jzlld.org计算机是ForestDnsZones.jzlld.org应用程序目录分区的宿主。
既然这样,那如果子域sub中的一些应用程序目录分区的客户端应用程序需要定位企业中的某些应用程序目录分区那怎么办??
别忘了,小帅说过Configuration目录分区中包含了企业中的所有名称上下文,也就是包含了所有AD林中的目录分区(目录分区和应用程序分区),并且该目录分区是全林性复制的。另外从一个应用程序分区的命名上客户端程序就知道应该上哪台DNS上去定位记录了。如图18
jzlld.org企业森林中到目前为止有7种不同的名称上下文(目录分区),至于它们各自的复制作用域,各位自己分析吧。
6) 命令行工具dnscmd
这个工具可以用来管理DNS应用程序目录分区,大家可以参看如下链接
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/15791aea-a110-400f-a99a-4e3efe3a5cc2.mspx?mfr=true
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/15791aea-a110-400f-a99a-4e3efe3a5cc2.mspx?mfr=true
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/15791aea-a110-400f-a99a-4e3efe3a5cc2.mspx?mfr=true
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/15791aea-a110-400f-a99a-4e3efe3a5cc2.mspx?mfr=true
默认情况下,DNS 服务器服务将尝试在 Active Directory 中定位和创建默认的 DNS 应用程序目录分区。如果 DNS 服务器服务无法做到这一点,那么管理员可以使用该过程手动创建应用程序目录分区。如果当前在 Active Directory 中默认的 DNS 应用程序目录分区可用,在 DNS 控制台中创建默认应用程序目录分区的选项将不可用。可以使用DNS控制台,也可以使用命令行工具dnscmd.exe来完成该操作。
默认情况下,只有 Enterprise Admins 组的成员才可以创建 DNS 应用程序目录分区。
利用dnscmd.exe命令来创建一个DNS应用程序分区。
小帅在dc01.jzlld.org上利用dnscmd.exe命令行工具来创建一个DNS应用程序分区,FQDN名字为TestDnsZones.jzlld.org。如图19
此时,在dc01上的DNS控制台中创建一个DNS区域jxs.org并将其存储在小帅刚建立好的DNS应用程序目录分区TestDnsZones.jzlld.org中,此时在选择上有区别了。如图20
注意,由于此时DNS应用程序目录分区TestDnsZones.jzlld.org只登记了dc01.jzlld.org这台计算机,所以只能在dc01上建立区域的时候有这个特殊的选项,在dc02、dc03上的DNS控制台上创建区域的时候都不会出现该选项。
图21是在dc01上建立好名为jxs.org的DNS区域之后出现的一个特殊的“域”TestDnsZones及dc01上LDAP服务注册的SRV记录
接下来小帅将 dc02、dc03登记到该目录分区,让dc01、dc02和dc03这三台DC兼DNS的计算机来宿主这个DNS应用程序目录分区TestDnsZones.jzlld.org。要执行此过程,必须是 Active Directory 中 DnsAdmins组(默认域管理员不是这个组的成员,另外注意DnsAdmins是本地组) 或域管理员组的成员,或者被委派了适当的权限。如图22、图23
下面是DNS控制台中和DNS应用程序目录分区TestDnsZones.jzlld.org的msDS-NC-Replica-Locations属性的截图及DNS控制台中该应用程序目录分区的注册记录。如图24
当然你也可以利用“dnscmd.exe servername /UnenlistDirectoryPartition FQDN”命令来删除某个服务器在某个应用程序分区的登记。
注意:因为DNS应用程序目录分区也是应用程序目录分区的一种,所以使用dnscmd命令是无法删除该应用程序目录分区的,只能使用ntdsutil命令来删除应用程序目录服务分区,下面的部分小帅会介绍利用ntdsutil命令对应用程序目录分区的操作。
三、 自定义应用程序目录分区
应用程序目录分区不一定就是为了DNS这个应用程序使用,以上AD默认创建的ForestDns.jzlld.org、DomainDnsZones.jzlld.org和小帅手工创建的TestDnsZones.jzlld.org几个DNS应用程序目录分区是专为DNS这个应用程序设置的目录分区,当然我们也可以根据企业的相关需要来为可行的应用程序定义应用程序目录分区,并设置他们的复制范围。比如很多企业使用的TAPI就是一个很好的例子,TAPI的详细内容请参考:http://msdn.microsoft.com/librar ... ming_interfaces.asp
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/7055a4b3-33ec-43a5-9cf9-9bd547b1f6ae.mspx?mfr=true
在使用ntdsutil命令来管理应用程序目录分区的之前需要先理解一些概念
1) 应用程序分区的命名(在第一部分中我们已经解释了)
2) 应用程序目录分区复制
信息一致性检查器 (KCC) 自动生成和维护企业中所有应用程序目录分区的复制拓扑。当应用程序目录分区在多个站点拥有副本时,那些副本和域目录分区有着相同的站点间复制日程安排。
3) 安全描述符参考域
网络的每个容器和对象都有一组附加于其中的访问控制信息。此信息称为安全描述符,可控制用户、组和计算机所允许的访问类型。如果对象或容器未被创建它的应用程序或服务分配安全描述符,那么它将被分配架构中定义的该对象类的默认安全描述符。这种默认的安全描述符是不明确的,它向 Domain Admins 组的成员分配对对象的读取权限,但不指定域管理员属于哪个域。当在某个域命名分区中创建该对象时,此域命名分区就用来指定读取权限实际上分配给了哪个 Domain Admins 组。
在应用程序目录分区中创建对象时,默认安全描述符的定义是不同的,因为应用程序目录分区可以在属于不同域的不同域控制器上拥有副本。因为存在这种潜在的不确定性,所以在创建应用程序目录分区时会分配一个默认的安全描述符参考域。
默认的安全描述符参考域定义了当该应用程序目录分区中的对象需要为默认安全描述符定义域值时应使用什么域名。默认的安全描述符参考域是在创建时分配的。如果该应用程序目录分区是某个域目录分区的子项,那么在默认情况下,父域目录分区将变成安全描述符参考域。如果该应用程序目录分区是另一个应用程序目录分区的子对象,则父应用程序目录分区的安全描述符参考域将变成新的子应用程序目录分区的参考域。如果新的应用程序目录分区创建为新树的根,那么此林根域将用作默认的安全描述符参考域。
4) 应用程序分区和DC的升、降级
如果域控制器拥有某个应用程序目录分区的副本,则必须从该应用程序目录分区的副本集中删除此域控制器,或者删除该应用程序目录分区,然后才能降级此域控制器。
如果域控制器拥有某个应用程序目录分区的“最新”副本,则必须删除该应用程序目录分区,然后才能降级此域控制器。
理解以上的应该差不多了,其他的相关资源请参考Windows Server 2003帮助或
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/6a561189-2221-47fd-be72-c85cb42949f2.mspx?mfr=true
5) 小帅先利用ntdsutil将在上面建立的TestDnsZones.jzlld.org的应用程序目录分区的3个副本删除,然后将该应用程序目录分区删除,如图25,在此小帅使用的命令全部为缩写并且没有显示帮助。
此时存储在该DNS应用程序目录分区TestDnsZones.jzlld.org内的DNS区域jxs.org中的数据也将被删除,从整个AD中消失,你也可以使用上面小帅介绍的各种方法来检验该DNS目录分区的存在。如图26
小帅然后建立一个新的应用程序目录分区名为AppDS.sub.jzlld.org(注意命名和默认参考域),并将dc01,dc03作为该应用程序目录分区的副本集。如图27
因为在运行ntdsutil的时候connect的就是dc01,所以当创建该应用程序目录分区的时候dc01就已经是该目录分区的副本了,所以只添加dc03就可以了。
该应用程序分区当你在创建DNS区域并选择“复制作用域”的时候也是可见的,就跟图20选择的位置类似。
图28显示的是使用LDP查看dc01上存储的目录分区及查看AppDS.sub.jzlld.org应用程序分区属性msDS-NC-Replica-Locations值的情况。
到此其他操作应该非常简单了。请参考ntdsutil.exe帮助信息或Windows Server 2003 AD帮助或
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/6a561189-2221-47fd-be72-c85cb42949f2.mspx?mfr=true
四、 从媒体安装域控制器的应用程序目录相关
2003SP1提供了一个功能就是从媒体来安装新的域控制器,如果想实现从媒体的无应答安装,并复制相应的应用程序目录分区需要提升林功能,并安装2003SP1。下面小帅将jzlld.org林提升功能(要求森林中的每个域都为2003模式才可以提升整个森林的模式),并将dc04利用媒体的安装形式将其提升为jzlld.org域的第三台DC,还要将我们在上面刚刚建立的应用程序目录分区AppDS.sub.jzlld.org及默认的DNS应用程序目录分区之一ForestDnsZones.jzlld.org复制到dc04,注意dc04上没有安装DNS服务(小帅省略所有操作步骤,只将应答文件及最终结果呈现)。如图29、图30
注意:其中c:\Ntdsretore为小帅将备份好的dc01的系统状态SystemState.bkf恢复到dc04上的“备用位置”生成的临时文件夹。
验证AppDS.sub.jzlld.org应用程序分区如图31
具体步骤请参考
http://support.microsoft.com/kb/311078/zh-cn
五、注意事项及相关资源
http://support.microsoft.com/default.aspx?scid=kb;en-us;867464#appliesto#appliesto
“Event ID 4515 is logged in the DNS Server log in Windows Server 2003”。理解完应用程序目录分区就知道为什么会出现4515的错误了。
http://windowssdk.msdn.microsoft.com/library/default.asp?url=/library/en-us/adschema/adschema/a_dnstombstoned.asp
应用程序目录分区的限制
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/ad/ad/active_directory.asp
该链接从目录架构的方面描述了应用程序目录分区
http://technet2.microsoft.com/WindowsServer/en/Library/2bd36720-ed2e-47ed-a80d-fa43a403b4361033.mspx
DNS与AD应用程序之间的关系(包扩GC)
http://support.microsoft.com/kb/817470/zh-cn
在从 Windows 2000 升级到 Windows Server 2003 时,如何将 _msdcs 子域重新配置为全林性 DNS 应用程序目录分区
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/bb99fdd4-f8e0-490f-adae-6814cf081ff7.mspx?mfr=true
Active Directory 的新功能概述
六、总结
其实本文小帅很早就想写了,不过进度却一直拖拖拉拉,可能是由于不是每天都很快乐的原因吧,郁闷和烦恼就象家常便饭一样,快乐的时光越来越少,如果某一天出现了快乐的事儿,那小帅会觉得算很幸运捡了个便宜,不快乐和郁闷的时候就纯属是正常状态了。转念又一想谁又能每天都快乐呢?傻子也许可以。谁也不愿意永远做傻子,就像不能永远快乐一样……
| 自由广告区 |
| 分类导航 |
| 邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |