Freigeben über

Informationen zu Anwendungsverzeichnispartitionen

  • Artikel

Entwickler, die ADSI oder LDAP verwenden, um relativ statische und globale Daten in Active Directory Domain Services zu speichern und darauf zuzugreifen, können aus Gründen der Einfachheit und Einheitlichkeit auch weiterhin ADSI- oder LDAP-Zugriff für ihre dynamischen Datenanforderungen verwenden. Dynamische Daten ändern sich häufiger, als für die Speicherung in Active Directory Domain Services empfohlen wurde. Dynamische Daten ändern sich in der Regel häufiger als die Replikationslatenz, die mit der Weitergabe der Änderung an alle Replikate der Daten verbunden ist.

In Windows 2000 ist die Unterstützung für dynamische Daten eingeschränkt. Das Speichern dynamischer Daten in einer Domänenpartition kann kompliziert sein. Die Daten werden auf alle Domänencontroller in der Domäne repliziert, was häufig unnötig ist und aufgrund der Replikationslatenz zu inkonsistenten Daten führen kann. Dies kann sich negativ auf die Netzwerkleistung auswirken. Darüber hinaus sind Domänenpartitionen für Anwendungen, die Daten über Domänengrenzen hinweg replizieren müssen, nicht effektiv. Eine weitere Option in Windows 2000 besteht darin, dynamische Daten in Attributen zu speichern, die als nicht repliziert gekennzeichnet sind. Diese Anordnung ist jedoch insofern begrenzt, als sie über einen einzelnen Fehlerpunkt verfügt, nämlich den einzelnen Domänencontroller, der die einzige Kopie der nicht replizierten Attribute des Objekts enthält.

Anwendungsverzeichnispartitionen bieten die Möglichkeit, den Replikationsbereich zu steuern und die Platzierung von Replikaten auf eine Weise zu ermöglichen, die für dynamische Daten besser geeignet ist. Daher bietet die Anwendungsverzeichnispartition die Möglichkeit, dynamische Daten auf dem Active Directory-Server zu hosten, wodurch ADSI/LDAP-Zugriff darauf ermöglicht wird, ohne die Netzwerkleistung erheblich zu beeinträchtigen.

Der DNS-Dienst von Windows 2000 ist ein Beispiel für einen Dienst, der anwendungsverzeichnispartitionen nutzen kann. Wenn der DNS-Dienst in Windows 2000 optional für die Verwendung Active Directory Domain Services konfiguriert ist, werden die DNS-Zonendaten auf dem Active Directory-Server in einer Domänenpartition gespeichert. Das heißt, die Daten werden auf alle Domänencontroller in der Domäne repliziert, unabhängig davon, ob ein DNS-Server für die Ausführung auf dem Domänencontroller konfiguriert ist. Dies ist ein instance, bei dem eine vollständige domänenweite Replikation nicht erforderlich ist. Durch das Speichern der DNS-Zonendaten in einer Anwendungsverzeichnispartition kann der Dienst den Replikationsbereich nur auf die Teilmenge der Domänencontroller in der Domäne neu definieren, in der der DNS-Server tatsächlich ausgeführt wird.

Betrachten Sie die folgenden Szenarien zum Hosten eines Replikats einer Anwendungsverzeichnispartition:

  • Ein Replikat einer Anwendungsverzeichnispartition kann auf jedem Windows Server 2003-Betriebssystem und höher-Domänencontroller in einer Active Directory Domain Services Gesamtstruktur erstellt werden.
  • Der Satz von Domänencontrollern, die Replikate einer Anwendungsverzeichnispartition hosten, kann angegeben werden. Im Gegensatz zu einer Domänenpartition ist eine Anwendungsverzeichnispartition nicht erforderlich, um auf alle Domänencontroller in einer Domäne zu replizieren, und sie kann auf Domänencontroller in verschiedenen Domänen der Gesamtstruktur repliziert werden.
  • Ein Domänencontroller mit einem Anwendungsverzeichnispartitionsreplikat kann in einer Umgebung im gemischten Modus mit anderen Computern unter Windows 2000 oder Windows NT 4.0 gleichzeitig vorhanden sein und funktionieren.

Zu den Datentypen, die in einer Anwendungsverzeichnispartition gespeichert werden können, gehören:

  • Eine Anwendungsverzeichnispartition kann Instanzen eines beliebigen Objekttyps mit Ausnahme von Sicherheitsprinzipalen enthalten, z. B. Benutzer, Computer oder Gruppen.
  • Objekte in einer Anwendungsverzeichnispartition können DN-Wert-Verweise auf andere Objekte in derselben Anwendungsverzeichnispartition, auf Objekte in den Konfigurations- und Schemapartitionen und auf jeden Namenskontextkopf (der das oberste Objekt einer Verzeichnispartition ist, z. B. das domainDNS-Objekt am Anfang einer Anwendungsverzeichnispartition) beibehalten.
  • Weitere Informationen und ein Beispiel für den Typ dynamischer Daten, die in einer Anwendungsverzeichnispartition gespeichert werden können, finden Sie unter Dynamische Objekte. Dynamische Objekte werden ab Windows Server 2003 unterstützt. Dynamische Objekte verfügen über eine -Eigenschaft, die die Gültigkeitsdauer bestimmt, nach der das Objekt vom Active Directory-Server gelöscht wird.

Zu den Einschränkungen von Anwendungsverzeichnispartitionen gehören:

  • Objekte in einer Anwendungsverzeichnispartition können keine DN-Wertverweise auf Objekte in anderen Anwendungsverzeichnispartitionen oder Domänenpartitionen verwalten. (DN-Wertverweise sind persistente Verweise auf einen distinguished Name-Wert wie "CN=someuser,DC=corp,DC=Fabrikam,DC=com"). Ebenso können Objekte in Domänen-, Konfigurations- und Schemapartitionen keine DN-Wertverweise auf Objekte in einer Anwendungsverzeichnispartition verwalten. Ein DN-Wert-Verweis kann auf den Namenskontextkopf beibehalten werden. () )
  • Objekte in einer Anwendungsverzeichnispartition werden nicht in den globalen Katalog repliziert. Wie bei jedem Domänencontroller kann auch ein globaler Katalogserver so konfiguriert werden, dass er ein vollständiges Replikat einer Anwendungsverzeichnispartition enthält, aber die Anwendungsverzeichnispartitionsdaten sind vollständig von den globalen Katalogdaten getrennt.
  • Wenn ein Anwendungsverzeichnispartitionsreplikat erstellt wird, muss sich die Domain-Naming FSMO-Rolle auf einem der Betriebssystemdomänencontroller von Windows Server 2003 und höher befinden. Nachdem das Anwendungsverzeichnispartitionsreplikat erstellt wurde, kann die FSMO-Rolle Domänennamen wieder einem Windows 2000-Domänencontroller zugewiesen werden.
  • Anwendungsverzeichnispartitionsobjekte können nicht in andere Active Directory-Partitionen außerhalb der Partition verschoben werden, in der sie erstellt wurden.

Weitere Features für Anwendungsverzeichnispartitionen sind:

  • Das Sicherheits- und Zugriffssteuerungsmodell für die Anwendungsverzeichnispartition entspricht dem Modell für andere Partitionen in Active Directory Domain Services.
  • Die Zeitintervalle, die die Latenz beim Initiieren einer ursprünglichen Änderungsbenachrichtigung an Replikationspartner innerhalb eines Standorts steuern, können für jede Anwendungsverzeichnispartitionsbasis separat konfiguriert werden.
  • Anwendungsverzeichnispartitionen können genauso wie reguläre Domänen benannt, an eine beliebige Stelle im Active Directory-Namespace angefügt werden, in der eine Domäne kann, und mithilfe von DNS auch von untergeordneten Windows 2000-Systemen ermittelt werden.
  • Eine Anwendungsverzeichnispartition kann erstellt, ihr Replikationsbereich definiert und die konfigurierbaren Einstellungen programmgesteuert mithilfe von LDAP- und ADSI-Standard-APIs angepasst werden. Weitere Informationen zum programmgesteuerten Bearbeiten von Anwendungsverzeichnispartitionen finden Sie unter Anwendungsverzeichnispartitionen.