Phantome, Grabsteine und der Infrastrukturmeister
In diesem Artikel wird beschrieben, wie Phantome in Windows Server verwendet werden.
Ursprüngliche KB-Nummer: 248047
Weitere Informationen
Phantomobjekte sind Datenbankobjekte auf niedriger Ebene, die Active Directory für interne Verwaltungsvorgänge verwendet. Zwei gängige Instanzen von Phantomobjekten sind wie folgt:
Ein Objekt, das gelöscht wurde.
Die Tombstone-Lebensdauer wurde übergeben, aber Verweise auf das Objekt sind weiterhin in der Verzeichnisdatenbank vorhanden.
Eine lokale Domäne hat einen Mitgliedsbenutzer aus einer anderen Domäne in der Active Directory-Gesamtstruktur. Phantomobjekte sind spezielle Arten interner Datenbankverfolgungsobjekte und können nicht über LDAP- oder Active Directory-Dienstschnittstellen (ADSI) angezeigt werden.
Objektlöschung
Wenn ein Objekt aus dem Active Directory gelöscht wird, folgt das Objekt dem folgenden Prozess.
Phase 1: Normale Objekte
Das Objekt ist zuerst als typisches Active Directory-Objekt vorhanden. Sie können das Objekt mithilfe des entsprechenden Active Directory und über die LDAP-Schnittstelle anzeigen.
Das Objekt wird in Phase 2 verschoben, wenn das Objekt von einem Administrator oder über ein anderes Mittel gelöscht wird.
Phase 2: Gelöschte Objekte vor Ablauf der Tombstone-Lebensdauer
Das Objekt ist jetzt als Tombstone-Objekt für die Länge des Tombstone-Lebensdauerintervalls vorhanden. Während das Objekt einige seiner ursprünglichen Form behält:
- Objekt ist immer noch ein typisches (Nicht-Phantom)-Objekt.
- Das objectGUID-Attribut wurde nicht geändert.
Das Objekt wurde ebenfalls wesentlich von seiner ursprünglichen Form geändert:
- Das Objekt wird in den DeletedObjects-Container verschoben (es sei denn, das Objekt wird als spezielles Systemobjekt gekennzeichnet)
- Das DN-Attribut des Objekts enthält (esc)DEL:GUID
- Die meisten anderen Attribute des Objekts wurden vollständig entfernt.
Das Schema des Objekts bestimmt die Attribute, die entfernt werden, und die Attribute, die nach dem Löschen beibehalten werden. Die Bezeichnung der einzelnen Attribute für eine Objektklasse kann geändert werden.
Die Objekte können nicht aus normalen Active Directory-Verwaltungstools angezeigt werden. Sie können eine LDAP-Schnittstelle auf niedriger Ebene wie LDP konfigurieren, um diese Objekte anzuzeigen.
Das Objekt wird zu einem von zwei möglichen Zuständen (Phase 3 oder 4) verschoben, wenn die Lebensdauer des Grabsteins abgelaufen ist. Die Standard-Tombstone-Lebensdauer beträgt 60 Tage.
Phase 3: (Normales) Objekt wird aus der Active Directory-Datenbank vollständig entfernt.
Wenn keine Verweise auf dieses Objekt im Active Directory vorhanden sind, wird die Zeile in der Datenbank vollständig entfernt, und es sind keine Ablaufverfolgungen des Objekts übrig.
Phase 4: (Externe Verweise sind noch vorhanden) Phantomobjekt
Wenn Verweise auf dieses Objekt im Active Directory verbleiben, wird das Objekt selbst gelöscht, und es wird ein Phantomobjekt an seiner Stelle erstellt, bis diese Verweise entfernt werden. Dieses Phantomobjekt wird gelöscht, wenn alle Verweise auf das Objekt entfernt werden.
Sie können diese Phantomobjekte nicht über eine LDAP- oder ADSI-Schnittstelle anzeigen.
Notiz
Beim Entfernen des globalen Katalogs von einem Domänencontroller durchlaufen die schreibgeschützten Objekte, die aus dem globalen Katalog entfernt werden, nicht den Löschvorgang. Sie werden sofort aus der Datenbank entfernt, und alle Verweise darauf sind davon unberührt.
Domänenübergreifende Verweise und die Infrastrukturmasterrolle
Bestimmte Gruppentypen in einer Active Directory-Domäne können Konten aus vertrauenswürdigen Domänen enthalten. Um sicherzustellen, dass die Namen in der Mitgliedschaft der Gruppe korrekt sind, wird auf die GUID des Benutzerobjekts in der Mitgliedschaft der Gruppe verwiesen. Wenn Active Directory-Tools diese Gruppen mit Benutzern aus ausländischen Domänen anzeigen, müssen sie in der Lage sein, den genauen und aktuellen Namen des ausländischen Benutzers anzuzeigen, ohne sich auf den direkten Kontakt mit einem Domänencontroller für die fremde Domäne oder einen globalen Katalog zu verlassen.
Active Directory verwendet ein Phantomobjekt für domänenübergreifende Gruppen-zu-Benutzer-Verweise auf Domänencontrollern, die keine globalen Kataloge sind. Dieses Phantomobjekt ist eine spezielle Art von Objekt, das nicht über eine LDAP-Schnittstelle angezeigt werden kann.
Phantomeinträge enthalten eine minimale Menge an Informationen, damit ein Domänencontroller auf den Speicherort verweisen kann, an dem das ursprüngliche Objekt vorhanden ist. Der Index von Phantomobjekten enthält die folgenden Informationen zum querverweisten Objekt:
- Distinguished name of the object
- Objekt-GUID
- Objekt-SID
Während des Hinzufügens eines Mitglieds aus einer anderen Domäne zu einer lokalen Benutzergruppe erstellt der lokale Domänencontroller, der die Ergänzung zur Gruppe durchführt, das Phantomobjekt für den Remotebenutzer.
Wenn Sie den Namen des fremden Benutzers ändern oder den fremden Benutzer löschen, müssen die Phantome in der Domäne der Gruppe von jedem Domänencontroller in der Domäne der Gruppe aktualisiert oder entfernt werden. Der Domänencontroller, der die Rolle "Infrastrukturmaster" (Im) für die Domäne der Gruppe enthält, verarbeitet alle Aktualisierungen der Phantomobjekte.
Sie können diese Phantomobjekte nicht über eine LDAP- oder ADSI-Schnittstelle anzeigen.
Phantomaktualisierungs- und Bereinigungsprozesse
Wenn das Objekt, auf das sich ein Phantomobjekt bezieht, gelöscht wurde, muss das Phantomobjekt aus der lokalen Domäne entfernt werden (bereinigt). Ein Phantomobjekt muss auch aktualisiert werden, wenn sich der Name des ursprünglichen Objekts ändert, sodass die Gruppenmitgliedschaftsliste für die Gruppe über eine genaue Auflistung verfügt. Der Domänencontroller, der die Chatrolle in einer Domäne hält, behandelt beide Vorgänge für seine Domäne.
Die Chatnachricht vergleicht die Informationen über die Phantomobjekte mit den neuesten Versionen auf einem globalen Katalogserver und nimmt bei Bedarf Änderungen an den Phantomen vor. Das Intervall kann angepasst werden, indem der Registrierungseintrag "Days pro Datenbank-Phantomscan" zum folgenden Registrierungsunterschlüssel hinzugefügt wird:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Beachten Sie Folgendes, um diese Änderung vorzunehmen:
Registrierungseintrag: Tage pro Datenbank-Phantomscan
Typ: DWORD
Standardwert: 2
Funktion: Gibt das Intervall in Tagen an, in dem die Chatnachricht die Phantomobjekte mit den neuesten Versionen auf einem globalen Katalogserver vergleicht.
Notiz
Der minimale DWORD-Wert beträgt 1 Tag.
Nachdem die Chatnachricht bestimmt hat, dass das ursprüngliche Objekt, auf das sich das Phantomobjekt bezieht, geändert oder gelöscht wurde:
Der Chat erstellt ein infrastructureUpdate-Objekt im CN=Infrastructure,DC=DomainName,DC=... container and immediately deletes it.
Dieses (Tombstone)-Objekt wird von einem speziellen Proxy auf die anderen Domänencontroller in der Domäne repliziert, die keine globalen Katalogserver sind.
Wenn das ursprüngliche Objekt umbenannt wird, enthält der Wert im DNReferenceUpdate-Attribut des infrastructureUpdate den neuen Namen. Wenn das ursprüngliche Objekt gelöscht wurde, werden die gelöschten Objekte DN geändert, sodass (esc)DEL:GUID an den ursprünglichen DN angefügt wird.
Die Domänencontroller nehmen dann die Informationen in den InfrastructureUpdate-Objekten und wenden die Änderungen an den lokalen Kopien ihrer Phantomobjekte entsprechend an.
Wenn das ursprüngliche Objekt gelöscht wurde, löschen die empfangenden Domänencontroller das lokale Phantomobjekt und entfernen das entsprechende Attribut, das darauf verweist (z. B. das Member-Attribut einer Gruppe).
Notiz
Globale Katalogserver in der Domäne der Gruppe erhalten die spezielle Proxyreplikation für die Objekte im CN=Infrastructure,DC=DomainName,DC=... Container. Sie ignorieren sie jedoch, da eine schreibgeschützte Kopie des Objekts selbst bereits in der lokalen Datenbank instanziiert wird. Daher benötigen sie das Phantom nicht, um die Gruppenmitgliedschaft nachzuverfolgen und erfahren, wie das Objekt mit der regulären AD-Replikation entfernt wird.
Konflikt mit globaler Katalog- und Infrastrukturmasterrolle
Wenn der Rolleninhaber für den flexiblen Einzelmastervorgang (IM Flexible Single Master Operation, FSMO) auch ein globaler Katalogserver ist, werden die Phantomindizes niemals auf diesem Domänencontroller erstellt oder aktualisiert. (Der FSMO wird auch als Betriebsmaster bezeichnet.) Dieses Verhalten tritt auf, da ein globaler Katalogserver ein Teilreplikat jedes Objekts in Active Directory enthält. Die Chatnachricht speichert keine Phantomversionen der fremden Objekte, da sie bereits über ein Teilreplikat des Objekts im lokalen globalen Katalog verfügt.
Damit dieser Prozess in einer Mehrdomänenumgebung ordnungsgemäß funktioniert, kann der Infrastruktur-FSMO-Rolleninhaber kein globaler Katalogserver sein. Beachten Sie, dass die erste Domäne in der Gesamtstruktur alle fünf FSMO-Rollen und auch ein globaler Katalog enthält. Daher müssen Sie eine der Rollen auf einen anderen Computer übertragen, sobald ein anderer Domänencontroller in der Domäne installiert ist, wenn Sie mehrere Domänen verwenden möchten.
Wenn sich die Infrastruktur-FSMO-Rolle und die globale Katalogrolle auf demselben Domänencontroller befinden, erhalten Sie kontinuierlich ereignis-ID 1419 im Verzeichnisdienst-Ereignisprotokoll.
Es gibt zwei Bedingungen, bei denen das Platzieren der Infrastrukturmasterrolle in einem globalen Katalog OK ist:
- Alle Domänencontroller in der Domäne sind globaler Katalog. In dieser Situation kann es keine Phantome geben, um zu bereinigen.
- Der Gesamtstrukturmodus ist "Windows Server 2008 R2", und das Feature "Papierkorb" wird aktiviert. In diesem Modus werden entfernte Objektlinks nicht phantomisiert, sondern auf einen anderen Zustand festgelegt und sind weiterhin in der Datenbank vorhanden.
Informationen zum AD-Papierkorb finden Sie in der Szenarioübersicht zum Wiederherstellen gelöschter Active Directory-Objekte
Weitere Informationen zur Platzierung der FSMO-Rolle in der Domäne und zum Übertragen einer FSMO-Rolle auf einen anderen Domänencontroller finden Sie in den folgenden Artikelnummern, um die Artikel in der Microsoft Knowledge Base anzuzeigen:
223346 FSMO-Platzierung und Optimierung auf Active Directory-Domänencontrollern
223787 Flexible Single Master Operation Transfer and Seizure Process