Condividi tramite

Fantasma, lapide e il master dell'infrastruttura

  • Articolo

Questo articolo descrive come vengono usati i fantasma in Windows Server.

Numero KB originale: 248047

Ulteriori informazioni

Gli oggetti fantasma sono oggetti di database di basso livello usati da Active Directory per le operazioni di gestione interne. Di seguito sono riportate due istanze comuni di oggetti fantasma:

  • Oggetto eliminato.

    La durata della rimozione definitiva è passata, ma i riferimenti all'oggetto sono ancora presenti nel database della directory.

  • Un gruppo locale di dominio ha un utente membro di un altro dominio nella foresta Active Directory. Gli oggetti fantasma sono tipi speciali di oggetti di rilevamento del database interno e non possono essere visualizzati tramite LDAP o Active Directory Service Interfaces (ADSI).

Eliminazione di oggetti

Quando un oggetto viene eliminato da Active Directory, l'oggetto segue il processo seguente.

Fase 1: Oggetti normali

L'oggetto esiste per primo come oggetto Active Directory tipico. È possibile visualizzare l'oggetto usando Active Directory appropriato e tramite l'interfaccia LDAP.

L'oggetto passa alla fase 2 quando l'oggetto viene eliminato da un amministratore o tramite un altro mezzo.

Fase 2: Oggetti eliminati prima della scadenza della durata della rimozione definitiva

L'oggetto esiste ora come oggetto Tombstone per la lunghezza dell'intervallo di durata della rimozione definitiva. Mentre l'oggetto mantiene alcune delle sue forme originali:

  • L'oggetto è ancora un oggetto tipico (non fantasma).
  • L'attributo objectGUID non è stato modificato.

L'oggetto è stato modificato in modo significativo anche dal formato originale:

  • L'oggetto viene spostato nel contenitore DeletedObjects (a meno che l'oggetto non sia contrassegnato come oggetto di sistema speciale)
  • L'attributo DN dell'oggetto contiene (esc)DEL:GUID
  • La maggior parte degli altri attributi dell'oggetto è stata rimossa completamente.

Lo schema dell'oggetto determina gli attributi rimossi e gli attributi mantenuti dopo l'eliminazione. La designazione di ogni attributo per una classe oggetto può essere modificata.

Gli oggetti non possono essere visualizzati dai normali strumenti di gestione di Active Directory. È possibile configurare un'interfaccia LDAP di basso livello, ad esempio LDP, per visualizzare questi oggetti.

L'oggetto passa a uno dei due stati possibili (fase 3 o 4) quando la durata della rimozione definitiva è scaduta. La durata predefinita della rimozione definitiva è 60 giorni.

Fase 3: (Normale) l'oggetto viene rimosso completamente dal database di Active Directory

Se non vi sono riferimenti a questo oggetto rimangono in Active Directory, la riga nel database viene completamente rimossa e non sono presenti tracce dell'oggetto a sinistra.

Fase 4: (I riferimenti esterni esistono ancora) oggetto fantasma

Se sono presenti riferimenti a questo oggetto rimangono in Active Directory, l'oggetto stesso viene eliminato e viene creato un oggetto fantasma al suo posto fino a quando tali riferimenti non vengono rimossi. Questo oggetto fantasma viene eliminato quando vengono rimossi tutti i riferimenti all'oggetto.

Non è possibile visualizzare questi oggetti fantasma tramite alcuna interfaccia LDAP o ADSI.

Note

Durante la rimozione del catalogo globale da un controller di dominio, gli oggetti di sola lettura rimossi dal catalogo globale non passano attraverso il processo di eliminazione. Vengono rimossi immediatamente dal database e tutti i riferimenti non sono interessati.

Riferimenti tra domini e ruolo master dell'infrastruttura

Alcuni tipi di gruppi in un dominio di Active Directory possono contenere account da domini attendibili. Per assicurarsi che i nomi nell'appartenenza al gruppo siano accurati, viene fatto riferimento al GUID dell'oggetto utente nell'appartenenza al gruppo. Quando Gli strumenti di Active Directory visualizzano questi gruppi che dispongono di utenti di domini esterni, devono essere in grado di visualizzare il nome esatto e corrente dell'utente esterno senza basarsi sul contatto immediato con un controller di dominio per il dominio esterno o un catalogo globale.

Active Directory usa un oggetto fantasma per i riferimenti da gruppo a utente tra domini nei controller di dominio che non sono cataloghi globali. Questo oggetto fantasma è un tipo speciale di oggetto che non può essere visualizzato tramite alcuna interfaccia LDAP.

I record fantasma contengono una quantità minima di informazioni per consentire a un controller di dominio di fare riferimento alla posizione in cui è presente l'oggetto originale. L'indice degli oggetti fantasma contiene le informazioni seguenti sull'oggetto a cui viene fatto riferimento incrociato:

  • Nome distinto dell'oggetto
  • GUID oggetto
  • SID oggetto

Durante l'aggiunta di un membro da un dominio diverso a un gruppo di utenti locale, il controller di dominio locale che esegue l'aggiunta al gruppo crea l'oggetto fantasma per l'utente remoto.

Se si modifica il nome dell'utente esterno o si elimina l'utente esterno, i fantasma devono essere aggiornati o rimossi nel dominio del gruppo da ogni controller di dominio nel dominio. Il controller di dominio che contiene il ruolo master (IM) dell'infrastruttura per il dominio del gruppo gestisce gli eventuali aggiornamenti degli oggetti fantasma.

Non è possibile visualizzare questi oggetti fantasma tramite alcuna interfaccia LDAP o ADSI.

Processi di aggiornamento e pulizia fantasma

Se l'oggetto a cui fa riferimento un oggetto fantasma è stato eliminato, l'oggetto fantasma deve essere rimosso dal dominio locale (ripulito). Un oggetto fantasma deve essere aggiornato anche se il nome dell'oggetto originale cambia in modo che l'elenco di appartenenze al gruppo abbia un elenco accurato. Il controller di dominio che detiene il ruolo di messaggistica istantanea in un dominio gestisce entrambe le operazioni per il relativo dominio.

La messaggistica istantanea confronta le informazioni sugli oggetti fantasma rispetto alle versioni più recenti in un server di catalogo globale e apporta modifiche ai fantasma in base alle esigenze. L'intervallo può essere personalizzato aggiungendo la voce del Registro di sistema Days per database phantom scan alla seguente sottochiave del Registro di sistema:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Per apportare questa modifica, tenere presente quanto segue:

  • Voce del Registro di sistema: giorni per analisi fantasma del database

  • Tipo: DWORD

  • Valore predefinito: 2

  • Funzione: specifica l'intervallo in giorni in cui la messaggistica istantanea confronta gli oggetti fantasma con le versioni più recenti in un server di catalogo globale.

Note

Il valore DWORD minimo è 1 giorno.

Dopo che la messaggistica istantanea determina che l'oggetto originale a cui fa riferimento l'oggetto fantasma è stato modificato o eliminato:

  • La messaggistica istantanea crea un oggetto infrastructureUpdate in CN=Infrastructure,DC=DomainName,DC=... contenitore e lo elimina immediatamente.

  • Questo oggetto (rimozione definitiva) viene replicato da proxy speciale agli altri controller di dominio nel dominio che non sono server di catalogo globali.

    Se l'oggetto originale viene rinominato, il valore nell'attributo DNReferenceUpdate dell'infrastrutturaUpdate contiene il nuovo nome. Se l'oggetto originale è stato eliminato, il DN degli oggetti eliminati viene modificato in modo che (esc)DEL:GUID venga aggiunto al DN originale.

  • I controller di dominio accettano quindi le informazioni negli oggetti infrastructureUpdate e applicano le modifiche alle copie locali dei relativi oggetti fantasma di conseguenza.

Se l'oggetto originale è stato eliminato, i controller di dominio riceventi eliminano l'oggetto fantasma locale e rimuovono l'attributo corrispondente che vi fa riferimento, ad esempio l'attributo membro di un gruppo.

Note

I server di catalogo globali nel dominio del gruppo ricevono la replica proxy speciale per gli oggetti in CN=Infrastructure,DC=DomainName,DC=... contenitore. Tuttavia, le ignorano perché nel database locale è già stata creata un'istanza di una copia di sola lettura dell'oggetto stesso. Pertanto, non hanno bisogno del fantasma per tenere traccia dell'appartenenza al gruppo e apprenderanno la rimozione dell'oggetto con la normale replica di Active Directory.

Conflitto tra il catalogo globale e il ruolo master dell'infrastruttura

Se il titolare del ruolo FSMO (IM Flexible Single Master Operation) è anche un server di catalogo globale, gli indici fantasma non vengono mai creati o aggiornati nel controller di dominio. FSMO è noto anche come master operazioni. Questo comportamento si verifica perché un server di catalogo globale contiene una replica parziale di ogni oggetto in Active Directory. La messaggistica istantanea non archivia le versioni fantasma degli oggetti stranieri perché dispone già di una replica parziale dell'oggetto nel catalogo globale locale.

Per il corretto funzionamento di questo processo in un ambiente multidominio, il titolare del ruolo FSMO dell'infrastruttura non può essere un server di catalogo globale. Tenere presente che il primo dominio nella foresta contiene tutti e cinque i ruoli FSMO ed è anche un catalogo globale. Pertanto, è necessario trasferire entrambi i ruoli a un altro computer non appena viene installato un altro controller di dominio nel dominio se si prevede di avere più domini.

Se il ruolo FSMO dell'infrastruttura e il ruolo del catalogo globale si trovano nello stesso controller di dominio, si riceve continuamente l'ID evento 1419 nel registro eventi dei servizi directory.

Esistono due condizioni in cui l'inserimento del ruolo Master infrastruttura in un catalogo globale è OK:

  1. Tutti i controller di dominio nel dominio sono Catalogo globale. In questa situazione, non ci possono essere fantasmi da pulire.
  2. La modalità foresta è "Windows Server 2008 R2" e la funzionalità Cestino è attivata. In questa modalità, i collegamenti agli oggetti rimossi non vengono fantasmazzati ma impostati su uno stato diverso e ancora presenti nel database.

Per informazioni sul Cestino di Active Directory, vedere Panoramica dello scenario per il ripristino di oggetti Active Directory eliminati

Per altre informazioni sul posizionamento dei ruoli FSMO nel dominio e su come trasferire un ruolo FSMO in un altro controller di dominio, fare clic sui numeri di articolo seguenti per visualizzare gli articoli della Microsoft Knowledge Base:

223346 posizionamento e ottimizzazione FSMO nei controller di dominio Active Directory

223787 processo flessibile di trasferimento e sequestro delle operazioni master