次の方法で共有

ファントム、廃棄石、インフラストラクチャ マスター

  • [アーティクル]

この記事では、Windows Server でのファントムの使用方法について説明します。

元の KB 番号: 248047

詳細

ファントム オブジェクトは、Active Directory が内部管理操作に使用する低レベルのデータベース オブジェクトです。 ファントム オブジェクトの 2 つの一般的なインスタンスは次のとおりです。

  • 削除されたオブジェクト。

    廃棄石の有効期間は経過しましたが、オブジェクトへの参照はディレクトリ データベースにまだ存在します。

  • ドメイン ローカル グループには、Active Directory フォレスト内の別のドメインのメンバー ユーザーがいます。 ファントム オブジェクトは特殊な種類の内部データベース追跡オブジェクトであり、LDAP または Active Directory サービス インターフェイス (ADSI) では表示できません。

オブジェクトの削除

オブジェクトが Active Directory から削除されると、オブジェクトは次のプロセスに従います。

ステージ 1: 標準オブジェクト

オブジェクトは、最初に一般的な Active Directory オブジェクトとして存在します。 オブジェクトは、適切な Active Directory と LDAP インターフェイスを使用して表示できます。

オブジェクトが管理者または別の方法で削除されると、オブジェクトはステージ 2 に移動します。

ステージ 2: 廃棄石の有効期間が切れる前に削除されたオブジェクト

オブジェクトは、廃棄石の有効期間の長さの Tombstone オブジェクトとして存在するようになりました。 オブジェクトは元の形式の一部を保持します。

  • オブジェクトは、依然として一般的な (非ファントム) オブジェクトです。
  • objectGUID 属性は変更されていません。

オブジェクトも元の形式から大幅に変更されています。

  • オブジェクトは DeletedObjects コンテナーに移動します (オブジェクトに特殊なシステム オブジェクトとしてフラグが設定されていない場合)
  • オブジェクトの DN 属性に (esc)DEL:GUID が含まれている
  • オブジェクトの他の属性のほとんどは完全に削除されています。

オブジェクトのスキーマによって、削除される属性と、削除後に保持される属性が決まります。 オブジェクト クラスの各属性の指定は変更できます。

オブジェクトは、通常の Active Directory 管理ツールからは表示されません。 これらのオブジェクトを表示するように、低レベルの LDAP インターフェイス (たとえば、LDAP) を設定できます。

廃棄石の有効期間が切れると、オブジェクトは 2 つの状態 (ステージ 3 または 4) のいずれかに移動します。 既定の廃棄石の有効期間は 60 日です。

ステージ 3: (標準) オブジェクトが Active Directory データベースから完全に削除される

Active Directory にこのオブジェクトへの参照が残っていない場合、データベース内の行は完全に削除され、オブジェクトのトレースは残っていません。

ステージ 4: (外部参照がまだ存在する) ファントム オブジェクト

このオブジェクトへの参照が Active Directory に残っている場合、オブジェクト自体は削除され、それらの参照が削除されるまでその場所にファントム オブジェクトが作成されます。 このファントム オブジェクトは、オブジェクトへのすべての参照が削除されると削除されます。

LDAP または ADSI インターフェイスを介してこれらのファントム オブジェクトを表示することはできません。

Note

ドメイン コントローラーからグローバル カタログを削除する際に、グローバル カタログから削除された読み取り専用オブジェクトは削除プロセスを実行しません。 データベースからすぐに削除され、それらの参照は影響を受けません。

クロスドメイン参照とインフラストラクチャ マスター ロール

Active Directory ドメイン内の特定の種類のグループには、信頼されたドメインのアカウントを含めることができます。 グループのメンバーシップ内の名前が正確であることを確認するために、ユーザー オブジェクトの GUID はグループのメンバーシップで参照されます。 Active Directory ツールで、外部ドメインのユーザーがいるこれらのグループが表示される場合、外部ドメインまたはグローバル カタログのドメイン コントローラーとの即時の接触に依存することなく、外部ユーザーの正確で現在の名前を表示できる必要があります。

Active Directory は、グローバル カタログではないドメイン コントローラー上のクロスドメイン グループからユーザーへの参照にファントム オブジェクトを使用します。 このファントム オブジェクトは、LDAP インターフェイスでは表示できない特殊な種類のオブジェクトです。

ファントム レコードには、ドメイン コントローラーが元のオブジェクトが存在する場所を参照できるようにするための最小限の情報が含まれています。 ファントム オブジェクトのインデックスには、相互参照オブジェクトに関する次の情報が含まれています。

  • オブジェクトの識別名
  • オブジェクトの GUID
  • オブジェクト SID

別のドメインからローカル ユーザー グループへのメンバーの追加中に、グループへの追加を実行しているローカル ドメイン コントローラーによってリモート ユーザーのファントム オブジェクトが作成されます。

外部ユーザーの名前を変更する場合、または外部ユーザーを削除する場合は、グループのドメイン内のファントムを、ドメイン内のすべてのドメイン コントローラーから更新または削除する必要があります。 グループのドメインのインフラストラクチャ マスター (IM) ロールを保持しているドメイン コントローラーは、ファントム オブジェクトの更新を処理します。

LDAP または ADSI インターフェイスを介してこれらのファントム オブジェクトを表示することはできません。

ファントム更新プロセスとクリーンアップ プロセス

ファントム オブジェクトが参照するオブジェクトが削除されている場合は、ファントム オブジェクトをローカル ドメインから削除する必要があります (クリーンアップ)。 グループのグループ メンバーシップ リストに正確な一覧が含まれるように、元のオブジェクトの名前が変更された場合は、ファントム オブジェクトも更新する必要があります。 ドメイン内の IM ロールを保持しているドメイン コントローラーは、そのドメインの両方の操作を処理します。

IM は、ファントム オブジェクトに関する情報をグローバル カタログ サーバー上の最新バージョンと比較し、必要に応じてファントムに変更を加えます。 間隔は、データベースごとの日数ファントム スキャン レジストリ エントリを次のレジストリ サブキーに追加することでカスタマイズできます。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

この変更を行うには、次の点に注意してください。

  • レジストリ エントリ: データベースファントム スキャンあたりの日数

  • 型: DWORD

  • 既定値 : 2

  • 関数: IM がファントム オブジェクトをグローバル カタログ サーバー上の最新バージョンと比較する間隔を日数で指定します。

Note

DWORD の最小値は 1 日です。

IM が、ファントム オブジェクトが参照する元のオブジェクトが変更または削除されたと判断した後:

  • IM は、CN=Infrastructure,DC=DomainName,DC=..に infrastructureUpdate オブジェクトを作成します。コンテナーを削除し、すぐに削除します。

  • この (tombstone) オブジェクトは、特殊なプロキシによって、グローバル カタログ サーバーではないドメイン内の他のドメイン コントローラーにレプリケートされます。

    元のオブジェクトの名前が変更された場合、infrastructureUpdate の DNReferenceUpdate 属性の値に新しい名前が含まれます。 元のオブジェクトが削除された場合、削除されたオブジェクト DN が変更され、(esc)DEL:GUID が元の DN に追加されます。

  • その後、ドメイン コントローラーは infrastructureUpdate オブジェクトの情報を取得し、それに応じてファントム オブジェクトのローカル コピーに変更を適用します。

元のオブジェクトが削除された場合、受信側のドメイン コントローラーはローカル ファントム オブジェクトを削除し、それを参照する対応する属性 (グループのメンバー属性など) を削除します。

Note

グループのドメイン内のグローバル カタログ サーバーは、CN=Infrastructure,DC=DomainName,DC=..内のオブジェクトの特殊なプロキシ レプリケーションを受け取ります。コンテナ。 ただし、オブジェクト自体の読み取り専用コピーは既にローカル データベースでインスタンス化されているため、無視されます。 そのため、グループ メンバーシップを追跡するためにファントムは必要なく、通常の AD レプリケーションを使用したオブジェクトの削除について学習します。

グローバル カタログとインフラストラクチャ マスターロールの競合

IM フレキシブル シングル マスター操作 (FSMO) ロール所有者もグローバル カタログ サーバーである場合、そのドメイン コントローラーでファントム インデックスが作成または更新されることはありません。 (FSMO は操作マスターとも呼ばれます)。この動作は、グローバル カタログ サーバーに Active Directory 内のすべてのオブジェクトの部分レプリカが含まれているために発生します。 IM には、ローカル グローバル カタログにオブジェクトの部分レプリカが既に存在するため、外部オブジェクトのファントム バージョンは格納されません。

このプロセスをマルチドメイン環境で正しく機能させるには、インフラストラクチャ FSMO ロール所有者をグローバル カタログ サーバーにすることはできません。 フォレスト内の最初のドメインには 5 つの FSMO ロールがすべて保持され、グローバル カタログでもあることに注意してください。 そのため、複数のドメインを使用する予定の場合は、ドメインに別のドメイン コントローラーがインストールされたらすぐに、いずれかの役割を別のコンピューターに転送する必要があります。

インフラストラクチャ FSMO ロールとグローバル カタログ ロールが同じドメイン コントローラーに存在する場合、ディレクトリ サービスのイベント ログでイベント ID 1419 が継続的に受信されます。

グローバル カタログにインフラストラクチャ マスター ロールを配置しても問題ない条件は 2 つあります。

  1. ドメイン内のすべてのドメイン コントローラーはグローバル カタログです。 この状況では、クリーンアップするファントムは存在できません。
  2. フォレスト モードは "Windows Server 2008 R2" で、ごみ箱機能がアクティブ化されています。 このモードでは、削除されたオブジェクト リンクはファントム化されず、別の状態に設定され、データベースにまだ存在します。

AD のごみ箱の詳細については、「 削除された Active Directory オブジェクトを復元するためのScenario の概要」を参照してください。

ドメインでの FSMO ロールの配置と、FSMO ロールを別のドメイン コントローラーに転送する方法の詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を参照してください。

Active Directory ドメイン コントローラーでの FSMO の配置と最適化の223346

223787 の適用範囲が広い単一マスター操作の移動および焼き付きプロセス