Udostępnij za pośrednictwem

Phantoms, grobowce i mistrz infrastruktury

  • Artykuł

W tym artykule opisano sposób użycia fantomów w systemie Windows Server.

Oryginalny numer KB: 248047

Więcej informacji

Obiekty phantom są obiektami bazy danych niskiego poziomu używanymi przez usługę Active Directory do operacji zarządzania wewnętrznego. Dwa typowe wystąpienia obiektów phantom są następujące:

  • Obiekt, który został usunięty.

    Okres istnienia grobowca został przekazany, ale odwołania do obiektu są nadal obecne w bazie danych katalogów.

  • Grupa lokalna domeny ma użytkownika członkowskiego z innej domeny w lesie usługi Active Directory. Obiekty phantom są specjalnymi rodzajami obiektów śledzenia wewnętrznej bazy danych i nie można ich przeglądać za pośrednictwem żadnych interfejsów USŁUGI LDAP ani Active Directory (ADSI).

Usuwanie obiektu

Po usunięciu obiektu z usługi Active Directory obiekt jest zgodny z następującym procesem.

Etap 1. Obiekty normalne

Obiekt najpierw istnieje jako typowy obiekt usługi Active Directory. Obiekt można wyświetlić przy użyciu odpowiedniej usługi Active Directory i interfejsu LDAP.

Obiekt przechodzi do etapu 2, gdy obiekt zostanie usunięty przez administratora lub za pośrednictwem innego środka.

Etap 2. Usunięte obiekty przed wygaśnięciem okresu istnienia grobowca

Obiekt istnieje teraz jako obiekt Tombstone dla długości interwału istnienia grobowca. Obiekt zachowuje część oryginalnej formy:

  • Obiekt jest nadal typowym obiektem (nie-phantom).
  • Atrybut objectGUID nie został zmieniony.

Obiekt został również znacząco zmodyfikowany z oryginalnej formy:

  • Obiekt przenosi się do kontenera DeletedObjects (chyba że obiekt jest oflagowany jako specjalny obiekt systemowy)
  • Atrybut DN obiektu zawiera (esc)DEL:GUID
  • Większość innych atrybutów obiektu została całkowicie usunięta.

Schemat obiektu określa atrybuty, które są usuwane, oraz atrybuty przechowywane po usunięciu. Można zmienić oznaczenie każdego atrybutu dla klasy obiektów.

Obiekty nie są widoczne z normalnych narzędzi do zarządzania usługą Active Directory. Możesz skonfigurować interfejs LDAP niskiego poziomu, taki jak LDP, aby wyświetlić te obiekty.

Obiekt przenosi się do jednego z dwóch możliwych stanów (etap 3 lub 4), gdy okres istnienia grobowca wygasł. Domyślny okres istnienia grobowca to 60 dni.

Etap 3: (Normalny) obiekt jest usuwany z bazy danych usługi Active Directory Całkowicie

Jeśli nie ma żadnych odwołań do tego obiektu w usłudze Active Directory, wiersz w bazie danych zostanie całkowicie usunięty i nie ma śladów obiektu pozostawionego.

Etap 4: (Odwołania zewnętrzne nadal istnieją) obiekt phantom

Jeśli istnieją odwołania do tego obiektu pozostają w usłudze Active Directory, sam obiekt zostanie usunięty, a obiekt phantom zostanie utworzony w jego miejscu do momentu usunięcia tych odwołań. Ten obiekt phantom jest usuwany po usunięciu wszystkich odwołań do obiektu.

Nie można wyświetlić tych obiektów phantom za pośrednictwem żadnego interfejsu LDAP ani ADSI.

Uwaga 16.

Podczas usuwania wykazu globalnego z kontrolera domeny obiekty tylko do odczytu usunięte z wykazu globalnego nie przechodzą przez proces usuwania. Zostaną one natychmiast usunięte z bazy danych i wszystkie odwołania do nich nie będą miały wpływu.

Odwołania między domenami i rola wzorca infrastruktury

Niektóre typy grup w domenie usługi Active Directory mogą zawierać konta z zaufanych domen. Aby upewnić się, że nazwy w członkostwie grupy są dokładne, identyfikator GUID obiektu użytkownika jest przywołyny w członkostwie grupy. Gdy narzędzia usługi Active Directory wyświetlają te grupy, które mają użytkowników z domen obcych, muszą być w stanie wyświetlić dokładną i bieżącą nazwę użytkownika obcego bez konieczności bezpośredniego kontaktu z kontrolerem domeny obcej lub wykazu globalnego.

Usługa Active Directory używa obiektu phantom do odwołań międzydomenowych do użytkowników na kontrolerach domeny, które nie są wykazami globalnymi. Ten obiekt phantom jest specjalnym rodzajem obiektu, którego nie można wyświetlić za pośrednictwem żadnego interfejsu LDAP.

Rekordy phantom zawierają minimalną ilość informacji, aby umożliwić kontrolerowi domeny odwoływanie się do lokalizacji, w której istnieje oryginalny obiekt. Indeks obiektów phantom zawiera następujące informacje o obiekcie odwołującym się do krzyżowego:

  • Nazwa wyróżniająca obiektu
  • Identyfikator GUID obiektu
  • Identyfikator SID obiektu

Podczas dodawania elementu członkowskiego z innej domeny do lokalnej grupy użytkowników lokalny kontroler domeny wykonujący dodatek do grupy tworzy obiekt phantom dla użytkownika zdalnego.

Jeśli zmienisz nazwę obcego użytkownika lub usuniesz użytkownika obcego, fantomy muszą zostać zaktualizowane lub usunięte w domenie grupy z każdego kontrolera domeny w domenie. Kontroler domeny przechowujący rolę wzorca infrastruktury (IM) dla domeny grupy obsługuje wszelkie aktualizacje obiektów phantom.

Nie można wyświetlić tych obiektów phantom za pośrednictwem żadnego interfejsu LDAP ani ADSI.

Procesy aktualizacji i oczyszczania phantom

Jeśli obiekt, do którego odwołuje się obiekt phantom, należy usunąć obiekt phantom z domeny lokalnej (oczyszczony). Obiekt phantom musi być również zaktualizowany, jeśli nazwa oryginalnego obiektu zmieni się tak, aby lista członkostwa w grupie zawierała dokładną listę. Kontroler domeny przechowujący rolę wiadomości błyskawicznych w domenie obsługuje obie operacje dla swojej domeny.

Wiadomości błyskawiczne porównują informacje o obiektach phantom z najnowszymi wersjami na serwerze wykazu globalnego i w razie potrzeby wprowadza zmiany w fantomach. Interwał można dostosować, dodając wpis rejestru days per database phantom scan registry do następującego podklucza rejestru:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Aby wprowadzić tę zmianę, zwróć uwagę na następujące kwestie:

  • Wpis rejestru: dni na skanowanie fantomowe bazy danych

  • Typ: DWORD

  • Wartość domyślna: 2

  • Funkcja: określa interwał w dniach, w których wiadomości błyskawiczne porównują obiekty phantom z najnowszymi wersjami na serwerze wykazu globalnego.

Uwaga 16.

Minimalna wartość DWORD to 1 dzień.

Po ustaleniu, że oryginalny obiekt, do którego odwołuje się obiekt phantom, uległ zmianie lub został usunięty:

  • Im tworzy obiekt infrastructureUpdate w CN=Infrastructure,DC=DomainName,DC=... kontener i natychmiast go usuwa.

  • Ten obiekt (tombstone) jest replikowany przez specjalny serwer proxy do innych kontrolerów domeny w domenie, które nie są serwerami wykazu globalnego.

    Jeśli nazwa oryginalnego obiektu zostanie zmieniona, wartość atrybutu DNReferenceUpdate infrastrukturyUpdate zawiera nową nazwę. Jeśli oryginalny obiekt został usunięty, usunięty obiekt DN zostanie zmieniony tak, aby (esc)DEL:GUID został dołączony do oryginalnego dn.

  • Kontrolery domeny następnie pobierają informacje w obiektach infrastructureUpdate i stosują zmiany do lokalnych kopii obiektów phantom odpowiednio.

Jeśli oryginalny obiekt został usunięty, kontrolery domeny odbierające usuwają lokalny obiekt phantom i usuwają odpowiedni atrybut odwołujący się do niego (na przykład atrybut elementu członkowskiego w grupie).

Uwaga 16.

Serwery wykazu globalnego w domenie grupy otrzymują specjalną replikację serwera proxy dla obiektów w CN=Infrastructure,DC=DomainName,DC=... kontener. Jednak ignorują je, ponieważ kopia samego obiektu tylko do odczytu jest już tworzone w lokalnej bazie danych. Dlatego nie potrzebują fantomu do śledzenia członkostwa w grupie i dowiesz się więcej o usunięciu obiektu z regularną replikacją usługi AD.

Konflikt roli wykazu globalnego i wzorca infrastruktury

Jeśli właściciel roli elastycznej operacji pojedynczego wzorca im (FSMO) jest również serwerem wykazu globalnego, indeksy phantom nigdy nie są tworzone ani aktualizowane na tym kontrolerze domeny. (FsMO jest również znany jako wzorzec operacji). Takie zachowanie występuje, ponieważ serwer wykazu globalnego zawiera częściową replikę każdego obiektu w usłudze Active Directory. Wiadomości błyskawiczne nie przechowują wersji obiektów obcych, ponieważ ma już częściową replikę obiektu w lokalnym wykazie globalnym.

Aby ten proces działał poprawnie w środowisku wielodomenowym, właściciel roli FSMO infrastruktury nie może być serwerem wykazu globalnego. Należy pamiętać, że pierwsza domena w lesie zawiera wszystkie pięć ról FSMO i jest również wykazem globalnym. W związku z tym należy przenieść jedną rolę na inny komputer, gdy tylko inny kontroler domeny jest zainstalowany w domenie, jeśli planujesz mieć wiele domen.

Jeśli rola FSMO infrastruktury i rola wykazu globalnego znajdują się na tym samym kontrolerze domeny, stale otrzymujesz identyfikator zdarzenia 1419 w dzienniku zdarzeń usług katalogowych.

Istnieją dwa warunki, w których umieszczenie roli wzorzec infrastruktury w wykazie globalnym jest ok:

  1. Wszystkie kontrolery domeny w domenie są wykazem globalnym. W takiej sytuacji nie może być żadnych fantomów do oczyszczenia.
  2. Tryb lasu to "Windows Server 2008 R2", a funkcja Kosza jest aktywowana. W tym trybie usunięte łącza obiektów nie są fantomizowane, ale ustawione na inny stan i nadal obecne w bazie danych.

Aby uzyskać informacje na temat Kosza usługi AD, zobacz: Omówienie scenariusza przywracania usuniętych obiektów usługi Active Directory

Aby uzyskać więcej informacji na temat umieszczania roli FSMO w domenie i sposobu transferu roli FSMO do innego kontrolera domeny, kliknij następujące numery artykułów, aby wyświetlić artykuły w bazie wiedzy Microsoft Knowledge Base:

223346 umieszczanie i optymalizacja FSMO na kontrolerach domeny usługi Active Directory

223787 elastyczny proces przenoszenia i napadów operacji pojedynczego wzorca