Partilhar via

Fantasmas, lápides e o mestre de infraestrutura

  • Artigo

Este artigo descreve como os fantasmas são usados no Windows Server.

Número original do KB: 248047

Mais informações

Objetos fantasmas são objetos de banco de dados de baixo nível que o Active Directory usa para operações de gerenciamento interno. Duas instâncias comuns de objetos fantasmas são as seguintes:

  • Um objeto que foi excluído.

    O tempo de vida da marca de exclusão já passou, mas as referências ao objeto ainda estão presentes no banco de dados do diretório.

  • Um grupo local de domínio tem um usuário membro de outro domínio na floresta do Active Directory. Os objetos fantasmas são tipos especiais de objetos de controle de banco de dados interno e não podem ser exibidos por meio de nenhuma LDAP ou ADSI (Active Directory Service Interfaces).

Exclusão de objetos

Quando um objeto é excluído do Active Directory, ele segue o processo a seguir.

Estágio 1: Objetos normais

O objeto existe primeiro como um objeto típico do Active Directory. Você pode exibir o objeto usando o Active Directory apropriado e por meio da interface LDAP.

O objeto passa para o Estágio 2 quando o objeto é excluído por um administrador ou por outro meio.

Estágio 2: Objetos excluídos antes que o tempo de vida da marca de exclusão expire

O objeto agora existe como um objeto Tombstone para a duração do intervalo de tempo de vida da marca de exclusão. Enquanto o objeto mantém parte de sua forma original:

  • O objeto ainda é um objeto típico (não fantasma).
  • O atributo objectGUID não foi alterado.

O objeto também foi significativamente modificado em relação à sua forma original:

  • O objeto é movido para o contêiner DeletedObjects (a menos que o objeto seja sinalizado como um objeto especial do sistema)
  • O atributo DN do objeto contém (esc)DEL:GUID
  • A maioria dos outros atributos do objeto foi removida completamente.

O esquema do objeto determina os atributos que são removidos e os atributos que são mantidos após a exclusão. A designação de cada atributo para uma classe de objeto pode ser modificada.

Os objetos não podem ser vistos nas ferramentas normais de gerenciamento do Active Directory. Você pode configurar uma interface LDAP de baixo nível, como o LDP, para visualizar esses objetos.

O objeto se move para um dos dois estados possíveis (Estágio 3 ou 4) quando o tempo de vida da marca de exclusão expirar. O tempo de vida padrão da marca de exclusão é de 60 dias.

Estágio 3: o objeto (Normal) é removido do banco de dados do Active Directory Completamente

Se não houver referências a esse objeto no Active Directory, a linha no banco de dados será completamente removida e não haverá rastros do objeto.

Estágio 4: (Ainda existem referências externas) objeto fantasma

Se houver referências a esse objeto no Active Directory, o próprio objeto será excluído e um objeto fantasma será criado em seu lugar até que essas referências sejam removidas. Esse objeto fantasma é excluído quando todas as referências ao objeto são removidas.

Você não pode visualizar esses objetos fantasmas por meio de nenhuma interface LDAP ou ADSI.

Observação

Durante a remoção do catálogo global de um controlador de domínio, os objetos somente leitura removidos do catálogo global não passam pelo processo de exclusão. Eles são imediatamente removidos do banco de dados e quaisquer referências a eles não são afetadas.

Referências entre domínios e a função mestra de infraestrutura

Determinados tipos de grupos em um domínio do Active Directory podem conter contas de domínios confiáveis. Para garantir que os nomes na associação do grupo sejam precisos, o GUID do objeto de usuário é referenciado na associação do grupo. Quando as Ferramentas do Active Directory exibem esses grupos que têm usuários de domínios externos, eles devem ser capazes de exibir o nome preciso e atual do usuário externo sem depender do contato imediato com um controlador de domínio para o domínio externo ou um catálogo global.

O Active Directory usa um objeto fantasma para referências de grupo para usuário entre domínios em Controladores de Domínio que não são Catálogos Globais. Esse objeto fantasma é um tipo especial de objeto que não pode ser visualizado por meio de nenhuma interface LDAP.

Os registros fantasmas contêm uma quantidade mínima de informações para permitir que um controlador de domínio se refira ao local em que o objeto original existe. O índice de objetos fantasmas contém as seguintes informações sobre o objeto de referência cruzada:

  • Nome distinto do objeto
  • GUID do Objeto
  • SID do objeto

Durante a adição de um membro de um domínio diferente a um grupo de usuários local, o controlador de domínio local que está executando a adição ao grupo cria o objeto fantasma para o usuário remoto.

Se você alterar o nome do usuário estrangeiro ou excluir o usuário estrangeiro, os fantasmas deverão ser atualizados ou removidos no domínio do grupo de todos os controladores de domínio no domínio. O controlador de domínio que mantém a função de IM (mestre de infraestrutura) para o domínio do grupo lida com todas as atualizações dos objetos fantasmas.

Você não pode visualizar esses objetos fantasmas por meio de nenhuma interface LDAP ou ADSI.

Processos de atualização e limpeza fantasmas

Se o objeto ao qual um objeto fantasma se refere tiver sido excluído, o objeto fantasma deverá ser removido do domínio local (limpo). Um objeto fantasma também deve ser atualizado se o nome do objeto original for alterado para que a lista de membros do grupo tenha uma listagem precisa. O controlador de domínio que mantém a função de mensagens instantâneas em um domínio lida com ambas as operações para seu domínio.

O IM compara as informações sobre os objetos fantasmas com as versões mais recentes em um servidor de catálogo global e faz alterações nos fantasmas conforme necessário. O intervalo pode ser personalizado adicionando a entrada do Registro Dias por verificação fantasma do banco de dados à seguinte subchave do Registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Para fazer essa alteração, observe o seguinte:

  • Entrada do Registro: Dias por varredura fantasma do banco de dados

  • Tipo: DWORD

  • Valor padrão: 2

  • Função: especifica o intervalo em dias em que o IM compara os objetos fantasmas com as versões mais recentes em um servidor de catálogo global.

Observação

O valor mínimo de DWORD é de 1 dia.

Depois que o IM determinar que o objeto original ao qual o objeto fantasma se refere foi alterado ou excluído:

  • O IM cria um objeto infrastructureUpdate no CN=Infrastructure,DC=DomainName,DC=... contêiner e o exclui imediatamente.

  • Esse objeto (marca de exclusão) é replicado por proxy especial para os outros controladores de domínio no domínio que não são servidores de catálogo global.

    Se o objeto original for renomeado, o valor no atributo DNReferenceUpdate do infrastructureUpdate conterá o novo nome. Se o objeto original foi excluído, o DN dos objetos excluídos é alterado para que (esc)DEL:GUID seja anexado ao DN original.

  • Em seguida, os controladores de domínio pegam as informações nos objetos infrastructureUpdate e aplicam as alterações às cópias locais de seus objetos fantasmas de acordo.

Se o objeto original tiver sido excluído, os controladores de domínio de recebimento excluirão o objeto fantasma local e removerão o atributo correspondente que faz referência a ele (como o atributo de membro em um grupo).

Observação

Os servidores de catálogo global no domínio do grupo recebem a replicação de proxy especial para os objetos no CN=Infrastructure,DC=DomainName,DC=... recipiente. No entanto, eles os ignoram porque uma cópia somente leitura do próprio objeto já está instanciada no banco de dados local. Portanto, eles não precisam do fantasma para rastrear a associação ao grupo e aprenderão sobre a remoção do objeto com a replicação regular do AD.

Conflito de função mestra de catálogo global e infraestrutura

Se o proprietário da função FSMO (IM Flexible Single Master Operation) também for um servidor de catálogo global, os índices fantasmas nunca serão criados ou atualizados nesse controlador de domínio. (O FSMO também é conhecido como mestre de operações.) Esse comportamento ocorre porque um servidor de catálogo global contém uma réplica parcial de cada objeto no Active Directory. O IM não armazena versões fantasmas dos objetos estranhos porque já tem uma réplica parcial do objeto no catálogo global local.

Para que esse processo funcione corretamente em um ambiente de vários domínios, o proprietário da função FSMO de infraestrutura não pode ser um servidor de catálogo global. Lembre-se de que o primeiro domínio na floresta contém todas as cinco funções FSMO e também é um catálogo global. Portanto, você deve transferir qualquer uma das funções para outro computador assim que outro controlador de domínio for instalado no domínio se você planeja ter vários domínios.

Se a função FSMO de infraestrutura e a função de catálogo global residirem no mesmo controlador de domínio, você receberá continuamente a ID de evento 1419 no log de eventos dos serviços de diretório.

Há duas condições em que colocar a função Mestre de Infraestrutura em um Catálogo Global é OK:

  1. Todos os controladores de domínio no domínio são catálogo global. Nessa situação, não pode haver fantasmas para limpar.
  2. O Modo Floresta é "Windows Server 2008 R2" e o recurso Lixeira está ativado. Nesse modo, os links de objeto removidos não são fantasmas, mas definidos para um estado diferente e ainda estão presentes no banco de dados.

Para obter informações sobre a Lixeira do AD, consulte: Visão geral do cenário para restaurar objetos excluídos do Active Directory

Para obter mais informações sobre o posicionamento da função FSMO no domínio e como transferir uma função FSMO para outro controlador de domínio, clique nos números abaixo para ler os artigos na Base de Dados de Conhecimento Microsoft:

223346 posicionamento e otimização de FSMO em controladores de domínio do Active Directory

223787 Processo flexível de transferência e apreensão da Operação Mestre Única