Поделиться через

Фантомы, могилы и хозяин инфраструктуры

  • Статья

В этой статье описывается, как фантомы используются в Windows Server.

Исходный номер базы знаний: 248047

Дополнительная информация

Фантомные объекты — это объекты базы данных низкого уровня, которые Active Directory использует для внутренних операций управления. Ниже приведены два распространенных экземпляра фантомных объектов:

  • Удаленный объект.

    Время существования могилы прошло, но ссылки на объект по-прежнему присутствуют в базе данных каталогов.

  • Локальная группа домена имеет пользователя-участника из другого домена в лесу Active Directory. Фантомные объекты — это специальные виды объектов отслеживания внутренних баз данных и не могут просматриваться через интерфейсы службы LDAP или Active Directory (ADSI).

Удаление объектов

При удалении объекта из Active Directory объект следует следующему процессу.

Этап 1. Обычные объекты

Первый объект существует как типичный объект Active Directory. Объект можно просмотреть с помощью соответствующего Интерфейса Active Directory и через интерфейс LDAP.

Объект перемещается на этап 2, когда объект удаляется администратором или с помощью другого средства.

Этап 2. Удаленные объекты до истечения срока существования могилы

Объект теперь существует как объект Tombstone для длины интервала времени существования могилы. Хотя объект поддерживает некоторые из его исходной формы:

  • Объект по-прежнему является типичным (не-фантомным) объектом.
  • Атрибут objectGUID не изменился.

Объект также был значительно изменен из исходной формы:

  • Объект перемещается в контейнер DeletedObjects (если объект не помечен как специальный системный объект).
  • Атрибут DN объекта содержит (esc)DEL:GUID
  • Большинство других атрибутов объекта были полностью удалены.

Схема объекта определяет атрибуты, которые удаляются, и атрибуты, которые хранятся после удаления. Можно изменить назначение каждого атрибута для класса объектов.

Объекты не могут быть замечены из обычных средств управления Active Directory. Для просмотра этих объектов можно настроить низкоуровневый интерфейс LDAP, например LDP.

Объект перемещается к одному из двух возможных состояний (этап 3 или 4), когда срок действия могилы истек. Время существования по умолчанию — 60 дней.

Этап 3. (Обычный) объект удаляется из базы данных Active Directory Полностью

Если в Active Directory отсутствуют ссылки на этот объект, строка в базе данных полностью удаляется, и нет трассировок объекта слева.

Этап 4. (Внешние ссылки по-прежнему существуют) фантомный объект

Если в Active Directory остаются ссылки на этот объект, сам объект удаляется, а фантомный объект создается на его месте, пока эти ссылки не будут удалены. Этот фантомный объект удаляется при удалении всех ссылок на объект.

Эти фантомные объекты нельзя просматривать с помощью интерфейса LDAP или ADSI.

Примечание.

Во время удаления глобального каталога из контроллера домена объекты только для чтения, удаленные из глобального каталога, не проходят процесс удаления. Они немедленно удаляются из базы данных и все ссылки на них не влияют.

Ссылки между доменами и роль главного сервера инфраструктуры

Некоторые типы групп в домене Active Directory могут содержать учетные записи из доверенных доменов. Чтобы убедиться, что имена в членстве в группе точны, GUID объекта пользователя ссылается на членство в группе. Когда средства Active Directory отображают эти группы, у которых есть пользователи из внешних доменов, они должны иметь возможность отображать точное и текущее имя иностранного пользователя без непосредственного контакта с контроллером домена для внешнего домена или глобального каталога.

Active Directory использует фантомный объект для ссылок между доменами на пользовательские контроллеры домена, которые не являются глобальными каталогами. Этот фантомный объект — это особый вид объекта, который нельзя просматривать через любой интерфейс LDAP.

Фантомные записи содержат минимальный объем информации, чтобы позволить контроллеру домена ссылаться на расположение, в котором существует исходный объект. Индекс фантомных объектов содержит следующие сведения о перекрестном объекте:

  • Различающееся имя объекта
  • GUID объекта
  • Идентификатор безопасности объекта

Во время добавления члена из другого домена в локальную группу пользователей локальный контроллер домена, выполняющий добавление в группу, создает фантомный объект для удаленного пользователя.

При изменении имени иностранного пользователя или удалении внешнего пользователя фантомы должны быть обновлены или удалены в домене группы из каждого контроллера домена в домене. Контроллер домена, владеющий ролью "главный сервер инфраструктуры" для домена группы, обрабатывает любые обновления фантомных объектов.

Эти фантомные объекты нельзя просматривать с помощью интерфейса LDAP или ADSI.

Фантомные процессы обновления и очистки

Если объект, к которому ссылается фантомный объект, удаляется фантомный объект из локального домена (очищается). Фантомный объект также должен быть обновлен, если имя исходного объекта изменяется таким образом, чтобы список членства в группе был точным. Контроллер домена, содержащий роль обмена мгновенными сообщениями в домене, обрабатывает обе операции для своего домена.

Мгновенное сообщение сравнивает сведения о фантомных объектах с последними версиями на сервере глобального каталога и вносит изменения в фантомы по мере необходимости. Интервал можно настроить, добавив запись реестра фантомного сканирования для каждой базы данных в следующий подраздел реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Чтобы внести это изменение, обратите внимание на следующее:

  • Запись реестра: дни на фантомную проверку базы данных

  • Тип: DWORD

  • Значение по умолчанию: 2

  • Функция: указывает интервал в днях, когда мгновенные сообщения сравнивают фантомные объекты с последними версиями на сервере глобального каталога.

Примечание.

Минимальное значение DWORD — 1 день.

После того как мгновенное сообщение определяет, что исходный объект, на который ссылается фантомный объект, был изменен или удален:

  • Мгновенное сообщение создает объект infrastructureUpdate в CN=Infrastructure,DC=DomainName,DC=... контейнер и немедленно удаляет его.

  • Этот объект (tombstone) реплицируется специальным прокси-сервером на другие контроллеры домена в домене, которые не являются глобальными серверами каталога.

    Если исходный объект переименован, значение в атрибуте DNReferenceUpdate инфраструктуры Содержит новое имя. Если исходный объект был удален, dN удаленных объектов изменяется таким образом, что (esc)DEL:GUID добавляется к исходному DN.

  • Затем контроллеры домена принимают сведения в объектах infrastructureUpdate и применяют изменения к локальным копиям их фантомных объектов соответствующим образом.

Если исходный объект был удален, получающий контроллер домена удаляет локальный фантомный объект и удаляет соответствующий атрибут, который ссылается на него (например, атрибут члена в группе).

Примечание.

Серверы глобального каталога в домене группы получают специальную репликацию прокси-сервера для объектов в CN=Infrastructure,DC=DomainName,DC=... контейнер. Однако они игнорируют их, так как копия объекта только для чтения уже создается в локальной базе данных. Поэтому им не нужен фантом для отслеживания членства в группе и сведения об удалении объекта с регулярной репликацией AD.

Конфликт ролей глобального каталога и главного сервера инфраструктуры

Если владелец роли гибкой одно главной операции обмена мгновенными сообщениями (FSMO) также является глобальным сервером каталога, фантомные индексы никогда не создаются или обновляются на этом контроллере домена. (FSMO также называется мастером операций.) Это происходит, так как глобальный сервер каталога содержит частичную реплику каждого объекта в Active Directory. Мгновенные сообщения не хранят фантомные версии внешних объектов, так как у него уже есть частичная реплика объекта в локальном глобальном каталоге.

Для правильной работы этого процесса в многодоменовой среде владелец роли FSMO инфраструктуры не может быть глобальным сервером каталога. Помните, что первый домен в лесу содержит все пять ролей FSMO, а также глобальный каталог. Поэтому необходимо передать любую роль другому компьютеру, как только другой контроллер домена установлен в домене, если планируется наличие нескольких доменов.

Если роль FSMO инфраструктуры и роль глобального каталога находятся на одном контроллере домена, вы постоянно получаете идентификатор события 1419 в журнале событий служб каталогов.

Существует два условия размещения роли "Главный сервер инфраструктуры" в глобальном каталоге:

  1. Все контроллеры домена в домене являются глобальным каталогом. В этой ситуации не может быть никаких фантомов для очистки.
  2. Режим леса — Windows Server 2008 R2, а функция корзины активируется. В этом режиме удаленные ссылки объектов не фантомизированы, но устанавливаются в другое состояние и по-прежнему присутствуют в базе данных.

Дополнительные сведения о корзине AD см. в статье " Обзор сценария восстановления удаленных объектов Active Directory"

Дополнительные сведения о размещении ролей FSMO в домене и передаче роли FSMO другому контроллеру домена щелкните следующие номера статей, чтобы просмотреть статьи в Базе знаний Майкрософт:

223346 размещение и оптимизация FSMO на контроллерах домена Active Directory

223787 гибкий процесс передачи и захвата одной главной операции