Phantome Tombstones und des Infrastrukturmasters

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 248047 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser Artikel beschreibt, wie Phantome in Microsoft Windows 2000 und Microsoft Windows Server 2003 verwendet werden.

Weitere Informationen

Phantom-Objekte sind auf niedriger Ebene Datenbankobjekte, die für interne Verwaltungsoperationen Active Directory verwendet. Zwei häufige Instanzen phantom Objekte lauten folgendermaßen:
  • Ein Objekt, das gelöscht wurde.

    Die Lebensdauer von veralteten Objekten abgelaufen, aber Verweise auf das Objekt noch in der Verzeichnisdatenbank vorhanden sind.
  • Eine lokale Gruppe einer Domäne hat ein Benutzer Mitglied aus einer anderen Domäne in der Active Directory-Gesamtstruktur.
Phantom Objekte sind spezielle Arten von internen Datenbank Objekte nachverfolgen und können nicht über alle LDAP oder Active Directory Service Interfaces (ADSI) angezeigt werden.

Objekt löschen

Wenn ein Objekt aus active Directory gelöscht wird, folgt das Objekt den folgenden Prozess.

Schritt 1: Standard-Objekte

Das Objekt ist zunächst als typische Active Directory-Objekt vorhanden. Sie können das Objekt mithilfe der entsprechenden Active Directory und über die LDAP-Schnittstelle anzeigen.

Das Objekt wird nach Schritt 2 verschoben, wenn das Objekt von einem Administrator oder über eine andere Weise gelöscht wird.

Schritt 2: Gelöschte Objekte vor Ablauf die Lebensdauer von veralteten Objekten

Das Objekt ist jetzt als Tombstone-Objekt für die Länge des Intervalls Lebensdauer Tombstone vorhanden. Während das Objekt Teil seiner ursprünglichen Form verwaltet:
  • Weiterhin wird eine typische (nicht Phantom) Objekt ist.
  • ObjectGUID-Attribut wurde nicht geändert.
Das Objekt wurde von seiner ursprünglichen Form auch erheblich geändert:
  • Das Objekt in den DeletedObjects-Container verschoben wird, (sofern das Objekt als spezielle Systemobjekt markiert ist)
  • Das Objekt-DN-Attribut enthält (esc) DEL:GUID
  • Die meisten des Objekts der anderen Attribute entfernt wurden vollständig.
Das Schema des Objekts bestimmt die Attribute, die entfernt werden und Attribute, die nach dem Löschen gespeichert werden. Die Bezeichnung der einzelnen Attribute für eine Objektklasse kann geändert werden.

Die Objekte können aus normalen Active Directory Management-Tools angezeigt werden. Sie können eine niedrige Sicherheitsstufe LDAP-Schnittstelle wie LDP zum Anzeigen dieser Objekte konfigurieren:
http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q258310
Das Objekt verschoben zu einem der beiden möglichen Zustände (Stufe 3 oder 4) wird die Tombstone-Ablaufzeit ist abgelaufen. Die Standard-Lebensdauer beträgt 60 Tage.

Schritt 3: (Normal) Objekt wird aus der active Directory-Datenbank vollständig entfernt

Wenn es keine Verweise auf dieses Objekt in Active Directory verbleiben, die Zeile in der Datenbank wird vollständig entfernt, und es sind keine Ablaufverfolgungen des Objekts nach links.

Schritt 4: (externe Verweise noch vorhanden sein) Phantomobjekt

Wenn alle Verweise auf dieses Objekt in Active Directory verbleiben, das Objekt selbst gelöscht, und ein Phantomobjekt wird an seiner Stelle erstellt, bis diese Verweise entfernt werden. Wenn alle Verweise auf das Objekt entfernt werden diese phantom Objekt gelöscht.

Sie können diese phantom Objekte über LDAP oder ADSI-Schnittstelle nicht anzeigen. Hinweis: Beim Entfernen des globalen Katalogs von einem Domänencontroller gehen die nur-Lese-Objekte, die aus dem globalen Katalog entfernt werden nicht durch den Löschvorgang. Sie werden sofort aus der Datenbank entfernt und alle Verweise auf diese sind nicht betroffen.

Domänenübergreifende Verweise und die Funktion des Infrastrukturmasters

Bestimmte Typen von Gruppen in einer active Directory-Domäne können Konten aus vertrauenswürdigen Domänen enthalten. Damit, dass die Namen in die Mitgliedschaft der Gruppe korrekt sind, wird das Benutzerobjekt GUID der Mitgliedschaft in der Gruppe verwiesen. Wenn Active Directory-Programme diese Gruppen, die Benutzer aus fremden Domänen haben angezeigt, müssen Sie die genaue und aktuelle Name des fremden Benutzers anzeigen, ohne direkten Kontakt mit einem Domänencontroller für die fremde Domäne oder einen globalen Katalog abhängig sein.

Active Directory verwendet ein Phantomobjekt für domänenübergreifenden Gruppe-zu-Benutzer-Verweise. Dieses phantom-Objekt ist eine besondere Art von Objekt, das über LDAP-Schnittstelle angezeigt werden kann.

Phantom Datensätze enthalten eine minimale Menge an Informationen, damit einen Domänencontroller, auf den Speicherort verweisen, in dem das ursprüngliche Objekt vorhanden ist. Den Index der phantom-Objekte enthält die folgende Informationen über die übergreifende Objekt:
  • Distinguished Name des Objekts
  • Objekt-GUID
  • Objekt-SID
Beim Hinzufügen eines Mitglieds aus einer anderen Domäne auf eine lokale Benutzergruppe erstellt der lokalen Domänencontroller, der neben der Gruppe durchführt das phantom-Objekt für den Remotebenutzer.

Wenn Sie fremde Benutzernamen ändern oder den fremden Benutzer löschen, müssen die Phantome aktualisiert oder in der Gruppe Domänen aus jeder Domänencontroller in der Domäne entfernt werden. Funktion des Infrastrukturmasters (IM) für die Domäne der Gruppe der Domänencontroller verarbeitet alle Updates für die phantom-Objekte.

Sie können diese phantom Objekte über LDAP oder ADSI-Schnittstelle nicht anzeigen.

Phantom-Update und Bereinigung verarbeitet

Wenn das Objekt, ein Phantomobjekt bezieht, gelöscht wurde, muss das phantom Objekt aus der lokalen Domäne (bereinigt) entfernt. Ein Phantomobjekt muss ebenfalls aktualisiert werden, wenn der Name des ursprünglichen Objekts, ändert so dass die Gruppe Mitgliederliste für die Gruppe eine genaue Liste. Der Domänencontroller, der IM-Rolle in einer Domäne verarbeitet beide Operationen für seine Domäne.

Der IM vergleicht die Informationen über die phantom Objekte gegen die neuesten Versionen auf einem globalen Katalogserver und nimmt Änderungen der Phantome nach Bedarf. Das Intervall kann angepasst werden, indem Sie folgenden Unterschlüssel der Registrierung der Tage pro Datenbank phantom-Scan-Registrierungseintrag hinzufügen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Diese Änderung vorzunehmen, Beachten Sie Folgendes:
  • Registrierungseintrag: Tage pro Datenbank phantom-Scan
  • Typ: DWORD
  • Standardwert: 2
  • Funktion: Gibt das Intervall in Tagen, der IM phantom Objekte gegen die neuesten Versionen auf einem globalen Katalogserver vergleicht.
Hinweis: Der DWORD-Mindestwert ist 1 Tag.Nachdem der IM ermittelt, dass das ursprüngliche Objekt, dem die Phantomobjekt zu verweist geändert oder gelöscht wurde:
  • Der IM erstellt ein InfrastructureUpdate-Objekt im CN = Infrastructure, DC = Domänenname, DC = ? Container und umgehend gelöscht.
  • Dieses Objekt (veraltet) wird durch spezielle Proxy auf andere Domänencontroller in der Domäne repliziert, die keine globalen Katalogserver sind.

    Wenn das ursprüngliche Objekt umbenannt wird, enthält den Wert im Attribut der InfrastructureUpdate DNReferenceUpdate den neuen Namen. Wenn das ursprüngliche Objekt gelöscht wurde, wird die gelöschten Objekte DN geändert, sodass (esc) DEL:GUID an den ursprünglichen DN angefügt wird.
  • Die Domänencontroller dann werden die Informationen in den InfrastructureUpdate-Objekten und die Änderungen entsprechend auf die lokalen Kopien Ihrer phantom Objekte anwenden.

    Wenn das ursprüngliche Objekt gelöscht wurde, wird der empfangende Domänencontroller löschen das lokale phantom Objekt, und entfernen Sie das entsprechende Attribut, das es (z. B. dem Mitgliedsattribut einer Gruppe verweist).
Hinweis: Globale Katalogserver in der Gruppe Domänen erhalten die speziellen Proxy-Replikation für die Objekte in den CN = Infrastructure, DC = Domänenname, DC = ? Container. Jedoch ignorieren Sie diese, da bereits eine schreibgeschützte Kopie des Objekts selbst in der lokalen Datenbank instanziiert wird.

Globaler Katalog und Infrastrukturmaster Betriebsmasterfunktion-Konflikt

Wenn der Funktionsinhaber IM Flexible Single Master Operation (FSMO) auch ein globaler Katalogserver ist, werden die phantom Indizes nie erstellt oder aktualisiert auf dem Domänencontroller. (Das FSMO ist auch bekannt als der Betriebsmaster.) Dieses Verhalten tritt auf, da ein globaler Katalogserver ein Teilreplikat jedes Objekts in Active Directory enthält. Der IM werden keine phantom Versionen der fremden Objekte gespeichert, da es ein Teilreplikat der das Objekt bereits im lokalen globalen Katalog verfügt.

Bei diesem Prozess in einer Mehrfachdomänen-Umgebung funktionieren kann nicht der Inhaber der Infrastruktur FSMO-Rolle ein globaler Katalogserver sein. Werden Sie beachten Sie, dass die erste Domäne in der Gesamtstruktur alle fünf FSMO-Funktionen enthält und auch ein globaler Katalog ist. Daher müssen Sie entweder Rolle zu einem anderen Computer übertragen, sobald Sie einen anderen Domänencontroller in der Domäne installiert ist, wenn Sie mehrere Domänen verfügen.

Wenn die Infrastruktur-FSMO und den globalen Katalog Rolle auf demselben Domänencontroller befinden, erhalten Sie ständig Ereignis ID 1419 im Ereignisprotokoll Verzeichnis-Dienste. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
251095Ereignis-ID 1419 auf einem Domänencontroller generiert
Weitere Informationen zu FSMO-Rolle Platzierung in der Domäne und zum Übertragen von FSMO-Rolle auf einen anderen Domänencontroller finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
223346FSMO-Platzierung und-Optimierung auf Active Directory-Domänencontroller
223787Übertragung und Übernahme von FSMO

Eigenschaften

Artikel-ID: 248047 - Geändert am: Dienstag, 19. Juni 2007 - Version: 4.1
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Keywords: 
kbmt kbinfo KB248047 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 248047
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com