Fantômes, pierres tombales et l’infrastructure master

Cet article décrit comment les fantômes sont utilisés dans Windows Server.

S’applique à : Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 248047

Plus d’informations

Les objets fantômes sont des objets de base de données de bas niveau qu’Active Directory utilise pour les opérations de gestion interne. Deux instances courantes d’objets fantômes sont les suivantes :

• Objet qui a été supprimé.

  La durée de vie de la pierre tombstone est passée, mais les références à l’objet sont toujours présentes dans la base de données de répertoires.

• Un groupe local de domaine a un utilisateur membre d’un autre domaine dans la forêt Active Directory. Les objets fantômes sont des types spéciaux d’objets de suivi de base de données internes et ne peuvent pas être affichés via ldap ou adsi (Active Directory Service Interfaces).

Suppression d’objet

Lorsqu’un objet est supprimé d’Active Directory, l’objet suit le processus suivant.

Étape 1 : objets normaux

L’objet existe d’abord en tant qu’objet Active Directory classique. Vous pouvez afficher l’objet à l’aide de l’annuaire Active Directory approprié et via l’interface LDAP.

L’objet passe à l’étape 2 lorsque l’objet est supprimé par un administrateur ou par un autre moyen.

Étape 2 : Objets supprimés avant l’expiration de la durée de vie de la pierre tombstone

L’objet existe désormais en tant qu’objet Tombstone pour la longueur de l’intervalle de vie de la pierre tombstone. Bien que l’objet conserve une partie de sa forme d’origine :

• L’objet est toujours un objet classique (non fantôme).
• L’attribut objectGUID n’a pas changé.

L’objet a également été considérablement modifié par rapport à sa forme d’origine :

• L’objet se déplace vers le conteneur DeletedObjects (sauf si l’objet est marqué comme un objet système spécial)
• L’attribut DN de l’objet contient (esc)DEL :GUID
• La plupart des autres attributs de l’objet ont été supprimés complètement.

Le schéma de l’objet détermine les attributs supprimés et les attributs conservés après la suppression. La désignation de chaque attribut pour une classe d’objet peut être modifiée.

Les objets ne peuvent pas être vus à partir des outils de gestion Active Directory normaux. Vous pouvez configurer une interface LDAP de bas niveau comme LDP pour afficher ces objets.

L’objet passe à l’un des deux états possibles (étape 3 ou 4) lorsque la durée de vie de la pierre tombale a expiré. La durée de vie des pierres tombstone par défaut est de 60 jours.

Étape 3 : l’objet (normal) est complètement supprimé de la base de données Active Directory

S’il ne reste aucune référence à cet objet dans Active Directory, la ligne de la base de données est complètement supprimée et il ne reste aucune trace de l’objet.

Étape 4 : (les références externes existent toujours) objet fantôme

S’il reste des références à cet objet dans Active Directory, l’objet lui-même est supprimé et un objet fantôme est créé à sa place jusqu’à ce que ces références soient supprimées. Cet objet fantôme est supprimé lorsque toutes les références à l’objet sont supprimées.

Vous ne pouvez pas afficher ces objets fantômes via une interface LDAP ou ADSI.

Références inter-domaines et rôle master d’infrastructure

Certains types de groupes dans un domaine Active Directory peuvent contenir des comptes de domaines approuvés. Pour vous assurer que les noms dans l’appartenance au groupe sont exacts, le GUID de l’objet utilisateur est référencé dans l’appartenance du groupe. Lorsque les outils Active Directory affichent ces groupes qui ont des utilisateurs de domaines étrangers, ils doivent être en mesure d’afficher le nom exact et actuel de l’utilisateur étranger sans compter sur un contact immédiat avec un contrôleur de domaine pour le domaine étranger ou un catalogue global.

Active Directory utilise un objet fantôme pour les références inter-domaines de groupe à utilisateur sur les contrôleurs de domaine qui ne sont pas des catalogues globaux. Cet objet fantôme est un type spécial d’objet qui ne peut pas être consulté via une interface LDAP.

Les enregistrements fantômes contiennent une quantité minimale d’informations pour permettre à un contrôleur de domaine de faire référence à l’emplacement dans lequel l’objet d’origine existe. L’index des objets fantômes contient les informations suivantes sur l’objet croisé :

• Nom unique de l’objet
• GUID d’objet
• SID d’objet

Lors de l’ajout d’un membre d’un autre domaine à un groupe d’utilisateurs local, le contrôleur de domaine local qui effectue l’ajout au groupe crée l’objet fantôme pour l’utilisateur distant.

Si vous modifiez le nom de l’utilisateur étranger ou supprimez l’utilisateur étranger, les fantômes doivent être mis à jour ou supprimés dans le domaine du groupe de chaque contrôleur de domaine dans le domaine. Le contrôleur de domaine qui détient le rôle de master d’infrastructure pour le domaine du groupe gère toutes les mises à jour des objets fantômes.

Vous ne pouvez pas afficher ces objets fantômes via une interface LDAP ou ADSI.

Processus de mise à jour et de nettoyage fantômes

Si l’objet auquel un objet fantôme fait référence a été supprimé, l’objet fantôme doit être supprimé du domaine local (nettoyé). Un objet fantôme doit également être mis à jour si le nom de l’objet d’origine change afin que la liste d’appartenances au groupe ait une liste précise. Le contrôleur de domaine qui détient le rôle de messagerie instantanée dans un domaine gère les deux opérations pour son domaine.

La messagerie instantanée compare les informations sur les objets fantômes aux dernières versions sur un serveur de catalogue global et apporte des modifications aux fantômes en fonction des besoins. Vous pouvez personnaliser l’intervalle en ajoutant l’entrée de Registre Jours par analyse fantôme de base de données à la sous-clé de Registre suivante :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Pour effectuer cette modification, notez les points suivants :

• Entrée de Registre : Jours par analyse fantôme de base de données

• Type : DWORD

• Valeur par défaut : 2

• Fonction : spécifie l’intervalle en jours pendant lequel la messagerie instantanée compare les objets fantômes aux dernières versions sur un serveur de catalogue global.

Une fois que la messagerie instantanée a déterminé que l’objet d’origine auquel l’objet fantôme fait référence a été modifié ou supprimé :

• La messagerie instantanée crée un objet infrastructureUpdate dans CN=Infrastructure,DC=DomainName,DC=... conteneur et le supprime immédiatement.

• Cet objet (tombstone) est répliqué par un proxy spécial vers les autres contrôleurs de domaine du domaine qui ne sont pas des serveurs de catalogue globaux.

  Si l’objet d’origine est renommé, la valeur dans l’attribut DNReferenceUpdate de l’objet infrastructureUpdate contient le nouveau nom. Si l’objet d’origine a été supprimé, le nom de domaine des objets supprimés est modifié de sorte que (échap)DEL :GUID soit ajouté au nom DN d’origine.

• Les contrôleurs de domaine prennent ensuite les informations dans les objets infrastructureUpdate et appliquent les modifications aux copies locales de leurs objets fantômes en conséquence.

Si l’objet d’origine a été supprimé, les contrôleurs de domaine de réception suppriment l’objet fantôme local et l’attribut correspondant qui y fait référence (par exemple, l’attribut membre sur un groupe).

Conflit de rôles entre le catalogue global et l’infrastructure master

Si le détenteur du rôle FSMO (Flexible Single Master Operation) de messagerie instantanée est également un serveur de catalogue global, les index fantômes ne sont jamais créés ou mis à jour sur ce contrôleur de domaine. (Le FSMO est également connu sous le nom d’opérations master.) Ce comportement se produit parce qu’un serveur de catalogue global contient une réplica partielle de chaque objet dans Active Directory. La messagerie instantanée ne stocke pas les versions fantômes des objets étrangers, car elle a déjà une réplica partielle de l’objet dans le catalogue global local.

Pour que ce processus fonctionne correctement dans un environnement multidomaine, le détenteur du rôle FSMO d’infrastructure ne peut pas être un serveur de catalogue global. N’oubliez pas que le premier domaine de la forêt contient les cinq rôles FSMO et qu’il s’agit également d’un catalogue global. Par conséquent, vous devez transférer l’un ou l’autre rôle vers un autre ordinateur dès qu’un autre contrôleur de domaine est installé dans le domaine si vous envisagez d’avoir plusieurs domaines.

Si le rôle FSMO d’infrastructure et le rôle de catalogue global résident sur le même contrôleur de domaine, vous recevez continuellement l’ID d’événement 1419 dans le journal des événements des services d’annuaire.

Il existe deux conditions pour lesquelles le placement du rôle Maître d’infrastructure sur un catalogue global est correct :

1. Tous les contrôleurs de domaine du domaine sont catalogue global. Dans cette situation, il ne peut pas y avoir de fantômes à propre.
2. Le mode forêt est « Windows Server 2008 R2 » et la fonctionnalité Corbeille est activée. Dans ce mode, les liens d’objets supprimés ne sont pas fantomatiques, mais définis dans un état différent et toujours présents dans la base de données.

Pour plus d’informations sur la Corbeille AD, consultez : Vue d’ensemble du scénario pour la restauration d’objets Active Directory supprimés

Pour plus d’informations sur le placement des rôles FSMO dans le domaine et sur la façon de transférer un rôle FSMO vers un autre contrôleur de domaine, cliquez sur les numéros d’article suivants pour afficher les articles de la Base de connaissances Microsoft :

223346 placement et optimisation FSMO sur les contrôleurs de domaine Active Directory

223787 processus de transfert et de saisie d’opération à maître unique flexible