Fantasma, lapidi e master dell'infrastruttura

Questo articolo descrive come vengono usati i fantasma in Windows Server.

Si applica a: Windows Server 2012 R2
Numero KB originale: 248047

Ulteriori informazioni

Gli oggetti fantasma sono oggetti di database di basso livello usati da Active Directory per le operazioni di gestione interne. Di seguito sono riportate due istanze comuni di oggetti fantasma:

• Oggetto eliminato.

  La durata della rimozione definitiva è stata superata, ma i riferimenti all'oggetto sono ancora presenti nel database della directory.

• Un gruppo locale di dominio ha un utente membro di un altro dominio nella foresta di Active Directory. Gli oggetti fantasma sono tipi speciali di oggetti di rilevamento del database interni e non possono essere visualizzati tramite LDAP o ADSI (Active Directory Service Interfaces).

Eliminazione di oggetti

Quando un oggetto viene eliminato da Active Directory, l'oggetto segue il processo seguente.

Fase 1: Oggetti normali

L'oggetto esiste prima di tutto come oggetto active directory tipico. È possibile visualizzare l'oggetto usando Active Directory appropriato e tramite l'interfaccia LDAP.

L'oggetto passa alla fase 2 quando l'oggetto viene eliminato da un amministratore o tramite un altro mezzo.

Fase 2: Oggetti eliminati prima della scadenza della durata della rimozione definitiva

L'oggetto esiste ora come oggetto Tombstone per la lunghezza dell'intervallo di vita della rimozione definitiva. Anche se l'oggetto mantiene parte della forma originale:

• L'oggetto è ancora un oggetto tipico (non fantasma).
• L'attributo objectGUID non è stato modificato.

Anche l'oggetto è stato modificato in modo significativo rispetto alla forma originale:

• L'oggetto si sposta nel contenitore DeletedObjects (a meno che l'oggetto non sia contrassegnato come oggetto di sistema speciale)
• L'attributo DN dell'oggetto contiene (esc)DEL:GUID
• La maggior parte degli altri attributi dell'oggetto è stata rimossa completamente.

Lo schema dell'oggetto determina gli attributi che vengono rimossi e gli attributi che vengono mantenuti dopo l'eliminazione. La designazione di ogni attributo per una classe oggetto può essere modificata.

Gli oggetti non possono essere visualizzati dai normali strumenti di gestione di Active Directory. È possibile configurare un'interfaccia LDAP di basso livello come LDP per visualizzare questi oggetti.

L'oggetto si sposta in uno dei due stati possibili (fase 3 o 4) quando la durata della rimozione definitiva è scaduta. La durata di rimozione definitiva predefinita è di 60 giorni.

Fase 3: l'oggetto (normale) viene rimosso completamente dal database di Active Directory

Se non sono presenti riferimenti a questo oggetto in Active Directory, la riga nel database viene completamente rimossa e non sono rimaste tracce dell'oggetto.

Fase 4: oggetto fantasma (riferimenti esterni esistono ancora)

Se sono presenti riferimenti a questo oggetto rimangono in Active Directory, l'oggetto stesso viene eliminato e viene creato un oggetto fantasma al suo posto fino a quando tali riferimenti non vengono rimossi. Questo oggetto fantasma viene eliminato quando tutti i riferimenti all'oggetto vengono rimossi.

Non è possibile visualizzare questi oggetti fantasma tramite un'interfaccia LDAP o ADSI.

Riferimenti tra domini e ruolo master dell'infrastruttura

Alcuni tipi di gruppi in un dominio di Active Directory possono contenere account da domini attendibili. Per assicurarsi che i nomi nell'appartenenza al gruppo siano accurati, viene fatto riferimento al GUID dell'oggetto utente nell'appartenenza al gruppo. Quando Gli strumenti di Active Directory visualizzano questi gruppi con utenti provenienti da domini esterni, devono essere in grado di visualizzare il nome accurato e corrente dell'utente esterno senza basarsi sul contatto immediato con un controller di dominio per il dominio esterno o un catalogo globale.

Active Directory usa un oggetto fantasma per i riferimenti da gruppo a utente tra domini nei controller di dominio che non sono cataloghi globali. Questo oggetto fantasma è un tipo speciale di oggetto che non può essere visualizzato tramite alcuna interfaccia LDAP.

I record fantasma contengono una quantità minima di informazioni per consentire a un controller di dominio di fare riferimento alla posizione in cui è presente l'oggetto originale. L'indice degli oggetti fantasma contiene le informazioni seguenti sull'oggetto a cui viene fatto riferimento incrociato:

• Nome distinto dell'oggetto
• Object GUID
• SID dell'oggetto

Durante l'aggiunta di un membro da un dominio diverso a un gruppo di utenti locale, il controller di dominio locale che esegue l'aggiunta al gruppo crea l'oggetto fantasma per l'utente remoto.

Se si modifica il nome dell'utente esterno o si elimina l'utente esterno, i fantasma devono essere aggiornati o rimossi nel dominio del gruppo da ogni controller di dominio del dominio. Il controller di dominio che detiene il ruolo di master infrastruttura (IM) per il dominio del gruppo gestisce tutti gli aggiornamenti agli oggetti fantasma.

Non è possibile visualizzare questi oggetti fantasma tramite un'interfaccia LDAP o ADSI.

Processi di aggiornamento e pulizia fantasma

Se l'oggetto a cui fa riferimento un oggetto fantasma è stato eliminato, l'oggetto fantasma deve essere rimosso dal dominio locale (ripulito). Un oggetto fantasma deve essere aggiornato anche se il nome dell'oggetto originale cambia in modo che l'elenco di appartenenza al gruppo abbia un elenco accurato. Il controller di dominio che detiene il ruolo di messaggistica istantanea in un dominio gestisce entrambe le operazioni per il relativo dominio.

La messaggistica istantanea confronta le informazioni sugli oggetti fantasma con le versioni più recenti di un server di catalogo globale e apporta le modifiche ai fantasma in base alle esigenze. L'intervallo può essere personalizzato aggiungendo la voce Days per database phantom scan del Registro di sistema alla sottochiave del Registro di sistema seguente:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Per apportare questa modifica, tenere presente quanto segue:

• Voce del Registro di sistema: giorni per analisi fantasma del database

• Digitare: DWORD

• Valore predefinito: 2

• Funzione: specifica l'intervallo di giorni in cui la messaggistica istantanea confronta gli oggetti fantasma con le versioni più recenti in un server di catalogo globale.

Dopo che la messaggistica istantanea determina che l'oggetto originale a cui fa riferimento l'oggetto fantasma è stato modificato o eliminato:

• La messaggistica istantanea crea un oggetto infrastructureUpdate in CN=Infrastructure,DC=DomainName,DC=... contenitore e lo elimina immediatamente.

• Questo oggetto (rimozione definitiva) viene replicato da un proxy speciale negli altri controller di dominio nel dominio che non sono server di catalogo globale.

  Se l'oggetto originale viene rinominato, il valore nell'attributo DNReferenceUpdate di infrastructureUpdate contiene il nuovo nome. Se l'oggetto originale è stato eliminato, il DN degli oggetti eliminati viene modificato in modo che (esc)DEL:GUID venga aggiunto al DN originale.

• I controller di dominio accettano quindi le informazioni negli oggetti infrastructureUpdate e applicano le modifiche alle copie locali dei relativi oggetti fantasma di conseguenza.

Se l'oggetto originale è stato eliminato, i controller di dominio riceventi eliminano l'oggetto fantasma locale e rimuovere l'attributo corrispondente che vi fa riferimento, ad esempio l'attributo membro in un gruppo.

Conflitto del ruolo master del catalogo globale e dell'infrastruttura

Se anche il titolare del ruolo FSMO (Flexible Single Master Operation) di messaggistica istantanea è un server di catalogo globale, gli indici fantasma non vengono mai creati o aggiornati in tale controller di dominio. L'FSMO è noto anche come master operazioni. Questo comportamento si verifica perché un server di catalogo globale contiene una replica parziale di ogni oggetto in Active Directory. La messaggistica istantanea non archivia le versioni fantasma degli oggetti esterni perché dispone già di una replica parziale dell'oggetto nel catalogo globale locale.

Per il corretto funzionamento di questo processo in un ambiente multidominio, il titolare del ruolo FSMO dell'infrastruttura non può essere un server di catalogo globale. Tenere presente che il primo dominio nella foresta contiene tutti e cinque i ruoli FSMO ed è anche un catalogo globale. Pertanto, è necessario trasferire entrambi i ruoli in un altro computer non appena un altro controller di dominio viene installato nel dominio se si prevede di avere più domini.

Se il ruolo FSMO dell'infrastruttura e il ruolo del catalogo globale risiedono nello stesso controller di dominio, si riceve continuamente l'ID evento 1419 nel registro eventi dei servizi directory.

Esistono due condizioni in cui l'inserimento del ruolo Master infrastruttura in un catalogo globale è ok:

1. Tutti i controller di dominio nel dominio sono catalogo globale. In questa situazione, non possono essere presenti fantasma da pulire.
2. La modalità foresta è "Windows Server 2008 R2" e la funzionalità Cestino è attivata. In questa modalità i collegamenti a oggetti rimossi non sono fantasma, ma impostati su uno stato diverso e sono ancora presenti nel database.

Per informazioni sul Cestino di Active Directory, vedere: Panoramica dello scenario per il ripristino degli oggetti di Active Directory eliminati

Per altre informazioni sul posizionamento del ruolo FSMO nel dominio e su come trasferire un ruolo FSMO a un altro controller di dominio, fare clic sui numeri degli articoli seguenti per visualizzare gli articoli della Microsoft Knowledge Base:

223346 posizionamento e ottimizzazione FSMO nei controller di dominio Active Directory

223787 processo flessibile di trasferimento e sequestro di singole operazioni master