Fantasmas, marcas para exclusão e o mestre de infra-estrutura

Traduções deste artigo Traduções deste artigo
ID do artigo: 248047 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Este artigo descreve como fantasmas são usadas no Microsoft Windows 2000 e Microsoft Windows Server 2003.

Mais Informações

Os objetos fantasmas são objetos de banco de dados de nível inferior que o Active Directory usa para operações de gerenciamento interno. Duas instâncias comuns de objetos fantasmas são:
  • Um objeto que tenha sido excluído.

    O tempo de desativação passou, mas as referências ao objeto ainda estão presentes no banco de dados de diretório.
  • Um grupo de domínio local tem um usuário membro de outro domínio na floresta do Active Directory.
Objetos fantasma são tipos especiais de banco de dados interno controle objetos e não podem ser exibidos através de qualquer LDAP ou do Active Directory Service Interfaces (ADSI).

Exclusão de objeto

Quando um objeto é excluído do active directory, o objeto segue o processo a seguir.

Etapa 1: Objetos normal

O objeto primeiro existe como um objeto normal do Active Directory. Você pode exibir o objeto usando o Active Directory apropriado e por meio da interface LDAP.

Move o objeto para o estágio 2 quando o objeto é excluído por um administrador ou por meio de outro.

Etapa 2: Excluídos objetos antes de expira o tempo de desativação

O objeto agora existe como um objeto para exclusão para o tamanho do intervalo de tempo de vida da marca para exclusão. Enquanto o objeto mantém alguns sua forma original:
  • Ainda é um objeto (não-fantasma) típico.
  • O atributo objectGUID não foi alterado.
O objeto também foi modificado significativamente de seu formulário original:
  • O objeto é movido para o contêiner DeletedObjects (a menos que o objeto está sinalizado como um objeto de sistema especial)
  • Atributo de DN do objeto contém DEL:GUID (esc)
  • A maioria do objeto é outros atributos foram removidos completamente.
O esquema do objeto determina os atributos que são removidos e os atributos que são mantidos após a exclusão. A designação de cada atributo de uma classe de objeto pode ser alterada.

Os objetos não podem ser vistos de ferramentas de gerenciamento do Active Directory normais. Você pode configurar um nível baixo interface LDAP como LDP para exibir esses objetos:
http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q258310
Move o objeto para um dos dois estados possíveis (estágio 3 ou 4) quando o tempo de desativação expirou. O tempo de desativação padrão é 60 dias.

Etapa 3: Objeto (normal) é removido do banco de active directory dados completamente

Se não existe nenhuma referência a este objeto permanecer no Active Directory, a linha no banco de dados é removida completamente e há não rastreamentos do objeto à esquerda.

Etapa 4: (referências externas ainda existem) objeto fantasma

Se houver quaisquer referências para este objeto permanecem no Active Directory, o próprio objeto é excluído e um objeto fantasma é criado em seu lugar até que essas referências são removidas. Este objeto fantasma será excluído quando todas as referências ao objeto são removidas.

Você não pode exibir esses objetos fantasmas por meio de qualquer interface LDAP ou ADSI. Observação Durante a remoção do catálogo global de um controlador de domínio, os objetos de somente leitura que são removidos do catálogo global não se durante o processo de exclusão. Eles são removidos do banco de dados imediatamente e quaisquer referências a eles não são afetados.

Referências entre domínios e a função de mestre de infra-estrutura

Determinados tipos de grupos em um domínio do active directory podem conter contas de domínios confiáveis. Para certificar-se que os nomes de participação do grupo são precisos, GUID do objeto de usuário é mencionado na participação do grupo. Quando ferramentas do Active Directory exibe esses grupos que têm os usuários de domínios externos, eles devem poder exibir o nome preciso e atual do usuário externo sem depender de imediato contato com um controlador de domínio para o domínio externo ou um catálogo global.

O Active Directory usa um objeto fantasma para referências de grupo para usuário de domínio cruzado. Este objeto fantasma é um tipo especial de objeto que não pode ser exibido por meio de qualquer interface LDAP.

Registros fantasmas contêm uma quantidade mínima de informações para permitir que um controlador de domínio se referir ao local em que o objeto original existe. O índice de objetos fantasma contém as seguintes informações sobre o objeto com referência cruzada:
  • Nome distinto do objeto
  • GUID do objeto
  • SID de objeto
Durante a adição de um membro de um domínio diferente a um grupo de usuário local, o controlador de domínio local que está realizando a adição ao grupo cria o objeto fantasma para o usuário remoto.

Se você alterar nome do usuário externo ou excluir o usuário externo, as fantasmas devem ser atualizadas ou removidas do grupo de domínio de cada controlador de domínio no domínio. O controlador de domínio que contém a função do (IM) mestre de infra-estrutura para domínio do grupo trata qualquer das atualizações para os objetos fantasmas.

Você não pode exibir esses objetos fantasmas por meio de qualquer interface LDAP ou ADSI.

Atualização fantasma e limpeza de processos

Se o objeto ao qual um objeto fantasma se refere foi excluído, o objeto fantasma deve ser removido do domínio local (limpado). Um objeto fantasma também deve ser atualizado se o nome do objeto original for alterado para que a lista de membros de grupos para o grupo tenha uma listagem precisa. O controlador de domínio que contém a função do IM em um domínio trata as duas operações para o seu domínio.

O IM compara as informações sobre os objetos fantasmas contra as versões mais recentes em um servidor de catálogo global e faz as alterações para fantasmas conforme necessário. O intervalo pode ser personalizado adicionando dias por entrada do banco de dados fantasma verificação do registro na seguinte subchave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Para fazer essa alteração, observe o seguinte:
  • Entrada do Registro: dias por verificação fantasma do banco de dados
  • Tipo: DWORD
  • Valor padrão: 2
  • Função: Especifica o intervalo de dias que o IM compara os objetos fantasmas contra as versões mais recentes em um servidor de catálogo global.
Observação O valor DWORD mínimo é 1 dia.Após o IM determina que o objeto original que o objeto fantasma refere-se a tiver alterado ou excluído:
  • O IM cria um objeto infrastructureUpdate em CN = infra-estrutura, DC = DomainName, DC = ? recipiente e exclui imediatamente.
  • Este objeto (marcar para exclusão) é duplicado pelo proxy especial para os outros controladores de domínio no domínio que não são servidores de catálogo global.

    Se o objeto original for renomeado, o valor no atributo DNReferenceUpdate do infrastructureUpdate contém o novo nome. Se o objeto original foi excluído, os objetos excluídos DN é alterado para que DEL:GUID (esc) é acrescentado ao DN original.
  • Controladores de domínio, em seguida, fazer as informações em objetos infrastructureUpdate e aplicar as alterações para as cópias locais de seus objetos fantasmas adequadamente.

    Se o objeto original tiver sido excluído, os controladores de domínio recebimento excluir o objeto fantasma local e remover o atributo correspondente que faz referência a ele (como o atributo de membro em um grupo).
Observação Servidores de catálogo global no domínio do grupo recebem a duplicação de proxy especiais para os objetos no CN = infra-estrutura, DC = DomainName, DC = ? recipiente. No entanto, eles ignorá-las porque uma cópia somente leitura do próprio objeto já é instanciada no banco de dados local.

Conflito de função de mestre de infra-estrutura e catálogo global

Se o detentor da função de IM FSMO Flexible Single Master Operation () também for um servidor de catálogo global, os índices fantasmas nunca são criados ou atualizados no controlador de domínio. (O FSMO é também conhecido como o mestre de operações.) Esse comportamento ocorre porque um servidor de catálogo global contém uma réplica parcial de cada objeto no Active Directory. O IM não armazena fantasmas versões dos objetos externos porque ele já possui uma réplica parcial do objeto no catálogo global local.

Para esse processo funcione corretamente em um ambiente de vários domínios, o detentor da função FSMO de infra-estrutura não pode ser um servidor de catálogo global. Esteja ciente de que o primeiro domínio na floresta contém todas as cinco funções FSMO e também é um catálogo global. Portanto, você deve transferir qualquer função para outro computador assim que o outro controlador de domínio é instalado no domínio se você pretende ter vários domínios.

Que a função FSMO de infra-estrutura e função do catálogo global residam no mesmo controlador de domínio, você continuamente recebe 1419 de identificação de evento no log de evento de serviços de diretório. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
251095Identificação do evento 1419 gerado em um controlador de domínio
Para obter mais informações sobre posicionamento de função FSMO no domínio e como transferir uma função FSMO para outro controlador de domínio, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:
223346Posicionamento e otimização em controladores de domínio do Active Directory de FSMO
223787Processo de tomada de controle de transferência e Single Master Operation flexível

Propriedades

ID do artigo: 248047 - Última revisão: terça-feira, 19 de junho de 2007 - Revisão: 4.1
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Palavras-chave: 
kbmt kbinfo KB248047 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 248047

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com