Фантомов, объектов-захоронений и хозяин инфраструктуры

Переводы статьи Переводы статьи
Код статьи: 248047 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

В данной статье описывается использование фантомов в Microsoft Windows 2000 и Microsoft Windows Server 2003.

Дополнительная информация

Фиктивные объекты являются низкого уровня базы данных, используемые для операций внутреннего управления Active Directory. Ниже приведены два распространенных экземпляров фиктивных объектов.
  • Объект, который был удален.

    Истекло время жизни захоронения, но ссылки на объект все еще присутствуют в базе данных каталога.
  • Локальная группа домена имеет член пользователя из другого домена в лесу Active Directory.
Фиктивные объекты представляют собой особый тип отслеживания объектов внутренней базы данных и не может просматриваться через любые интерфейсы служб Active Directory (ADSI) или LDAP.

Удаление объекта

При удалении объекта из active directory объект выполняет следующее.

Этап 1: Обычный объектов

Объект сначала существует как обычный объект Active Directory. Объект можно просмотреть при помощи соответствующей службы каталогов Active Directory и через интерфейс LDAP.

Объект перемещается на этапе 2, когда объект будет удален администратором или иным способом.

Этап 2: Удаленные объекты до истечения времени жизни захоронения

Теперь существует объект в виде объекта-захоронения для длину интервала времени жизни захоронения. Пока объект поддерживает некоторые из его исходной форме:
  • Объект является по-прежнему обычной (не фантом).
  • Атрибут objectGUID не изменилось.
Объект также была значительно изменена в его исходной форме:
  • Объект перемещается в контейнер DeletedObjects (если объект помечен как специальные системным объектом)
  • Атрибут DN объекта содержит DEL:GUID (esc)
  • Большая часть объекта и другие атрибуты были полностью удалены.
Схема объекта определяет атрибуты, которые будут удалены и атрибуты, которые сохраняются после удаления. Обозначение каждого атрибута для класса объектов может быть изменен.

Объекты не будут отображаться с помощью обычных средств управления Active Directory. Можно настроить низкий уровень интерфейса LDAP, таких как LDP для просмотра этих объектов:
экспортировании;EN-US;Q258310
Объект перемещается на одну из двух возможных состояний (этап 3 или 4) когда истек срок жизни захоронения. По умолчанию — 60 дней.

Этап 3: (Обычный) объект удаляется из базы данных active directory полностью

Если там нет ссылки на этот объект остаются в Active Directory, полностью удаляются строки в базе данных, и нет никаких трассировок объект влево.

Этап 4: (внешние ссылки остались) фиктивных объектов

При наличии ссылки на этот объект останется в Active Directory, сам объект будет удален и фиктивных объектов создается в том же месте, пока не будут удалены. Фантом-объект будет удален после удаления всех ссылок на объект.

Не удается просмотреть эти фиктивные объекты через любой интерфейс ADSI и LDAP.Примечание Во время удаления глобального каталога с контроллера домена только для чтения объекты, которые удаляются из глобального каталога не проходят через процесс удаления. Немедленно удаляются из базы данных и ссылки на них не затрагиваются.

Ссылки между доменами, а также роли хозяина инфраструктуры

Некоторые типы групп в домене active directory может содержать учетные записи из доверенных доменов. Убедитесь, что правильность имен членства в группах, в состав группы упоминается GUID объекта пользователя. Средства Active Directory отображение этих групп, имеющих пользователей из внешних доменов, они должны быть могут отображать точные и текущее имя внешнего пользователя не полагаясь на непосредственный контакт с контроллером домена для внешнего домена или глобального каталога.

Active Directory использует фиктивных объектов для ссылок на группы для пользователей между доменами. Фантом-объект — это особый тип объекта, который не может просматриваться через любой интерфейс LDAP.

Фиктивные записи содержат минимальный объем сведений, чтобы ссылаться на местоположение, в котором существует исходный объект контроллера домена. Индекс фиктивных объектов содержит следующие сведения об объекте перекрестных ссылок:
  • Различающееся имя объекта
  • Код GUID
  • Код SID объекта
При добавлении члена в локальную группу пользователей из другого домена локальный контроллер домена, выполняющий сложение группе создает фиктивных объектов для удаленного пользователя.

При изменении имени внешнего пользователя или удаление внешнего пользователя фантомов необходимо обновить или группы домена удаляется каждый контроллер домена в домене. Контроллер домена, выполняющий роль хозяина инфраструктуры (IM) для домена группы обрабатывает все обновления для фиктивных объектов.

Не удается просмотреть эти фиктивные объекты через любой интерфейс ADSI и LDAP.

Обрабатывает фиктивные обновления и очистка

При удалении объекта, на который ссылается объект фантом-фантом-объекта необходимо удалить из локального домена (очистки). Также необходимо обновить фиктивных объектов, если имя исходного объекта изменяется таким образом, чтобы список членства в группах для группы имеет точное вхождение. Контроллер домена, выполняющий роль обмена мгновенными Сообщениями в домене обрабатывает обе операции для своего домена.

Обмен мгновенными Сообщениями сравнивает сведения о фиктивных объектов с последними версиями на сервере глобального каталога и фантомов необходимые изменения. Интервал можно настраивать, добавляя рабочих дней в запись реестра фантом-сканирование базы данных в следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Чтобы внести это изменение, обратите внимание на следующее:
  • Параметр реестра: рабочих дней в виртуальное сканирование базы данных
  • Тип: DWORD
  • Значение по умолчанию: 2
  • Функции: Интервал в днях, что IM сравнивает фиктивных объектов с последними версиями на сервере глобального каталога.
Примечание Минимальное значение DWORD составляет 1 день.После IM определяет, что исходный объект, на который ссылается фиктивных объектов изменилась или была удалена.
  • IM создается объект infrastructureUpdate в CN инфраструктуры, DC = имя_домена, DC = … = контейнера и немедленно удаляется.
  • Этот объект (захоронения) реплицируется специальные прокси на другие контроллеры домена в домене, не являющиеся серверами глобального каталога.

    Если исходный объект переименовывается, значение атрибута DNReferenceUpdate infrastructureUpdate содержит новое имя. Если исходный объект был удален, удаленные объекты DN изменяется таким образом, чтобы DEL:GUID (esc) добавляется к исходной DN.
  • Контроллеры домена затем информацию в объекты infrastructureUpdate и применить изменения к локальной копии его фиктивных объектов соответствующим образом.

    При удалении исходного объекта принимающей контроллеров домена удалить локальный фиктивных объектов и соответствующий атрибут, который ссылается на нее (например, атрибут члена группы).
Примечание Серверы глобального каталога в домене группы получают специальные прокси репликации для объектов в CN = инфраструктуры, DC = имя_домена, DC = … контейнера. Тем не менее они игнорируют их так, как только для чтения копию самого объекта уже созданы в локальной базе данных.

Глобальный конфликт роль хозяина инфраструктуры и каталог

Если обладатель роли IM гибкие один хозяин операции (FSMO) также является сервером глобального каталога, фиктивные индексов не создаются или обновляются на этом контроллере домена. (Также известный как роли FSMO является хозяином операций.) Это происходит потому, что сервер глобального каталога содержит частичные реплики всех объектов в Active Directory. IM не хранить фантом-версий посторонних предметов, поскольку уже есть частичные реплики объекта в локальном глобального каталога.

Для правильной работы в мультидоменной среде этот процесс выполняющий роль ХОЗЯИНА инфраструктуры не может быть сервером глобального каталога. Имейте в виду, что первый домен в лесу содержит все роли, а также является глобальным каталогом. Таким образом либо роль необходимо перенести на другой компьютер сразу после установки другого контроллера домена в домене при наличии нескольких доменов.

Если роли FSMO инфраструктуры и роль глобального каталога, находятся на одном контроллере домена, постоянно получать 1419 идентификатор события в журнале событий службы каталогов.Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
251095Событие с кодом 1419, созданный на контроллере домена
Для получения дополнительных сведений о размещении ролей FSMO в домене и перенос на другой контроллер домена роли FSMO щелкните следующие номера статей базы знаний Майкрософт:
223346Оптимизация на контроллерах домена Active Directory и размещение ролей FSMO
223787 Гибкий процесс и передача одного хозяина операций

Свойства

Код статьи: 248047 - Последний отзыв: 5 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Ключевые слова: 
kbinfo kbmt KB248047 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:248047

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com