phantoms, tombstones และต้นแบบโครงสร้างพื้นฐาน

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 248047 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

บทความนี้อธิบายวิธี phantoms จะใช้ ใน Microsoft Windows 2000 และ ใน Microsoft Windows Server 2003

ข้อมูลเพิ่มเติม

วัตถุที่แฝงอยู่วัตถุฐานข้อมูลที่ระดับต่ำที่ Active Directory ใช้สำหรับการดำเนินการบริหารภายใน อินสแตนซ์ทั่วไปที่สองของวัตถุที่แฝงเป็นดังนี้:
  • วัตถุที่ถูกลบไปแล้ว

    อายุการใช้งาน tombstone ผ่าน แต่การอ้างอิงไปยังวัตถุนั้นจะยังคงอยู่ในฐานข้อมูลของไดเรกทอรี
  • กลุ่มโลคัลโดเมนมีผู้ใช้เป็นสมาชิกจากโดเมนอื่นในฟอเรสต์ Active Directory
วัตถุที่แฝงอยู่ภายในฐานข้อมูลการติดตามวัตถุชนิดพิเศษ และไม่สามารถดูผ่าน LDAP ใด ๆ หรือ Active Directory Service อินเทอร์เฟซ (ADSI)

ลบวัตถุ

เมื่อวัตถุถูกลบจาก active directory วัตถุทำตามขั้นตอนต่อไปนี้

ขั้นที่ 1: วัตถุการปกติ

วัตถุมีอยู่เป็นวัตถุ Active Directory โดยทั่วไปก่อน คุณสามารถดูวัตถุ โดยใช้ Active Directory ที่เหมาะสม และผ่าน ทางอินเทอร์เฟซของ LDAP

วัตถุย้ายไปที่ระยะ 2 เมื่อวัตถุถูกลบ โดยผู้ดูแล หรือ ผ่านหมายความว่าอื่น

ขั้นที่ 2: ถูกลบวัตถุก่อนที่หมดอายุของอายุการใช้งาน tombstone

วัตถุที่เป็นวัตถุ Tombstone สำหรับความยาวของช่วงเวลา tombstone อายุการใช้งานอยู่ในขณะนี้ ในขณะที่วัตถุเก็บรักษาบางประการของแบบต้นฉบับ:
  • วัตถุจะยังคงเป็นวัตถุ (ไม่ใช่-phantom) โดยทั่วไป
  • ไม่มีเปลี่ยนแอตทริบิวต์ objectGUID
วัตถุถูกยังมากแก้ไขจากแบบฟอร์มของต้นฉบับ:
  • ย้ายวัตถุไปยังคอนเทนเนอร์ DeletedObjects (ยกเว้นวัตถุมีค่าสถานะเป็นวัตถุระบบพิเศษ)
  • แอตทริบิวต์ของ DN ของวัตถุประกอบด้วย DEL:GUID (esc)
  • โดยส่วนใหญ่ของออปเจ็กต์ของอื่น ๆ แอตทริบิวต์ที่ถูกเอาออกเสร็จสมบูรณ์
เค้าร่างของวัตถุกำหนดแอตทริบิวต์ที่จะถูกเอาออก และแอตทริบิวต์ที่เก็บไว้หลังจากการลบ การกำหนดของแต่ละแอตทริบิวต์สำหรับคลาสของวัตถุสามารถเปลี่ยน

วัตถุไม่สามารถดูได้จากเครื่องมือการจัดการ Active Directory แบบปกติ คุณอาจกำหนดค่าระดับต่ำอินเทอร์เฟซของ LDAP เหมือน LDP เพื่อดูออบเจ็กต์เหล่านี้:
http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q258310
วัตถุย้ายไปที่สถานะเป็นไปได้สอง (ระยะ 3 หรือ 4) อย่างใดอย่างหนึ่งเมื่อมีหมดอายุการใช้งาน tombstone อายุการใช้งาน tombstone เริ่มต้นเป็น 60 วัน

ขั้นที่ 3: วัตถุ (ปกติ) จะถูกเอาออกจากฐานข้อมูล active directory ทั้งหมด

ถ้าไม่มีการอ้างอิงไปยังวัตถุนี้อยู่ใน Active Directory แถวในฐานข้อมูลจะถูกเอาออกอย่างสมบูรณ์ และมีข้อมูลไม่มีวัตถุไปทางซ้าย

Stage 4: (External references still exist) phantom object

If there are any references to this object remain in the Active Directory, the object itself is deleted and a phantom object is created in its place until those references are removed. This phantom object is deleted when all references to the object are removed.

You cannot view these phantom objects through any LDAP or ADSI interface.หมายเหตุ:During the removal of the global catalog from a domain controller, the read-only objects that are removed from the global catalog do not go through the deletion process. They are immediately removed from the database and any references to them are unaffected.

Cross-domain references and the infrastructure master role

Certain types of groups in an active directory domain can contain accounts from trusted domains. To make sure that the names in the group's membership are accurate, the user object's GUID is referenced in the membership of the group. When Active Directory Tools displays these groups that have users from foreign domains, they must be able to display the accurate and current name of the foreign user without relying on immediate contact with a domain controller for the foreign domain or a global catalog.

Active Directory uses a phantom object for cross-domain group-to-user references. This phantom object is a special kind of object that cannot be viewed through any LDAP interface.

Phantom records contain a minimal amount of information to let a domain controller refer to the location in which the original object exists. The index of phantom objects contains the following information about the cross-referenced object:
  • Distinguished name of the object
  • Object GUID
  • Object SID
During the addition of a member from a different domain to a local user group, the local domain controller that is performing the addition to the group creates the phantom object for the remote user.

If you change the foreign user's name or delete the foreign user, the phantoms must be updated or removed in the group's domain from every domain controller in the domain. The domain controller holding the infrastructure master (IM) role for the group's domain handles any updates to the phantom objects.

You cannot view these phantom objects through any LDAP or ADSI interface.

Phantom update and cleanup processes

If the object to which a phantom object refers has been deleted, the phantom object must be removed from the local domain (cleaned up). A phantom object must also be updated if the name of the original object changes so that the group membership list for the group has an accurate listing. The domain controller holding the IM role in a domain handles both operations for its domain.

The IM compares the information about the phantom objects against the latest versions on a global catalog server and makes changes to the phantoms as needed. The interval can be customized by adding the Days per database phantom scan registry entry to the following registry subkey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
To make this change, note the following:
  • Registry entry: Days per database phantom scan
  • Type: DWORD
  • Default value: 2
  • Function: Specifies the interval in days that the IM compares the phantom objects against the latest versions on a global catalog server.
หมายเหตุ:The minimum DWORD value is 1 day.After the IM determines that the original object that the phantom object refers to has changed or been deleted:
  • The IM creates an infrastructureUpdate object in the CN=Infrastructure,DC=DomainName,DC=… container and immediately deletes it.
  • This (tombstone) object is replicated by special proxy to the other domain controllers in the domain that are not global catalog servers.

    If the original object is renamed, the value in the DNReferenceUpdate attribute of the infrastructureUpdate contains the new name. If the original object was deleted, the deleted objects DN is changed so that (esc)DEL:GUID is appended to the original DN.
  • The domain controllers then take the information in the infrastructureUpdate objects and apply the changes to the local copies of their phantom objects accordingly.

    If the original object has been deleted, the receiving domain controllers delete the local phantom object and remove the corresponding attribute that references it (such as the member attribute on a group).
หมายเหตุ:Global catalog servers in the group's domain receive the special proxy replication for the objects in the CN=Infrastructure,DC=DomainName,DC=… container. However, they ignore them because a read-only copy of the object itself is already instantiated in the local database.

Global catalog and infrastructure master role conflict

ถ้าตัวยึดบทบาทของ IM ยืดหยุ่นหนึ่งต้นแบบการดำเนินการ (FSMO) เซิร์ฟเวอร์แค็ตตาล็อกส่วนกลาง ดัชนีที่แฝงถูกสร้างขึ้นไม่ หรือปรับปรุงบนตัวควบคุมโดเมนนั้น (fsmo จะเรียกอีกอย่างว่างานหลัก) ลักษณะการทำงานนี้เกิดขึ้นเนื่องจากเซิร์ฟเวอร์แค็ตตาล็อกส่วนกลางประกอบด้วยแบบจำลองบางส่วนของทุกวัตถุใน Active Directory IM จะไม่เก็บรุ่นแฝงของวัตถุที่ต่างประเทศได้เนื่องจากมีแบบจำลองบางส่วนของวัตถุในแค็ตตาล็อกส่วนกลางที่เฉพาะ

สำหรับกระบวนการนี้ให้ทำงานอย่างถูกต้องในสภาพแวดล้อมแบบ multidomain ตัวยึดบทบาท FSMO โครงสร้างพื้นฐานไม่สามารถเป็นเซิร์ฟเวอร์แค็ตตาล็อกส่วนกลาง โปรดทราบว่า โดเมนแรกในฟอเรสต์มีบทบาท FSMO ห้าทั้งหมด และยัง แค็ตตาล็อกส่วนกลาง ดังนั้น คุณต้องโอนบทบาทอย่างใดอย่างหนึ่งไปยังคอมพิวเตอร์เครื่องอื่นทันทีที่มีการติดตั้งตัวควบคุมโดเมนอื่นอยู่ในโดเมนถ้าคุณวางแผนที่มีโดเมนหลาย

ถ้าบทบาท FSMO โครงสร้างพื้นฐานและบทบาทของแค็ตตาล็อกส่วนกลางอยู่ในตัวควบคุมโดเมนเดียวกัน คุณได้อย่างต่อเนื่องรับเหตุการณ์ ID 1419 ในแฟ้มบันทึกเหตุการณ์ของบริการไดเรกทอรีสำหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้ เพื่อดูบทความในฐานความรู้ของ Microsoft::
251095รหัสเหตุการณ์ 1419 ที่สร้างขึ้นบนตัวควบคุมโดเมน
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการจัดวางบทบาท FSMO ในโดเมนและวิธีการถ่ายโอนบทบาท FSMO ในตัวควบคุมโดเมนอื่น คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
223346การจัดวาง fsmo และปรับให้เหมาะสมบนตัวควบคุมโดเมน Active Directory
223787Flexible Single Master Operation transfer and seizure process

คุณสมบัติ

หมายเลขบทความ (Article ID): 248047 - รีวิวครั้งสุดท้าย: 8 มกราคม 2554 - Revision: 2.0
ใช้กับ
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Datacenter Edition
Keywords: 
kbinfo kbmt KB248047 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:248047

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com