幻像、逻辑删除和结构主机

文章翻译 文章翻译
文章编号: 248047 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

本文介绍如何在 Microsoft Windows 2000 和 Microsoft Windows Server 2003 中使用幻像。

更多信息

幻像对象是 Active Directory 用于内部管理操作的低级数据库对象。以下是幻像对象的两个常见实例:
  • 一个已删除的对象。

    逻辑删除的生存期已过,但目录数据库中仍存在指向该对象的引用。
  • 本地域组中的一个成员用户来自 Active Directory 林中的另一个域。
幻像对象是一种特殊的内部数据库跟踪对象,并且不能通过任何 LDAP 或 Active Directory 服务接口 (ADSI) 进行查看。

对象删除

当从 Active Directory 中删除一个对象时,此对象将经历以下过程。

阶段 1:普通对象

此对象首先作为典型 Active Directory 对象而存在。您可以使用适当的 Active Directory 和 LDAP 接口查看此对象。

此对象由管理员删除或通过另一种方式删除后,即进入阶段 2。

阶段 2:在逻辑删除生存期结束之前的已删除对象

此时,此对象在逻辑删除生存期内作为逻辑删除对象而存在。然而,此对象会保留它的某些原始形式:
  • 对象仍然是典型的(非幻像)对象。
  • objectGUID 属性未发生变化。
同时,与其原始形式相比,此对象已发生了明显的变化:
  • 此对象移动到 DeletedObjects 容器(除非将此对象标记为特殊系统对象)
  • 此对象的 DN 属性包含 (esc)DEL:GUID
  • 此对象的多数其他属性都已被完全删除。
对象的架构决定着在删除以后保留的属性以及删除的属性。可以更改对象类的每个属性的标志。

不能通过普通 Active Directory 管理工具查看这些对象。您可以通过配置低级 LDAP 接口(如 LDP)来查看这些对象:
http://support.microsoft.com/default.aspx?scid=kb;zh-cn;Q258310
在逻辑删除生存期结束后,此对象可能进入两个阶段中的任何一个阶段,即阶段 3 或阶段 4。默认的逻辑删除生存期为 60 天。

阶段 3:将(普通)对象从 Active Directory 数据库中完全删除

如果在 Active Directory 中未保留指向此对象的任何引用,则将完全删除数据库中相应的行,并且不保留此对象的任何内容。

阶段 4:(外部引用仍然存在)幻像对象

如果 Active Directory 中保留了指向此对象的任何引用,则将删除对象本身,并且会在原地创建幻像对象,直到删除这些引用为止。在删除指向此对象的所有引用后,即删除此幻像对象。

您不能通过任何 LDAP 或 ADSI 接口查看这些幻像对象。 注意:从域控制器中删除全局编录的过程中,从全局编录删除的只读对象不会经历此删除过程。这些只读对象将从数据库中立即删除,并且指向这些只读对象的任何引用不会受到影响。

跨域引用和结构主机角色

Active Directory 域中某些类型的组可以包含一些来自受信任域的帐户。为确保组成员身份中的名称正确无误,必须在组的成员身份中引用用户对象的 GUID。当 Active Directory 工具显示这些包含外部域中用户的组时,这些工具必须能够显示正确的当前外部用户名称,而无需直接与外部域或全局编录的域控制器联系。

Active Directory 将幻像对象用于组到用户的跨域引用。此幻像对象是一种特殊的对象,不能通过任何 LDAP 接口进行查看。

幻像记录包含使域控制器引用原始对象所在位置的最少量信息。幻像对象的索引包含有关交叉引用的对象的以下信息:
  • 对象的可分辨名称
  • 对象 GUID
  • 对象 SID
将其他域的成员添加到本地用户组的过程中,对组执行添加操作的本地域控制器会为远程用户创建幻像对象。

如果您更改外部用户的名称或删除外部用户,则必须从域中的每个域控制器上更新或删除该组的域中的幻像。拥有该组的域的结构主机 (IM) 角色的域控制器可处理对幻像对象的任何更新。

您不能通过任何 LDAP 或 ADSI 接口查看这些幻像对象。

幻像更新和清除过程

如果删除了幻像对象所引用的对象,则必须从本地域中删除(清除)此幻像对象。如果原始对象的名称发生了变化,则还必须更新幻像对象,以便组的组成员身份列表具有正确的清单。拥有域中 IM 角色的域控制器可处理对其域的这两项操作。

IM 会将全局编录服务器上的最新版本与幻像对象的信息进行比较,并根据需要对幻像进行更改。可以通过将“Days per database phantom scan”注册表项添加到以下注册表子项来自定义间隔:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
要进行此更改,请注意以下几项:
  • 注册表项:Days per database phantom scan
  • 类型:DWORD
  • 默认值: 2
  • 功能:指定 IM 将全局编录服务器上的最新版本与幻像对象进行比较的间隔(以天为单位)。
注意:最小 DWORD 值为 1 天。 IM 确定幻像对象所引用的原始对象已更改或删除后:
  • IM 会在 CN=Infrastructure,DC=DomainName,DC=… 容器中创建一个 infrastructureUpdate 对象并立即删除此幻像对象。
  • 此(逻辑删除)对象将由特殊代理复制到域中非全局编录服务器的其他域控制器。

    如果原始对象被重命名,则 infrastructureUpdate 的 DNReferenceUpdate 属性中的值将包含新的名称。如果原始对象被删除,则删除的对象 DN 会发生更改,以便 (esc)DEL:GUID 追加到原始 DN。
  • 然后,域控制器会提取 infrastructureUpdate 对象中的信息,并相应地将更改应用到其幻像对象的本地副本。

    如果原始对象已被删除,则接收域控制器会删除本地幻像对象,并删除引用此对象的相应属性(例如,组的成员属性)。
注意:组的域中的全局编录服务器接收 CN=Infrastructure,DC=DomainName,DC=… 容器中对象的特殊代理复制。但是,全局编录服务器会忽略这些对象的特殊代理复制,因为对象本身的只读副本已在本地数据库中进行了实例化。

全局编录和结构主机角色冲突

如果 IM 灵活单主机操作 (FSMO) 角色拥有者同时也是全局编录服务器,则绝不会在此域控制器中创建或更新幻像索引。(FSMO 也称为操作主机。)发生此问题的原因是全局编录服务器包含 Active Directory 中每个对象的部分副本。IM 不存储外部对象的幻像版本,因为 IM 已在本地全局编录中具有对象的部分副本。

为了使此过程在多域环境中正常执行,结构 FSMO 角色拥有者不能是全局编录服务器。请注意,林中的第一个域拥有所有这五个 FSMO 角色,同时还是全局编录服务器。因此,如果您计划拥有多个域,当在域中安装另一个域控制器时,您必须将任一角色转移到另一台计算机。

如果结构 FSMO 角色和全局编录角色位于同一域控制器中,您会在目录服务事件日志中不断收到事件 ID 1419。 有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
251095 在域控制器上生成事件 ID 1419
有关域中 FSMO 角色位置以及如何将 FSMO 角色转移到另一域控制器的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
223346 在 Active Directory 域控制器上放置和优化 FSMO
223787 灵活单主机操作转移和捕获过程

属性

文章编号: 248047 - 最后修改: 2008年1月23日 - 修订: 4.1
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Datacenter Edition
关键字:?
kbinfo KB248047
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com