Fantasmas, lápidas y el maestro de infraestructura

En este artículo se describe cómo se usan los fantasmas en Windows Server.

Se aplica a: Windows Server 2012 R2
Número de KB original: 248047

Más información

Los objetos fantasma son objetos de base de datos de bajo nivel que Active Directory usa para las operaciones de administración internas. Dos instancias comunes de objetos fantasma son las siguientes:

• Objeto que se ha eliminado.

  La duración del lápiz ha pasado, pero las referencias al objeto siguen estando presentes en la base de datos de directorios.

• Un grupo local de dominio tiene un usuario miembro de otro dominio en el bosque de Active Directory. Los objetos fantasma son tipos especiales de objetos de seguimiento de bases de datos internos y no se pueden ver a través de ninguna interfaz de servicio LDAP o Active Directory (ADSI).

Eliminación de objetos

Cuando se elimina un objeto de Active Directory, el objeto sigue el proceso siguiente.

Fase 1: Objetos normales

El objeto existe primero como un objeto típico de Active Directory. Puede ver el objeto mediante el active directory adecuado y a través de la interfaz LDAP.

El objeto se mueve a la fase 2 cuando un administrador o a través de otro medio elimina el objeto.

Fase 2: Objetos eliminados antes de que expire la duración de la lápida

El objeto ahora existe como un objeto Tombstone para la longitud del intervalo de duración del lápiz. Mientras que el objeto mantiene parte de su forma original:

• Object sigue siendo un objeto típico (no fantasma).
• El atributo objectGUID no ha cambiado.

El objeto también se ha modificado significativamente de su forma original:

• El objeto se mueve al contenedor DeletedObjects (a menos que el objeto se marque como un objeto del sistema especial)
• El atributo DN del objeto contiene (esc)DEL:GUID
• La mayoría de los demás atributos del objeto se han quitado por completo.

El esquema del objeto determina los atributos que se quitan y los atributos que se conservan después de la eliminación. Se puede cambiar la designación de cada atributo para una clase de objeto.

Los objetos no se pueden ver desde herramientas de administración normales de Active Directory. Puede configurar una interfaz LDAP de bajo nivel como LDP para ver estos objetos.

El objeto se mueve a uno de los dos estados posibles (fase 3 o 4) cuando la duración de la lápida ha expirado. La duración predeterminada del lápiz es de 60 días.

Fase 3: (Normal) el objeto se quita completamente de la base de datos de Active Directory

Si no queda ninguna referencia a este objeto en Active Directory, la fila de la base de datos se quita por completo y no queda ningún seguimiento del objeto.

Fase 4: (Todavía existen referencias externas) objeto fantasma

Si hay referencias a este objeto permanecen en Active Directory, el propio objeto se elimina y se crea un objeto fantasma en su lugar hasta que se quitan esas referencias. Este objeto fantasma se elimina cuando se quitan todas las referencias al objeto.

No puede ver estos objetos fantasma a través de ninguna interfaz LDAP o ADSI.

Referencias entre dominios y el rol maestro de infraestructura

Ciertos tipos de grupos de un dominio de Active Directory pueden contener cuentas de dominios de confianza. Para asegurarse de que los nombres de la pertenencia del grupo son precisos, se hace referencia al GUID del objeto de usuario en la pertenencia del grupo. Cuando Herramientas de Active Directory muestra estos grupos que tienen usuarios de dominios externos, deben poder mostrar el nombre preciso y actual del usuario externo sin depender del contacto inmediato con un controlador de dominio para el dominio externo o un catálogo global.

Active Directory usa un objeto fantasma para referencias de grupo a usuario entre dominios en controladores de dominio que no son catálogos globales. Este objeto fantasma es un tipo especial de objeto que no se puede ver a través de ninguna interfaz LDAP.

Los registros fantasma contienen una cantidad mínima de información para permitir que un controlador de dominio haga referencia a la ubicación en la que existe el objeto original. El índice de objetos fantasma contiene la siguiente información sobre el objeto al que se hace referencia cruzadamente:

• Nombre distintivo del objeto
• Objeto GUID
• SID de objeto

Durante la adición de un miembro de un dominio diferente a un grupo de usuarios local, el controlador de dominio local que realiza la adición al grupo crea el objeto fantasma para el usuario remoto.

Si cambia el nombre del usuario externo o elimina al usuario externo, los fantasmas deben actualizarse o quitarse en el dominio del grupo de todos los controladores de dominio del dominio. El controlador de dominio que contiene el rol de maestro de infraestructura (MI) para el dominio del grupo controla las actualizaciones de los objetos fantasma.

No puede ver estos objetos fantasma a través de ninguna interfaz LDAP o ADSI.

Procesos fantasma de actualización y limpieza

Si se ha eliminado el objeto al que hace referencia un objeto fantasma, el objeto fantasma debe quitarse del dominio local (limpiar). También se debe actualizar un objeto fantasma si cambia el nombre del objeto original para que la lista de pertenencia a grupos del grupo tenga una lista precisa. El controlador de dominio que contiene el rol de mensajería instantánea en un dominio controla ambas operaciones para su dominio.

La mensajería instantánea compara la información sobre los objetos fantasma con las versiones más recientes de un servidor de catálogo global y realiza cambios en los fantasmas según sea necesario. El intervalo se puede personalizar agregando la entrada días por registro de examen fantasma de base de datos a la siguiente subclave del Registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Para realizar este cambio, tenga en cuenta lo siguiente:

• Entrada del Registro: Días por examen fantasma de base de datos

• Tipo: DWORD

• Valor predeterminado: 2

• Función: especifica el intervalo en días en que la mensajería instantánea compara los objetos fantasma con las versiones más recientes de un servidor de catálogo global.

Después de que la mensajería instantánea determine que el objeto original al que hace referencia el objeto fantasma ha cambiado o eliminado:

• La mensajería instantánea crea un objeto infrastructureUpdate en CN=Infrastructure,DC=DomainName,DC=... contenedor y lo elimina inmediatamente.

• Este objeto (lápida) se replica mediante proxy especial en los demás controladores de dominio del dominio que no son servidores de catálogo global.

  Si se cambia el nombre del objeto original, el valor del atributo DNReferenceUpdate de infrastructureUpdate contiene el nuevo nombre. Si se eliminó el objeto original, el DN de los objetos eliminados se cambia para que (esc)DEL:GUID se anexa al DN original.

• A continuación, los controladores de dominio toman la información de los objetos infrastructureUpdate y aplican los cambios a las copias locales de sus objetos fantasma en consecuencia.

Si se ha eliminado el objeto original, los controladores de dominio receptores eliminan el objeto fantasma local y quitan el atributo correspondiente que hace referencia a él (por ejemplo, el atributo de miembro de un grupo).

Conflicto de roles maestros de infraestructura y catálogo global

Si el titular del rol operación de maestro único flexible (FSMO) de MI también es un servidor de catálogo global, los índices fantasma nunca se crean ni actualizan en ese controlador de dominio. (El FSMO también se conoce como maestro de operaciones). Este comportamiento se produce porque un servidor de catálogo global contiene una réplica parcial de todos los objetos de Active Directory. La mensajería instantánea no almacena versiones fantasma de los objetos externos porque ya tiene una réplica parcial del objeto en el catálogo global local.

Para que este proceso funcione correctamente en un entorno de varios dominios, el titular del rol FSMO de infraestructura no puede ser un servidor de catálogo global. Tenga en cuenta que el primer dominio del bosque contiene los cinco roles FSMO y también es un catálogo global. Por lo tanto, debe transferir cualquiera de los roles a otro equipo en cuanto se instale otro controlador de dominio en el dominio si tiene previsto tener varios dominios.

Si el rol FSMO de infraestructura y el rol de catálogo global residen en el mismo controlador de dominio, recibirá continuamente el identificador de evento 1419 en el registro de eventos de servicios de directorio.

Hay dos condiciones en las que colocar el rol Maestro de infraestructura en un catálogo global es correcto:

1. Todos los controladores de dominio del dominio son catálogo global. En esta situación, no puede haber fantasmas para limpiar.
2. El modo de bosque es "Windows Server 2008 R2" y la característica Papelera de reciclaje está activada. En este modo, los vínculos de objetos quitados no están fantasmaizados, sino que se establecen en un estado diferente y siguen presentes en la base de datos.

Para obtener información sobre la papelera de reciclaje de AD, vea: Introducción al escenario para restaurar objetos de Active Directory eliminados.

Para obtener más información sobre la ubicación de roles FSMO en el dominio y cómo transferir un rol FSMO a otro controlador de dominio, haga clic en los números de artículo siguientes para ver los artículos de Microsoft Knowledge Base:

223346 colocación y optimización de FSMO en controladores de dominio de Active Directory

223787 proceso flexible de transferencia y incautación de operaciones maestras únicas