Phantome, Grabsteine und die Infrastruktur master

In diesem Artikel wird beschrieben, wie Phantome in Windows Server verwendet werden.

Gilt für: Windows Server 2012 R2
Ursprüngliche KB-Nummer: 248047

Weitere Informationen

Phantomobjekte sind Datenbankobjekte auf niedriger Ebene, die Von Active Directory für interne Verwaltungsvorgänge verwendet werden. Zwei gängige Instanzen von Phantomobjekten sind wie folgt:

• Ein Objekt, das gelöscht wurde.

  Die Tombstone-Lebensdauer ist abgelaufen, aber Verweise auf das Objekt sind weiterhin in der Verzeichnisdatenbank vorhanden.

• Eine lokale Domänengruppe verfügt über einen Mitgliedsbenutzer aus einer anderen Domäne in der Active Directory-Gesamtstruktur. Phantomobjekte sind spezielle Arten von internen Datenbanknachverfolgungsobjekten und können nicht über LDAP oder Active Directory-Dienstschnittstellen (ADSI) angezeigt werden.

Objektlöschung

Wenn ein Objekt aus dem Active Directory gelöscht wird, folgt das Objekt dem folgenden Prozess.

Phase 1: Normale Objekte

Das -Objekt ist zuerst als typisches Active Directory-Objekt vorhanden. Sie können das Objekt mithilfe des entsprechenden Active Directory und über die LDAP-Schnittstelle anzeigen.

Das Objekt wird in Phase 2 verschoben, wenn das Objekt von einem Administrator oder auf andere Wege gelöscht wird.

Phase 2: Gelöschte Objekte vor Ablauf der Tombstone-Lebensdauer

Das -Objekt ist jetzt als Tombstone-Objekt für die Länge des Tombstone-Lebensdauerintervalls vorhanden. Während das -Objekt einen Teil seiner ursprünglichen Form beibehält:

• Das Objekt ist immer noch ein typisches (Nicht-Phantom)-Objekt.
• Das objectGUID-Attribut wurde nicht geändert.

Das Objekt wurde auch gegenüber seiner ursprünglichen Form erheblich geändert:

• Das Objekt wird in den DeletedObjects-Container verschoben (es sei denn, das Objekt ist als spezielles Systemobjekt gekennzeichnet).
• Das DN-Attribut des Objekts enthält (esc)DEL:GUID.
• Die meisten anderen Attribute des Objekts wurden vollständig entfernt.

Das Schema des -Objekts bestimmt die attribute, die entfernt werden, und die Attribute, die nach dem Löschen beibehalten werden. Die Bezeichnung der einzelnen Attribute für eine Objektklasse kann geändert werden.

Die Objekte können von normalen Active Directory-Verwaltungstools nicht angezeigt werden. Sie können eine LOW-Level-LDAP-Schnittstelle wie LDP konfigurieren, um diese Objekte anzuzeigen.

Das -Objekt wechselt in einen von zwei möglichen Zuständen (Stufe 3 oder 4), wenn die Tombstone-Lebensdauer abgelaufen ist. Die Standardlebensdauer des Tombstones beträgt 60 Tage.

Phase 3: Das (normale) Objekt wird vollständig aus der Active Directory-Datenbank entfernt.

Wenn keine Verweise auf dieses Objekt im Active Directory verbleiben, wird die Zeile in der Datenbank vollständig entfernt, und es sind keine Spuren des Objekts mehr vorhanden.

Phase 4: (Externe Verweise sind noch vorhanden) Phantomobjekt

Wenn Verweise auf dieses Objekt im Active Directory verbleiben, wird das Objekt selbst gelöscht, und an seiner Stelle wird ein Phantomobjekt erstellt, bis diese Verweise entfernt werden. Dieses Phantomobjekt wird gelöscht, wenn alle Verweise auf das Objekt entfernt werden.

Sie können diese Phantomobjekte nicht über eine LDAP- oder ADSI-Schnittstelle anzeigen.

Domänenübergreifende Verweise und die Infrastruktur master Rolle

Bestimmte Gruppentypen in einer Active Directory-Domäne können Konten aus vertrauenswürdigen Domänen enthalten. Um sicherzustellen, dass die Namen in der Gruppenmitgliedschaft korrekt sind, wird in der Mitgliedschaft der Gruppe auf die GUID des Benutzerobjekts verwiesen. Wenn Active Directory-Tools diese Gruppen anzeigt, die Benutzer aus fremden Domänen enthalten, müssen sie in der Lage sein, den genauen und aktuellen Namen des ausländischen Benutzers anzuzeigen, ohne sich auf einen unmittelbaren Kontakt mit einem Domänencontroller für die fremde Domäne oder einen globalen Katalog verlassen zu müssen.

Active Directory verwendet ein Phantomobjekt für domänenübergreifende Gruppen-zu-Benutzer-Verweise auf Domänencontrollern, bei denen es sich nicht um globale Kataloge handelt. Dieses Phantomobjekt ist eine spezielle Art von Objekt, das nicht über eine LDAP-Schnittstelle angezeigt werden kann.

Phantomdatensätze enthalten eine minimale Menge an Informationen, damit ein Domänencontroller auf den Speicherort verweisen kann, an dem sich das ursprüngliche Objekt befindet. Der Index von Phantomobjekten enthält die folgenden Informationen zum Querverweisobjekt:

• Distinguished Name des Objekts
• Objekt-GUID
• Objekt-SID

Beim Hinzufügen eines Mitglieds aus einer anderen Domäne zu einer lokalen Benutzergruppe erstellt der lokale Domänencontroller, der das Hinzufügen zur Gruppe durchführt, das Phantomobjekt für den Remotebenutzer.

Wenn Sie den Namen des fremden Benutzers ändern oder den ausländischen Benutzer löschen, müssen die Phantome in der Domäne der Gruppe von jedem Domänencontroller in der Domäne aktualisiert oder entfernt werden. Der Domänencontroller mit der Rolle Infrastructure master (CHAT) für die Domäne der Gruppe verarbeitet alle Aktualisierungen der Phantomobjekte.

Sie können diese Phantomobjekte nicht über eine LDAP- oder ADSI-Schnittstelle anzeigen.

Phantomaktualisierungs- und Bereinigungsprozesse

Wenn das Objekt, auf das ein Phantomobjekt verweist, gelöscht wurde, muss das Phantomobjekt aus der lokalen Domäne entfernt werden (bereinigt). Ein Phantomobjekt muss auch aktualisiert werden, wenn sich der Name des ursprünglichen Objekts ändert, sodass die Gruppenmitgliedschaftsliste für die Gruppe eine genaue Auflistung enthält. Der Domänencontroller mit der Chatrolle in einer Domäne verarbeitet beide Vorgänge für seine Domäne.

Die Chatnachricht vergleicht die Informationen zu den Phantomobjekten mit den neuesten Versionen auf einem globalen Katalogserver und nimmt bei Bedarf Änderungen an den Phantomen vor. Das Intervall kann angepasst werden, indem der Registrierungseintrag Tage pro Datenbank phantom scan dem folgenden Registrierungsunterschlüssel hinzugefügt wird:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Beachten Sie Folgendes, um diese Änderung vorzunehmen:

• Registrierungseintrag: Tage pro Datenbank-Phantomscan

• Typ: DWORD

• Standardwert: 2

• Funktion: Gibt das Intervall in Tagen an, in dem die Chatnachricht die Phantomobjekte mit den neuesten Versionen auf einem globalen Katalogserver vergleicht.

Nachdem die Chatnachricht festgestellt hat, dass das ursprüngliche Objekt, auf das das Phantomobjekt verweist, geändert oder gelöscht wurde:

• Die Chatnachricht erstellt ein infrastructureUpdate-Objekt in CN=Infrastructure,DC=DomainName,DC=... container und löscht ihn sofort.

• Dieses (Tombstone)-Objekt wird von einem speziellen Proxy auf die anderen Domänencontroller in der Domäne repliziert, die keine globalen Katalogserver sind.

  Wenn das ursprüngliche Objekt umbenannt wird, enthält der Wert im DNReferenceUpdate-Attribut von infrastructureUpdate den neuen Namen. Wenn das ursprüngliche Objekt gelöscht wurde, wird der DN der gelöschten Objekte geändert, sodass (esc)DEL:GUID an den ursprünglichen DN angefügt wird.

• Die Domänencontroller übernehmen dann die Informationen in den InfrastructureUpdate-Objekten und wenden die Änderungen entsprechend auf die lokalen Kopien ihrer Phantomobjekte an.

Wenn das ursprüngliche Objekt gelöscht wurde, löschen die empfangenden Domänencontroller das lokale Phantomobjekt und entfernen das entsprechende Attribut, das darauf verweist (z. B. das Member-Attribut für eine Gruppe).

Globaler Katalog- und Infrastruktur-master Rollenkonflikt

Wenn der FSMO-Rolleninhaber (IM Flexible Single Master Operation) auch ein globaler Katalogserver ist, werden die Phantomindizes nie auf diesem Domänencontroller erstellt oder aktualisiert. (FsMO wird auch als Vorgänge master bezeichnet.) Dieses Verhalten tritt auf, weil ein globaler Katalogserver ein Teilreplikat jedes Objekts in Active Directory enthält. Die Chatnachricht speichert keine Phantomversionen der Fremdobjekte, da sie bereits über ein Teilreplikat des Objekts im lokalen globalen Katalog verfügt.

Damit dieser Prozess in einer Umgebung mit mehreren Domänen ordnungsgemäß funktioniert, darf der FSMO-Rolleninhaber der Infrastruktur kein globaler Katalogserver sein. Beachten Sie, dass die erste Domäne in der Gesamtstruktur alle fünf FSMO-Rollen enthält und auch ein globaler Katalog ist. Daher müssen Sie beide Rollen auf einen anderen Computer übertragen, sobald ein anderer Domänencontroller in der Domäne installiert ist, wenn Sie mehrere Domänen verwenden möchten.

Wenn sich die FSMO-Infrastrukturrolle und die globale Katalogrolle auf demselben Domänencontroller befinden, erhalten Sie kontinuierlich die Ereignis-ID 1419 im Ereignisprotokoll der Verzeichnisdienste.

Es gibt zwei Bedingungen, unter denen das Platzieren der Infrastrukturmasterrolle in einem globalen Katalog in Ordnung ist:

1. Alle Domänencontroller in der Domäne sind globaler Katalog. In dieser Situation dürfen keine Phantome sauber werden.
2. Der Gesamtstrukturmodus lautet "Windows Server 2008 R2", und das Papierkorbfeature ist aktiviert. In diesem Modus werden entfernte Objektlinks nicht phantomisiert, sondern auf einen anderen Zustand festgelegt und sind weiterhin in der Datenbank vorhanden.

Informationen zum AD-Papierkorb finden Sie unter Szenarioübersicht zum Wiederherstellen gelöschter Active Directory-Objekte.

Weitere Informationen zur Platzierung von FSMO-Rollen in der Domäne und zum Übertragen einer FSMO-Rolle auf einen anderen Domänencontroller finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:

223346 FSMO-Platzierung und -Optimierung auf Active Directory-Domänencontrollern

223787 Flexible Single Master Operation Transfer and Seizure Process