ファントム、墓石、インフラストラクチャ マスター

  • [アーティクル]

この記事では、Windows Server でのファントムの使用方法について説明します。

適用対象: Windows Server 2012 R2
元の KB 番号: 248047

詳細

Phantom オブジェクトは、Active Directory が内部管理操作に使用する低レベルのデータベース オブジェクトです。 ファントム オブジェクトの 2 つの一般的なインスタンスは次のとおりです。

  • 削除されたオブジェクト。

    廃棄ストーンの有効期間が経過しましたが、オブジェクトへの参照はディレクトリ データベースに残ります。

  • ドメイン ローカル グループには、Active Directory フォレスト内の別のドメインのメンバー ユーザーがいます。 ファントム オブジェクトは、特殊な種類の内部データベース追跡オブジェクトであり、LDAP または Active Directory サービス インターフェイス (ADSI) を介して表示することはできません。

オブジェクトの削除

オブジェクトが Active Directory から削除されると、オブジェクトは次のプロセスに従います。

ステージ 1: 標準オブジェクト

オブジェクトは、最初に一般的な Active Directory オブジェクトとして存在します。 オブジェクトを表示するには、適切な Active Directory と LDAP インターフェイスを使用します。

オブジェクトが管理者または別の方法で削除されると、オブジェクトはステージ 2 に移動します。

ステージ 2: 廃棄ストーンの有効期間が切れる前に削除されたオブジェクト

オブジェクトは、廃棄ストーンの有効期間の長さのために Tombstone オブジェクトとして存在するようになりました。 オブジェクトは元の形式の一部を保持します。

  • Object は依然として一般的な (非ファントム) オブジェクトです。
  • objectGUID 属性は変更されていません。

また、オブジェクトは元の形式から大幅に変更されています。

  • オブジェクトは DeletedObjects コンテナーに移動します (オブジェクトに特殊なシステム オブジェクトとしてフラグが設定されていない限り)
  • オブジェクトの DN 属性に (esc)DEL:GUID が含まれています
  • オブジェクトの他の属性のほとんどは完全に削除されています。

オブジェクトのスキーマによって、削除される属性と、削除後に保持される属性が決まります。 オブジェクト クラスの各属性の指定は変更できます。

オブジェクトは、通常の Active Directory 管理ツールからは見えません。 これらのオブジェクトを表示するように、LDP のような低レベルの LDAP インターフェイスを構成できます。

オブジェクトは、廃棄ストーンの有効期間が終了すると、2 つの可能な状態 (ステージ 3 または 4) のいずれかに移動します。 既定の廃棄石の有効期間は 60 日です。

ステージ 3: (標準) オブジェクトが Active Directory データベースから完全に削除される

Active Directory にこのオブジェクトへの参照が残っていない場合、データベース内の行は完全に削除され、オブジェクトのトレースは残っていません。

ステージ 4: (外部参照がまだ存在する) ファントム オブジェクト

このオブジェクトへの参照が Active Directory に残っている場合、オブジェクト自体は削除され、それらの参照が削除されるまでその場所にファントム オブジェクトが作成されます。 このファントム オブジェクトは、オブジェクトへのすべての参照が削除されると削除されます。

これらのファントム オブジェクトは、LDAP または ADSI インターフェイスを介して表示することはできません。

注:

ドメイン コントローラーからのグローバル カタログの削除中に、グローバル カタログから削除された読み取り専用オブジェクトは削除プロセスを通過しません。 データベースからすぐに削除され、それらに対する参照は影響を受けません。

クロスドメイン参照とインフラストラクチャ マスター ロール

Active Directory ドメイン内の特定の種類のグループには、信頼されたドメインのアカウントを含めることができます。 グループのメンバーシップ内の名前が正確であることを確認するために、ユーザー オブジェクトの GUID はグループのメンバーシップで参照されます。 Active Directory ツールで、外部ドメインのユーザーが存在するこれらのグループを表示する場合、外部ドメインまたはグローバル カタログのドメイン コントローラーとの即時の接触に依存することなく、外部ユーザーの正確で現在の名前を表示できる必要があります。

Active Directory では、グローバル カタログではないドメイン コントローラー上のクロスドメイン グループ間参照にファントム オブジェクトを使用します。 このファントム オブジェクトは、LDAP インターフェイスを介して表示できない特殊な種類のオブジェクトです。

ファントム レコードには、ドメイン コントローラーが元のオブジェクトが存在する場所を参照できるようにするための最小限の情報が含まれています。 ファントム オブジェクトのインデックスには、相互参照オブジェクトに関する次の情報が含まれています。

  • オブジェクトの識別名
  • オブジェクト GUID
  • オブジェクト SID

別のドメインからローカル ユーザー グループへのメンバーの追加中に、グループへの追加を実行しているローカル ドメイン コントローラーによって、リモート ユーザーのファントム オブジェクトが作成されます。

外部ユーザーの名前を変更するか、外部ユーザーを削除する場合は、ドメイン内のすべてのドメイン コントローラーからグループのドメインでファントムを更新または削除する必要があります。 グループのドメインのインフラストラクチャ マスター (IM) ロールを保持しているドメイン コントローラーは、ファントム オブジェクトの更新を処理します。

これらのファントム オブジェクトは、LDAP または ADSI インターフェイスを介して表示することはできません。

ファントムの更新とクリーンアップ プロセス

ファントム オブジェクトが参照するオブジェクトが削除されている場合は、ファントム オブジェクトをローカル ドメインから削除する必要があります (クリーンアップ)。 また、元のオブジェクトの名前が変更され、グループのグループ メンバーシップ リストに正確な一覧が含まれるように、ファントム オブジェクトも更新する必要があります。 ドメインで IM ロールを保持しているドメイン コントローラーは、そのドメインの両方の操作を処理します。

IM は、ファントム オブジェクトに関する情報をグローバル カタログ サーバー上の最新バージョンと比較し、必要に応じてファントムに変更を加えます。 間隔は、次のレジストリ サブキーにデータベースファントム スキャン レジストリ エントリあたりの日数を追加することでカスタマイズできます。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

この変更を行うには、次の点に注意してください。

  • レジストリ エントリ: データベースファントム スキャンあたりの日数

  • 型: DWORD

  • 既定値: 2

  • 関数: IM がグローバル カタログ サーバー上の最新バージョンとファントム オブジェクトを比較する間隔を日数で指定します。

注:

DWORD の最小値は 1 日です。

IM が、ファントム オブジェクトが参照している元のオブジェクトが変更または削除されたと判断した後:

  • IM は、CN=Infrastructure、DC=DomainName、DC=..に infrastructureUpdate オブジェクトを作成します。コンテナーを削除し、直ちに削除します。

  • この (tombstone) オブジェクトは、特殊なプロキシによって、グローバル カタログ サーバーではないドメイン内の他のドメイン コントローラーにレプリケートされます。

    元のオブジェクトの名前が変更された場合、infrastructureUpdate の DNReferenceUpdate 属性の値に新しい名前が含まれます。 元のオブジェクトが削除された場合、削除されたオブジェクト DN が変更され、(esc)DEL:GUID が元の DN に追加されます。

  • その後、ドメイン コントローラーは infrastructureUpdate オブジェクトの情報を取得し、それに応じてファントム オブジェクトのローカル コピーに変更を適用します。

元のオブジェクトが削除されている場合、受信ドメイン コントローラーはローカル ファントム オブジェクトを削除し、それを参照する対応する属性 (グループのメンバー属性など) を削除します。

注:

グループのドメイン内のグローバル カタログ サーバーは、CN=Infrastructure、DC=DomainName、DC=..内のオブジェクトの特殊なプロキシ レプリケーションを受け取ります。コンテナー。 ただし、オブジェクト自体の読み取り専用コピーが既にローカル データベースにインスタンス化されているため、無視されます。 そのため、グループ メンバーシップを追跡するためにファントムは必要ありません。また、通常の AD レプリケーションを使用したオブジェクトの削除について学習します。

グローバル カタログとインフラストラクチャ マスターロールの競合

IM フレキシブル シングル マスター操作 (FSMO) ロール所有者もグローバル カタログ サーバーである場合、そのドメイン コントローラーでファントム インデックスが作成または更新されることはありません。 (FSMO は操作マスターとも呼ばれます)。この動作は、グローバル カタログ サーバーに Active Directory 内のすべてのオブジェクトの部分レプリカが含まれているために発生します。 IM では、ローカル グローバル カタログにオブジェクトの部分的なレプリカが既に存在するため、外部オブジェクトのファントム バージョンは格納されません。

このプロセスをマルチドメイン環境で正しく動作させるには、インフラストラクチャ FSMO ロール所有者をグローバル カタログ サーバーにすることはできません。 フォレスト内の最初のドメインは、5 つの FSMO ロールをすべて保持し、グローバル カタログでもあることに注意してください。 そのため、複数のドメインを使用する予定の場合は、ドメインに別のドメイン コントローラーがインストールされたらすぐに、いずれかの役割を別のコンピューターに転送する必要があります。

インフラストラクチャ FSMO ロールとグローバル カタログ ロールが同じドメイン コントローラーに存在する場合は、ディレクトリ サービス のイベント ログにイベント ID 1419 を継続的に受信します。

グローバル カタログにインフラストラクチャ マスター ロールを配置しても問題ない条件は 2 つあります。

  1. ドメイン内のすべてのドメイン コントローラーはグローバル カタログです。 この状況では、クリーンするファントムは存在しません。
  2. フォレスト モードは "Windows Server 2008 R2" で、ごみ箱機能がアクティブ化されています。 このモードでは、削除されたオブジェクト リンクはファントム化されず、別の状態に設定され、データベースに存在します。

AD ごみ箱の詳細については、「削除された Active Directory オブジェクトを復元するためのシナリオの概要」を参照してください。

ドメインでの FSMO ロールの配置と、FSMO ロールを別のドメイン コントローラーに転送する方法の詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を表示してください。

Active Directory ドメイン コントローラーでの FSMO の配置と最適化の223346

223787 フレキシブルシングルマスター操作転送および焼付けプロセス