Fantasmas, lápides e a infraestrutura master

  • Artigo

Este artigo descreve como os fantasmas são usados no Windows Server.

Aplica-se a: Windows Server 2012 R2
Número de KB original: 248047

Mais informações

Objetos fantasmas são objetos de banco de dados de baixo nível que o Active Directory usa para operações de gerenciamento interno. Duas instâncias comuns de objetos fantasmas são as seguintes:

  • Um objeto que foi excluído.

    O tempo de vida da lápide passou, mas as referências ao objeto ainda estão presentes no banco de dados do diretório.

  • Um grupo local de domínio tem um usuário membro de outro domínio na floresta do Active Directory. Objetos fantasmas são tipos especiais de objetos internos de rastreamento de banco de dados e não podem ser exibidos por meio de nenhum LDAP ou interfaces de serviço do Active Directory (ADSI).

Exclusão de objeto

Quando um objeto é excluído do diretório ativo, o objeto segue o processo a seguir.

Estágio 1: Objetos normais

O objeto existe primeiro como um objeto típico do Active Directory. Você pode exibir o objeto usando o Active Directory apropriado e por meio da interface LDAP.

O objeto se move para o Estágio 2 quando o objeto é excluído por um administrador ou por outro meio.

Estágio 2: Objetos excluídos antes do tempo de vida da lápide expirar

O objeto agora existe como um objeto Tombstone para o comprimento do intervalo de tempo de vida da lápide. Enquanto o objeto mantém parte de sua forma original:

  • O objeto ainda é um objeto típico (não fantasma).
  • O atributo objectGUID não foi alterado.

O objeto também foi significativamente modificado de sua forma original:

  • O objeto se move para o contêiner DeletedObjects (a menos que o objeto seja sinalizado como um objeto especial do sistema)
  • O atributo DN do objeto contém (esc)DEL:GUID
  • A maioria dos outros atributos do objeto foi completamente removida.

O esquema do objeto determina os atributos removidos e os atributos mantidos após a exclusão. A designação de cada atributo para uma classe de objeto pode ser alterada.

Os objetos não podem ser vistos de ferramentas normais de gerenciamento do Active Directory. Você pode configurar uma interface LDAP de baixo nível como o LDP para exibir esses objetos.

O objeto se move para um dos dois estados possíveis (Estágio 3 ou 4) quando o tempo de vida da lápide expirou. O tempo de vida padrão da lápide é de 60 dias.

Estágio 3: o objeto (normal) é removido do banco de dados do active directory completamente

Se não houver referências a esse objeto permanecer no Active Directory, a linha no banco de dados será completamente removida e não haverá nenhum rastreamento do objeto à esquerda.

Estágio 4: (Referências externas ainda existem) objeto fantasma

Se houver alguma referência a esse objeto permanecer no Active Directory, o objeto em si será excluído e um objeto fantasma será criado em seu lugar até que essas referências sejam removidas. Esse objeto fantasma é excluído quando todas as referências ao objeto são removidas.

Você não pode exibir esses objetos fantasmas por meio de qualquer interface LDAP ou ADSI.

Observação

Durante a remoção do catálogo global de um controlador de domínio, os objetos somente leitura removidos do catálogo global não passam pelo processo de exclusão. Eles são imediatamente removidos do banco de dados e todas as referências a eles não são afetadas.

Referências entre domínios e a função de master de infraestrutura

Determinados tipos de grupos em um domínio de diretório ativo podem conter contas de domínios confiáveis. Para garantir que os nomes na associação do grupo sejam precisos, o GUID do objeto de usuário é referenciado na associação do grupo. Quando o Active Directory Tools exibe esses grupos que têm usuários de domínios estrangeiros, eles devem ser capazes de exibir o nome preciso e atual do usuário estrangeiro sem depender do contato imediato com um controlador de domínio para o domínio estrangeiro ou um catálogo global.

O Active Directory usa um objeto fantasma para referências entre domínios de grupo para usuário em Controladores de Domínio que não são Catálogos Globais. Esse objeto fantasma é um tipo especial de objeto que não pode ser exibido por meio de nenhuma interface LDAP.

Os registros fantasmas contêm uma quantidade mínima de informações para permitir que um controlador de domínio se refira ao local em que o objeto original existe. O índice de objetos fantasmas contém as seguintes informações sobre o objeto entre referências:

  • Nome distinto do objeto
  • GUID do objeto
  • Objeto SID

Durante a adição de um membro de um domínio diferente a um grupo de usuários local, o controlador de domínio local que está executando a adição ao grupo cria o objeto fantasma para o usuário remoto.

Se você alterar o nome do usuário estrangeiro ou excluir o usuário estrangeiro, os fantasmas deverão ser atualizados ou removidos no domínio do grupo de todos os controladores de domínio no domínio. O controlador de domínio que mantém a função de master de infraestrutura (IM) para o domínio do grupo manipula quaisquer atualizações para os objetos fantasmas.

Você não pode exibir esses objetos fantasmas por meio de qualquer interface LDAP ou ADSI.

Processos de atualização e limpeza fantasmas

Se o objeto ao qual um objeto fantasma se refere tiver sido excluído, o objeto fantasma deverá ser removido do domínio local (limpo). Um objeto fantasma também deve ser atualizado se o nome do objeto original for alterado para que a lista de associações de grupo para o grupo tenha uma listagem precisa. O controlador de domínio que mantém a função de IM em um domínio manipula ambas as operações para seu domínio.

O IM compara as informações sobre os objetos fantasmas com as versões mais recentes em um servidor de catálogo global e faz alterações nos fantasmas conforme necessário. O intervalo pode ser personalizado adicionando a entrada de registro de verificação fantasma dias por banco de dados à seguinte subchave de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Para fazer essa alteração, observe o seguinte:

  • Entrada do registro: dias por verificação fantasma de banco de dados

  • Tipo: DWORD

  • Valor padrão: 2

  • Função: especifica o intervalo em dias em que a IM compara os objetos fantasmas com as versões mais recentes em um servidor de catálogo global.

Observação

O valor mínimo de DWORD é de 1 dia.

Depois que a IM determinar que o objeto original ao qual o objeto fantasma se refere foi alterado ou excluído:

  • A IM cria um objeto infrastructureUpdate na CN=Infrastructure,DC=DomainName,DC=... contêiner e exclui-o imediatamente.

  • Esse objeto (tombstone) é replicado por proxy especial para os outros controladores de domínio no domínio que não são servidores de catálogo globais.

    Se o objeto original for renomeado, o valor no atributo DNReferenceUpdate da infraestruturaUpdate conterá o novo nome. Se o objeto original foi excluído, o DN de objetos excluídos será alterado para que (esc)DEL:GUID seja acrescentado ao DN original.

  • Em seguida, os controladores de domínio pegam as informações nos objetos infrastructureUpdate e aplicam as alterações às cópias locais de seus objetos fantasmas de acordo.

Se o objeto original tiver sido excluído, os controladores de domínio receptores excluirão o objeto fantasma local e removerão o atributo correspondente que o referencia (como o atributo membro em um grupo).

Observação

Os servidores de catálogo global no domínio do grupo recebem a replicação de proxy especial para os objetos na CN=Infrastructure,DC=DomainName,DC=... Recipiente. No entanto, eles os ignoram porque uma cópia somente leitura do objeto em si já está instanciada no banco de dados local. Portanto, eles não precisam do fantasma para acompanhar a associação do grupo e aprenderão sobre a remoção do objeto com replicação regular do AD.

Conflito de função de master de catálogo e infraestrutura global

Se o titular da função FSMO (Operação Mestra Única Flexível) do IM também for um servidor de catálogo global, os índices fantasmas nunca serão criados ou atualizados nesse controlador de domínio. (O FSMO também é conhecido como as operações master.) Esse comportamento ocorre porque um servidor de catálogo global contém uma réplica parcial de cada objeto no Active Directory. A IM não armazena versões fantasmas dos objetos estrangeiros porque já tem uma réplica parcial do objeto no catálogo global local.

Para que esse processo funcione corretamente em um ambiente multidomain, o titular da função FSMO de infraestrutura não pode ser um servidor de catálogo global. Lembre-se de que o primeiro domínio na floresta contém todas as cinco funções FSMO e também é um catálogo global. Portanto, você deve transferir qualquer função para outro computador assim que outro controlador de domínio estiver instalado no domínio se você planeja ter vários domínios.

Se a função FSMO de infraestrutura e a função de catálogo global residirem no mesmo controlador de domínio, você receberá continuamente a ID do evento 1419 no log de eventos dos serviços de diretório.

Há duas condições em que colocar a função Mestre de Infraestrutura em um Catálogo Global é OK:

  1. Todos os Controladores de Domínio no Domínio são Catálogo Global. Nesta situação, não pode haver fantasmas para limpo.
  2. O Modo Floresta é "Windows Server 2008 R2" e o recurso Lixeira é ativado. Nesse modo, os links de objeto removidos não são fantasmagêneros, mas definidos como um estado diferente e ainda estão presentes no banco de dados.

Para obter informações sobre a Lixeira do AD, confira: Visão geral do cenário para restaurar objetos do Active Directory excluídos

Para obter mais informações sobre o posicionamento da função FSMO no domínio e como transferir uma função FSMO para outro controlador de domínio, clique nos seguintes números de artigo para exibir os artigos na Base de Dados de Conhecimento da Microsoft:

223346 posicionamento e otimização do FSMO em controladores de domínio do Active Directory

223787 processo flexível de transferência e apreensão da Operação Única Mestra