Фантомы, надгробия и инфраструктура master
В этой статье описывается использование фантомов в Windows Server.
Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 248047
Дополнительная информация
Фантомные объекты — это низкоуровневые объекты базы данных, которые Active Directory использует для внутренних операций управления. Ниже перечислены два распространенных экземпляра фантомных объектов:
Объект , который был удален.
Время существования надгробия прошло, но ссылки на объект по-прежнему присутствуют в базе данных каталога.
В локальной группе домена есть пользователь-член из другого домена в лесу Active Directory. Фантомные объекты — это особые типы внутренних объектов отслеживания базы данных, которые не могут просматриваться через какие-либо интерфейсы служб LDAP или Active Directory (ADSI).
Удаление объекта
При удалении объекта из Active Directory он выполняет следующую процедуру.
Этап 1. Обычные объекты
Сначала объект существует как типичный объект Active Directory. Объект можно просмотреть с помощью соответствующего каталога Active Directory и через интерфейс LDAP.
Объект переходит на этап 2, когда объект удаляется администратором или другим способом.
Этап 2. Удаленные объекты до истечения срока существования надгробия
Объект теперь существует как объект Tombstone для длины интервала времени существования надгробия. Хотя объект сохраняет некоторые из своих исходных форм:
- Объект по-прежнему является типичным (нефантомным) объектом.
- Атрибут objectGUID не изменился.
Объект также был значительно изменен с исходной формы:
- Объект перемещается в контейнер DeletedObjects (если объект не помечен как специальный системный объект).
- Атрибут DN объекта содержит (esc)DEL:GUID.
- Большинство других атрибутов объекта были полностью удалены.
Схема объекта определяет атрибуты, которые удаляются, и атрибуты, которые сохраняются после удаления. Обозначение каждого атрибута для класса объектов может быть изменено.
Объекты не могут быть видны из обычных средств управления Active Directory. Для просмотра этих объектов можно настроить низкоуровневый интерфейс LDAP, например LDP.
Объект перемещается в одно из двух возможных состояний (этап 3 или 4) по истечении времени существования надгробия. Время существования надгробия по умолчанию составляет 60 дней.
Этап 3. Объект (обычный) полностью удаляется из базы данных Active Directory
Если в Active Directory нет ссылок на этот объект, строка в базе данных полностью удаляется, а следы объекта не остаются.
Этап 4. (внешние ссылки все еще существуют) фантомный объект
Если какие-либо ссылки на этот объект остаются в Active Directory, сам объект удаляется и вместо него создается фантомный объект, пока эти ссылки не будут удалены. Этот фантомный объект удаляется при удалении всех ссылок на объект .
Эти фантомные объекты нельзя просматривать через интерфейс LDAP или ADSI.
Примечание.
Во время удаления глобального каталога с контроллера домена объекты только для чтения, удаленные из глобального каталога, не проходят процесс удаления. Они немедленно удаляются из базы данных, и все ссылки на них не затрагиваются.
Междоменные ссылки и роль master инфраструктуры
Некоторые типы групп в домене Active Directory могут содержать учетные записи из доверенных доменов. Чтобы убедиться, что имена в членстве в группе являются точными, в членстве в группе указана ссылка на GUID объекта пользователя. Когда средства Active Directory отображают эти группы с пользователями из внешних доменов, они должны иметь возможность отображать точное и текущее имя иностранного пользователя, не полагаясь на немедленный контакт с контроллером домена для внешнего домена или глобального каталога.
Active Directory использует фантомный объект для междоменных ссылок между группами пользователей на контроллерах домена, которые не являются глобальными каталогами. Этот фантомный объект является особым типом объектов, который не может быть просмотрен через какой-либо интерфейс LDAP.
Фантомные записи содержат минимальный объем информации, позволяющей контроллеру домена ссылаться на расположение, в котором существует исходный объект. Индекс фантомных объектов содержит следующие сведения о объекте, на который ссылается перекрестная ссылка:
- Различающееся имя объекта
- Идентификатор GUID объекта
- Идентификатор безопасности объекта
При добавлении члена из другого домена в локальную группу пользователей локальный контроллер домена, выполняющий добавление в группу, создает фантомный объект для удаленного пользователя.
При изменении имени иностранного пользователя или удалении внешнего пользователя фантомы должны быть обновлены или удалены в домене группы с каждого контроллера домена в домене. Контроллер домена, содержащий роль master инфраструктуры (IM) для домена группы, обрабатывает любые обновления фантомных объектов.
Эти фантомные объекты нельзя просматривать через интерфейс LDAP или ADSI.
Фантомные процессы обновления и очистки
Если объект, на который ссылается фантомный объект, был удален, фантомный объект необходимо удалить из локального домена (очистить). Фантомный объект также должен быть обновлен, если имя исходного объекта изменяется, чтобы список членства в группе был точно указан. Контроллер домена, содержащий роль обмена мгновенными сообщениями в домене, обрабатывает обе операции для своего домена.
Мгновенное сообщение сравнивает сведения о фантомных объектах с последними версиями на сервере глобального каталога и вносит изменения в фантомы по мере необходимости. Интервал можно настроить, добавив запись Реестра фантомной проверки в число дней для каждой базы данных в следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Чтобы внести это изменение, обратите внимание на следующее:
Запись реестра: число дней для каждой фантомной проверки базы данных
Тип: DWORD
Значение по умолчанию: 2
Функция: указывает интервал в днях, в течение чего мгновенное сообщение сравнивает фантомные объекты с последними версиями на сервере глобального каталога.
Примечание.
Минимальное значение DWORD — 1 день.
После того, как мгновенное сообщение определяет, что исходный объект, на который ссылается фантомный объект, был изменен или удален:
Мгновенное сообщение создает объект infrastructureUpdate в CN=Infrastructure,DC=DomainName,DC=... контейнер и немедленно удаляет его.
Этот объект (tombstone) реплицируется специальным прокси-сервером на другие контроллеры домена в домене, которые не являются серверами глобального каталога.
Если исходный объект переименован, значение атрибута DNReferenceUpdate объекта infrastructureUpdate содержит новое имя. Если исходный объект был удален, DN удаленных объектов изменяется таким образом, что (esc)DEL:GUID добавляется к исходному DN.
Затем контроллеры домена принимают сведения в объектах infrastructureUpdate и соответствующим образом применяют изменения к локальным копиям своих фантомных объектов.
Если исходный объект был удален, принимающие контроллеры домена удаляют локальный фантомный объект и соответствующий атрибут, ссылающийся на него (например, атрибут члена в группе).
Примечание.
Серверы глобального каталога в домене группы получают специальную репликацию прокси-сервера для объектов в CN=Infrastructure,DC=DomainName,DC=... Контейнер. Однако они игнорируют их, так как экземпляр самого объекта, доступный только для чтения, уже создан в локальной базе данных. Таким образом, им не нужен фантом для отслеживания членства в группе, и они узнают об удалении объекта с регулярной репликацией AD.
Конфликт ролей глобального каталога и инфраструктуры master
Если владелец роли FSMO также является сервером глобального каталога, фантомные индексы никогда не создаются и не обновляются на этом контроллере домена. (FSMO также называется операциями master.) Это происходит потому, что сервер глобального каталога содержит частичную реплика каждого объекта в Active Directory. Мгновенные сообщения не хранят фантомные версии внешних объектов, так как у него уже есть частичная реплика объекта в локальном глобальном каталоге.
Для правильной работы этого процесса в среде с несколькими доменами владелец роли FSMO инфраструктуры не может быть сервером глобального каталога. Имейте в виду, что первый домен в лесу содержит все пять ролей FSMO, а также является глобальным каталогом. Поэтому необходимо передать одну из ролей на другой компьютер, как только в домене будет установлен другой контроллер домена, если вы планируете иметь несколько доменов.
Если роль FSMO инфраструктуры и роль глобального каталога находятся на одном контроллере домена, вы постоянно получаете событие с идентификатором 1419 в журнале событий служб каталогов.
Существует два условия, при которых размещение роли "Хозяин инфраструктуры" в глобальном каталоге является нормальным.
- Все контроллеры домена в домене являются глобальным каталогом. В этой ситуации не может быть никаких фантомов для очистки.
- Режим леса — "Windows Server 2008 R2", и функция корзины активирована. В этом режиме удаленные связи объектов не фантомизированы, но устанавливаются в другое состояние и по-прежнему присутствуют в базе данных.
Сведения о корзине AD см. в статье Общие сведения о сценарии восстановления удаленных объектов Active Directory.
Дополнительные сведения о размещении ролей FSMO в домене и о том, как передать роль FSMO другому контроллеру домена, щелкните следующие номера статей, чтобы просмотреть статьи в базе знаний Майкрософт:
223346 размещение и оптимизация FSMO на контроллерах домена Active Directory
223787 гибкий процесс передачи и изъятия с одной главной операцией
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по