가상, 삭제 표시 및 인프라 master

  • 아티클

이 문서에서는 Windows Server에서 팬텀을 사용하는 방법을 설명합니다.

적용 대상: Windows Server 2012 R2
원본 KB 번호: 248047

추가 정보

팬텀 개체는 Active Directory가 내부 관리 작업에 사용하는 하위 수준 데이터베이스 개체입니다. 가상 개체의 두 가지 일반적인 인스턴스는 다음과 같습니다.

  • 삭제된 개체입니다.

    삭제 표시 수명이 지났지만 개체에 대한 참조는 여전히 디렉터리 데이터베이스에 있습니다.

  • 도메인 로컬 그룹에는 Active Directory 포리스트에 있는 다른 도메인의 멤버 사용자가 있습니다. 팬텀 개체는 특수한 종류의 내부 데이터베이스 추적 개체이며 LDAP 또는 ADSI(Active Directory Service Interfaces)를 통해 볼 수 없습니다.

개체 삭제

개체가 Active Directory에서 삭제되면 개체는 다음 프로세스를 따릅니다.

1단계: 일반 개체

개체는 먼저 일반적인 Active Directory 개체로 존재합니다. 적절한 Active Directory를 사용하고 LDAP 인터페이스를 통해 개체를 볼 수 있습니다.

개체가 관리자 또는 다른 수단을 통해 삭제되면 개체가 2단계로 이동합니다.

2단계: 삭제 표시 수명이 만료되기 전에 삭제된 개체

이제 개체가 삭제 표시 수명 간격의 길이에 대한 삭제 표시 개체로 존재합니다. 개체가 원래 형식의 일부를 유지하는 동안:

  • 개체는 여전히 일반적인(가상이 아닌) 개체입니다.
  • objectGUID 특성이 변경되지 않았습니다.

또한 개체는 원래 형식에서 크게 수정되었습니다.

  • 개체가 특수 시스템 개체로 플래그가 지정되지 않는 한 개체가 DeletedObjects 컨테이너로 이동합니다.
  • 개체의 DN 특성에는 (esc)DEL:GUID가 포함됩니다.
  • 개체의 다른 특성 대부분이 완전히 제거되었습니다.

개체의 스키마는 제거된 특성과 삭제 후에 유지되는 특성을 결정합니다. 개체 클래스에 대한 각 특성의 지정을 변경할 수 있습니다.

일반 Active Directory 관리 도구에서는 개체를 볼 수 없습니다. 이러한 개체를 보려면 LDP와 같은 하위 수준 LDAP 인터페이스를 구성할 수 있습니다.

삭제 표시 수명이 만료되면 개체가 가능한 두 상태(3단계 또는 4단계) 중 하나로 이동합니다. 기본 삭제 표시 수명은 60일입니다.

3단계: (Normal) 개체가 Active Directory 데이터베이스에서 완전히 제거됨

이 개체에 대한 참조가 Active Directory에 남아 있지 않으면 데이터베이스의 행이 완전히 제거되고 개체의 추적이 남아 있지 않습니다.

4단계: (외부 참조가 여전히 있음) 가상 개체

이 개체에 대한 참조가 Active Directory에 남아 있으면 개체 자체가 삭제되고 해당 참조가 제거될 때까지 가상 개체가 해당 위치에 만들어집니다. 이 가상 개체는 개체에 대한 모든 참조가 제거될 때 삭제됩니다.

LDAP 또는 ADSI 인터페이스를 통해 이러한 가상 개체를 볼 수 없습니다.

참고

도메인 컨트롤러에서 전역 카탈로그를 제거하는 동안 전역 카탈로그에서 제거된 읽기 전용 개체는 삭제 프로세스를 거치지 않습니다. 데이터베이스에서 즉시 제거되고 해당 데이터베이스에 대한 참조는 영향을 받지 않습니다.

도메인 간 참조 및 인프라 master 역할

Active Directory 도메인의 특정 유형의 그룹에는 신뢰할 수 있는 도메인의 계정이 포함될 수 있습니다. 그룹의 멤버 자격에 있는 이름이 정확한지 확인하기 위해 사용자 개체의 GUID는 그룹의 멤버 자격에서 참조됩니다. Active Directory Tools가 외국 도메인의 사용자가 있는 이러한 그룹을 표시하는 경우 외국 도메인 또는 글로벌 카탈로그에 대한 도메인 컨트롤러와의 즉각적인 접촉에 의존하지 않고도 외국 사용자의 정확하고 현재 이름을 표시할 수 있어야 합니다.

Active Directory는 전역 카탈로그가 아닌 도메인 컨트롤러에서 도메인 간 그룹-사용자 참조에 대해 가상 개체를 사용합니다. 이 가상 개체는 LDAP 인터페이스를 통해 볼 수 없는 특수한 종류의 개체입니다.

가상 레코드에는 도메인 컨트롤러가 원래 개체가 있는 위치를 참조할 수 있는 최소한의 정보가 포함되어 있습니다. 가상 개체의 인덱스에는 상호 참조된 개체에 대한 다음 정보가 포함됩니다.

  • 개체의 고유 이름
  • 개체 GUID
  • 개체 SID

다른 도메인의 멤버를 로컬 사용자 그룹에 추가하는 동안 그룹에 추가를 수행하는 로컬 도메인 컨트롤러는 원격 사용자에 대한 가상 개체를 만듭니다.

외국 사용자의 이름을 변경하거나 외국 사용자를 삭제하는 경우 도메인의 모든 도메인 컨트롤러에서 그룹의 도메인에서 팬텀을 업데이트하거나 제거해야 합니다. 그룹의 도메인에 대한 IM(인프라 master) 역할을 보유하는 도메인 컨트롤러는 가상 개체에 대한 업데이트를 처리합니다.

LDAP 또는 ADSI 인터페이스를 통해 이러한 가상 개체를 볼 수 없습니다.

가상 업데이트 및 정리 프로세스

가상 개체가 참조하는 개체가 삭제된 경우 가상 개체를 로컬 도메인(정리)에서 제거해야 합니다. 그룹의 그룹 멤버 자격 목록에 정확한 목록이 있도록 원래 개체의 이름이 변경되는 경우에도 가상 개체를 업데이트해야 합니다. 도메인에서 IM 역할을 보유하는 도메인 컨트롤러는 도메인에 대한 두 작업을 모두 처리합니다.

IM은 가상 개체에 대한 정보를 글로벌 카탈로그 서버의 최신 버전과 비교하고 필요에 따라 팬텀을 변경합니다. 데이터베이스당 일수 검사 레지스트리 항목을 다음 레지스트리 하위 키에 추가하여 간격을 사용자 지정할 수 있습니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

이 변경을 수행하려면 다음 사항에 유의하세요.

  • 레지스트리 항목: 데이터베이스 팬텀 검사당 일 수

  • 형식: DWORD

  • 기본값: 2

  • 함수: IM이 가상 개체를 글로벌 카탈로그 서버의 최신 버전과 비교하는 간격을 일 단위로 지정합니다.

참고

최소 DWORD 값은 1일입니다.

IM에서 팬텀 개체가 참조하는 원래 개체가 변경되었거나 삭제되었음을 확인한 후:

  • IM은 CN=Infrastructure,DC=DomainName,DC=...에 infrastructureUpdate 개체를 만듭니다. 컨테이너를 사용하여 즉시 삭제합니다.

  • 이 (삭제 표시) 개체는 전역 카탈로그 서버가 아닌 도메인의 다른 도메인 컨트롤러에 특수 프록시에 의해 복제됩니다.

    원래 개체의 이름이 바뀌면 infrastructureUpdate의 DNReferenceUpdate 특성 값에 새 이름이 포함됩니다. 원래 개체가 삭제된 경우 삭제된 개체 DN이 변경되어 (esc)DEL:GUID가 원래 DN에 추가됩니다.

  • 그런 다음 도메인 컨트롤러는 infrastructureUpdate 개체의 정보를 가져와서 이에 따라 해당 가상 개체의 로컬 복사본에 변경 내용을 적용합니다.

원래 개체가 삭제된 경우 수신 도메인 컨트롤러는 로컬 팬텀 개체를 삭제하고 이를 참조하는 해당 특성(예: 그룹의 멤버 특성)을 제거합니다.

참고

그룹의 도메인에 있는 글로벌 카탈로그 서버는 CN=Infrastructure,DC=DomainName,DC=...에 있는 개체에 대한 특수 프록시 복제를 받습니다. 컨테이너. 그러나 개체 자체의 읽기 전용 복사본이 이미 로컬 데이터베이스에 인스턴스화되어 있으므로 무시합니다. 따라서 그룹 멤버 자격을 추적하기 위해 팬텀이 필요하지 않으며 일반 AD 복제를 사용하여 개체를 제거하는 방법을 알아봅니다.

글로벌 카탈로그 및 인프라 master 역할 충돌

IM FSMO(유연한 단일 마스터 작업) 역할 소유자도 글로벌 카탈로그 서버인 경우 해당 도메인 컨트롤러에서 가상 인덱스를 만들거나 업데이트하지 않습니다. (FSMO는 master 작업이라고도 합니다.) 이 동작은 전역 카탈로그 서버에 Active Directory에 있는 모든 개체의 부분 복제본(replica) 포함하기 때문에 발생합니다. IM은 로컬 전역 카탈로그에 개체의 부분 복제본(replica) 이미 있으므로 이외 개체의 가상 버전을 저장하지 않습니다.

이 프로세스가 다중 도메인 환경에서 올바르게 작동하려면 인프라 FSMO 역할 소유자가 글로벌 카탈로그 서버가 될 수 없습니다. 포리스트의 첫 번째 도메인은 5개의 FSMO 역할을 모두 포함하며 글로벌 카탈로그이기도 합니다. 따라서 여러 도메인을 사용하려는 경우 도메인에 다른 도메인 컨트롤러가 설치되는 즉시 두 역할을 다른 컴퓨터로 전송해야 합니다.

인프라 FSMO 역할 및 글로벌 카탈로그 역할이 동일한 도메인 컨트롤러에 있는 경우 디렉터리 서비스 이벤트 로그에서 이벤트 ID 1419를 지속적으로 받습니다.

글로벌 카탈로그에 인프라 마스터 역할을 배치하는 것은 정상인 두 가지 조건이 있습니다.

  1. 도메인의 모든 도메인 컨트롤러는 글로벌 카탈로그입니다. 이 상황에서는 클린 유령이 있을 수 없습니다.
  2. 포리스트 모드는 "Windows Server 2008 R2"이며 휴지통 기능이 활성화됩니다. 이 모드에서 제거된 개체 링크는 가상화되지 않지만 다른 상태로 설정되며 데이터베이스에 계속 존재합니다.

AD 휴지통에 대한 자세한 내용은 다음을 참조 하세요. 삭제된 Active Directory 개체 복원을 위한 시나리오 개요

도메인의 FSMO 역할 배치 및 FSMO 역할을 다른 도메인 컨트롤러로 전송하는 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료의 문서를 확인합니다.

Active Directory 도메인 컨트롤러에서 FSMO 배치 및 최적화 223346

유연한 단일 마스터 작업 전송 및 포착 프로세스 223787