Phantoms, tombstones en de infrastructuurmeester

In dit artikel wordt beschreven hoe phantoms worden gebruikt in Windows Server.

Van toepassing op: Windows Server 2012 R2
Origineel KB-nummer: 248047

Meer informatie

Phantom-objecten zijn databaseobjecten op laag niveau die Door Active Directory worden gebruikt voor interne beheerbewerkingen. Twee veelvoorkomende exemplaren van fantoomobjecten zijn als volgt:

• Een object dat is verwijderd.

  De tombstone-levensduur is verstreken, maar verwijzingen naar het object zijn nog steeds aanwezig in de mapdatabase.

• Een lokale domeingroep heeft een lidgebruiker van een ander domein in het Active Directory-forest. Fantoomobjecten zijn speciale soorten interne databasetraceringsobjecten en kunnen niet worden weergegeven via LDAP of Active Directory Service Interfaces (ADSI).

Object verwijderen

Wanneer een object uit de Active Directory wordt verwijderd, volgt het object het volgende proces.

Fase 1: Normale objecten

Het object bestaat eerst als een typisch Active Directory-object. U kunt het object weergeven met behulp van de juiste Active Directory en via de LDAP-interface.

Het object wordt verplaatst naar fase 2 wanneer het object wordt verwijderd door een beheerder of op een andere wijze.

Fase 2: Verwijderde objecten voordat de tombstone-levensduur verloopt

Het object bestaat nu als een Tombstone-object voor de lengte van het tombstone-levensduurinterval. Terwijl het object een deel van de oorspronkelijke vorm behoudt:

• Object is nog steeds een typisch (niet-fantoom) object.
• Het kenmerk objectGUID is niet gewijzigd.

Het object is ook aanzienlijk gewijzigd in de oorspronkelijke vorm:

• Het object wordt verplaatst naar de container DeletedObjects (tenzij het object is gemarkeerd als een speciaal systeemobject)
• Het DN-kenmerk van het object bevat (esc)DEL:GUID
• De meeste andere kenmerken van het object zijn volledig verwijderd.

Het schema van het object bepaalt de kenmerken die worden verwijderd en de kenmerken die na verwijdering worden bewaard. De aanduiding van elk kenmerk voor een objectklasse kan worden gewijzigd.

De objecten kunnen niet worden weergegeven vanuit normale Active Directory-beheerhulpprogramma's. U kunt een LDAP-interface op laag niveau, zoals LDP, configureren om deze objecten weer te geven.

Het object wordt verplaatst naar een van de twee mogelijke toestanden (fase 3 of 4) wanneer de tombstone-levensduur is verlopen. De standaard levensduur van tombstone is 60 dagen.

Fase 3: het (normale) object wordt volledig verwijderd uit de Active Directory-database

Als er geen verwijzingen naar dit object overblijven in Active Directory, wordt de rij in de database volledig verwijderd en zijn er geen traceringen van het object meer.

Fase 4: (externe verwijzingen bestaan nog) fantoomobject

Als er verwijzingen naar dit object in de Active Directory blijven, wordt het object zelf verwijderd en wordt er in plaats daarvan een fantoomobject gemaakt totdat deze verwijzingen zijn verwijderd. Dit fantoomobject wordt verwijderd wanneer alle verwijzingen naar het object worden verwijderd.

U kunt deze fantoomobjecten niet weergeven via een LDAP- of ADSI-interface.

Verwijzingen tussen domeinen en de rol infrastructuurmaster

Bepaalde typen groepen in een Active Directory-domein kunnen accounts van vertrouwde domeinen bevatten. Om ervoor te zorgen dat de namen in het lidmaatschap van de groep correct zijn, wordt naar de GUID van het gebruikersobject verwezen in het lidmaatschap van de groep. Wanneer Active Directory-hulpprogramma's deze groepen weergeeft met gebruikers uit andere domeinen, moeten ze de juiste en actuele naam van de buitenlandse gebruiker kunnen weergeven zonder dat ze direct contact hoeven te hebben met een domeincontroller voor het buitenlandse domein of een globale catalogus.

Active Directory gebruikt een fantoomobject voor groeps-naar-gebruikersverwijzingen tussen domeinen op domeincontrollers die geen globale catalogi zijn. Dit fantoomobject is een speciaal soort object dat niet kan worden weergegeven via een LDAP-interface.

Phantom-records bevatten een minimale hoeveelheid informatie om een domeincontroller te laten verwijzen naar de locatie waar het oorspronkelijke object bestaat. De index van fantoomobjecten bevat de volgende informatie over het object waarnaar wordt verwezen:

• DN-naam van het object
• Object-GUID
• Object-SID

Tijdens het toevoegen van een lid uit een ander domein aan een lokale gebruikersgroep maakt de lokale domeincontroller die de toevoeging aan de groep uitvoert het fantoomobject voor de externe gebruiker.

Als u de naam van de refererende gebruiker wijzigt of de refererende gebruiker verwijdert, moeten de phantoms worden bijgewerkt of verwijderd in het domein van de groep van elke domeincontroller in het domein. De domeincontroller met de rol infrastructuurmaster (IM) voor het domein van de groep verwerkt eventuele updates voor de fantoomobjecten.

U kunt deze fantoomobjecten niet weergeven via een LDAP- of ADSI-interface.

Phantom-update- en opschoningsprocessen

Als het object waarnaar een fantoomobject verwijst, is verwijderd, moet het fantoomobject worden verwijderd uit het lokale domein (opgeschoond). Een fantoomobject moet ook worden bijgewerkt als de naam van het oorspronkelijke object wordt gewijzigd, zodat de lijst met groepslidmaatschappen voor de groep een nauwkeurige vermelding bevat. De domeincontroller die de im-rol in een domein heeft, verwerkt beide bewerkingen voor het bijbehorende domein.

Het chatbericht vergelijkt de informatie over de fantoomobjecten met de nieuwste versies op een globale catalogusserver en brengt indien nodig wijzigingen aan in de phantoms. Het interval kan worden aangepast door de registervermelding Dagen per databasefantoomscan toe te voegen aan de volgende registersubsleutel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Houd rekening met het volgende om deze wijziging aan te brengen:

• Registervermelding: dagen per databasefantoomscan

• Type: DWORD

• Standaardwaarde: 2

• Functie: hiermee geeft u het interval in dagen op dat het chatbericht de fantoomobjecten vergelijkt met de nieuwste versies op een globale catalogusserver.

Nadat het chatbericht heeft vastgesteld dat het oorspronkelijke object waarnaar het fantoomobject verwijst, is gewijzigd of verwijderd:

• Het chatbericht maakt een infrastructureUpdate-object in CN=Infrastructure,DC=DomainName,DC=... container en wordt deze onmiddellijk verwijderd.

• Dit (tombstone)-object wordt door een speciale proxy gerepliceerd naar de andere domeincontrollers in het domein die geen globale catalogusservers zijn.

  Als de naam van het oorspronkelijke object is gewijzigd, bevat de waarde in het kenmerk DNReferenceUpdate van de infrastructureUpdate de nieuwe naam. Als het oorspronkelijke object is verwijderd, wordt de DN van verwijderde objecten gewijzigd, zodat (esc)DEL:GUID wordt toegevoegd aan de oorspronkelijke DN.

• De domeincontrollers nemen vervolgens de informatie in de infrastructuurUpdate-objecten en passen de wijzigingen dienovereenkomstig toe op de lokale kopieën van hun fantoomobjecten.

Als het oorspronkelijke object is verwijderd, verwijderen de ontvangende domeincontrollers het lokale fantoomobject en verwijderen ze het bijbehorende kenmerk dat ernaar verwijst (zoals het lidkenmerk van een groep).

Conflict met rol van globale catalogus en infrastructuurmaster

Als de FSMO-rolhouder (Flexible Single Master Operation) ook een globale catalogusserver is, worden de fantoomindexen nooit gemaakt of bijgewerkt op die domeincontroller. (De FSMO wordt ook wel de operations-master genoemd.) Dit gedrag treedt op omdat een globale catalogusserver een gedeeltelijke replica van elk object in Active Directory bevat. Het chatbericht slaat geen fantoomversies van de refererende objecten op omdat het al een gedeeltelijke replica van het object in de lokale globale catalogus heeft.

Dit proces werkt alleen correct in een omgeving met meerdere domeinen als de FSMO-rolhouder van de infrastructuur geen globale catalogusserver kan zijn. Houd er rekening mee dat het eerste domein in het forest alle vijf FSMO-rollen bevat en ook een globale catalogus is. Daarom moet u een van de rollen overdragen naar een andere computer zodra er een andere domeincontroller in het domein is geïnstalleerd als u van plan bent om meerdere domeinen te hebben.

Als de FSMO-rol van de infrastructuur en de globale catalogusrol zich op dezelfde domeincontroller bevinden, ontvangt u voortdurend gebeurtenis-id 1419 in het gebeurtenislogboek van directoryservices.

Er zijn twee voorwaarden waarbij het plaatsen van de rol Infrastructuurmaster in een globale catalogus ok is:

1. Alle domeincontrollers in het domein zijn globale catalogus. In deze situatie kunnen er geen fantooms worden opgeschoond.
2. De forestmodus is 'Windows Server 2008 R2' en de functie Prullenbak is geactiveerd. In deze modus worden verwijderde objectkoppelingen niet phantomized, maar ingesteld op een andere status en nog steeds aanwezig in de database.

Zie Overzicht van scenario's voor het herstellen van verwijderde Active Directory-objecten voor informatie over de AD-prullenbak

Voor meer informatie over fsmo-rolplaatsing in het domein en het overdragen van een FSMO-rol naar een andere domeincontroller, klikt u op de volgende artikelnummers om de artikelen in de Microsoft Knowledge Base weer te geven:

223346 FSMO-plaatsing en -optimalisatie op Active Directory-domeincontrollers

223787 Flexible Single Master Operation-overdrachts- en inbeslagnameproces