Hayaletler, mezar taşları ve altyapı yöneticisi
Bu makalede Windows Server'da hayaletlerin nasıl kullanıldığı açıklanmaktadır.
Şunlar için geçerlidir: Windows Server 2012 R2
Özgün KB numarası: 248047
Daha fazla bilgi
Hayalet nesneler, Active Directory'nin iç yönetim işlemleri için kullandığı alt düzey veritabanı nesneleridir. Hayalet nesnelerin iki yaygın örneği şunlardır:
Silinmiş bir nesne.
Kaldırılma taşı ömrü geçti, ancak nesneye başvurular dizin veritabanında hala var.
Bir etki alanı yerel grubu, Active Directory ormanındaki başka bir etki alanından üye kullanıcıya sahiptir. Hayalet nesneler özel türlerdeki iç veritabanı izleme nesneleridir ve LDAP veya Active Directory Hizmet Arabirimleri (ADSI) aracılığıyla görüntülenemez.
Nesne silme
Bir nesne active directory'den silindiğinde, nesne aşağıdaki işlemi izler.
1. Aşama: Normal nesneler
Nesne ilk olarak tipik bir Active Directory nesnesi olarak bulunur. Nesneyi, uygun Active Directory'yi kullanarak ve LDAP arabirimi aracılığıyla görüntüleyebilirsiniz.
Nesne bir yönetici tarafından veya başka bir yolla silindiğinde nesne 2. Aşamaya geçer.
2. Aşama: Kaldırılma taşı yaşam süresi dolmadan önce nesneler silindi
Nesnesi artık kaldırılma taşı yaşam aralığı uzunluğu için Bir Kaldırılma Taşı nesnesi olarak var. Nesne özgün biçiminden bazılarını korurken:
- Nesne hala tipik (hayalet olmayan) bir nesnedir.
- objectGUID özniteliği değişmedi.
Nesne ayrıca özgün biçiminden önemli ölçüde değiştirilmiştir:
- Nesne DeletedObjects kapsayıcısına taşınır (nesne özel bir sistem nesnesi olarak işaretlenmediği sürece)
- Nesnenin DN özniteliği (esc)DEL:GUID içeriyor
- Nesnenin diğer özniteliklerinin çoğu tamamen kaldırıldı.
Nesnenin şeması, kaldırılan öznitelikleri ve silindikten sonra tutulan öznitelikleri belirler. Nesne sınıfı için her özniteliğin ataması değiştirilebilir.
Nesneler normal Active Directory yönetim araçlarından görülemez. Bu nesneleri görüntülemek için LDP gibi düşük düzey bir LDAP arabirimi yapılandırabilirsiniz.
Nesne, kaldırılma taşı ömrünün süresi dolduğunda iki olası durumdan birine (Aşama 3 veya 4) taşınır. Varsayılan kaldırılma taşı ömrü 60 gündür.
3. Aşama: (Normal) nesnesi Active Directory veritabanından Tamamen kaldırıldı
Active Directory'de bu nesneye başvuru kalmadıysa, veritabanındaki satır tamamen kaldırılır ve nesnenin hiçbir izlemesi kalmaz.
4. Aşama: (Dış başvurular hala var) hayalet nesnesi
Bu nesneye yönelik başvurular Active Directory'de kalırsa, nesnenin kendisi silinir ve bu başvurular kaldırılana kadar nesnenin yerine bir hayalet nesne oluşturulur. Nesneye yapılan tüm başvurular kaldırıldığında bu hayalet nesne silinir.
Bu hayalet nesneleri herhangi bir LDAP veya ADSI arabirimi aracılığıyla görüntüleyemezsiniz.
Not
Genel kataloğun bir etki alanı denetleyicisinden kaldırılması sırasında, genel katalogdan kaldırılan salt okunur nesneler silme işleminden geçmez. Bunlar veritabanından hemen kaldırılır ve bunlara yapılan tüm başvurular etkilenmez.
Etki alanları arası başvurular ve altyapı yöneticisi rolü
Active Directory etki alanındaki belirli grup türleri güvenilen etki alanlarından hesaplar içerebilir. Grubun üyeliğindeki adların doğru olduğundan emin olmak için, grup üyeliğinde kullanıcı nesnesinin GUID'sine başvurulur. Active Directory Araçları yabancı etki alanlarından kullanıcıları olan bu grupları görüntülediğinde, yabancı etki alanı veya genel katalog için bir etki alanı denetleyicisiyle hemen iletişime güvenmeden yabancı kullanıcının doğru ve geçerli adını görüntüleyebilmeleri gerekir.
Active Directory, Genel Kataloglar olmayan Etki Alanı Denetleyicilerinde etki alanları arası grup-kullanıcı başvuruları için bir hayalet nesne kullanır. Bu hayalet nesne, herhangi bir LDAP arabirimi aracılığıyla görüntülenebilen özel bir nesne türüdür.
Hayalet kayıtlar, etki alanı denetleyicisinin özgün nesnenin bulunduğu konuma başvurmasına izin vermek için çok az miktarda bilgi içerir. Hayalet nesnelerin dizini, çapraz başvuruda bulunan nesne hakkında aşağıdaki bilgileri içerir:
- Nesnenin ayırt edici adı
- Nesne GUID'i
- Nesne SID'i
Farklı bir etki alanından bir üyenin yerel kullanıcı grubuna eklenmesi sırasında, gruba ekleme işlemini gerçekleştiren yerel etki alanı denetleyicisi uzak kullanıcı için hayalet nesneyi oluşturur.
Yabancı kullanıcının adını değiştirirseniz veya yabancı kullanıcıyı silerseniz, hayaletlerin grubun etki alanında etki alanındaki her etki alanı denetleyicisinden güncelleştirilmiş veya kaldırılmış olması gerekir. Grubun etki alanı için altyapı yöneticisi (IM) rolünü barındıran etki alanı denetleyicisi, hayalet nesnelere yönelik güncelleştirmeleri işler.
Bu hayalet nesneleri herhangi bir LDAP veya ADSI arabirimi aracılığıyla görüntüleyemezsiniz.
Hayalet güncelleştirme ve temizleme işlemleri
Bir hayalet nesnenin başvurduğu nesne silinmişse, hayalet nesne yerel etki alanından kaldırılmalıdır (temizlenir). Özgün nesnenin adı değişirse, grubun grup üyeliği listesinin doğru bir liste içermesi için bir hayalet nesne de güncelleştirilmelidir. Bir etki alanında anlık ileti rolünü barındıran etki alanı denetleyicisi, etki alanı için her iki işlemi de işler.
Anlık ileti, hayalet nesneler hakkındaki bilgileri genel katalog sunucusundaki en son sürümlerle karşılaştırır ve gerektiğinde hayaletlerde değişiklikler yapar. Aralık, aşağıdaki kayıt defteri alt anahtarına Veritabanı başına Gün sayısı hayalet tarama kayıt defteri girdisi eklenerek özelleştirilebilir:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Bu değişikliği yapmak için aşağıdakileri not edin:
Kayıt defteri girdisi: Veritabanı başına gün sayısı hayalet tarama
Şunu yazın: DWORD
Varsayılan değer: 2
İşlev: Anlık iletinin hayalet nesneleri genel katalog sunucusundaki en son sürümlerle karşılaştıran gün cinsinden aralığını belirtir.
Not
En düşük DWORD değeri 1 gündür.
Anlık ileti, hayalet nesnenin başvurduğu özgün nesnenin değiştiğini veya silindiğini belirledikten sonra:
Anlık ileti, CN=Infrastructure,DC=DomainName,DC=... içinde bir infrastructureUpdate nesnesi oluşturur. kapsayıcıyı silip hemen siler.
Bu (kaldırıldı işareti) nesnesi, etki alanındaki genel katalog sunucusu olmayan diğer etki alanı denetleyicilerine özel ara sunucu tarafından çoğaltılır.
Özgün nesne yeniden adlandırılırsa, infrastructureUpdate'in DNReferenceUpdate özniteliğindeki değer yeni adı içerir. Özgün nesne silinmişse, silinen nesneler DN'leri (esc)DEL:GUID özgün DN'ye eklenecek şekilde değiştirilir.
Ardından etki alanı denetleyicileri altyapıdaki bilgileri alırGüncelleştirme nesneleri ve değişiklikleri hayalet nesnelerinin yerel kopyalarına uygun şekilde uygular.
Özgün nesne silinmişse, alan etki alanı denetleyicileri yerel hayalet nesneyi siler ve buna başvuran ilgili özniteliği (bir gruptaki üye özniteliği gibi) kaldırır.
Not
Grubun etki alanındaki genel katalog sunucuları, CN=Infrastructure,DC=DomainName,DC=... içindeki nesneler için özel ara sunucu çoğaltmasını alır. Kapsayıcı. Ancak, nesnenin salt okunur bir kopyası yerel veritabanında zaten örneklendiğinden bunları yoksayarlar. Bu nedenle grup üyeliğini izlemek için hayalete ihtiyaçları yoktur ve nesnenin normal AD çoğaltması ile kaldırılması hakkında bilgi edinecektir.
Genel katalog ve altyapı yöneticisi rolü çakışması
Anlık İleti Esnek Tek Ana İşlem (FSMO) rol sahibi de bir genel katalog sunucusuysa, hayalet dizinler hiçbir zaman bu etki alanı denetleyicisinde oluşturulmaz veya güncelleştirilmez. (FSMO, işlem yöneticisi olarak da bilinir.) Bu davranış, genel katalog sunucusu Active Directory'deki her nesnenin kısmi bir çoğaltmasını içerdiğinden oluşur. Yerel genel katalogda nesnenin kısmi çoğaltması olduğundan anlık ileti yabancı nesnelerin hayalet sürümlerini depolamaz.
Bu işlemin çok etki alanılı bir ortamda düzgün çalışması için altyapı FSMO rol sahibi genel katalog sunucusu olamaz. Ormandaki ilk etki alanının beş FSMO rolünün tümünü barındırdığını ve aynı zamanda bir genel katalog olduğunu unutmayın. Bu nedenle, birden çok etki alanı olmasını planlıyorsanız, etki alanına başka bir etki alanı denetleyicisi yüklenir yüklenmez iki rolü de başka bir bilgisayara aktarmanız gerekir.
Altyapı FSMO rolü ve genel katalog rolü aynı etki alanı denetleyicisinde yer alıyorsa, dizin hizmetleri olay günlüğünde sürekli olarak olay kimliği 1419 alırsınız.
Altyapı Yöneticisi rolünü genel kataloğa yerleştirmenin tamam olduğu iki koşul vardır:
- Etki Alanındaki tüm Etki Alanı Denetleyicileri Genel Katalog'dır. Bu durumda temizlenecek hayaletler olamaz.
- Orman Modu "Windows Server 2008 R2" şeklindedir ve Geri Dönüşüm Kutusu özelliği etkinleştirilir. Bu modda, kaldırılan nesne bağlantıları hayali değildir, ancak farklı bir duruma ayarlanır ve veritabanında hala bulunur.
AD Geri Dönüşüm Kutusu hakkında bilgi için bkz. Silinen Active Directory Nesnelerini Geri Yüklemeye Yönelik Senaryoya Genel Bakış
Etki alanında FSMO rolü yerleştirme ve FSMO rolünü başka bir etki alanı denetleyicisine aktarma hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:
Active Directory etki alanı denetleyicilerinde FSMO yerleştirmeyi ve iyileştirmeyi 223346
223787 Esnek Tek Ana İşlem aktarımı ve ele geçirme işlemi
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin