Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Chiếc Phantom, tombstones và Thạc sĩ cơ sở hạ tầng

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:248047
TÓM TẮT
Bài viết này mô tả như thế nào những chiếc Phantom được sử dụng trong Microsoft Windows 2000 và trong Microsoft Windows Server 2003.
THÔNG TIN THÊM
Các đối tượng ma có cơ sở dữ liệu cấp thấp đối tượng Active Directory sử dụng cho các hoạt động quản lý nội bộ. Hai trường hợp phổ biến của các đối tượng ma là như sau:
  • Một đối tượng đã bị xóa.

    Tombstone đời đã qua, nhưng tham chiếu đến các đối tượng được vẫn còn hiện diện trong cơ sở dữ liệu thư mục.
  • Hoạt động một miền địa phương có một người sử dụng tài khoản của từ một tên miền trong rừng Active Directory.
Các đối tượng ma các loại đặc biệt của cơ sở dữ liệu nội bộ, theo dõi các đối tượng và không thể xem được thông qua bất kỳ LDAP hoặc Active Directory dịch vụ giao diện (ADSI).

Xoá bỏ đối tượng

Khi một đối tượng sẽ bị xóa từ thư mục hoạt động, đối tượng sau quá trình sau đây.

Giai đoạn 1: Các đối tượng bình thường

Đối tượng đầu tiên tồn tại như một đối tượng Active Directory điển hình. Bạn có thể xem các đối tượng bằng cách sử dụng Active Directory thích hợp và thông qua giao diện LDAP.

Các đối tượng di chuyển sang giai đoạn 2 khi đối tượng xóa bỏ bởi quản trị viên hoặc thông qua một phương tiện.

Giai đoạn 2: Xóa các đối tượng trước khi hết hạn đời tombstone

Đối tượng bây giờ tồn tại như một đối tượng Tombstone cho chiều dài của tombstone đời khoảng. Trong khi các đối tượng duy trì một số hình thức ban đầu của nó:
  • Đối tượng vẫn còn là một đối tượng (không chiếc phantom) điển hình.
  • Thuộc tính objectGUID đã không thay đổi.
Các đối tượng cũng đã bị sửa đổi đáng kể từ các hình thức ban đầu:
  • Các đối tượng di chuyển các container DeletedObjects (trừ khi các đối tượng được gắn cờ là một đối tượng hệ thống đặc biệt)
  • Thuộc tính của đối tượng DN chứa (esc) DEL:GUID
  • Hầu hết các đối tượng của các thuộc tính đã được gỡ bỏ hoàn toàn.
Giản đồ của đối tượng xác định các thuộc tính được gỡ bỏ, và các thuộc tính được lưu giữ sau khi xoá. Tên gọi của từng thuộc tính cho một đối tượng lớp có thể được thay đổi.

Các đối tượng không thể nhìn thấy từ công cụ quản lý thư mục hoạt động bình thường. Bạn có thể cấu hình mức thấp LDAP giao diện như LDP để xem các đối tượng:Các đối tượng di chuyển đến một trong hai tiểu bang có thể (giai đoạn 3 hoặc 4) khi đời tombstone đã hết hạn. Suốt đời tombstone mặc định là 60 ngày.

Cyfnod 3: Đối tượng (bình thường) được lấy ra từ cơ sở dữ liệu thư mục hoạt động hoàn toàn

Nếu có không có tài liệu tham khảo để đối tượng này vẫn còn trong Active Directory, hàng trong cơ sở dữ liệu hoàn toàn bị loại bỏ và không có không có dấu vết của các đối tượng bên trái.

Giai đoạn 4: (tham khảo bên ngoài vẫn còn tồn tại) đối tượng ma

Nếu có bất kỳ tài liệu tham khảo để đối tượng này vẫn còn trong Active Directory, đối tượng chính nó sẽ bị xóa và một đối tượng ma được tạo ra tại chỗ của nó cho đến khi những tài liệu tham khảo được gỡ bỏ. Đối tượng ma này sẽ bị xóa khi tất cả các tham chiếu đến các đối tượng được gỡ bỏ.

Bạn không thể xem các đối tượng ma thông qua bất kỳ giao diện LDAP hoặc ADSI.Chú ý Trong việc loại bỏ các danh mục toàn cầu từ bộ kiểm soát miền, chỉ đọc các đối tượng được xóa từ các cửa hàng toàn cầu không đi qua quá trình xóa. Họ ngay lập tức bị loại bỏ từ cơ sở dữ liệu và bất kỳ tài liệu tham khảo để chúng đang không bị ảnh hưởng.

Cross-miền tham khảo và vai trò chủ cơ sở hạ tầng

Một số loại của các nhóm trong một lĩnh vực hoạt động thư mục có thể chứa các tài khoản từ tên miền đáng tin cậy. Để đảm bảo rằng các tên trong thành viên của nhóm được chính xác, đối tượng người dùng GUID được tham chiếu trong các thành viên của nhóm. Khi hoạt động thư mục công cụ hiển thị các nhóm này có người dùng từ nước ngoài tên miền, họ phải có khả năng hiển thị tên chính xác và kịp thời của người sử dụng nước ngoài mà không dựa vào ngay lập tức liên hệ với bộ điều khiển vùng cho vùng nước ngoài hoặc một cửa hàng toàn cầu.

Thư mục hoạt động sử dụng một đối tượng ma cross-miền nhóm để sử dụng tài liệu tham khảo. Đối tượng ma này là một loại đặc biệt của đối tượng mà không thể được xem qua bất kỳ giao diện LDAP.

Ma hồ sơ có chứa một số tiền tối thiểu của thông tin để cho một bộ điều khiển tên miền chỉ đến vị trí trong đó đối tượng gốc tồn tại. Chỉ số của các đối tượng ma chứa các thông tin sau về đối tượng cross-referenced:
  • Tên phân biệt của đối tượng
  • Đối tượng GUID
  • Đối tượng SID
Trong thời gian bổ sung thành viên từ một tên miền khác nhau cho một nhóm người dùng cục bộ, bộ điều khiển tên miền địa phương đang thực hiện việc bổ sung vào nhóm tạo ra đối tượng ma cho người dùng từ xa.

Nếu bạn thay đổi tên người dùng nước ngoài hoặc xoá người sử dụng nước ngoài, những chiếc Phantom phải được cập nhật hay bị loại bỏ trong tên miền của nhóm từ mỗi bộ kiểm soát miền trong tên miền. Điều khiển vùng đang nắm giữ vai trò (IM) chủ cơ sở hạ tầng cho tên miền của nhóm xử lý bất kỳ Cập nhật các đối tượng ma.

Bạn không thể xem các đối tượng ma thông qua bất kỳ giao diện LDAP hoặc ADSI.

Cập Nhật ma và dọn dẹp các quá trình

Nếu các đối tượng mà một đối tượng ma ám chỉ đã bị xóa, các đối tượng ma phải được gỡ bỏ khỏi miền địa phương (làm sạch lên). Một đối tượng ma cũng phải được cập nhật nếu tên đối tượng ban đầu thay đổi do đó danh sách thành viên nhóm cho nhóm này có một danh sách chính xác. Điều khiển vùng đang nắm giữ vai trò IM trong một tên miền xử lý cả các hoạt động cho tên miền của mình.

IM so sánh các thông tin về các đối tượng ma chống lại các phiên bản mới nhất trên một máy chủ cửa hàng toàn cầu và làm cho những thay đổi đối với những chiếc Phantom khi cần thiết. Khoảng thời gian có thể được tùy biến bằng cách thêm ngày mỗi mục nhập registry ma quét cơ sở dữ liệu vào registry subkey sau đây:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Để thực hiện thay đổi này, lưu ý những điều sau đây:
  • Mục nhập Registry: ngày mỗi cơ sở dữ liệu ma quét
  • Loại: DWORD
  • Mặc định giá trị: 2
  • Chức năng: Xác định khoảng thời gian trong ngày IM so sánh các đối tượng ma chống lại các phiên bản mới nhất trên một máy chủ cửa hàng toàn cầu.
Chú ý Giá trị DWORD tối thiểu là 1 ngày.Sau khi IM sẽ xác định rằng đối tượng gốc mà các đối tượng ma tham chiếu tới đã thay đổi hoặc bị xóa:
  • IM tạo ra một đối tượng infrastructureUpdate trong CN = cơ sở hạ tầng, DC = DomainName, DC... = chứa và ngay lập tức xóa nó.
  • Đối tượng (tombstone) này được nhân rộng bởi đặc biệt proxy để bộ điều khác tên miền khiển trong tên miền mà không phải là máy chủ toàn cầu danh mục.

    Nếu đối tượng ban đầu được đổi tên thành, giá trị thuộc tính DNReferenceUpdate infrastructureUpdate chứa tên mới. Nếu đối tượng ban đầu đã bị xóa bỏ, bị xóa đối tượng DN đổi vì vậy (esc) DEL:GUID được gắn vào DN ban đầu.
  • Bộ kiểm soát miền sau đó đi theo thông tin trong các đối tượng infrastructureUpdate và áp dụng những thay đổi cho các bản sao cục bộ của các đối tượng ma của họ cho phù hợp.

    Nếu đối tượng ban đầu đã bị xóa, bộ điều khiển vùng nhận xóa các đối tượng ma địa phương và loại bỏ các thuộc tính tương ứng tham chiếu nó (ví dụ như các thành viên thuộc tính trên một nhóm).
Chú ý Các máy chủ danh mục toàn cầu trong tên miền của nhóm nhận được nhân rộng đặc biệt ủy quyền cho các đối tượng trong CN = cơ sở hạ tầng, DC = DomainName, DC... = chứa. Tuy nhiên, họ bỏ qua chúng vì một chỉ đọc bản sao của đối tượng chính nó đã được instantiated trong cơ sở dữ liệu địa phương.

Cửa hàng toàn cầu và cơ sở hạ tầng nắm vững vai trò xung đột

Nếu người giữ vai trò IM linh hoạt duy nhất Master hoạt động (FSMO) là một máy chủ cửa hàng toàn cầu, các chỉ số ma không bao giờ tạo ra hoặc Cập Nhật vào đó điều khiển vùng. (FSMO cũng được gọi là bậc thầy hoạt động.) Hành vi này xảy ra vì một máy chủ cửa hàng toàn cầu có một bản sao một phần của mọi đối tượng trong Active Directory. IM không lưu trữ các phiên bản ma của các vật thể lạ vì nó đã có một bản sao một phần của các đối tượng trong các cửa hàng địa phương trên toàn cầu.

Cho quá trình này để làm việc một cách chính xác trong một môi trường multidomain, cơ sở hạ tầng FSMO vai trò chủ không thể là một máy chủ cửa hàng toàn cầu. Lưu ý rằng tên miền đầu tiên ở rừng giữ tất cả các vai trò FSMO năm và cũng là một cửa hàng toàn cầu. Do đó, bạn phải sang vai trò hoặc máy tính khác ngay sau khi một bộ điều khiển tên miền được cài đặt trong tên miền nếu bạn có kế hoạch để có nhiều tên miền.

Nếu cơ sở hạ tầng FSMO vai trò và vai trò toàn cầu danh mục nằm trên cùng một điều khiển vùng, bạn liên tục nhận được sự kiện ID 1419 trong sổ ghi sự kiện dịch vụ thư mục.Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
251095Tổ chức sự kiện ID 1419 được tạo ra trên bộ kiểm soát miền
Để biết thêm chi tiết về vị trí FSMO vai trò trong các tên miền và làm thế nào để chuyển một vai trò FSMO để điều khiển một vùng, bấm số bài viết sau để xem các bài viết trong cơ sở kiến thức Microsoft:
223346FSMO theo vị trí và tối ưu hóa trên bộ điều khiển vùng Active Directory
223787 Linh hoạt đơn Master hoạt động chuyển giao và chiếm giữ quá trình

Cảnh báo: Bài viết này đã được dịch tự động

Thuộc tính

ID Bài viết: 248047 - Xem lại Lần cuối: 08/21/2011 10:02:00 - Bản sửa đổi: 2.0

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)

  • kbinfo kbmt KB248047 KbMtvi
Phản hồi