虛設、標記和基礎結構主圖形

本文說明如何在 Windows Server 中使用虛設專案。

適用：Windows Server 2012 R2
原始 KB 編號： 248047

其他相關資訊

虛設物件是 Active Directory 用於內部管理作業的低階資料庫物件。 虛設物件的兩個常見實例如下所示：

• 已刪除的物件。

  標記存留期已過，但目錄資料庫中仍存在對象的參考。

• 網域本地組具有 Active Directory 樹系中另一個網域的成員使用者。 虛設物件是特殊種類的內部資料庫追蹤對象，無法透過任何LDAP或Active Directory服務介面 (ADSI) 來檢視。

物件刪除

從 Active Directory 中刪除物件時，物件會遵循下列程式。

階段 1：一般物件

物件會先以一般 Active Directory 物件存在。 您可以使用適當的 Active Directory 和 LDAP 介面來檢視物件。

當系統管理員或透過其他方式刪除物件時，物件會移至階段 2。

階段 2：標記存留期到期之前已刪除的物件

對象現在會以標記存留期間隔長度的標記物件存在。 雖然物件會維護其部分原始形式：

• 物件仍然是非虛設) 物件的一般 (。
• objectGUID 屬性尚未變更。

物件也已從其原始形式大幅修改：

• 物件會移至 DeletedObjects 容器 (，除非物件標示為特殊的系統物件)
• 物件的 DN 屬性包含 (esc) DEL：GUID
• 物件的大部分其他屬性已完全移除。

對象的架構會決定要移除的屬性，以及刪除後保留的屬性。 您可以變更物件類別之每個屬性的指定。

無法從一般 Active Directory 管理工具看到物件。 您可以設定像是一樣的低階LDAP介面來檢視這些物件。

當標記存留期過期時，物件會移至階段 3 或 4) (兩個可能狀態之一。 默認標記存留期為 60 天。

階段 3： (從 Active Directory 資料庫完全移除 Normal) 物件

如果 Active Directory 中沒有此對象的參考，則資料庫中的數據列會完全移除，而且沒有剩餘的物件追蹤。

階段 4： (虛設物件) 仍存在外部參考

如果 Active Directory 中仍保留此物件的任何參考，則會刪除物件本身，並在其位置建立虛設物件，直到移除這些參考為止。 拿掉物件的所有參考時，就會刪除這個虛設物件。

您無法透過任何LDAP或ADSI介面來檢視這些虛設物件。

跨網域參考和基礎結構主要角色

Active Directory 網域中的特定群組類型可以包含來自受信任網域的帳戶。 為了確保群組成員資格中的名稱正確，用戶物件的 GUID 會在群組的成員資格中參考。 當 Active Directory 工具顯示具有來自外部網域之使用者的這些群組時，他們必須能夠顯示外部使用者的正確和目前名稱，而不需要依賴直接連絡外部網域或全域編錄的域控制器。

Active Directory 會針對非全域編錄的域控制器上的跨網域群組對用戶參考使用虛設物件。 這個虛設對像是一種特殊的物件，無法透過任何LDAP介面來檢視。

虛設記錄包含最少的資訊量，可讓域控制器參考原始物件所在的位置。 虛設物件的索引包含下列有關交叉參照物件的資訊：

• 對象的辨別名稱
• 物件 GUID
• 物件 SID

在將成員從不同網域新增至本機使用者群組期間，執行加入群組的本機域控制器會建立遠端使用者的虛設物件。

如果您變更外部使用者的名稱或刪除外部使用者，則必須在群組的網域中，從網域中的每個域控制器更新或移除虛設專案。 持有群組網域之基礎結構主要 (IM) 角色的域控制器會處理虛設物件的任何更新。

您無法透過任何LDAP或ADSI介面來檢視這些虛設物件。

虛設更新和清除程式

如果已刪除虛設對象所參考的物件，則必須從本機網域移除虛設物件， (清除) 。 如果原始物件的名稱變更，則也必須更新虛設物件，以便群組的群組成員資格清單具有正確的清單。 在網域中保有IM角色的域控制器會處理其網域的這兩項作業。

IM 會比較虛設物件與全域編錄伺服器上最新版本的相關信息，並視需要變更虛設。 您可以將 [每個資料庫的天數虛設掃描登錄] 專案新增至下列登錄子機碼，以自定義間隔：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

若要進行這項變更，請注意下列事項：

• 登錄專案：每個資料庫虛設掃描天數

• 類型：DWORD

• 默認值：2

• 函式：指定 IM 與全域編錄伺服器上最新版本比較虛設物件的天數間隔。

在 IM 判斷虛設物件所參考的原始物件已變更或刪除之後：

• IM 會在 CN=Infrastructure，DC=DomainName，DC=... 中建立 infrastructureUpdate 物件容器，並立即刪除它。

• 這個 (標記) 物件是由特殊 Proxy 複寫到網域中不是全局編錄伺服器的其他域控制器。

  如果重新命名原始物件，infrastructureUpdate 之 DNReferenceUpdate 屬性中的值會包含新名稱。 如果已刪除原始物件，則會變更已刪除的物件 DN，以便將 (esc) DEL：GUID 附加至原始 DN。

• 然後域控制器會取得 infrastructureUpdate 物件中的資訊，並據此將變更套用至其虛設物件的本機複本。

如果已刪除原始物件，接收域控制器會刪除本機虛設物件，並移除參考它的對應屬性 (例如群組) 上的成員屬性。

全域編錄和基礎結構主要角色衝突

如果IM彈性單一主機作業 (FSMO) 角色持有者也是全域編錄伺服器，則永遠不會在該域控制器上建立或更新虛設索引。 (FSMO 也稱為 operations master.) 發生此行為是因為全域編錄伺服器包含 Active Directory 中每個物件的部分複本。 IM 不會儲存外部物件的虛設版本，因為它在本機全域編錄中已經有物件的部分複本。

若要讓此程式在多域環境中正常運作，基礎結構 FSMO 角色持有者不能是全域編錄伺服器。 請注意，樹系中的第一個網域會保留全部五個 FSMO 角色，同時也是全域編錄。 因此，如果您打算有多個網域，則必須在網域中安裝另一個域控制器時，立即將任一角色轉移至另一部計算機。

如果基礎結構 FSMO 角色和全域編錄角色位於相同的域控制器上，您會在目錄服務事件記錄檔中持續收到事件標識碼 1419。

在全域目錄上放置基礎結構主機角色的條件有兩種：

1. 網域中的所有域控制器都是全局編錄。 在此情況下，無法清除任何虛設專案。
2. 樹系模式為 「Windows Server 2008 R2」，且回收站功能已啟用。 在此模式中，已移除的對象連結不會被虛設，而是設定為不同的狀態，而且仍然存在於資料庫中。

如需AD回收站的相關信息，請參閱： 還原已刪除Active Directory 物件的案例概觀

如需有關在定義域中放置 FSMO 角色以及如何將 FSMO 角色傳輸到另一個域控制器的詳細資訊，請按下列文章編號以檢視 Microsoft 知識庫中的文章：

223346 Active Directory 域控制器上的 FSMO 放置和優化

223787 彈性單一主機作業傳輸和抓取程式