Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe cómo se usan fantasmas en Windows Server.
Número de KB original: 248047
Más información
Los objetos fantasma son objetos de base de datos de bajo nivel que Active Directory usa para las operaciones de administración internas. Dos instancias comunes de objetos fantasma son las siguientes:
Objeto que se ha eliminado.
La duración de la lápida ha pasado, pero las referencias al objeto siguen presentes en la base de datos de directorios.
Un grupo local de dominio tiene un usuario miembro de otro dominio en el bosque de Active Directory. Los objetos fantasma son tipos especiales de objetos internos de seguimiento de bases de datos y no se pueden ver a través de interfaces de servicio LDAP o Active Directory (ADSI).
Eliminación de objetos
Cuando se elimina un objeto de Active Directory, el objeto sigue el siguiente proceso.
Fase 1: Objetos normales
El objeto existe primero como un objeto típico de Active Directory. Puede ver el objeto mediante el Active Directory adecuado y a través de la interfaz LDAP.
El objeto se mueve a la fase 2 cuando un administrador elimina el objeto o a través de otros medios.
Fase 2: Objetos eliminados antes de que expire la duración de la lápida
El objeto ahora existe como un objeto Tombstone para la longitud del intervalo de duración de la lápida. Mientras el objeto mantiene parte de su forma original:
- El objeto sigue siendo un objeto típico (no fantasma).
- El atributo objectGUID no ha cambiado.
El objeto también se ha modificado significativamente a partir de su forma original:
- El objeto se mueve al contenedor DeletedObjects (a menos que el objeto se marque como un objeto de sistema especial)
- El atributo DN del objeto contiene (esc)DEL:GUID
- La mayoría de los demás atributos del objeto se han quitado completamente.
El esquema del objeto determina los atributos que se quitan y los atributos que se conservan después de la eliminación. Se puede cambiar la designación de cada atributo para una clase de objeto.
Los objetos no se pueden ver desde las herramientas de administración normales de Active Directory. Puede configurar una interfaz LDAP de bajo nivel como LDP para ver estos objetos.
El objeto se mueve a uno de los dos estados posibles (fase 3 o 4) cuando la duración de la lápida ha expirado. La duración predeterminada de la lápida es de 60 días.
Fase 3: (Normal) el objeto se quita de la base de datos de Active Directory Completamente
Si no hay referencias a este objeto permanecen en Active Directory, la fila de la base de datos se quita por completo y no hay seguimientos del objeto a la izquierda.
Fase 4: (Todavía existen referencias externas) objeto fantasma
Si hay referencias a este objeto permanecen en Active Directory, se elimina el propio objeto y se crea un objeto fantasma en su lugar hasta que se quitan esas referencias. Este objeto fantasma se elimina cuando se quitan todas las referencias al objeto.
No puede ver estos objetos fantasma a través de ninguna interfaz LDAP o ADSI.
Nota:
Durante la eliminación del catálogo global de un controlador de dominio, los objetos de solo lectura que se quitan del catálogo global no pasan por el proceso de eliminación. Se quitan inmediatamente de la base de datos y las referencias a ellas no se ven afectadas.
Referencias entre dominios y el rol maestro de infraestructura
Algunos tipos de grupos de un dominio de Active Directory pueden contener cuentas de dominios de confianza. Para asegurarse de que los nombres de la pertenencia del grupo sean precisos, se hace referencia al GUID del objeto de usuario en la pertenencia del grupo. Cuando Las herramientas de Active Directory muestran estos grupos que tienen usuarios de dominios externos, deben poder mostrar el nombre preciso y actual del usuario externo sin depender del contacto inmediato con un controlador de dominio para el dominio externo o un catálogo global.
Active Directory usa un objeto fantasma para las referencias de grupo a usuario entre dominios en controladores de dominio que no son catálogos globales. Este objeto fantasma es un tipo especial de objeto que no se puede ver a través de ninguna interfaz LDAP.
Los registros fantasma contienen una cantidad mínima de información para permitir que un controlador de dominio haga referencia a la ubicación en la que existe el objeto original. El índice de objetos fantasma contiene la siguiente información sobre el objeto al que se hace referencia cruzada:
- Nombre distintivo del objeto
- GUID de objeto
- SID de objeto
Durante la adición de un miembro de un dominio diferente a un grupo de usuarios local, el controlador de dominio local que realiza la adición al grupo crea el objeto fantasma para el usuario remoto.
Si cambia el nombre del usuario externo o elimina el usuario externo, los fantasmas deben actualizarse o quitarse en el dominio del grupo de todos los controladores de dominio del dominio. El controlador de dominio que contiene el rol maestro de infraestructura (IM) para el dominio del grupo controla las actualizaciones de los objetos fantasma.
No puede ver estos objetos fantasma a través de ninguna interfaz LDAP o ADSI.
Procesos de actualización y limpieza fantasmas
Si el objeto al que hace referencia un objeto fantasma se ha eliminado, el objeto fantasma debe quitarse del dominio local (limpiado). También se debe actualizar un objeto fantasma si el nombre del objeto original cambia para que la lista de pertenencia al grupo tenga una lista precisa. El controlador de dominio que contiene el rol de mensajería instantánea en un dominio controla ambas operaciones para su dominio.
La mensajería instantánea compara la información sobre los objetos fantasma con las versiones más recientes de un servidor de catálogo global y realiza cambios en los fantasmas según sea necesario. El intervalo se puede personalizar agregando la entrada del Registro días por examen fantasma de base de datos a la siguiente subclave del Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Para realizar este cambio, tenga en cuenta lo siguiente:
Entrada del Registro: días por examen fantasma de base de datos
Tipo: DWORD
Valor predeterminado: 2
Función: especifica el intervalo en días en que la mensajería instantánea compara los objetos fantasma con las versiones más recientes de un servidor de catálogo global.
Nota:
El valor DWORD mínimo es 1 día.
Después de que la mensajería instantánea determina que el objeto fantasma al que hace referencia el objeto fantasma ha cambiado o eliminado:
La mensajería instantánea crea un objeto infrastructureUpdate en el CN=Infrastructure,DC=DomainName,DC=... container e inmediatamente lo elimina.
Este objeto (tombstone) se replica mediante proxy especial a los demás controladores de dominio del dominio que no son servidores de catálogo globales.
Si se cambia el nombre del objeto original, el valor del atributo DNReferenceUpdate de infrastructureUpdate contiene el nuevo nombre. Si se eliminó el objeto original, se cambian los objetos eliminados DN para que (esc)DEL:GUID se anexe al DN original.
Los controladores de dominio toman la información de los objetos infrastructureUpdate y aplican los cambios a las copias locales de sus objetos fantasma en consecuencia.
Si se ha eliminado el objeto original, los controladores de dominio receptores eliminan el objeto fantasma local y quitan el atributo correspondiente que hace referencia a él (como el atributo miembro de un grupo).
Nota:
Los servidores de catálogo global del dominio del grupo reciben la replicación de proxy especial para los objetos de CN=Infrastructure,DC=DomainName,DC=... contenedor. Sin embargo, los omiten porque ya se ha creado una instancia de una copia de solo lectura del propio objeto en la base de datos local. Por lo tanto, no necesitan el fantasma para realizar el seguimiento de la pertenencia a grupos y obtendrán información sobre la eliminación del objeto con replicación de AD normal.
Conflicto de roles maestros de infraestructura y catálogo global
Si el titular del rol Operación de maestro único flexible (FSMO) de mensajería instantánea también es un servidor de catálogo global, los índices fantasma nunca se crean ni actualizan en ese controlador de dominio. (El FSMO también se conoce como maestro de operaciones). Este comportamiento se produce porque un servidor de catálogo global contiene una réplica parcial de cada objeto de Active Directory. La mensajería instantánea no almacena versiones fantasma de los objetos externos porque ya tiene una réplica parcial del objeto en el catálogo global local.
Para que este proceso funcione correctamente en un entorno multidominio, el titular del rol FSMO de infraestructura no puede ser un servidor de catálogo global. Tenga en cuenta que el primer dominio del bosque contiene los cinco roles FSMO y también es un catálogo global. Por lo tanto, debe transferir cualquier rol a otro equipo tan pronto como se instale otro controlador de dominio en el dominio si tiene previsto tener varios dominios.
Si el rol FSMO de infraestructura y el rol de catálogo global residen en el mismo controlador de dominio, recibirá continuamente el identificador de evento 1419 en el registro de eventos de servicios de directorio.
Hay dos condiciones en las que colocar el rol maestro de infraestructura en un catálogo global es correcto:
- Todos los controladores de dominio del dominio son catálogo global. En esta situación, no puede haber fantasmas para limpiar.
- El modo de bosque es "Windows Server 2008 R2" y la característica Papelera de reciclaje está activada. En este modo, los vínculos de objeto quitados no se fantasmaizan, pero se establecen en un estado diferente y siguen presentes en la base de datos.
Para obtener información sobre la papelera de reciclaje de AD, vea: Información general del escenario para restaurar objetos eliminados de Active Directory.
Para obtener más información sobre la colocación de roles de FSMO en el dominio y cómo transferir un rol de FSMO a otro controlador de dominio, haga clic en los números de artículo siguientes para ver los artículos de Microsoft Knowledge Base:
223346 ubicación y optimización de FSMO en controladores de dominio de Active Directory
223787 proceso flexible de transferencia y captura de operación maestra única