Fantômes, pierres tombales et maître d’infrastructure

Cet article explique comment les fantômes sont utilisés dans Windows Server.

Numéro de base de connaissances d’origine : 248047

Plus d’informations

Les objets fantômes sont des objets de base de données de bas niveau qu’Active Directory utilise pour les opérations de gestion interne. Deux instances courantes d’objets fantômes sont les suivantes :

• Objet qui a été supprimé.

  La durée de vie de la pierre tombstone est passée, mais les références à l’objet sont toujours présentes dans la base de données d’annuaire.

• Un groupe local de domaine a un utilisateur membre d’un autre domaine dans la forêt Active Directory. Les objets fantômes sont des types spéciaux d’objets de suivi de base de données internes et ne peuvent pas être affichés via LDAP ou Active Directory Service Interfaces (ADSI).

Suppression d’objets

Lorsqu’un objet est supprimé du répertoire active directory, l’objet suit le processus suivant.

Étape 1 : Objets normaux

L’objet existe d’abord en tant qu’objet Active Directory classique. Vous pouvez afficher l’objet à l’aide d’Active Directory approprié et via l’interface LDAP.

L’objet passe à l’étape 2 lorsque l’objet est supprimé par un administrateur ou par un autre moyen.

Étape 2 : Objets supprimés avant l’expiration de la durée de vie des pierres tombales

L’objet existe maintenant en tant qu’objet Tombstone pour la longueur de l’intervalle de durée de vie de la pierre tombstone. Alors que l’objet conserve une partie de sa forme d’origine :

• L’objet est toujours un objet classique (non fantôme).
• L’attribut objectGUID n’a pas changé.

L’objet a également été considérablement modifié à partir de sa forme d’origine :

• L’objet se déplace vers le conteneur DeletedObjects (sauf si l’objet est marqué comme objet système spécial)
• L’attribut DN de l’objet contient (esc)DEL :GUID
• La plupart des autres attributs de l’objet ont été supprimés complètement.

Le schéma de l’objet détermine les attributs qui sont supprimés et les attributs conservés après la suppression. La désignation de chaque attribut pour une classe d’objet peut être modifiée.

Les objets ne peuvent pas être vus à partir d’outils de gestion Active Directory normaux. Vous pouvez configurer une interface LDAP de bas niveau comme LDP pour afficher ces objets.

L’objet passe à l’un des deux états possibles (étape 3 ou 4) lorsque la durée de vie de la pierre tombale a expiré. La durée de vie de la pierre tombstone par défaut est de 60 jours.

Étape 3 : (Normal) l’objet est supprimé de la base de données Active Directory Complètement

S’il n’y a aucune référence à cet objet dans Active Directory, la ligne de la base de données est complètement supprimée et il n’y a pas de traces de l’objet à gauche.

Étape 4 : (Références externes existent toujours) objet fantôme

S’il existe des références à cet objet restent dans Active Directory, l’objet lui-même est supprimé et un objet fantôme est créé à sa place jusqu’à ce que ces références soient supprimées. Cet objet fantôme est supprimé lorsque toutes les références à l’objet sont supprimées.

Vous ne pouvez pas afficher ces objets fantômes via une interface LDAP ou ADSI.

Références inter-domaines et rôle principal d’infrastructure

Certains types de groupes dans un domaine Active Directory peuvent contenir des comptes à partir de domaines approuvés. Pour vous assurer que les noms de l’appartenance au groupe sont exacts, le GUID de l’objet utilisateur est référencé dans l’appartenance du groupe. Lorsque les outils Active Directory affichent ces groupes qui ont des utilisateurs à partir de domaines étrangers, ils doivent être en mesure d’afficher le nom exact et actuel de l’utilisateur étranger sans compter sur un contact immédiat avec un contrôleur de domaine pour le domaine étranger ou un catalogue global.

Active Directory utilise un objet fantôme pour les références entre groupes à utilisateurs sur les contrôleurs de domaine qui ne sont pas des catalogues globaux. Cet objet fantôme est un type spécial d’objet qui ne peut pas être consulté via une interface LDAP.

Les enregistrements fantômes contiennent une quantité minimale d’informations pour permettre à un contrôleur de domaine de faire référence à l’emplacement dans lequel l’objet d’origine existe. L’index des objets fantômes contient les informations suivantes sur l’objet référencé croisé :

• Nom unique de l’objet
• GUID de l’objet
• SID d’objet

Lors de l’ajout d’un membre d’un autre domaine à un groupe d’utilisateurs local, le contrôleur de domaine local qui effectue l’ajout au groupe crée l’objet fantôme pour l’utilisateur distant.

Si vous modifiez le nom de l’utilisateur étranger ou supprimez l’utilisateur étranger, les fantômes doivent être mis à jour ou supprimés dans le domaine du groupe de chaque contrôleur de domaine du domaine. Le contrôleur de domaine contenant le rôle de base d’infrastructure (IM) pour le domaine du groupe gère les mises à jour des objets fantômes.

Vous ne pouvez pas afficher ces objets fantômes via une interface LDAP ou ADSI.

Processus de mise à jour et de nettoyage fantômes

Si l’objet auquel un objet fantôme fait référence a été supprimé, l’objet fantôme doit être supprimé du domaine local (nettoyé). Un objet fantôme doit également être mis à jour si le nom de l’objet d’origine change afin que la liste d’appartenances au groupe ait une liste précise. Le contrôleur de domaine détenant le rôle de messagerie instantanée dans un domaine gère les deux opérations pour son domaine.

La messagerie instantanée compare les informations sur les objets fantômes par rapport aux dernières versions sur un serveur de catalogue global et apporte des modifications aux fantômes si nécessaire. L’intervalle peut être personnalisé en ajoutant l’entrée de Registre Days par base de données fantôme à la sous-clé de Registre suivante :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Pour apporter cette modification, notez les points suivants :

• Entrée du Registre : Jours par analyse fantôme de base de données

• Type : DWORD

• Valeur par défaut : 2

• Fonction : spécifie l’intervalle en jours pendant lequel la messagerie instantanée compare les objets fantômes aux dernières versions sur un serveur de catalogue global.

Une fois que la messagerie instantanée détermine que l’objet d’origine auquel l’objet fantôme fait référence a changé ou a été supprimé :

• La messagerie instantanée crée un objet infrastructureUpdate dans cn=Infrastructure,DC=DomainName,DC=... conteneur et le supprime immédiatement.

• Cet objet (tombstone) est répliqué par un proxy spécial vers les autres contrôleurs de domaine du domaine qui ne sont pas des serveurs de catalogue globaux.

  Si l’objet d’origine est renommé, la valeur de l’attribut DNReferenceUpdate de l’infrastructureUpdate contient le nouveau nom. Si l’objet d’origine a été supprimé, la DN des objets supprimés est modifiée afin que (échap)DEL :GUID soit ajouté au DN d’origine.

• Les contrôleurs de domaine prennent ensuite les informations dans les objets infrastructureUpdate et appliquent les modifications aux copies locales de leurs objets fantômes en conséquence.

Si l’objet d’origine a été supprimé, les contrôleurs de domaine de réception suppriment l’objet fantôme local et suppriment l’attribut correspondant qui le référence (par exemple, l’attribut membre sur un groupe).

Conflit de rôle du catalogue global et du rôle maître d’infrastructure

Si le titulaire de rôle FSMO (Im Flexible Single Master Operation) est également un serveur de catalogue global, les index fantômes ne sont jamais créés ou mis à jour sur ce contrôleur de domaine. (Le FSMO est également appelé maître des opérations.) Ce comportement se produit parce qu’un serveur de catalogue global contient un réplica partiel de chaque objet dans Active Directory. La messagerie instantanée ne stocke pas les versions fantômes des objets étrangers, car elle a déjà un réplica partiel de l’objet dans le catalogue global local.

Pour que ce processus fonctionne correctement dans un environnement multidomaine, le titulaire de rôle FSMO d’infrastructure ne peut pas être un serveur de catalogue global. N’oubliez pas que le premier domaine de la forêt contient les cinq rôles FSMO et qu’il s’agit également d’un catalogue global. Par conséquent, vous devez transférer l’un ou l’autre rôle vers un autre ordinateur dès qu’un autre contrôleur de domaine est installé dans le domaine si vous envisagez d’avoir plusieurs domaines.

Si le rôle FSMO d’infrastructure et le rôle de catalogue global résident sur le même contrôleur de domaine, vous recevez continuellement l’ID d’événement 1419 dans le journal des événements des services d’annuaire.

Il existe deux conditions où placer le rôle Maître d’infrastructure sur un catalogue global est OK :

1. Tous les contrôleurs de domaine du domaine sont catalogue global. Dans cette situation, il n’y a pas de fantômes à nettoyer.
2. Le mode forêt est « Windows Server 2008 R2 » et la fonctionnalité Corbeille est activée. Dans ce mode, les liens d’objet supprimés ne sont pas fantômes, mais définis sur un autre état, et toujours présents dans la base de données.

Pour plus d’informations sur la Corbeille AD, consultez : Vue d’ensemble du scénario pour la restauration d’objets Active Directory supprimés

Pour plus d’informations sur le placement de rôle FSMO dans le domaine et sur la façon de transférer un rôle FSMO vers un autre contrôleur de domaine, cliquez sur les numéros d’article suivants pour afficher les articles de la Base de connaissances Microsoft :

223346 placement et optimisation FSMO sur les contrôleurs de domaine Active Directory

223787 processus flexible de transfert et de saisie d’une opération monomaître unique