Phantom Objekte im Active Directory – Infrastruktur Master Rolle und Globaler Katalog

Infrastructure Master Role und Global Catalog

Microsoft empfiehlt, dass man den Domain Controller, welcher die Infrastuktur Master Rolle hat nicht zum Globalen Katalog ( Global Catalog ) Server macht.

Diese Empfehlung gilt aber nur für die Fälle:

• Es gibt mehrere Domänen im Forest
• Es gibt Domain Controller in derselben Domäne, welche nicht Globaler Katalog (Global Catalog) Server sind.

Phantom Objects

Ein Grund für die Empfehlung sind die Phantom-Objekte im Active Directory. Phantom-Objekte sind Datenbankobjekte, welche für “interne Verwaltungsoperationen” im Active Directory verwendet werden. Diese Phantom-Objekte können nicht per LDAP oder ADSI angezeigt werden.

Phantom-Objekte können entstehen, wenn z.B. ein Objekt im Active Directory gelöscht wurde und die Lebensdauer abgelaufen ist aber es noch Verweise auf das Objekt in der Verzeichnisdienst existieren. Phantom-Objekte können auch entstehen, wenn eine Domänenlokale Grupe einen Benutzer aus einer anderen Domäne der Active Directory Gesamtstruktur als Mitglied hat.

Wenn ein Domain Controller die Infrastruktur Rolle hat und gleichzeitig ein Globaler Katalog Server ist, so werden die Phantom-Objekte nie erstellt und auch nie aktualisiert.

Im Active Directory werden Phantom Objekte verwendet um domänenübergreifende Gruppen-zu-Benutzer Verweise zu erstellen. Phantom Objekte enthalten nur minimale Informationen um das ursprüngliche Objekt aus der anderen Domäne finden zu können ( Distinguished Name, Objekt-GUID und Objekt-SID ).

Remote User gelöscht – Phantom Object Update notwendig

Wenn nun ein Benutzer aus einer anderen Domäne als Mitglied einer Domänenlokalen Gruppe aufgenommen wird so wird ein solches Phantom-Objekte für den “Remotebenutzer” erstellt. Wenn nun der “Remotebenutzer” geändert oder gelöscht wird so muss auch das entsprechende Phantom Objekt vom Domain Controller mit der Infrastruktur Rolle entsprechend aktualisiert werden. Dies kann dann aber nur geschehen, wenn der Domain Controller mit der Infrastuktur Master Rolle nicht auch gleichzeitig Globaler Katalg Server ist.

Event log: Event id 1419

Falls Sie im Event Log auf einem Domain Controller die Event ID “1419” mit der Event Source “NTDS General” sehen, so überprüfen Sie bitte ob der Infrastruktur Master Rolle auch ein Globaler Katalog Server ist und passen ggf. die Einstellungen entsprechend der Empfehlung von Microsoft an.

FSMO-Platzierung und -Optimierung auf Active Directory-Domänencontrollern
https://support.microsoft.com/kb/223346

ABER:
Die Empfehlung kann ignoriert werden, wenn folgendes Zutrifft:

• Es gibt nur eine Domäne im Forest, dann darf auch der Infrastruktur Master ein Globaler Katalog Server sein.
• Jeder Domain Controller in derselben Domäne ist auch ein Globaler Katalog Server.
  Wenn alle Domain Controller auch Globaler Katalog sind, so hat der Infrastruktur Master nichts zu tun, da jeder Globaler Katalog Server alle Objekte der anderen Domänen kennt.