• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

Phantom Objekte im Active Directory – Infrastruktur Master Rolle und Globaler Katalog

Mai 20, 2014 (Letztes Update) | Posted by Tim Wanierke Konfiguration |

 

Infrastructure Master Role und Global Catalog

Microsoft empfiehlt, dass man den Domain Controller, welcher die Infrastuktur Master Rolle hat nicht zum Globalen Katalog ( Global Catalog ) Server macht.

Diese Empfehlung gilt aber nur für die Fälle:

  • Es gibt mehrere Domänen im Forest
  • Es gibt Domain Controller in derselben Domäne, welche nicht Globaler Katalog (Global Catalog) Server sind.

Phantom Objects

Ein Grund für die Empfehlung sind die Phantom-Objekte im Active Directory. Phantom-Objekte sind Datenbankobjekte, welche für „interne Verwaltungsoperationen“ im Active Directory verwendet werden. Diese Phantom-Objekte können nicht per LDAP oder ADSI angezeigt werden.

Phantom-Objekte können entstehen, wenn z.B. ein Objekt im Active Directory gelöscht wurde und die Lebensdauer abgelaufen ist aber es noch Verweise auf das Objekt in der Verzeichnisdienst existieren. Phantom-Objekte können auch entstehen, wenn eine Domänenlokale Grupe einen Benutzer aus einer anderen Domäne der Active Directory Gesamtstruktur als Mitglied hat.

Wenn ein Domain Controller die Infrastruktur Rolle hat und gleichzeitig ein Globaler Katalog Server ist, so werden die Phantom-Objekte nie erstellt und auch nie aktualisiert.

Im Active Directory werden Phantom Objekte verwendet um domänenübergreifende Gruppen-zu-Benutzer Verweise zu erstellen. Phantom Objekte enthalten nur minimale Informationen um das ursprüngliche Objekt aus der anderen Domäne finden zu können ( Distinguished Name, Objekt-GUID und Objekt-SID ).

Remote User gelöscht – Phantom Object Update notwendig

Wenn nun ein Benutzer aus einer anderen Domäne als Mitglied einer Domänenlokalen Gruppe aufgenommen wird so wird ein solches Phantom-Objekte für den „Remotebenutzer“ erstellt. Wenn nun der „Remotebenutzer“ geändert oder gelöscht wird so muss auch das entsprechende Phantom Objekt vom Domain Controller mit der Infrastruktur Rolle entsprechend aktualisiert werden. Dies kann dann aber nur geschehen, wenn der Domain Controller mit der Infrastuktur Master Rolle nicht auch gleichzeitig Globaler Katalg Server ist.

Event log: Event id 1419

Falls Sie im Event Log auf einem Domain Controller die Event ID „1419“ mit der Event Source „NTDS General“ sehen, so überprüfen Sie bitte ob der Infrastruktur Master Rolle auch ein Globaler Katalog Server ist und passen ggf. die Einstellungen entsprechend der Empfehlung von Microsoft an.

FSMO-Platzierung und -Optimierung auf Active Directory-Domänencontrollern
https://support.microsoft.com/kb/223346

ABER:
Die Empfehlung kann ignoriert werden, wenn folgendes Zutrifft:

  • Es gibt nur eine Domäne im Forest, dann darf auch der Infrastruktur Master ein Globaler Katalog Server sein.
  • Jeder Domain Controller in derselben Domäne ist auch ein Globaler Katalog Server.
    Wenn alle Domain Controller auch Globaler Katalog sind, so hat der Infrastruktur Master nichts zu tun, da jeder Globaler Katalog Server alle Objekte der anderen Domänen kennt.
Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 05.09.2011
Tags: AD ObjektGlobal CatalogInfrastructur Master RolePhantom Objekt
0

You also might be interested in

Wann wurde ein Active Directory Objekt auf einem Domain Controller angelegt?

Nov 29, 2011

Ich habe nach einer Lösung gesucht, wie man feststellen kann[...]

PowerShell-Benutzer-anderer-AD-Domaene-bearbeiten

Benutzer anderer Domänen bearbeiten – mit PowerShell

Aug 11, 2016

Der erfahrene AD-Admin kennt die PowerShell cmdLets „Get-ADUser“ und „Set-ADUser“[...]

Active Directory: Änderungen an Objekten nachverfolgen

Aug 29, 2011

Ein bekanntes Problem vieler Administratoren: Es tritt ein Fehler auf[...]

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

FirstWare IDM-Portal im Test: IT-Administrator 08-2022

 

ADFAQ-FirstAttribute

Wer schreibt ?

Team der FirstAttribute AG

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • 8 Tipps für mehr Sicherheit in Active Directory und Backups von AD
  • Azure AD Custom Security Attributes ermöglichen flexible Berechtigungsstrukturen
  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD

Unsere IAM-Lösungen

Ihre IAM-Lösung: FirstWare IDM-Portal

 

my-IAM für Cloud Identity Management in Microsoft Teams

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • activedirectoryfaq.com sharepoint login - infoslist bei Windows 365 und Azure AD verstehen in Theorie und Praxis
  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2023 · Active-Directory-FAQ by firstattribute.com

Prev Next