Delen via

Gebeurtenis-id's 5788 en 5789 vinden plaats op een Windows-computer

  • Artikel

Dit artikel biedt oplossingen voor een probleem waarbij gebeurtenis-id 5788 en gebeurtenis-id 5789 worden geregistreerd wanneer de DNS-domeinnaam en de Active Directory-domeinnaam verschillen op een Windows-computer.

Origineel KB-nummer: 258503

Symptomen

U kunt een van de volgende problemen ondervinden:

  • In Windows Vista en latere versies ontvangt u het volgende foutbericht tijdens de interactieve aanmelding:

    De beveiligingsdatabase op de server heeft geen computeraccount voor deze vertrouwensrelatie voor werkstation.

  • Interactieve aanmeldingen met op domeinen gebaseerde accounts werken niet. Alleen aanmeldingen met lokale accounts werken.

  • De volgende gebeurtenisberichten worden geregistreerd in het systeemlogboek:

    Gebeurtenistype: Fout
    Gebeurtenisbron: NETLOGON
    Gebeurteniscategorie: Geen
    Gebeurtenis-id: 5788
    Computer: Computernaam
    Beschrijving:
    Poging om Service Principal Name (SPN) van het computerobject in Active Directory bij te werken, is mislukt. De volgende fout is opgetreden: <Gedetailleerd foutbericht dat varieert, afhankelijk van de oorzaak.>

    Gebeurtenistype: Fout
    Gebeurtenisbron: NETLOGON
    Gebeurteniscategorie: Geen
    Gebeurtenis-id: 5789
    Computer: Computer
    Beschrijving:
    Poging om de DNS-hostnaam van het computerobject in Active Directory bij te werken, is mislukt. De volgende fout is opgetreden: <Gedetailleerd foutbericht dat varieert, afhankelijk van de oorzaak.>

    Opmerking

    Gedetailleerde foutberichten voor deze gebeurtenissen worden weergegeven in de sectie Oorzaak.

Oorzaak

Dit gedrag treedt op wanneer een computer probeert, maar niet schrijft naar de kenmerken dNSHostName en servicePrincipalName voor het computeraccount in een AD DS-domein (Active Directory Domain Services).

Een computer probeert deze kenmerken bij te werken als aan de volgende voorwaarden wordt voldaan:

  • Onmiddellijk nadat een Windows-computer lid is van een domein, probeert de computer de kenmerken dNSHostName en servicePrincipalName in te stellen voor het computeraccount in het nieuwe domein.
  • Wanneer het beveiligingskanaal is ingesteld op een Windows-computer die al lid is van een AD DS-domein, probeert de computer de kenmerken dNSHostName en servicePrincipalName bij te werken voor het computeraccount in het domein.
  • Op een Windows-domeincontroller probeert de Netlogon-service het kenmerk servicePrincipalName elke 22 minuten bij te werken.

Er zijn twee mogelijke oorzaken van de updatefouten:

  • De computer beschikt niet over voldoende machtigingen voor het voltooien van een LDAP-wijzigingsaanvraag van de kenmerken dNSHostName of servicePrincipalName voor het computeraccount.

    In dit geval zijn de foutberichten die overeenkomen met de gebeurtenissen die worden beschreven in de sectie Symptomen als volgt:

    • Gebeurtenis 5788

      De toegang wordt geweigerd.

    • Gebeurtenis 5789

      Het systeem kan het opgegeven bestand niet vinden.

  • Het primaire DNS-achtervoegsel van de computer komt niet overeen met de DNS-naam van het AD DS-domein waarvan de computer lid is. Deze configuratie staat bekend als een 'Niet-aaneengesloten naamruimte'.

    De computer is bijvoorbeeld lid van het Active Directory-domein contoso.com. De DNS FQDN-naam is member1.nyc.contoso.comechter . Daarom komt het primaire DNS-achtervoegsel niet overeen met de Active Directory-domeinnaam.

    De update wordt in deze configuratie geblokkeerd omdat de vereiste schrijfvalidatie van de kenmerkwaarden mislukt. De schrijfvalidatie mislukt omdat de Security Accounts Manager (SAM) standaard vereist dat het primaire DNS-achtervoegsel van een computer overeenkomt met de DNS-naam van het AD DS-domein waarvan de computer lid is.

    In dit geval zijn de foutberichten die overeenkomen met de gebeurtenissen die worden beschreven in de sectie Symptomen als volgt:

    • Gebeurtenis 5788

      De kenmerksyntaxis die is opgegeven voor de adreslijstservice is ongeldig.

    • Gebeurtenis 5789

      De parameter is onjuist.

Oplossing

U kunt dit probleem oplossen door de meest waarschijnlijke oorzaak te vinden, zoals beschreven in de sectie Oorzaak. Gebruik vervolgens de oplossing die geschikt is voor de oorzaak.

Oplossing voor oorzaak 1

U kunt dit probleem oplossen door ervoor te zorgen dat het computeraccount over voldoende machtigingen beschikt om het eigen computerobject bij te werken.

Zorg ervoor dat er in de ACL-editor een toegangsbeheervermelding (ACE) is voor het beheerdersaccount 'SELF' en dat deze toegang 'Toestaan' heeft voor de volgende uitgebreide rechten:

  • Gevalideerde schrijf-naar-DNS-hostnaam
  • Gevalideerde naam van schrijf-naar-service-principal

Controleer vervolgens of machtigingen voor weigeren van toepassing zijn. Met uitzondering van de groepslidmaatschappen van de computer, zijn de volgende beheerders ook van toepassing op de computer:

  • Iedereen
  • Geverifieerde gebruikers
  • Zelf

De ACL's die van toepassing zijn op deze beheerders, kunnen ook de toegang tot schrijfbewerkingen tot kenmerken weigeren, of ze kunnen de uitgebreide rechten 'Gevalideerd schrijven naar DNS-hostnaam' of 'Gevalideerd schrijven naar service-principalnaam' weigeren.

Oplossing voor oorzaak 2

U kunt dit probleem oplossen door een van de volgende methoden te gebruiken, indien van toepassing:

Methode 1: Een onbedoelde niet-aaneengesloten naamruimte corrigeren

Als de niet-aaneengesloten configuratie onbedoeld is en u wilt terugkeren naar een aaneengesloten naamruimte, gebruikt u deze methode.

Zie het volgende Microsoft TechNet-artikel voor meer informatie over het terugzetten naar een aaneengesloten naamruimte in Windows Server 2003:
Overgang van een niet-aaneengesloten naamruimte naar een aaneengesloten naamruimte
Voor Windows Server 2008 en voor Windows Vista en latere versies raadpleegt u het volgende Microsoft TechNet-artikel:
Een per ongeluk gemaakte niet-aaneengesloten naamruimte omkeren

Methode 2: Controleer of de configuratie van de niet-aaneengesloten naamruimte correct werkt

Gebruik deze methode als u de niet-aaneengesloten naamruimte wilt behouden. Voer hiervoor deze stappen uit om enkele configuratiewijzigingen aan te brengen om de fouten op te lossen.

Voor meer informatie over het controleren of de niet-aaneengesloten naamruimte correct werkt op Windows Server 2003 R2, Windows Server 2003, Windows Server 2003 met Service Pack 1 (SP1) en Windows Server 2003 met Service Pack 2 (SP2), raadpleegt u het volgende Microsoft TechNet-artikel: Een niet-aaneengesloten naamruimte maken
Zie het volgende Microsoft TechNet-artikel voor meer informatie over het controleren of de niet-aaneengesloten naamruimte correct werkt op Windows Server 2008 R2 en Windows Server 2008: Een niet-aaneengesloten naamruimte maken

Als u het voorbeeld uitbreidt dat wordt vermeld in het laatste primaire opsommingsteken in de sectie Oorzaak, voegt u als toegestaan achtervoegsel toe nyc.contoso.com aan het kenmerk.

Meer informatie

Oudere versies van dit artikel vermeldden het wijzigen van de machtigingen op de computerobjecten om algemene schrijftoegang in te schakelen om dit probleem op te lossen. Dit was de enige methode die bestond in Windows 2000. Het is echter minder veilig dan het gebruik van msDS-AllowedDNSS-achtervoegsels.

msDS-AllowedDNSS-achtervoegsels beperken de client om willekeurige SPN's naar Active Directory te schrijven. Met de 'Windows 2000-methode' kan de client SPN's schrijven die kerberos verhinderen om met andere belangrijke servers te werken (duplicaten maken). Wanneer u msDS-AllowedDNSS-achtervoegsels gebruikt, kunnen SPN-botsingen zoals deze alleen optreden wanneer de andere server dezelfde hostnaam heeft als de lokale computer.

Een netwerktracering van het antwoord op de LDAP-wijzigingsaanvraag geeft de volgende informatie weer:
win: 17368, src: 389 dst: 1044

LDAP: ProtocolOp: ModifyResponse (7)

LDAP: MessageID

LDAP: ProtocolOp = ModifyResponse

LDAP: Resultaatcode = Beperkingsfout

LDAP: Foutbericht = 0000200B: AtrErr: DSID-03151E6D In deze netwerktracering is 200B hexadecimaal gelijk aan 8203 decimaal.

De opdracht net helpmsg 8203 retourneert de volgende informatie: De kenmerksyntaxis die is opgegeven voor de adreslijstservice is ongeldig. Network Monitor 5.00.943 geeft de volgende resultaatcode weer: 'Beperkingsfout'. Winldap.h wijst fout 13 toe aan 'LDAP_CONSTRAINT_VIOLATION.

De DNS-domeinnaam en de Active Directory-domeinnaam kunnen verschillen als aan een of meer van de volgende voorwaarden wordt voldaan:

  • De TCP/IP-DNS-configuratie bevat een DNS-domein dat verschilt van het Active Directory-domein waarvan de computer lid is, en de optie Primair DNS-achtervoegsel wijzigen wanneer domeinlidmaatschap wijzigen is uitgeschakeld. Als u deze optie wilt weergeven, klikt u met de rechtermuisknop op Deze computer, klikt u op Eigenschappen en klikt u vervolgens op het tabblad Netwerkidentificatie .

  • Windows Server 2003- of Windows XP Professional-computers kunnen een groepsbeleidsinstelling toepassen waarmee het primaire achtervoegsel wordt ingesteld op een waarde die verschilt van het Active Directory-domein. De groepsbeleidsinstelling is als volgt: Computerconfiguratie\Beheersjablonen\Netwerk\DNS-client: primair DNS-achtervoegsel

  • De domeincontroller bevindt zich in een domein dat is gewijzigd door het hulpprogramma Rendom.exe. De beheerder heeft het DNS-achtervoegsel echter nog gewijzigd van de vorige DNS-domeinnaam. Het proces voor het hernoemen van het domein werkt het primaire DNS-achtervoegsel niet bij zodat deze overeenkomt met de huidige DNS-domeinnaam na hernoemingen van DNS-domeinnamen. Domeinen in een Active Directory-forest die niet dezelfde hiĆ«rarchische domeinnaam hebben, bevinden zich in een andere domeinstructuur. Wanneer verschillende domeinstructuren zich in een forest bevinden, zijn de hoofddomeinen niet aaneengesloten. Met deze configuratie wordt echter geen niet-aaneengesloten DNS-naamruimte gemaakt. U hebt meerdere DNS- of zelfs Active Directory DNS-hoofddomeinen. Een niet-aaneengesloten naamruimte wordt gekenmerkt door een verschil tussen het primaire DNS-achtervoegsel en de Active Directory-domeinnaam waarvan de computer lid is.

Niet-aaneengesloten naamruimte kan in sommige scenario's met de nodige voorzichtigheid worden gebruikt. Dit wordt echter niet in alle scenario's ondersteund.