Identyfikatory zdarzeń 5788 i 5789 występują na komputerze z systemem Windows

  • Artykuł

Ten artykuł zawiera rozwiązania problemu polegającego na tym, że identyfikator zdarzenia 5788 i identyfikator zdarzenia 5789 są rejestrowane, gdy nazwa domeny DNS i nazwa domeny usługi Active Directory różnią się na komputerze z systemem Windows.

Dotyczy systemów: Windows 7 z dodatkiem Service Pack 1 i Windows Server 2012 R2
Oryginalny numer KB: 258503

Symptomy

Może wystąpić jeden z następujących problemów:

  • W systemie Windows Vista i nowszych wersjach podczas logowania interakcyjnego zostanie wyświetlony następujący komunikat o błędzie:

    Baza danych zabezpieczeń na serwerze nie ma konta komputera dla tej relacji zaufania stacji roboczej.

  • Logowanie interakcyjne przy użyciu kont opartych na domenie nie działa. Działają tylko logowania przy użyciu kont lokalnych.

  • W dzienniku systemu są rejestrowane następujące komunikaty zdarzeń:

    Typ zdarzenia: błąd
    Źródło zdarzenia: NETLOGON
    Kategoria zdarzeń: Brak
    Identyfikator zdarzenia: 5788
    Komputer: Nazwa komputera
    Opis:
    Próba zaktualizowania głównej nazwy usługi (SPN) obiektu komputera w usłudze Active Directory nie powiodła się. Wystąpił następujący błąd: <szczegółowy komunikat o błędzie, który różni się w zależności od przyczyny.>

    Typ zdarzenia: błąd
    Źródło zdarzenia: NETLOGON
    Kategoria zdarzeń: Brak
    Identyfikator zdarzenia: 5789
    Komputer: Komputer
    Opis:
    Próba zaktualizowania nazwy hosta DNS obiektu komputera w usłudze Active Directory nie powiodła się. Wystąpił następujący błąd: <szczegółowy komunikat o błędzie, który różni się w zależności od przyczyny.>

    Uwaga

    Szczegółowe komunikaty o błędach dla tych zdarzeń są wyświetlane w sekcji "Przyczyna".

Przyczyna

To zachowanie występuje, gdy komputer próbuje, ale nie zapisuje atrybutów dNSHostName i servicePrincipalName dla swojego konta komputera w domenie Active Directory Domain Services (AD DS).

Komputer próbuje zaktualizować te atrybuty, jeśli spełnione są następujące warunki:

  • Natychmiast po dołączeniu komputera z systemem Windows do domeny komputer próbuje ustawić atrybuty dNSHostName i servicePrincipalName dla swojego konta komputera w nowej domenie.
  • Po ustanowieniu kanału zabezpieczeń na komputerze z systemem Windows, który jest już członkiem domeny usług AD DS, komputer próbuje zaktualizować atrybuty dNSHostName i servicePrincipalName dla swojego konta komputera w domenie.
  • Na kontrolerze domeny opartym na systemie Windows usługa Netlogon próbuje aktualizować atrybut servicePrincipalName co 22 minuty.

Istnieją dwie możliwe przyczyny błędów aktualizacji:

  • Komputer nie ma wystarczających uprawnień do ukończenia żądania modyfikacji LDAP atrybutów dNSHostName lub servicePrincipalName dla swojego konta komputera.

    W takim przypadku komunikaty o błędach odpowiadające zdarzeniom opisanym w sekcji "Objawy" są następujące:

    • Zdarzenie 5788

      Odmowa dostępu.

    • Zdarzenie 5789

      Nie można odnaleźć określonego pliku.

  • Podstawowy sufiks DNS komputera nie jest zgodny z nazwą DNS domeny usług AD DS, której komputer jest członkiem. Ta konfiguracja jest nazywana "rozłączną przestrzenią nazw".

    Na przykład komputer jest członkiem domeny contoso.comusługi Active Directory . Jednak nazwa nazwy FQDN DNS to member1.nyc.contoso.com. W związku z tym podstawowy sufiks DNS nie jest zgodny z nazwą domeny usługi Active Directory.

    Aktualizacja jest zablokowana w tej konfiguracji, ponieważ walidacja zapisu wymagań wstępnych wartości atrybutów kończy się niepowodzeniem. Sprawdzanie poprawności zapisu kończy się niepowodzeniem, ponieważ domyślnie Menedżer kont zabezpieczeń (SAM) wymaga, aby podstawowy sufiks DNS komputera był zgodny z nazwą DNS domeny usług AD DS, której komputer jest członkiem.

    W takim przypadku komunikaty o błędach odpowiadające zdarzeniom opisanym w sekcji "Objawy" są następujące:

    • Zdarzenie 5788

      Składnia atrybutu określona w usłudze katalogowej jest nieprawidłowa.

    • Zdarzenie 5789

      Parametr jest niepoprawny.

Rozwiązanie

Aby rozwiązać ten problem, znajdź najbardziej prawdopodobną przyczynę zgodnie z opisem w sekcji "Przyczyna". Następnie użyj rozwiązania, które jest odpowiednie dla przyczyny.

Rozwiązanie przyczyny 1

Aby rozwiązać ten problem, należy upewnić się, że konto komputera ma wystarczające uprawnienia do aktualizowania własnego obiektu komputera.

W Redaktor listy ACL upewnij się, że istnieje wpis kontroli dostępu (ACE) dla konta powiernika "SELF" i że ma dostęp "Zezwalaj" na następujące prawa rozszerzone:

  • Zweryfikowano zapis w nazwie hosta DNS
  • Zweryfikowana nazwa główna zapisu w usłudze

Następnie sprawdź wszelkie uprawnienia odmowy, które mogą być stosowane. Z wyłączeniem członkostwa w grupach komputera, następujący powiernicy mają również zastosowanie do komputera:

  • Wszyscy
  • Uwierzytelnieni użytkownicy
  • SELF

ACE, które mają zastosowanie do tych powierników może również odmówić dostępu do zapisu do atrybutów, lub mogą odmówić "Zweryfikowane zapisu do nazwy hosta DNS" lub "Zweryfikowane zapisu w głównej nazwie usługi" prawa rozszerzone.

Rozwiązanie przyczyny 2

Aby rozwiązać ten problem, w razie potrzeby użyj jednej z następujących metod:

Metoda 1. Poprawianie niezamierzonej rozłącznej przestrzeni nazw

Jeśli konfiguracja rozłączna jest niezamierzona i chcesz przywrócić ciągłą przestrzeń nazw, użyj tej metody.

Aby uzyskać więcej informacji na temat przywracania do ciągłej przestrzeni nazw w systemie Windows Server 2003, zobacz następujący artykuł w witrynie Microsoft TechNet:
Przejście z rozłącznej przestrzeni nazw do ciągłej przestrzeni nazw
W przypadku systemu Windows Server 2008 i windows Vista i nowszych wersji zobacz następujący artykuł w witrynie Microsoft TechNet:
Odwróć przypadkowo utworzoną rozłączną przestrzeń nazw

Metoda 2. Sprawdź, czy konfiguracja rozłącznej przestrzeni nazw działa prawidłowo

Użyj tej metody, jeśli chcesz zachować rozłączną przestrzeń nazw. Aby to zrobić, wykonaj następujące kroki, aby wprowadzić pewne zmiany konfiguracji w celu rozwiązania błędów.

Aby uzyskać więcej informacji o tym, jak sprawdzić, czy rozłączne przestrzeni nazw działa poprawnie w systemie Windows Server 2003 R2, Windows Server 2003, Windows Server 2003 z dodatkiem Service Pack 1 (SP1) i Windows Server 2003 z dodatkiem Service Pack 2 (SP2), zobacz następujący artykuł w witrynie Microsoft TechNet: Tworzenie rozłącznej przestrzeni nazw
Aby uzyskać więcej informacji na temat sprawdzania, czy rozłączne przestrzeni nazw działa poprawnie w systemach Windows Server 2008 R2 i Windows Server 2008, zobacz następujący artykuł Microsoft TechNet: Tworzenie rozłącznej przestrzeni nazw

Rozszerzając przykład wymieniony w ostatnim głównym punkcie punktowanym w sekcji "Przyczyna", należy dodać nyc.contoso.com jako dozwolony sufiks do atrybutu.

Więcej informacji

W starszych wersjach tego artykułu wspomniano o zmianie uprawnień obiektów komputera w celu umożliwienia ogólnego dostępu do zapisu w celu rozwiązania tego problemu. Było to jedyne podejście, które istniało w systemie Windows 2000. Jednak jest mniej bezpieczny niż przy użyciu msDS-AllowedDNSSuffixes.

MsDS-AllowedDNSSuffixes ograniczają klientowi możliwość zapisywania dowolnych nazw SPN w usłudze Active Directory. Metoda "Windows 2000" umożliwia klientowi pisanie nazw SPN, które blokują pracę protokołu Kerberos z innymi ważnymi serwerami (tworzenie duplikatów). W przypadku korzystania z msDS-AllowedDNSSuffixes kolizje nazw SPN, takie jak te, mogą wystąpić tylko wtedy, gdy drugi serwer ma taką samą nazwę hosta jak komputer lokalny.

Ślad sieci odpowiedzi na żądanie modyfikacji protokołu LDAP zawiera następujące informacje:
wygrana: 17368, src: 389 dst: 1044

LDAP: ProtocolOp: ModifyResponse (7)

LDAP: MessageID

LDAP: ProtocolOp = ModifyResponse

LDAP: Kod wyniku = naruszenie ograniczeń

LDAP: Komunikat o błędzie = 0000200B: AtrErr: DSID-03151E6D W tym śledzeniu sieci 200B szesnastkowe jest równe 8203 dziesiętne.

Polecenie net helpmsg 8203 zwraca następujące informacje: Składnia atrybutu określona dla usługi katalogowej jest nieprawidłowa". Monitor sieci 5.00.943 wyświetla następujący kod wyniku: "Naruszenie ograniczeń". Winldap.h mapuje błąd 13 na "LDAP_CONSTRAINT_VIOLATION.

Nazwa domeny DNS i nazwa domeny usługi Active Directory mogą się różnić, jeśli spełniony jest co najmniej jeden z następujących warunków:

  • Konfiguracja DNS TCP/IP zawiera domenę DNS, która różni się od domeny usługi Active Directory, której komputer jest członkiem, oraz sufiks Zmień podstawowy system DNS po wyłączeniu opcji członkostwa w domenie . Aby wyświetlić tę opcję, kliknij prawym przyciskiem myszy pozycję Mój komputer, kliknij pozycję Właściwości, a następnie kliknij kartę Identyfikacja sieci .

  • Komputery z systemem Windows Server 2003 lub Windows XP Professional mogą stosować ustawienie zasady grupy, które ustawia sufiks podstawowy na wartość, która różni się od domeny usługi Active Directory. Ustawienie zasady grupy jest następujące: Konfiguracja komputera\Szablony administracyjne\Sieć\Klient DNS: podstawowy sufiks DNS

  • Kontroler domeny znajduje się w domenie, która została zmieniona przez narzędzie Rendom.exe. Jednak administrator zmienił jeszcze sufiks DNS z poprzedniej nazwy domeny DNS. Proces zmiany nazwy domeny nie aktualizuje podstawowego sufiksu DNS w celu dopasowania do bieżącej nazwy domeny DNS po zmianie nazw domen DNS. Domeny w lesie usługi Active Directory, które nie mają tej samej hierarchicznej nazwy domeny, znajdują się w innym drzewie domeny. Gdy różne drzewa domeny znajdują się w lesie, domeny główne nie są ciągłe. Jednak ta konfiguracja nie tworzy rozłącznej przestrzeni nazw DNS. Istnieje wiele domen dns, a nawet domen głównych DNS usługi Active Directory. Rozłączona przestrzeń nazw charakteryzuje się różnicą między podstawowym sufiksem DNS a nazwą domeny usługi Active Directory, której komputer jest członkiem.

Rozłączne przestrzeni nazw mogą być używane z ostrożnością w niektórych scenariuszach. Nie jest ona jednak obsługiwana we wszystkich scenariuszach.