Compartir a través de

Los ID de evento 5788 y 5789 se producen en un equipo basado en Windows

  • Artículo

En este artículo se proporcionan soluciones a un problema por el que el identificador de evento 5788 y el identificador de evento 5789 se registran cuando el nombre de dominio DNS y el nombre de dominio de Active Directory difieren en un equipo basado en Windows.

Número de KB original: 258503

Síntomas

Puede experimentar uno de los siguientes problemas:

  • En Windows Vista y versiones posteriores, recibirá el siguiente mensaje de error durante el inicio de sesión interactivo:

    La base de datos de seguridad del servidor no tiene una cuenta de equipo para esta relación de confianza de estación de trabajo.

  • Los inicios de sesión interactivos con cuentas basadas en dominio no funcionan. Solo funcionan los inicios de sesión con cuentas locales.

  • Los siguientes mensajes de evento se registran en el registro del sistema:

    Tipo de evento: error
    Origen del evento: NETLOGON
    Categoría del evento: ninguna
    Identificador de evento: 5788
    Equipo: NombreDeEquipo
    Descripción:
    Error al intentar actualizar el nombre de entidad de seguridad de servicio (SPN) del objeto de equipo en Active Directory. Error siguiente: <mensaje de error detallado que varía, dependiendo de la causa.>

    Tipo de evento: error
    Origen del evento: NETLOGON
    Categoría del evento: ninguna
    Identificador de evento: 5789
    Equipo: Equipo
    Descripción:
    Error al intentar actualizar el nombre de host DNS del objeto de equipo en Active Directory. Error siguiente: <mensaje de error detallado que varía, dependiendo de la causa.>

    Nota:

    Los mensajes de error detallados para estos eventos se enumeran en la sección "Causa".

Causa

Este comportamiento se produce cuando un equipo intenta pero no escribe en los atributos dNSHostName y servicePrincipalName de su cuenta de equipo en un dominio de Servicios de dominio de Active Directory (AD DS).

Un equipo intenta actualizar estos atributos si se cumplen las condiciones siguientes:

  • Inmediatamente después de que un equipo basado en Windows se una a un dominio, el equipo intenta establecer los atributos dNSHostName y servicePrincipalName para su cuenta de equipo en el nuevo dominio.
  • Cuando el canal de seguridad se establece en un equipo basado en Windows que ya es miembro de un dominio de AD DS, el equipo intenta actualizar los atributos dNSHostName y servicePrincipalName de su cuenta de equipo en el dominio.
  • En un controlador de dominio basado en Windows, el servicio Netlogon intenta actualizar el atributo servicePrincipalName cada 22 minutos.

Hay dos posibles causas de los errores de actualización:

  • El equipo no tiene permiso suficiente para completar una solicitud de modificación LDAP de los atributos dNSHostName o servicePrincipalName para su cuenta de equipo.

    En este caso, los mensajes de error que corresponden a los eventos que se describen en la sección "Síntomas" son los siguientes:

    • Evento 5788

      Se denegó el acceso.

    • Evento 5789

      El sistema no puede encontrar el archivo especificado.

  • El sufijo DNS principal del equipo no coincide con el nombre DNS del dominio de AD DS del que es miembro el equipo. Esta configuración se conoce como "Espacio de nombres separado".

    Por ejemplo, el equipo es miembro del dominio contoso.comde Active Directory . Sin embargo, su nombre FQDN dns es member1.nyc.contoso.com. Por lo tanto, el sufijo DNS principal no coincide con el nombre de dominio de Active Directory.

    La actualización se bloquea en esta configuración porque se produce un error en la validación de escritura de requisitos previos de los valores de atributo. Se produce un error en la validación de escritura porque, de forma predeterminada, el Administrador de cuentas de seguridad (SAM) requiere que el sufijo DNS principal de un equipo coincida con el nombre DNS del dominio de AD DS del que es miembro el equipo.

    En este caso, los mensajes de error que corresponden a los eventos que se describen en la sección "Síntomas" son los siguientes:

    • Evento 5788

      La sintaxis de atributo especificada para el servicio de directorio no es válida.

    • Evento 5789

      El parámetro no es correcto.

Solución

Para resolver este problema, busque la causa más probable, como se describe en la sección "Causa". A continuación, use la resolución adecuada para la causa.

Resolución de la causa 1

Para resolver este problema, debe asegurarse de que la cuenta de equipo tiene permisos suficientes para actualizar su propio objeto de equipo.

En el Editor de ACL, asegúrese de que hay una entrada de control de acceso (ACE) para la cuenta de administrador "SELF" y de que tiene acceso "Permitir" para los siguientes derechos extendidos:

  • Escritura validada en el nombre de host DNS
  • Escritura validada en el nombre de la entidad de seguridad de servicio

A continuación, compruebe los permisos Denegar que se puedan aplicar. Excluyendo las pertenencias a grupos del equipo, los siguientes administradores también se aplican al equipo:

  • Todos
  • Usuarios autenticados
  • SELF

Los ACL que se aplican a estos administradores también pueden denegar el acceso a la escritura en atributos, o bien pueden denegar los derechos extendidos "Escritura validada en el nombre de host DNS" o "Escritura validada en el nombre de entidad de seguridad de servicio".

Resolución de la causa 2

Para resolver este problema, use uno de los métodos siguientes, según corresponda:

Método 1: Corregir un espacio de nombres no intencionado involuntaria

Si la configuración desasociada no es intencionada y desea revertir a un espacio de nombres contiguo, use este método.

Para obtener más información sobre cómo revertir a un espacio de nombres contiguo en Windows Server 2003, consulte el siguiente artículo de Microsoft TechNet:
Transición de un espacio de nombres separado a un espacio de nombres contiguo
Para Windows Server 2008 y para Windows Vista y versiones posteriores, consulte el siguiente artículo de Microsoft TechNet:
Invertir un espacio de nombres separado creado accidentalmente

Método 2: Comprobar que la configuración del espacio de nombres no separado funciona correctamente

Use este método si desea mantener el espacio de nombres separado. Para ello, siga estos pasos para realizar algunos cambios de configuración para resolver los errores.

Para obtener más información sobre cómo comprobar que el espacio de nombres separado funciona correctamente en Windows Server 2003 R2, Windows Server 2003, Windows Server 2003 con Service Pack 1 (SP1) y Windows Server 2003 con Service Pack 2 (SP2), consulte el siguiente artículo de Microsoft TechNet: Crear un espacio de nombres disjoint.
Para obtener más información sobre cómo comprobar que el espacio de nombres separado funciona correctamente en Windows Server 2008 R2 y Windows Server 2008, consulte el siguiente artículo de Microsoft TechNet: Crear un espacio de nombres disjoint.

Al extender el ejemplo mencionado en el último punto de viñeta principal de la sección "Causa", agregaría nyc.contoso.com como un sufijo permitido al atributo .

Más información

Las versiones anteriores de este artículo mencionaron el cambio de los permisos en los objetos de equipo para permitir el acceso de escritura general para resolver este problema. Este fue el único enfoque que existía en Windows 2000. Sin embargo, es menos seguro que usar msDS-AllowedDNSSuffixes.

msDS-AllowedDNSSuffixes restringen al cliente la escritura de SPN arbitrarios en Active Directory. El "método de Windows 2000" permite al cliente escribir SPN que bloquean que Kerberos funcione con otros servidores importantes (crear duplicados). Cuando se usan msDS-AllowedDNSSuffixes, las colisiones de SPN como las que pueden producirse solo cuando el otro servidor tiene el mismo nombre de host que el equipo local.

Un seguimiento de red de la respuesta a la solicitud de modificación LDAP muestra la siguiente información:
win: 17368, src: 389 dst: 1044

LDAP: ProtocolOp: ModifyResponse (7)

LDAP: MessageID

LDAP: ProtocolOp = ModifyResponse

LDAP: Código de resultado = Infracción de restricción

LDAP: Mensaje de error = 0000200B: AtrErr: DSID-03151E6D En este seguimiento de red, el hexadecimal de 200B es igual a 8203 decimal.

El comando net helpmsg 8203 devuelve la siguiente información: La sintaxis de atributo especificada para el servicio de directorio no es válida". Network Monitor 5.00.943 muestra el siguiente código de resultado: "Infracción de restricción". Winldap.h asigna el error 13 a "LDAP_CONSTRAINT_VIOLATION.

El nombre de dominio DNS y el nombre de dominio de Active Directory pueden diferir si se cumplen una o varias de las condiciones siguientes:

  • La configuración de DNS de TCP/IP contiene un dominio DNS que difiere del dominio de Active Directory del que es miembro el equipo y el sufijo DNS principal cambiar cuando se deshabilita la opción de pertenencia al dominio. Para ver esta opción, haga clic con el botón derecho en Mi equipo, haga clic en Propiedadesy, a continuación, haga clic en la pestaña Identificación de red.

  • Los equipos basados en Windows Server 2003 o basados en Windows XP Professional pueden aplicar una configuración de directiva de grupo que establece el sufijo principal en un valor que difiere del dominio de Active Directory. La configuración de directiva de grupo es la siguiente: Configuración del equipo\Plantillas administrativas\Red\Cliente DNS: Sufijo DNS principal

  • El controlador de dominio se encuentra en un dominio cuyo nombre ha cambiado la utilidad Rendom.exe. Sin embargo, el administrador aún cambió el sufijo DNS del nombre de dominio DNS anterior. El proceso de cambio de nombre de dominio no actualiza el sufijo DNS principal para que coincida con el nombre de dominio DNS actual después de cambiar el nombre de los nombres de dominio DNS. Los dominios de un bosque de Active Directory que no tienen el mismo nombre de dominio jerárquico están en un árbol de dominio diferente. Cuando hay árboles de dominio diferentes en un bosque, los dominios raíz no son contiguos. Sin embargo, esta configuración no crea un espacio de nombres DNS separado. Tiene varios dominios raíz dns o incluso dns de Active Directory. Un espacio de nombres separado se caracteriza por una diferencia entre el sufijo DNS principal y el nombre de dominio de Active Directory del que es miembro el equipo.

El espacio de nombres separado se puede usar con precaución en algunos escenarios. Sin embargo, no se admite en todos los escenarios.