Condividi tramite


Gli ID evento 5788 e 5789 si verificano su un computer basato su Windows

Questo articolo fornisce soluzioni a un problema a causa del quale l'ID evento 5788 e l'ID evento 5789 vengono registrati quando il nome di dominio DNS e il nome di dominio di Active Directory differiscono in un computer basato su Windows.

Numero KB originale: 258503

Sintomi

È possibile che si verifichi uno dei problemi seguenti:

  • In Windows Vista e versioni successive viene visualizzato il messaggio di errore seguente durante l'accesso interattivo:

    Il database di sicurezza nel server non dispone di un account computer per questa relazione di trust della workstation.

  • Gli accessi interattivi con account basati su dominio non funzionano. Funzionano solo gli accessi con account locali.

  • I messaggi di evento seguenti vengono registrati nel log di sistema:

    Tipo di evento: Errore
    Origine evento: NETLOGON
    Categoria evento: Nessuna
    ID evento: 5788
    Computer: ComputerName
    Descrizione:
    Tentativo di aggiornamento del nome dell'entità servizio (SPN) dell'oggetto computer in Active Directory non riuscito. Si è verificato l'errore seguente: <Messaggio di errore dettagliato che varia a seconda della causa.>

    Tipo di evento: Errore
    Origine evento: NETLOGON
    Categoria evento: Nessuna
    ID evento: 5789
    Computer: Computer
    Descrizione:
    Tentativo di aggiornamento del nome host DNS dell'oggetto computer in Active Directory non riuscito. Si è verificato l'errore seguente: <Messaggio di errore dettagliato che varia a seconda della causa.>

    Note

    I messaggi di errore dettagliati per questi eventi sono elencati nella sezione "Causa".

Causa

Questo comportamento si verifica quando un computer prova ma non scrive negli attributi dNSHostName e servicePrincipalName per il proprio account computer in un dominio di servizi di Dominio di Active Directory (AD DS).

Un computer tenta di aggiornare questi attributi se le condizioni seguenti sono vere:

  • Subito dopo l'aggiunta di un dominio a un computer basato su Windows, il computer tenta di impostare gli attributi dNSHostName e servicePrincipalName per il relativo account computer nel nuovo dominio.
  • Quando il canale di sicurezza viene stabilito in un computer basato su Windows già membro di un dominio di Active Directory Domain Services, il computer tenta di aggiornare gli attributi dNSHostName e servicePrincipalName per il relativo account computer nel dominio.
  • In un controller di dominio basato su Windows, il servizio Netlogon tenta di aggiornare l'attributo servicePrincipalName ogni 22 minuti.

Esistono due possibili cause degli errori di aggiornamento:

  • Il computer non dispone di autorizzazioni sufficienti per completare una richiesta di modifica LDAP degli attributi dNSHostName o servicePrincipalName per il relativo account computer.

    In questo caso, i messaggi di errore che corrispondono agli eventi descritti nella sezione "Sintomi" sono i seguenti:

    • Evento 5788

      Accesso negato.

    • Evento 5789

      Non è possibile trovare il file specificato.

  • Il suffisso DNS primario del computer non corrisponde al nome DNS del dominio di Active Directory Domain Services di cui il computer è membro. Questa configurazione è nota come "Spazio dei nomi non contiguo".

    Ad esempio, il computer è un membro del dominio contoso.comdi Active Directory. Tuttavia, il nome FQDN DNS è member1.nyc.contoso.com. Di conseguenza, il suffisso DNS primario non corrisponde al nome di dominio di Active Directory.

    L'aggiornamento è bloccato in questa configurazione perché la convalida di scrittura dei prerequisiti dei valori dell'attributo ha esito negativo. La convalida di scrittura ha esito negativo perché, per impostazione predefinita, Gestione account di sicurezza (SAM) richiede che il suffisso DNS primario di un computer corrisponda al nome DNS del dominio di Active Directory Domain Services del quale è membro.

    In questo caso, i messaggi di errore che corrispondono agli eventi descritti nella sezione "Sintomi" sono i seguenti:

    • Evento 5788

      La sintassi dell'attributo specificata per il servizio directory non è valida.

    • Evento 5789

      Parametro non corretto.

Risoluzione

Per risolvere questo problema, trovare la causa più probabile come descritto nella sezione "Causa". Usare quindi la risoluzione appropriata per la causa.

Risoluzione per la causa 1

Per risolvere questo problema, è necessario assicurarsi che l'account computer disponga di autorizzazioni sufficienti per aggiornare il proprio oggetto computer.

Nell'Editor ACL verificare che sia presente una voce di controllo di accesso (ACE) per l'account trustee "SELF" e che disponga dell'accesso "Consenti" per i diritti estesi seguenti:

  • Scrittura convalidata nel nome host DNS
  • Scrittura convalidata nel nome dell'entità servizio

Verificare quindi tutte le autorizzazioni Nega che possono essere applicate. Se si escludono le appartenenze ai gruppi del computer, i trustee seguenti si applicano anche al computer:

  • Tutti
  • Utenti autenticati
  • SELF

Gli ACL che si applicano a questi trustee possono anche negare l'accesso alla scrittura agli attributi oppure possono negare i diritti estesi "Convalidata scrittura in nome host DNS" o "Convalidata scrittura nel nome dell'entità servizio".

Risoluzione per la causa 2

Per risolvere questo problema, usare uno dei metodi seguenti, in base alle esigenze:

Metodo 1: Correggere uno spazio dei nomi non intenzionale non contiguo

Se la configurazione non contigua non è intenzionale e se si desidera ripristinare uno spazio dei nomi contiguo, usare questo metodo.

Per altre informazioni su come ripristinare uno spazio dei nomi contiguo in Windows Server 2003, vedere l'articolo seguente su Microsoft TechNet:
Transizione da uno spazio dei nomi non contiguo a uno spazio dei nomi contiguo
Per Windows Server 2008 e per Windows Vista e versioni successive, vedere l'articolo microsoft TechNet seguente:
Invertire uno spazio dei nomi non contiguo creato accidentalmente

Metodo 2: Verificare che la configurazione dello spazio dei nomi non contiguo funzioni correttamente

Utilizzare questo metodo, se si desidera mantenere lo spazio dei nomi non contiguo. A tale scopo, seguire questa procedura per apportare alcune modifiche di configurazione per risolvere gli errori.

Per altre informazioni su come verificare che lo spazio dei nomi non contiguo funzioni correttamente in Windows Server 2003 R2, Windows Server 2003, Windows Server 2003 con Service Pack 1 (SP1) e Windows Server 2003 con Service Pack 2 (SP2), vedere l'articolo seguente di Microsoft TechNet: Creare uno spazio dei nomi non contiguo
Per altre informazioni su come verificare che lo spazio dei nomi non contiguo funzioni correttamente in Windows Server 2008 R2 e Windows Server 2008, vedere l'articolo di Microsoft TechNet seguente: Creare uno spazio dei nomi non contiguo

Estendendo l'esempio menzionato nell'ultimo punto principale del punto elenco nella sezione "Causa", si aggiungerà nyc.contoso.com come suffisso consentito all'attributo .

Ulteriori informazioni

Le versioni precedenti di questo articolo hanno indicato la modifica delle autorizzazioni per gli oggetti computer per consentire l'accesso in scrittura generale per risolvere il problema. Questo è l'unico approccio esistente in Windows 2000. Tuttavia, è meno sicuro rispetto all'uso di msDS-AllowedDNSSuffixes.

msDS-AllowedDNSSuffixes impedisce al client di scrivere SPN arbitrari in Active Directory. Il "metodo Windows 2000" consente al client di scrivere nomi SPN che impediscono a Kerberos di lavorare con altri server importanti (creare duplicati). Quando si utilizza msDS-AllowedDNSSuffixes, i conflitti SPN, ad esempio quelli, possono verificarsi solo quando l'altro server ha lo stesso nome host del computer locale.

Una traccia di rete della risposta alla richiesta di modifica LDAP visualizza le informazioni seguenti:
win: 17368, src: 389 dst: 1044

LDAP: ProtocolOp: ModifyResponse (7)

LDAP: MessageID

LDAP: ProtocolOp = ModifyResponse

LDAP: Codice risultato = Violazione del vincolo

LDAP: Messaggio di errore = 0000200B: AtrErr: DSID-03151E6D In questa traccia di rete 200B esadecimale è uguale a 8203 decimale.

Il comando net helpmsg 8203 restituisce le informazioni seguenti: La sintassi dell'attributo specificata per il servizio directory non è valida". Monitoraggio di rete 5.00.943 visualizza il codice di risultato seguente: "Violazione vincolo". Winldap.h esegue il mapping dell'errore 13 a "LDAP_CONSTRAINT_VIOLATION.

Il nome di dominio DNS e il nome di dominio di Active Directory possono differire se una o più delle condizioni seguenti sono vere:

  • La configurazione DNS TCP/IP contiene un dominio DNS diverso dal dominio di Active Directory di cui il computer è membro e l'opzione Modifica suffisso DNS primario quando l'appartenenza al dominio cambia è disabilitata. Per visualizzare questa opzione, fare clic con il pulsante destro del mouse su Computer, scegliere Proprietàe quindi fare clic sulla scheda Identificazione rete.

  • I computer basati su Windows Server 2003 o Basati su Windows XP Professional possono applicare un'impostazione di Criteri di gruppo che imposta il suffisso primario su un valore diverso dal dominio di Active Directory. L'impostazione di Criteri di gruppo è la seguente: Configurazione computer\Modelli amministrativi\Rete\Client DNS: Suffisso DNS primario

  • Il controller di dominio si trova in un dominio rinominato dall'utilità Rendom.exe. Tuttavia, l'amministratore ha ancora modificato il suffisso DNS dal nome di dominio DNS precedente. Il processo di ridenominazione del dominio non aggiorna il suffisso DNS primario in modo che corrisponda al nome di dominio DNS corrente dopo le ridenominazione dei nomi di dominio DNS. I domini in una foresta Active Directory che non hanno lo stesso nome di dominio gerarchico si trovano in un albero di dominio diverso. Quando si trovano alberi di dominio diversi in una foresta, i domini radice non sono contigui. Tuttavia, questa configurazione non crea uno spazio dei nomi DNS non contiguo. Sono disponibili più domini DNS o anche domini radice DNS di Active Directory. Uno spazio dei nomi non contiguo è caratterizzato da una differenza tra il suffisso DNS primario e il nome di dominio di Active Directory di cui il computer è membro.

Lo spazio dei nomi non contiguo può essere usato con cautela in alcuni scenari. Tuttavia, non è supportato in tutti gli scenari.