次の方法で共有

Windows ベースのコンピューターでイベント ID 5788 と 5789 が発生します

  • [アーティクル]

この記事では、Windows ベースのコンピューターで DNS ドメイン名と Active Directory ドメイン名が異なる場合にイベント ID 5788 とイベント ID 5789 がログに記録される問題の解決策について説明します。

元の KB 番号: 258503

現象

次のいずれかの問題が発生する可能性があります。

  • Windows Vista 以降のバージョンでは、対話型ログオン中に次のエラー メッセージが表示されます。

    サーバー上のセキュリティ データベースには、このワークステーションの信頼関係のコンピューター アカウントがありません。

  • ドメイン ベースのアカウントを使用した対話型ログオンは機能しません。 ローカル アカウントを持つログオンのみが機能しています。

  • 次のイベント メッセージがシステム ログに記録されます。

    イベントの種類: エラー
    イベント ソース: NETLOGON
    イベント カテゴリ: なし
    イベント ID: 5788
    Computer: ComputerName
    説明:
    Active Directory のコンピューター オブジェクトのサービス プリンシパル名 (SPN) の更新に失敗しました。 次のエラーが発生しました: <原因によって異なる詳細エラー メッセージ。>

    イベントの種類: エラー
    イベント ソース: NETLOGON
    イベント カテゴリ: なし
    イベント ID: 5789
    コンピューター: コンピューター
    説明:
    Active Directory でコンピューター オブジェクトの DNS ホスト名を更新できませんでした。 次のエラーが発生しました: <原因によって異なる詳細エラー メッセージ。>

    Note

    これらのイベントの詳細なエラー メッセージは、「原因」セクションに記載されています。

原因

この動作は、コンピューターが Active Directory ドメイン Services (AD DS) ドメイン内のコンピューター アカウントの dNSHostName 属性と servicePrincipalName 属性に書き込まない場合に発生します。

次の条件に該当する場合、コンピューターはこれらの属性の更新を試みます。

  • Windows ベースのコンピューターがドメインに参加した直後に、コンピューターは新しいドメイン内のコンピューター アカウントの dNSHostName 属性と servicePrincipalName 属性を設定しようとします。
  • 既に AD DS ドメインのメンバーである Windows ベースのコンピューターでセキュリティ チャネルが確立されている場合、コンピューターはドメイン内のコンピューター アカウントの dNSHostName 属性と servicePrincipalName 属性の更新を試みます。
  • Windows ベースのドメイン コントローラーでは、Netlogon サービスは servicePrincipalName 属性を 22 分ごとに更新しようとします。

更新エラーの原因として、次の 2 つがあります。

  • コンピューターには、そのコンピューター アカウントの dNSHostName 属性または servicePrincipalName 属性の LDAP 変更要求を完了するための十分なアクセス許可がありません。

    この場合、「現象」セクションで説明されているイベントに対応するエラー メッセージは次のとおりです。

    • イベント 5788

      アクセスが拒否されました。

    • イベント 5789

      指定されたファイルが見つかりません。

  • コンピューターのプライマリ DNS サフィックスが、コンピューターがメンバーである AD DS ドメインの DNS 名と一致しません。 この構成は、"不整合な名前空間" と呼ばれます。

    たとえば、コンピューターは Active Directory ドメイン contoso.comのメンバーです。 ただし、DNS FQDN 名は member1.nyc.contoso.com。 そのため、プライマリ DNS サフィックスが Active Directory ドメイン名と一致しません。

    属性値の前提条件の書き込み検証が失敗するため、この構成では更新がブロックされます。 既定では、セキュリティ アカウント マネージャー (SAM) では、コンピューターのプライマリ DNS サフィックスが、コンピューターがメンバーである AD DS ドメインの DNS 名と一致する必要があるため、書き込み検証は失敗します。

    この場合、「現象」セクションで説明されているイベントに対応するエラー メッセージは次のとおりです。

    • イベント 5788

      ディレクトリ サービスに指定された属性構文が無効です。

    • イベント 5789

      パラメーターが正しくありません。

解決方法

この問題を解決するには、「原因」セクションで説明されている最も可能性の高い原因を見つけます。 次に、原因に適した解決策を使用します。

原因 1 の解決策

この問題を解決するには、コンピューター アカウントに、独自のコンピューター オブジェクトを更新するための十分なアクセス許可があることを確認する必要があります。

ACL エディターで、トラスティ アカウント "SELF" のアクセス制御エントリ (ACE) があり、次の拡張権限に対する "許可" アクセスがあることを確認します。

  • DNS ホスト名への検証済みの書き込み
  • サービス プリンシパル名への検証済みの書き込み

次に、適用される可能性がある拒否アクセス許可を確認します。 コンピューターのグループ メンバーシップを除き、次のトラスティもコンピューターに適用されます。

  • すべてのユーザー
  • Authenticated Users
  • SELF

これらのトラスティに適用される ACE は、属性への書き込みアクセスを拒否することも、"検証済みの DNS ホスト名への書き込み" または "サービス プリンシパル名への書き込みの検証済み" 拡張権限を拒否することもできます。

原因 2 の解決策

この問題を解決するには、必要に応じて、次のいずれかの方法を使用します。

方法 1: 意図しない不整合な名前空間を修正する

不整合な構成が意図せず、連続する名前空間に戻す場合は、このメソッドを使用します。

Windows Server 2003 で連続する名前空間に戻す方法の詳細については、次の Microsoft TechNet の記事を参照してください。
不整合な名前空間から連続した名前空間への移行
Windows Server 2008 および Windows Vista 以降のバージョンについては、次の Microsoft TechNet の記事を参照してください。
誤って作成された不整合な名前空間を元に戻す

方法 2: 不整合な名前空間の構成が正しく動作していることを確認する

不整合な名前空間を保持する場合は、このメソッドを使用します。 これを行うには、次の手順に従って、いくつかの構成変更を行ってエラーを解決します。

不整合な名前空間が Windows Server 2003 R2、Windows Server 2003、Windows Server 2003 Service Pack 1 (SP1)、および Windows Server 2003 Service Pack 2 (SP2) で正しく動作していることを確認する方法の詳細については、次の Microsoft TechNet の記事を参照してください。 不整合名前空間の作成
不整合な名前空間が Windows Server 2008 R2 および Windows Server 2008 で正しく動作していることを確認する方法の詳細については、次の Microsoft TechNet の記事を参照してください。 不整合な名前空間を作成する

「原因」セクションの最後の主要な箇条書きで説明した例を拡張することで、属性に許可されるサフィックスとして nyc.contoso.com を追加します。

詳細

この記事の以前のバージョンでは、この問題を解決するための一般的な書き込みアクセスを有効にするために、コンピューター オブジェクトのアクセス許可を変更する方法について説明しました。 これは、Windows 2000 に存在する唯一のアプローチでした。 ただし、msDS-AllowedDNSSuffixes を使用する場合よりも安全性は低くなります。

msDS-AllowedDNSSuffixes は、クライアントが任意の SPN を Active Directory に書き込むのを制限します。 "Windows 2000 メソッド" を使用すると、クライアントは、Kerberos が他の重要なサーバーと連携するのをブロックする SPN を作成できます (重複を作成します)。 msDS-AllowedDNSSuffixes を使用する場合、このような SPN の競合は、他のサーバーがローカル コンピューターと同じホスト名を持っている場合にのみ発生する可能性があります。

LDAP 変更要求への応答のネットワーク トレースには、次の情報が表示されます。
win: 17368, src: 389 dst: 1044

LDAP: ProtocolOp: ModifyResponse (7)

LDAP: MessageID

LDAP: ProtocolOp = ModifyResponse

LDAP: 結果コード = 制約違反

LDAP: エラー メッセージ = 0000200B: AtrErr: DSID-03151E6D このネットワーク トレースでは、200B 16 進数は 8203 10 進数に等しくなります。

net helpmsg 8203 コマンドは、次の情報を返します。ディレクトリ サービスに指定された属性構文が無効です。Network Monitor 5.00.943 では、"制約違反" という結果コードが表示されます。Winldap.h は、エラー 13 を "LDAP_CONSTRAINT_VIOLATIONにマップします。

次の 1 つ以上の条件に該当する場合、DNS ドメイン名と Active Directory ドメイン名は異なる場合があります。

  • TCP/IP DNS 構成には、コンピューターがメンバーである Active Directory ドメインとは異なる DNS ドメインと、ドメイン メンバーシップが変更されたときに Change プライマリ DNS サフィックス オプションが無効になっています。 このオプションを表示するには、[マイ コンピューター] 右クリックしPropertiesをクリックし、[Network の識別] タブをクリックします。

  • Windows Server 2003 ベースまたは Windows XP Professional ベースのコンピューターでは、Active Directory ドメインとは異なる値にプライマリ サフィックスを設定するグループ ポリシー設定を適用できます。 グループ ポリシー設定は次のとおりです。コンピューターの構成\管理用テンプレート\Network\DNS クライアント: プライマリ DNS サフィックス

  • ドメイン コントローラーは、Rendom.exe ユーティリティによって名前が変更されたドメインにあります。 ただし、管理者は、以前の DNS ドメイン名から DNS サフィックスを変更しました。 ドメイン名の変更プロセスでは、DNS ドメイン名の名前変更後に、プライマリ DNS サフィックスが現在の DNS ドメイン名と一致するように更新されません。 同じ階層ドメイン名を持たない Active Directory フォレスト内のドメインは、別のドメイン ツリーに存在します。 フォレスト内に異なるドメイン ツリーがある場合、ルート ドメインは連続していません。 ただし、この構成では、不整合な DNS 名前空間は作成されません。 複数の DNS または Active Directory DNS ルート ドメインがある。 不整合な名前空間は、プライマリ DNS サフィックスと、コンピューターがメンバーである Active Directory ドメイン名の違いによって特徴付けられます。

一部のシナリオでは、不整合な名前空間を慎重に使用できます。 ただし、すべてのシナリオでサポートされているわけではありません。