Udostępnij za pośrednictwem

Identyfikatory zdarzeń 5788 i 5789 występują na komputerze z systemem Windows

  • Artykuł

Ten artykuł zawiera rozwiązania problemu polegającego na tym, że identyfikator zdarzenia 5788 i identyfikator zdarzenia 5789 są rejestrowane, gdy nazwa domeny DNS i nazwa domeny usługi Active Directory różnią się na komputerze z systemem Windows.

Oryginalny numer KB: 258503

Symptomy

Może wystąpić jeden z następujących problemów:

  • W systemie Windows Vista i nowszych wersjach podczas logowania interakcyjnego jest wyświetlany następujący komunikat o błędzie:

    Baza danych zabezpieczeń na serwerze nie ma konta komputera dla tej relacji zaufania stacji roboczej.

  • Logowanie interakcyjne z kontami opartymi na domenie nie działa. Działają tylko logowania z kontami lokalnymi.

  • Następujące komunikaty o zdarzeniach są rejestrowane w dzienniku systemu:

    Typ zdarzenia: Błąd
    Źródło zdarzenia: NETLOGON
    Kategoria zdarzenia: Brak
    Identyfikator zdarzenia: 5788
    Komputer: ComputerName
    Opis rozwiązania:
    Próba zaktualizowania głównej nazwy usługi (SPN) obiektu komputera w usłudze Active Directory nie powiodła się. Wystąpił następujący błąd: <Szczegółowy komunikat o błędzie, który się różni, w zależności od przyczyny.>

    Typ zdarzenia: Błąd
    Źródło zdarzenia: NETLOGON
    Kategoria zdarzenia: Brak
    Identyfikator zdarzenia: 5789
    Komputer: komputer
    Opis rozwiązania:
    Próba zaktualizowania nazwy hosta DNS obiektu komputera w usłudze Active Directory nie powiodła się. Wystąpił następujący błąd: <Szczegółowy komunikat o błędzie, który się różni, w zależności od przyczyny.>

    Uwaga 16.

    Szczegółowe komunikaty o błędach dla tych zdarzeń są wymienione w sekcji "Przyczyna".

Przyczyna

To zachowanie występuje, gdy komputer próbuje, ale nie zapisuje w atrybutach dNSHostName i servicePrincipalName dla konta komputera w domenie usług domena usługi Active Directory (AD DS).

Komputer próbuje zaktualizować te atrybuty, jeśli spełnione są następujące warunki:

  • Natychmiast po dołączeniu komputera z systemem Windows do domeny komputer próbuje ustawić atrybuty dNSHostName i servicePrincipalName dla konta komputera w nowej domenie.
  • Po ustanowieniu kanału zabezpieczeń na komputerze z systemem Windows, który jest już członkiem domeny usług AD DS, komputer próbuje zaktualizować atrybuty dNSHostName i servicePrincipalName dla konta komputera w domenie.
  • Na kontrolerze domeny opartym na systemie Windows usługa Netlogon próbuje zaktualizować atrybut servicePrincipalName co 22 minuty.

Istnieją dwie możliwe przyczyny błędów aktualizacji:

  • Komputer nie ma wystarczających uprawnień do ukończenia żądania modyfikacji LDAP atrybutów dNSHostName lub servicePrincipalName dla konta komputera.

    W takim przypadku komunikaty o błędach odpowiadające zdarzeń opisanych w sekcji "Objawy" są następujące:

    • Zdarzenie 5788

      Odmowa dostępu.

    • Zdarzenie 5789

      W systemie nie można odnaleźć określonego pliku.

  • Podstawowy sufiks DNS komputera nie jest zgodny z nazwą DNS domeny usług AD DS, do której należy komputer. Ta konfiguracja jest znana jako "Rozłączna przestrzeń nazw".

    Na przykład komputer jest członkiem domeny contoso.comusługi Active Directory . Jednak jej nazwa FQDN DNS to member1.nyc.contoso.com. W związku z tym podstawowy sufiks DNS nie jest zgodny z nazwą domeny usługi Active Directory.

    Aktualizacja jest zablokowana w tej konfiguracji, ponieważ weryfikacja zapisu wymagań wstępnych wartości atrybutów kończy się niepowodzeniem. Sprawdzanie poprawności zapisu kończy się niepowodzeniem, ponieważ domyślnie Menedżer kont zabezpieczeń (SAM) wymaga, aby podstawowy sufiks DNS komputera był zgodny z nazwą DNS domeny usług AD DS, której komputer jest członkiem.

    W takim przypadku komunikaty o błędach odpowiadające zdarzeń opisanych w sekcji "Objawy" są następujące:

    • Zdarzenie 5788

      Składnia atrybutów określona w usłudze katalogowej jest nieprawidłowa.

    • Zdarzenie 5789

      Parametr jest niepoprawny.

Rozwiązanie

Aby rozwiązać ten problem, znajdź najbardziej prawdopodobną przyczynę zgodnie z opisem w sekcji "Przyczyna". Następnie użyj rozwiązania, które jest odpowiednie dla przyczyny.

Rozwiązanie w przypadku przyczyny 1

Aby rozwiązać ten problem, upewnij się, że konto komputera ma wystarczające uprawnienia do aktualizowania własnego obiektu komputera.

W Edytorze listy ACL upewnij się, że istnieje wpis kontroli dostępu (ACE) dla konta powierniczego "SELF" i że ma dostęp "Zezwalaj" dla następujących rozszerzonych praw:

  • Zweryfikowany zapis w nazwie hosta DNS
  • Zweryfikowano zapis w nazwie głównej usługi

Następnie zweryfikuj wszystkie uprawnienia odmowy, które mogą mieć zastosowanie. Wykluczając członkostwo w grupie komputera, następujące powierniki mają również zastosowanie do komputera:

  • Wszyscy
  • Uwierzytelnieni użytkownicy
  • SELF

ACE, które mają zastosowanie do tych powierników, mogą również odmawiać dostępu do zapisu do atrybutów lub mogą odrzucać rozszerzone prawa rozszerzone "Zweryfikowane zapis do nazwy hosta DNS" lub "Zweryfikowany zapis w nazwie głównej usługi".

Rozwiązanie w przypadku przyczyny 2

Aby rozwiązać ten problem, użyj jednej z następujących metod, zgodnie z potrzebami:

Metoda 1. Poprawianie niezamierzonej rozłącznej przestrzeni nazw

Jeśli konfiguracja rozłączna jest niezamierzona, a jeśli chcesz przywrócić ciągłą przestrzeń nazw, użyj tej metody.

Aby uzyskać więcej informacji na temat przywracania ciągłej przestrzeni nazw w systemie Windows Server 2003, zobacz następujący artykuł w witrynie Microsoft TechNet:
Przejście z rozłącznej przestrzeni nazw do ciągłej przestrzeni nazw
W przypadku systemów Windows Server 2008 i Windows Vista i nowszych wersji zobacz następujący artykuł w witrynie Microsoft TechNet:
Odwróć przypadkowo utworzoną rozłączną przestrzeń nazw

Metoda 2. Sprawdź, czy rozłączna konfiguracja przestrzeni nazw działa prawidłowo

Użyj tej metody, jeśli chcesz zachować rozłączną przestrzeń nazw. Aby to zrobić, wykonaj następujące kroki, aby wprowadzić pewne zmiany konfiguracji, aby usunąć błędy.

Aby uzyskać więcej informacji na temat sprawdzania, czy rozłączna przestrzeń nazw działa poprawnie w systemie Windows Server 2003 R2, Windows Server 2003, Windows Server 2003 z dodatkiem Service Pack 1 (SP1) i Windows Server 2003 z dodatkiem Service Pack 2 (SP2), zobacz następujący artykuł Microsoft TechNet: Tworzenie rozłącznej przestrzeni nazw
Aby uzyskać więcej informacji na temat sprawdzania, czy rozłączna przestrzeń nazw działa prawidłowo w systemach Windows Server 2008 R2 i Windows Server 2008, zobacz następujący artykuł w witrynie Microsoft TechNet: Tworzenie rozłącznej przestrzeni nazw

Rozszerzając przykład wymieniony w ostatnim głównym punkcie w sekcji "Przyczyna", należy dodać nyc.contoso.com jako dozwolony sufiks do atrybutu.

Więcej informacji

Starsze wersje tego artykułu wspomniały o zmianie uprawnień na obiektach komputera, aby umożliwić ogólny dostęp do zapisu w celu rozwiązania tego problemu. Było to jedyne podejście, które istniało w systemie Windows 2000. Jest to jednak mniej bezpieczne niż użycie msDS-AllowedDNSSuffixes.

msDS-AllowedDNSuffixes ograniczają klienta do zapisywania dowolnych nazw SPN w usłudze Active Directory. Metoda "Windows 2000" umożliwia klientowi zapisywanie nazw SPN blokujących pracę protokołu Kerberos z innymi ważnymi serwerami (tworzenie duplikatów). W przypadku korzystania z msDS-AllowedDNSuffixes kolizje nazwy SPN, takie jak te, mogą wystąpić tylko wtedy, gdy inny serwer ma taką samą nazwę hosta jak komputer lokalny.

Ślad sieciowy odpowiedzi na żądanie modyfikacji LDAP zawiera następujące informacje:
wygrana: 17368, src: 389 dst: 1044

LDAP: ProtocolOp: ModifyResponse (7)

LDAP: MessageID

LDAP: ProtocolOp = ModifyResponse

LDAP: Kod wyniku = naruszenie ograniczenia

LDAP: Komunikat o błędzie = 0000200B: AtrErr: DSID-03151E6D W tym śladzie sieci szesnastkowy 200B jest równy 8203 dziesiętny.

Polecenie net helpmsg 8203 zwraca następujące informacje: Składnia atrybutu określona w usłudze katalogowej jest nieprawidłowa." Program Network Monitor 5.00.943 wyświetla następujący kod wyniku: "Naruszenie ograniczeń". Winldap.h mapuje błąd 13 na "LDAP_CONSTRAINT_VIOLATION.

Nazwa domeny DNS i nazwa domeny usługi Active Directory mogą się różnić, jeśli spełniony jest co najmniej jeden z następujących warunków:

  • Konfiguracja DNS PROTOKOŁU TCP/IP zawiera domenę DNS, która różni się od domeny usługi Active Directory, której elementem członkowskim jest komputer, a opcja Zmień podstawowy sufiks DNS, gdy zmiany członkostwa w domenie są wyłączone. Aby wyświetlić tę opcję, kliknij prawym przyciskiem myszy pozycję Mój komputer, kliknij polecenie Właściwości, a następnie kliknij kartę Identyfikacja sieci.

  • Komputery z systemem Windows Server 2003 lub Windows XP Professional mogą stosować ustawienie zasad grupy, które ustawia sufiks podstawowy na wartość, która różni się od domeny usługi Active Directory. Ustawienie zasad grupy jest następujące: Konfiguracja komputera\Szablony administracyjne\Network\DNS Client: Podstawowy sufiks DNS

  • Kontroler domeny znajduje się w domenie, która została zmieniona przez narzędzie Rendom.exe. Jednak administrator nie zmienił jeszcze sufiksu DNS z poprzedniej nazwy domeny DNS. Proces zmiany nazwy domeny nie aktualizuje podstawowego sufiksu DNS, aby był zgodny z bieżącą nazwą domeny DNS po zmianie nazw domen DNS. Domeny w lesie usługi Active Directory, które nie mają tej samej hierarchicznej nazwy domeny, znajdują się w innym drzewie domeny. Gdy różne drzewa domen znajdują się w lesie, domeny główne nie są ciągłe. Jednak ta konfiguracja nie tworzy rozłącznej przestrzeni nazw DNS. Istnieje wiele domen DNS, a nawet domen głównych DNS usługi Active Directory. Rozłączna przestrzeń nazw charakteryzuje się różnicą między sufiksem podstawowej usługi DNS a nazwą domeny usługi Active Directory, do której należy komputer.

Rozłączna przestrzeń nazw może być używana ostrożnie w niektórych scenariuszach. Jednak nie jest obsługiwana we wszystkich scenariuszach.