Compartilhar via

Event IDs 5788 and 5789 occur on a Windows-based computer

  • Artigo

Este artigo fornece soluções para um problema em que a ID de evento 5788 e a ID de evento 5789 são registradas quando o nome de domínio DNS e o nome de domínio do Active Directory diferem em um computador baseado no Windows.

Número original do KB: 258503

Sintomas

Você pode enfrentar um dos seguintes problemas:

  • No Windows Vista e versões posteriores, você recebe a seguinte mensagem de erro durante o logon interativo:

    O banco de dados de segurança no servidor não tem uma conta de computador para essa relação de confiança da estação de trabalho.

  • Logons interativos com contas baseadas em domínio não funcionam. Somente logons com contas locais estão funcionando.

  • As seguintes mensagens de evento são registradas no log do sistema:

    Tipo de Evento: Erro
    Origem do evento: NETLOGON
    Categoria do Evento: Nenhum
    ID do evento: 5788
    Computador: ComputerName
    Descrição:
    Falha na tentativa de atualizar o SPN (Nome da Entidade de Serviço) do objeto de computador no Active Directory. Ocorreu o seguinte erro: <Mensagem de erro detalhada que varia, dependendo da causa.>

    Tipo de Evento: Erro
    Origem do evento: NETLOGON
    Categoria do Evento: Nenhum
    ID do evento: 5789
    Computador: Computador
    Descrição:
    Falha na tentativa de atualizar o nome do host DNS do objeto de computador no Active Directory. Ocorreu o seguinte erro: <Mensagem de erro detalhada que varia, dependendo da causa.>

    Observação

    Mensagens de erro detalhadas para esses eventos estão listadas na seção "Causa".

Motivo

Esse comportamento ocorre quando um computador tenta, mas não grava, nos atributos dNSHostName e servicePrincipalName para sua conta de computador em um domínio do AD DS (Active Directory Domain Services).

Um computador tenta atualizar esses atributos se as seguintes condições forem verdadeiras:

  • Imediatamente após um computador baseado em Windows ingressar em um domínio, o computador tentará definir os atributos dNSHostName e servicePrincipalName para sua conta de computador no novo domínio.
  • Quando o canal de segurança é estabelecido em um computador baseado no Windows que já é membro de um domínio do AD DS, o computador tenta atualizar os atributos dNSHostName e servicePrincipalName para sua conta de computador no domínio.
  • Em um controlador de domínio baseado no Windows, o serviço Netlogon tenta atualizar o atributo servicePrincipalName a cada 22 minutos.

Há duas causas possíveis para as falhas de atualização:

  • O computador não tem permissão suficiente para concluir uma solicitação de modificação LDAP dos atributos dNSHostName ou servicePrincipalName para sua conta de computador.

    Nesse caso, as mensagens de erro que correspondem aos eventos descritos na seção "Sintomas" são as seguintes:

    • Evento 5788

      Acesso negado.

    • Evento 5789

      O sistema não pode encontrar o arquivo especificado.

  • O sufixo DNS primário do computador não corresponde ao nome DNS do domínio do AD DS do qual o computador é membro. Essa configuração é conhecida como "namespace Disjunção".

    Por exemplo, o computador é membro do domínio contoso.comdo Active Directory . No entanto, seu nome DNS FQDN é member1.nyc.contoso.com. Portanto, o sufixo DNS primário não corresponde ao nome de domínio do Active Directory.

    A atualização é bloqueada nessa configuração porque a validação de gravação de pré-requisito dos valores de atributo falha. A validação de gravação falha porque, por padrão, o SAM (Gerenciador de Contas de Segurança) exige que o sufixo DNS primário de um computador corresponda ao nome DNS do domínio do AD DS do qual o computador é membro.

    Nesse caso, as mensagens de erro que correspondem aos eventos descritos na seção "Sintomas" são as seguintes:

    • Evento 5788

      A sintaxe de atributo especificada para o serviço de diretório é inválida.

    • Evento 5789

      O parâmetro está incorreto.

Resolução

Para resolver esse problema, encontre a causa mais provável, conforme descrito na seção "Causa". Em seguida, use a resolução apropriada para a causa.

Resolução para a Causa 1

Para resolver esse problema, você deve verificar se a conta do computador tem permissões suficientes para atualizar seu próprio objeto de computador.

No Editor de ACL, verifique se há uma entrada de controle de acesso (ACE) para a conta fiduciária "SELF" e se ela tem acesso "Permitir" para os seguintes direitos estendidos:

  • Gravação validada para o nome do host DNS
  • Gravação validada para o nome da entidade de serviço

Em seguida, verifique todas as permissões de negação que possam ser aplicadas. Excluindo as associações de grupo do computador, os seguintes curadores também se aplicam ao computador:

  • Todos
  • Usuários Autenticados
  • SELF

As ACEs que se aplicam a esses trustees também podem negar o acesso a atributos de gravação ou podem negar os direitos estendidos "Gravação validada no nome do host DNS" ou "Gravação validada no nome da entidade de serviço".

Resolução para a Causa 2

Para resolver esse problema, use um dos seguintes métodos, conforme apropriado:

Método 1: Corrigir um namespace não intencional

Se a configuração não for intencional e se você quiser reverter para um namespace contíguo, use esse método.

Para obter mais informações sobre como reverter para um namespace contíguo no Windows Server 2003, consulte o seguinte artigo do Microsoft TechNet:
Transição de um namespace não contíguo para um namespace contíguo
Para Windows Server 2008 e Windows Vista e versões posteriores, consulte o seguinte artigo do Microsoft TechNet:
Reverter um namespace não contíguo criado acidentalmente

Método 2: Verifique se a configuração do namespace não contíguo está funcionando corretamente

Use esse método se quiser manter o namespace não contíguo. Para fazer isso, siga estas etapas para fazer algumas alterações de configuração para resolver os erros.

Para obter mais informações sobre como verificar se o namespace não contíguo está funcionando corretamente no Windows Server 2003 R2, Windows Server 2003, Windows Server 2003 com Service Pack 1 (SP1) e Windows Server 2003 com Service Pack 2 (SP2), consulte o seguinte artigo do Microsoft TechNet: Criar um namespace não contíguo
Para obter mais informações sobre como verificar se o namespace não contíguo está funcionando corretamente no Windows Server 2008 R2 e no Windows Server 2008, consulte o seguinte artigo do Microsoft TechNet: Criar um namespace não contíguo

Ao estender o exemplo mencionado no último ponto principal na seção "Causa", você adicionaria nyc.contoso.com como um sufixo permitido ao atributo.

Mais informações

Versões mais antigas deste artigo mencionaram a alteração das permissões nos objetos do computador para habilitar o acesso geral de gravação para resolver esse problema. Essa era a única abordagem que existia no Windows 2000. No entanto, é menos seguro do que usar msDS-AllowedDNSSuffixes.

msDS-AllowedDNSSuffixos restringem o cliente de gravar SPNs arbitrários no Active Directory. O "método Windows 2000" permite que o cliente escreva SPNs que impedem que o Kerberos funcione com outros servidores importantes (crie duplicatas). Quando você usa msDS-AllowedDNSSuffixes, colisões de SPN como essas podem ocorrer somente quando o outro servidor tem o mesmo nome de host que o computador local.

Um rastreamento de rede da resposta à solicitação de modificação LDAP exibe as seguintes informações:
Vitória: 17368, SRG: 389 DST: 1044

LDAP: ProtocolOp: ModifyResponse (7)

LDAP: ID da mensagem

LDAP: ProtocolOp = ModifyResponse

LDAP: Código de resultado = Violação de restrição

LDAP: Mensagem de erro = 0000200B: AtrErr: DSID-03151E6D Neste rastreamento de rede, 200B hexadecimal é igual a 8203 decimal.

O comando net helpmsg 8203 retorna as seguintes informações: A sintaxe de atributo especificada para o serviço de diretório é inválida." O Monitor de Rede 5.00.943 exibe o seguinte código de resultado: "Violação de Restrição". Winldap.h mapeia o erro 13 para "LDAP_CONSTRAINT_VIOLATION.

O nome de domínio DNS e o nome de domínio do Active Directory podem ser diferentes se uma ou mais das seguintes condições forem verdadeiras:

  • A configuração de DNS TCP/IP contém um domínio DNS diferente do domínio do Active Directory do qual o computador é membro, e a opção Alterar sufixo DNS primário quando a associação de domínio for alterada está desabilitada. Para exibir essa opção, clique com o botão direito do mouse em Meu Computador, clique em Propriedades e clique na guia Identificação de Rede .

  • Os computadores baseados no Windows Server 2003 ou no Windows XP Professional podem aplicar uma configuração de Diretiva de Grupo que define o sufixo primário como um valor diferente do domínio do Active Directory. A configuração da Diretiva de Grupo é a seguinte: Configuração do Computador\Modelos Administrativos\Rede\Cliente DNS: Sufixo DNS Primário

  • O controlador de domínio está localizado em um domínio que foi renomeado pelo utilitário Rendom.exe. No entanto, o administrador ainda alterou o sufixo DNS do nome de domínio DNS anterior. O processo de renomeação de domínio não atualiza o sufixo DNS primário para corresponder ao nome de domínio DNS atual após renomeações de nomes de domínio DNS. Os domínios em uma floresta do Active Directory que não têm o mesmo nome de domínio hierárquico estão em uma árvore de domínio diferente. Quando árvores de domínio diferentes estão em uma floresta, os domínios raiz não são contíguos. No entanto, essa configuração não cria um namespace DNS não contíguo. Você tem vários domínios raiz DNS ou até mesmo DNS do Active Directory. Um namespace não contíguo é caracterizado por uma diferença entre o sufixo DNS primário e o nome de domínio do Active Directory do qual o computador é membro.

O namespace Disjoint pode ser usado com cautela em alguns cenários. No entanto, não há suporte em todos os cenários.