Поделиться через

Идентификаторы событий 5788 и 5789 появляются на компьютере под управлением Windows

  • Статья

В этой статье приводятся решения проблемы, из-за которой идентификатор события 5788 и идентификатор события 5789 регистрируются, если DNS-имя домена и доменное имя Active Directory отличаются на компьютере под управлением Windows.

Исходный номер базы знаний: 258503

Симптомы

Вы можете столкнуться с одной из следующих проблем:

  • В Windows Vista и более поздних версиях вы получите следующее сообщение об ошибке во время интерактивного входа:

    База данных безопасности на сервере не имеет учетной записи компьютера для отношения доверия рабочей станции.

  • Интерактивный вход с учетными записями на основе домена не работает. Работают только входы с локальными учетными записями.

  • Следующие сообщения о событиях регистрируются в системном журнале:

    Тип события: ошибка
    Источник событий: NETLOGON
    Категория события: нет
    Идентификатор события: 5788
    Компьютер: ComputerName
    Описание.
    Попытка обновить имя субъекта-службы (SPN) объекта компьютера в Active Directory завершилась ошибкой. Произошла следующая ошибка: <подробное сообщение об ошибке, которое зависит от причины.>

    Тип события: ошибка
    Источник событий: NETLOGON
    Категория события: нет
    Идентификатор события: 5789
    Компьютер: компьютер
    Описание.
    Попытка обновить dns-имя узла объекта компьютера в Active Directory завершилась ошибкой. Произошла следующая ошибка: <подробное сообщение об ошибке, которое зависит от причины.>

    Примечание.

    Подробные сообщения об ошибках для этих событий перечислены в разделе "Причина".

Причина

Это происходит при попытке компьютера, но не записывается в атрибуты dNSHostName и servicePrincipalName для учетной записи компьютера в домене домен Active Directory Services (AD DS).

Компьютер пытается обновить эти атрибуты, если выполняются следующие условия:

  • Сразу после того, как компьютер под управлением Windows присоединяется к домену, компьютер пытается задать атрибуты dNSHostName и servicePrincipalName для учетной записи компьютера в новом домене.
  • Если канал безопасности установлен на компьютере под управлением Windows, который уже является членом домена AD DS, компьютер пытается обновить атрибуты dNSHostName и servicePrincipalName для учетной записи компьютера в домене.
  • На контроллере домена под управлением Windows служба Netlogon пытается обновить атрибут servicePrincipalName каждые 22 минуты.

Существует две возможные причины сбоев обновления:

  • Компьютер не имеет достаточного разрешения на выполнение запроса на изменение LDAP атрибутов dNSHostName или servicePrincipalName для учетной записи компьютера.

    В этом случае сообщения об ошибках, соответствующие событиям, описанным в разделе "Симптомы", приведены ниже.

    • Событие 5788

      Отказано в доступе.

    • Событие 5789

      Системе не удается найти указанный файл.

  • Основной DNS-суффикс компьютера не соответствует DNS-имени домена AD DS, в котором компьютер является членом. Эта конфигурация называется "Несвязанное пространство имен".

    Например, компьютер является членом домена contoso.comActive Directory. Однако его полное доменное имя DNS — это member1.nyc.contoso.com. Поэтому основной DNS-суффикс не соответствует доменному имени Active Directory.

    Обновление заблокировано в этой конфигурации, так как проверка необходимых значений атрибутов завершается ошибкой. Проверка записи завершается ошибкой, так как по умолчанию диспетчер учетных записей безопасности (SAM) требует, чтобы основной DNS-суффикс компьютера соответствовал DNS-имени домена AD DS, на котором компьютер является членом.

    В этом случае сообщения об ошибках, соответствующие событиям, описанным в разделе "Симптомы", приведены ниже.

    • Событие 5788

      Синтаксис атрибута, указанный в службе каталогов, недопустим.

    • Событие 5789

      Неправильный параметр.

Решение

Чтобы устранить эту проблему, найдите наиболее вероятные причины, как описано в разделе "Причина". Затем используйте разрешение, подходящее для причины.

Решение для причины 1

Чтобы устранить эту проблему, необходимо убедиться, что учетная запись компьютера имеет достаточные разрешения для обновления собственного объекта компьютера.

В редакторе ACL убедитесь, что для учетной записи доверенного лица есть запись управления доступом (ACE) и что она имеет доступ "Разрешить" для следующих расширенных прав:

  • Проверенное запись в dns-имя узла
  • Проверенное запись в имя субъекта-службы

Затем проверьте все разрешения запрета, которые могут применяться. Кроме членства в группах компьютера, следующие доверенные лица также применяются к компьютеру:

  • Все
  • Пользователи, прошедшие проверку подлинности
  • SELF

AcEs, применяемые к этим доверенным лицам, также могут запретить доступ к записи в атрибуты или запретить расширенные права "Проверенная запись в dns-имя узла" или "Проверенная запись в имя субъекта-службы".

Решение для причины 2

Чтобы устранить эту проблему, используйте один из следующих методов, как это необходимо:

Метод 1. Исправление непреднамеренного разрозненного пространства имен

Если непреднамеренно настроена конфигурация несвязанного и если вы хотите вернуться к непрерывному пространству имен, используйте этот метод.

Дополнительные сведения о том, как вернуться к непрерывному пространству имен в Windows Server 2003, см. в следующей статье Microsoft TechNet:
Переход от несвязанного пространства имен к непрерывному пространству имен
Сведения о Windows Server 2008 и Windows Vista и более поздних версиях см. в следующей статье Microsoft TechNet:
Обратный случайно созданный разрознающий пространство имен

Метод 2. Убедитесь, что конфигурация несвязанного пространства имен работает правильно

Используйте этот метод, если вы хотите сохранить разрознённое пространство имен. Для этого выполните следующие действия, чтобы внести некоторые изменения конфигурации, чтобы устранить ошибки.

Дополнительные сведения о том, как проверить правильность работы разрознаемого пространства имен в Windows Server 2003 R2, Windows Server 2003, Windows Server 2003 с пакетом обновления 1 (SP1) и Windows Server 2003 с пакетом обновления 2 (SP2) см. в следующей статье Microsoft TechNet: Создание разрознающего пространства имен
Дополнительные сведения о том, как убедиться, что разрознемое пространство имен работает правильно в Windows Server 2008 R2 и Windows Server 2008, см. в следующей статье Microsoft TechNet: Создание разсоединения пространства имен

Расширив пример, упомянутый в последней основной точке маркера в разделе "Причина", вы добавите nyc.contoso.com в атрибут разрешенный суффикс.

Дополнительная информация

Более ранние версии этой статьи упомянули об изменении разрешений на объектах компьютера, чтобы обеспечить общий доступ на запись для устранения этой проблемы. Это был единственный подход, который существовал в Windows 2000. Однако это менее безопасно, чем использование msDS-AllowedDNSSuffixes.

MsDS-AllowedDNSSuffixes ограничивает клиент от записи произвольных имен субъектов-служб в Active Directory. Метод Windows 2000 позволяет клиенту записывать имена субъектов-служб, которые блокируют работу Kerberos с другими важными серверами (создают повторяющиеся). При использовании msDS-AllowedDNSSuffixes такие столкновения spN, как те, могут возникать, только если другой сервер имеет то же имя узла, что и локальный компьютер.

Сетевая трассировка ответа на запрос изменения LDAP отображает следующие сведения:
победа: 17368, src: 389 dst: 1044

LDAP: ProtocolOp: ModifyResponse (7)

LDAP: MessageID

LDAP: ProtocolOp = ModifyResponse

LDAP: результирующий код = нарушение ограничений

LDAP: сообщение об ошибке = 0000200B: AtrErr: DSID-03151E6D В этой трассировке сети шестнадцатеричное значение 200B равно десятичному 8203.

Команда net helpmsg 8203 возвращает следующие сведения: синтаксис атрибута, указанный в службе каталогов, недопустим". Сетевой монитор 5.00.943 отображает следующий код результата: "Нарушение ограничений". Ошибка Winldap.h сопоставляет ошибку 13 с "LDAP_CONSTRAINT_VIOLATION.

Dns-имя домена и доменное имя Active Directory могут отличаться, если одно или несколько следующих условий имеют значение true:

  • Конфигурация DNS TCP/IP содержит домен DNS, который отличается от домена Active Directory, в котором компьютер является членом, и суффикс изменения основного DNS при отключении параметра изменения членства в домене. Чтобы просмотреть этот параметр, щелкните правой кнопкой мыши мой компьютер, выберите пункт "Свойства" и перейдите на вкладку "Идентификация сети".

  • Компьютеры под управлением Windows Server 2003 или Windows XP Professional могут применять параметр групповой политики, который задает основной суффикс для значения, отличающегося от домена Active Directory. Параметр групповой политики выглядит следующим образом: Конфигурация компьютера\Административные шаблоны\Сеть\DNS-клиент: основной DNS-суффикс

  • Контроллер домена находится в домене, переименованном служебной программой Rendom.exe. Однако администратор еще изменил DNS-суффикс с предыдущего dns-имени домена. Процесс переименования домена не обновляет основной DNS-суффикс для сопоставления текущего DNS-имени домена после переименования доменных имен DNS. Домены в лесу Active Directory, у которых нет того же иерархического имени домена, находятся в другом дереве домена. Если в лесу находятся разные деревья домена, корневые домены не являются смежными. Однако эта конфигурация не создает разрознённое пространство имен DNS. У вас несколько DNS-доменов или даже корневых доменов DNS Active Directory. Несвязанное пространство имен характеризуется разницей между основным DNS-суффиксом и доменным именем Active Directory, в котором компьютер является членом.

Несвязанное пространство имен можно использовать с осторожностью в некоторых сценариях. Однако она не поддерживается во всех сценариях.