Les ID d'événement 5788 et 5789 se produisent lorsque le nom de domaine DNS et le nom de domaine Active Directory diffèrent sur un ordinateur Windows Server 2003, Windows XP ou Windows 2000

Sur un ordinateur Microsoft Windows Server 2003, Microsoft Windows XP ou Microsoft Windows 2000, les messages d'événement suivants sont consignés dans le journal système.

Message d'événement 1

Type d'événement : Erreur
Source de l'événement : NETLOGON
Catégorie de l'événement : Aucune
ID de l'événement : 5788
Ordinateur : Ordinateur
Description :
La tentative de mise à jour du SPN (nom principal de service) de l'objet ordinateur dans Active Directory a échoué. L'erreur suivante s'est produite : La syntaxe d'attribut spécifiée au service d'annuaire n'est pas valide.

Message d'événement 2

Type d'événement : Erreur
Source de l'événement : NETLOGON
Catégorie de l'événement : Aucune
ID de l'événement : 5789
Ordinateur : Ordinateur
Description :
Échec de la mise à jour du nom d'hôte DNS de l'objet ordinateur dans Active Directory. L'erreur suivante s'est produite : Paramètre incorrect.

Ce problème se produit si le nom de domaine DNS sur l'ordinateur a été modifié et si le nouveau nom de domaine DNS ne correspond pas au nom de domaine Active Directory.

En outre, si le compte d'ordinateur ne dispose pas d'autorisations suffisantes pour exécuter une demande de « modification LDAP » des attributs dNSHostName et servicePrincipalName pour le compte d'ordinateur dans Active Directory, les événements d'ID 5788 et 5789 sont consignés.

Lorsque le canal de sécurité est réinitialisé sur un ordinateur Windows Server 2003, Windows XP ou Windows 2000 qui est membre du domaine Active Directory, cet ordinateur essaie de mettre à jour les attributs dNSHostName et servicePrincipalName. En outre, une fois qu'un ordinateur Windows Server 2003 ou Windows XP a joint le domaine, avant le redémarrage de l'ordinateur, ce dernier essaie de définir ou de mettre à jour l'attribut servicePrincipalName.

Également, sur un contrôleur de domaine Windows Server 2003 ou Windows 2000, le service Net Logon essaie de mettre à jour l'attribut servicePrincipalName toutes les 22 minutes.

Remarque Si le compte d'ordinateur dispose d'autorisations suffisantes pour modifier les attributs dNSHostName et servicePrincipalName, ou si le compte d'ordinateur a une valeur NULL pour ces attributs, le problème mentionné à la section « Symptômes » ne se produit pas.

Pour résoudre ce problème, appliquez l'une des méthodes suivantes :

Méthode 1 : Création manuelle de noms principaux du service

Important Il est conseillé qu'un administrateur ou un délégué résolve ce problème en créant manuellement les noms principaux du service sur les comptes d'ordinateur. Lorsque cette méthode n'est pas utilisée, l'authentification mutuelle n'est pas garantie. Par conséquent, l'ordinateur peut rester vulnérable. Appliquez cette méthode avant les autres méthodes décrites dans cet article.

Pour plus d'informations sur la façon de créer les noms principaux du service manuellement, visitez le site Web de Microsoft à l'adresse suivante :

Méthode 2 : Correction d'un espace de noms involontairement disjoint

Si l'espace de noms disjoint est involontaire, procédez comme suit :

1. Sur l'ordinateur qui a enregistré les événements, cliquez sur Démarrer, cliquez avec le bouton droit sur Poste de travail , puis sélectionnez Propriétés.
2. Sous l'onglet Nom de l'ordinateur, cliquez sur Modifier, puis sur Autres.
3. Activez la case à cocher Modifier le suffixe DNS principal lorsque les adhésions au domaine sont modifiées, puis cliquez sur OK.
4. Si le paramètre Modifier le suffixe DNS principal lorsque les adhésions au domaine sont modifiées a été appliqué par la stratégie de groupe du client DNS, supprimez le paramètre de stratégie de groupe ou le lien à la stratégie qui contient le paramètre de l'unité d'organisation qui contient le compte d'ordinateur.
5. Redémarrez l'ordinateur.

Méthode 3 : Désactivation du paramètre « Modifier le suffixe DNS principal lorsque les adhésions au domaine sont modifiées »

Si vous souhaitez disjoindre l'espace de noms, dans le cadre d'un scénario pris en charge, vérifiez que le paramètre Modifier le suffixe DNS principal lorsque les adhésions au domaine sont modifiées est désactivé. Pour cela, procédez comme suit :

1. Sur l'ordinateur qui a enregistré les événements, cliquez sur Démarrer, cliquez avec le bouton droit sur Poste de travail , puis sélectionnez Propriétés.
2. Sous l'onglet Nom de l'ordinateur, cliquez sur Modifier, puis sur Autres.
3. Désactivez la case à cocher Modifier le suffixe DNS principal lorsque les adhésions au domaine sont modifiées, puis cliquez sur OK.
4. Redémarrez l'ordinateur.

Méthode 4 : Permission pour les membres de mettre à jour les attributs dNSHostName et servicePrincipalName dans un domaine Windows 2000

Pour permettre aux membres de mettre à jour les attributs dNSHostName et servicePrincipalName dans un domaine Windows 2000, procédez comme suit :

1. Ouvrez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
2. Dans l'arborescence de la console, cliquez avec le bouton droit sur Utilisateurs et ordinateurs Active Directory, puis cliquez sur Se connecter au domaine.
3. Dans la zone Domaine, tapez le nom du domaine ou cliquez sur Parcourir pour rechercher le domaine dans lequel vous souhaitez permettre aux ordinateurs d'utiliser des noms DNS différents, puis cliquez sur OK.
4. Cliquez avec le bouton droit sur Utilisateurs et ordinateurs Active Directory, pointez sur Afficher, puis cliquez sur Fonctionnalités avancées.
5. Cliquez avec le bouton droit sur le nom du domaine, puis cliquez sur Propriétés.
6. Sous l'onglet Sécurité, cliquez sur Ajouter, sur le groupe Self, sur Ajouter, puis sur OK.
7. Cliquez sur Avancé, sur Self, puis sur Modifier dans le menu Affichage.
8. Cliquez sur l'onglet Objet, puis sur Objets ordinateurs dans la zone Appliquer à.
9. Sous Autorisations, cliquez sur Écriture validée vers le nom d'hôte DNS, puis activez la case à cocher Autoriser.
   
   Remarque Vous devrez peut-être cliquer sur Écriture validée vers le nom principal du service, puis activer la case à cocher Autoriser.
   
   AVERTISSEMENT En modifiant la sécurité par défaut de cette manière, l'ordinateur qui est joint au domaine sélectionné pourrait être contrôlé par un utilisateur malveillant et être en mesure de se publier sous un nom différent par le biais de l'attribut servicePrincipalName.

Méthode 5 : Modification de l'attribut Active Directory msDS-AllowedDNSSuffixes sur le conteneur d'objet du domaine dans un domaine Windows Server 2003

Utilisez l'outil de modification ADSI (Active Directory Service Interfaces) pour modifier l'attribut Active Directory msDS-AllowedDNSSuffixes sur le conteneur d'objet de domaine. Pour cela, procédez comme suit :

1. Installez les outils de support Windows Server 2003 s'ils ne sont pas déjà installés sur votre ordinateur. Pour cela, procédez comme suit :
   1. Insérez le disque d'installation de Windows Server 2003 dans le lecteur de disque.
   2. Cliquez sur Démarrer, sur Exécuter, puis sur Parcourir.
   3. Localisez le dossier suivant sur le disque d'installation : \Support\Tools
   4. Dans la liste Fichiers de type, cliquez sur Tous les fichiers.
   5. Cliquez sur SUPTOOLS.MSI, sur Ouvrir, puis sur OK.
   6. Suivez les instructions de l'Assistant Installation des outils de support de Windows.
2. Cliquez sur Démarrer, pointez sur Programmes, sur Outils de support Windows Server 2003, sur Outils, puis cliquez sur Modification ADSI.
3. Double-cliquez sur la partition d'annuaire de domaine pour le domaine que vous souhaitez modifier.
4. Cliquez avec le bouton droit sur l'objet de conteneur de domaine, puis cliquez sur Propriétés.
5. Sous l'onglet Éditeur d'attribut, dans la zone Attributs, double-cliquez sur l'attribut msDS-AllowedDNSSuffixes.
6. Dans la boîte de dialogue Éditeur de chaînes à valeurs multiples, dans la zone Valeur à ajouter, tapez un suffixe DNS, puis cliquez Ajouter.
7. Après avoir ajouté tous les suffixes DNS pour le domaine, cliquez sur OK.
8. Cliquez sur OK pour fermer la boîte de dialogue Propriétés pour ce domaine.
9. Cliquez avec le bouton droit sur Modification ADSI dans le volet de résultats, puis cliquez sur Connexion afin de modifier l'attribut Active Directory msDS-AllowedDNSSuffixes sur le conteneur d'objet de domaine dans un autre domaine.
10. Sous Ordinateur, cliquez sur Sélectionner ou entrer un domaine ou un serveur.
11. Tapez le nom du domaine suivant que vous souhaitez modifier, puis cliquez sur OK.
12. Reprenez les étapes 3 à 8 pour modifier ce domaine.
13. Reprenez les étapes 9 à 12 pour modifier un autre domaine.

Une trace réseau de la réponse à la demande de modification LDAP affiche les informations suivantes : Dans cette trace réseau, le nombre hexadécimal 200B est égal au nombre décimal 8203.

La commande net helpmsg 8203 retourne les informations suivantes : « La syntaxe d'attribut spécifiée au service d'annuaire n'est pas valide ». Le Moniteur réseau 5.00.943 affiche le code résultat suivant : « Violation de contrainte ». Winldap.h maps error 13 to "LDAP_CONSTRAINT_VIOLATION."

Le nom de domaine DNS et le nom de domaine Active Directory peuvent différer si une ou plusieurs des conditions suivantes sont vérifiées :

• La configuration DNS TCP/IP contient un domaine DNS qui diffère du domaine Active Directory dont l'ordinateur est membre et l'option Modifier le suffixe DNS principal lorsque les adhésions au domaine sont modifiées est désactivée. Pour afficher cette option, cliquez avec le bouton droit sur Poste de travail, cliquez sur Propriétés, puis sur l'onglet Identification réseau.
• Les ordinateurs Windows Server 2003 ou Windows XP Professionnel peuvent appliquer un paramètre de stratégie de groupe qui définit le suffixe principal sur une valeur qui diffère du domaine Active Directory. Le paramètre de stratégie de groupe est le suivant :
  Computer Configuration\Administrative Templates\Network\DNS Client : Suffixe DNS principal
• Le contrôleur de domaine réside dans un domaine qui a été renommé par l'utilitaire Rendom.exe. Toutefois, l'administrateur n'a pas encore modifié le suffixe DNS du nom de domaine DNS précédent. Le processus qui renomme le domaine ne met pas à jour le suffixe DNS principal afin qu'il corresponde au nom de domaine DNS réel suite à l'affectation de nouveaux noms de domaine DNS.

Les domaines d'une forêt Active Directory qui n'ont pas le même nom de domaine hiérarchique figurent dans une arborescence de domaine différente. Lorsqu'une forêt comporte différentes arborescences de domaine, les domaines racine ne sont pas contigus. L'expression qui est utilisée pour décrire la relation entre les différentes arborescences de domaine de la forêt est « espace de nom disjoint ».

Un espace de nom disjoint peut être utilisé avec précaution dans certains scénarios, mais il n'est pas pris en charge dans tous les scénarios.

L'espace de nom disjoint est pris en charge dans le scénario suivant :

• Les membres de domaine sont configurés pour différents suffixes DNS principaux, et seuls les membres du domaine utilisent le suffixe DNS principal.

L'espace de nom disjoint n'est pas pris en charge dans les scénarios suivants :

• Les membres de domaine sont configurés pour différents suffixes DNS principaux , mais les membres de ce domaine et d'autres domaines de la forêt utilisent les suffixes DNS principaux.
• Les membres de domaine sont configurés pour des suffixes DNS principaux qui correspondent au nom d'autres domaines Active Directory dans la forêt.
• Les contrôleurs de domaine sont configurés pour différents suffixes DNS principaux.
• Les serveurs d'autorité de certification sont configurés pour différents suffixes DNS principaux.

Remarque Vous ne pouvez pas configurer des contrôleurs de domaine et des serveurs d'autorité de certification pour un espace de nom disjoint à partir de l'interface utilisateur. Vous pouvez toutefois effectuer ces opérations à l'aide de stratégies de groupe de client DNS.

Support technique pour les versions x64 de Microsoft Windows

Si votre matériel a été fourni avec une édition x64 de Microsoft Windows déjà installée, c'est le fabricant de votre matériel qui assure le support technique pour l'édition x64 de Windows. Dans ce cas, le fabricant de votre matériel assure le support technique car il a ajouté une édition x64 de Windows à votre matériel. Le fabricant de votre matériel a pu personnaliser l'installation de l'édition x64 de Windows avec des composants uniques. Ceux-ci peuvent inclure des pilotes de périphériques spécifiques ou des paramètres facultatifs ayant pour but d'optimiser les performances du matériel. Microsoft pourra, dans une certaine limite, vous fournir une assistance technique sur l'édition x64 de Windows. Toutefois, vous devrez peut-être contacter directement le fabricant de votre matériel. Celui-ci est le plus qualifié pour assurer la prise en charge des logiciels qu'il a installés sur le matériel. Si vous avez acheté séparément une édition x64 de Windows telle que Microsoft Windows Server 2003 x64, contactez Microsoft pour obtenir un support technique.

Pour plus d'informations sur Microsoft Windows XP Professionnel Édition x64, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) : Pour plus d'informations sur les versions x64 de Microsoft Windows Server 2003, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) :