ID Peristiwa 5788 dan event ID 5789 terjadi ketika nama domain DNS dan nama domain direktori aktif yang berbeda pada komputer berbasis Windows

Anda memiliki jendela berbasis komputer yang menjalankan salah satu sistem operasi berikut:

• Windows XP
• Windows Vista
• Windows 7
• Windows Server 2003
• Windows Server 2008
• Windows Server 2008 R2

Pada Windows Vista dan sistem operasi yang lebih baru, Anda mungkin mengalami kesalahan dialog selama interaktif logon yang berbunyi:

Keamanan database pada server tidak memiliki account komputer untuk hubungan kepercayaan workstation ini.


Interaktif login dengan account berbasis domain tidak bekerja, hanya login dengan account lokal yang berfungsi.

Pada komputer yang menjalankan salah satu sistem operasi, pesan kejadian berikut akan dicatat dalam log sistem:

Acara pesan 1

Jenis peristiwa: kesalahan
Sumber peristiwa: NETLOGON
Kategori peristiwa: tidak ada
Event ID: 5788
Komputer: ComputerName
Description:
Mencoba untuk memperbarui layanan utama nama (SPN) objek komputer di aktif Direktori gagal. Galat berikut ini terjadi: Pesan kesalahan rinci. Bervariasi tergantung pada akar penyebab

Acara pesan 2

Jenis peristiwa: kesalahan
Sumber peristiwa: NETLOGON
Kategori peristiwa: tidak ada
Event ID: 5789
Komputer: Komputer
Description:
Mencoba untuk memperbarui nama Host DNS komputer objek di Active Directory yang gagal. Galat berikut ini terjadi: Pesan kesalahan rinci. Bervariasi tergantung pada akar penyebab

Catatan Pesan kesalahan rinci untuk peristiwa yang didaftar di bagian "Sebab".

Perilaku ini terjadi ketika komputer mencoba tapi gagal untuk menulis dNSHostName dan servicePrincipalName atribut untuk akun komputer dalam domain Active Directory Domain Services (AD DS). Komputer mencoba untuk memperbarui atribut ini di bawah kondisi berikut:

• Secara langsung setelah berbasis Windows 2008, berbasis Windows Vista, Windows Server 2003, Windows XP berbasis komputer atau telah bergabung dengan domain, komputer mencoba menyetel dNSHostName dan servicePrincipalName atribut untuk komputer dengan account di domain baru.
• Ketika keamanan saluran didirikan pada komputer berbasis Windows yang sudah anggota domain AD DS, komputer mencoba memperbarui dNSHostName dan servicePrincipalName atribut untuk komputer dengan account di domain.
• Pada kontroler domain berbasis Windows, layanan Net Logon mencoba memperbarui servicePrincipalName atribut setiap menit.

Ada dua kemungkinan penyebab kegagalan update:

• Komputer tidak memiliki izin yang memadai untuk menyelesaikan "LDAP memodifikasi" permintaan dNSHostName atau servicePrincipalName atribut untuk account komputer.
  
  Dalam kasus ini, pesan kesalahan yang sesuai dengan peristiwa-peristiwa yang dijelaskan di bagian "Gejala" adalah sebagai berikut:
  • Peristiwa 5788
    Akses ditolak.
  • Peristiwa 5789
    Sistem tidak dapat menemukan berkas yang dicari.
• Akhiran DNS utama komputer tidak cocok nama DNS domain AD DS yang komputer adalah anggota. Konfigurasi ini dikenal sebagai "namespace penjaluran." Update diblokir di konfigurasi ini karena validasi prasyarat menulis nilai atribut gagal. Menulis validasi gagal karena manajer account keamanan (SAM) memerlukan, secara default, bahwa komputer utama akhiran DNS sesuai nama DNS domain AD DS komputer yang adalah anggota.
  
  Dalam kasus ini, pesan kesalahan yang sesuai dengan peristiwa-peristiwa yang dijelaskan di bagian "Gejala" adalah sebagai berikut:
  • Peristiwa 5788
    Sintaks atribut yang ditentukan untuk layanan direktori tidak valid.
  • Peristiwa 5789
    Parameter salah.

Untuk mengatasi masalah ini, menemukan penyebab seperti yang dijelaskan di bagian "Menyebabkan". Kemudian, gunakan resolusi yang sesuai untuk penyebab.

Resolusi untuk penyebab 1

Untuk mengatasi masalah ini, Anda harus memastikan bahwa account komputer memiliki izin yang memadai untuk memperbarui objek komputer sendiri.

Dalam ACL Editor, pastikan bahwa ada entri kontrol akses (ACE) untuk account wali "Diri" dan bahwa ia memiliki "Memungkinkan" akses untuk mengikuti diperpanjang hak:

• Divalidasi menulis untuk nama host DNS
• Divalidasi menulis layanan utama nama

Kemudian, verifikasi Deny izin yang mungkin berlaku. Tidak termasuk keanggotaan grup komputer, pengawas berikut juga berlaku untuk komputer:

• Semua orang
• Dikonfirmasi pengguna
• DIRI

ACEs yang berlaku pengawas ini juga dapat menolak akses menulis ke atribut, atau mereka mungkin menolak "Validated menulis untuk nama host DNS" atau "Validated menulis layanan utama nama" diperpanjang hak.

Resolusi untuk penyebab 2

Untuk mengatasi masalah ini, gunakan salah satu metode berikut, yang sesuai:

• Metode 1: Benar tidak disengaja penjaluran namespace

  Jika konfigurasi penjaluran tidak disengaja dan jika Anda ingin kembali ke namespace bersebelahan, gunakan metode ini.
  
  Untuk informasi lebih lanjut tentang cara untuk kembali ke namespace bersebelahan, kunjungi Web site Microsoft berikut:
  http://technet.Microsoft.com/en-us/library/cc773025.aspx (http://technet.microsoft.com/en-us/library/cc773025.aspx)
  Untuk Windows Server 2008 dan untuk Windows Vista dan yang lebih baru, ikuti langkah-langkah untuk mengkonfigurasi akhiran DNS dengan menggunakanSifat-sifat sistem kotak dialog:
  1. Pada komputer yang mencatat peristiwa, klik Mulai, klik kanan Komputer, lalu klik Properti.
  2. Dalam Sistem kotak dialog, klik Sistem pengaturan lanjutan di bawah Tugas.
  3. Dalam Properti sistem kotak dialog, klik Nama komputer tab, klik Ubah, lalu klik Lebih.
  4. Klik untuk memilih Perubahan utama DNS akhiran ketika domain keanggotaan perubahan Periksa kotak, dan kemudian klik Oke.
  5. Jika Perubahan utama DNS akhiran ketika domain keanggotaan perubahan pengaturan diterapkan oleh DNS klien Kebijakan Grup, menghapus pengaturan kebijakan grup atau menghapus tautan kebijakan yang berisi pengaturan dari unit organisasi (OU) yang berisi account komputer.
  6. Mulai ulang komputer.

• Metode 2: Memverifikasi bahwa konfigurasi penjaluran namespace bekerja dengan benar

  Menggunakan metode ini, jika Anda ingin menyimpan namespace penjaluran. Untuk melakukannya, ikuti langkah berikut untuk membuat beberapa perubahan konfigurasi untuk menyelesaikan kesalahan.
  
  Untuk informasi lebih lanjut tentang cara memverifikasi bahwa namespace penjaluran bekerja dengan benar pada Windows Server 2003 dan Windows 2000 Server, kunjungi Web site Microsoft berikut:
  http://technet.Microsoft.com/en-us/library/cc755926.aspx (http://technet.microsoft.com/en-us/library/cc755926.aspx)
  Untuk Windows Server 2008 dan untuk Windows Vista dan yang lebih baru, untuk langkah-langkah ini untuk memastikan bahwa komputer anggota tinggal di namespace penjaluran:
  1. Pada komputer yang mencatat peristiwa, klik Mulai, klik kanan Komputer, lalu klik Properti.
  2. Dalam Sistem kotak dialog, klik Sistem pengaturan lanjutan di bawah Tugas.
  3. Dalam Properti sistem kotak dialog, klik Nama komputer tab, klik Ubah, lalu klik Lebih.
  4. Klik untuk menghapus Perubahan utama DNS akhiran ketika domain keanggotaan perubahan Periksa kotak, dan kemudian klik Baiklah.
  5. Mulai ulang komputer.
  Untuk memastikan bahwa domain Windows Server 2008 bekerja dengan benar, ikuti langkah berikut:
  1. Di Start Menu, arahkan ke Semua program, arahkan ke Alat administratif, lalu klik ADSI Edit.
  2. Klik kanan ADSI Edit, lalu klik Hubungkan ke.
  3. Pilih Oke untuk memilih pilihan default di Pengaturan sambungan kotak dialog untuk bekerja dengan saat ini domain server. Atau, tentukan nama kontroler domain atau domain yang ingin Anda kelola di Komputer daerah.
  4. Klik dua kali partisi direktori domain untuk domain yang Anda ingin memodifikasi.
  5. Klik kanan objek domain, dan kemudian klik Properti.
  6. Pada Editor atribut tab, klik dua kali msDS-AllowedDNSSuffixes atribut di Atribut daftar. Jika atribut tidak ditampilkan, klik Penyaring, pastikan Opsional dipilih di bawah Perlihatkan Atribut dan bahwa Tampilkan hanya atribut yang memiliki nilai-nilai pilihan dinonaktifkan.
  7. Dalam Object multi-nilai String Editor kotak dialog, ketik akhiran DNS di Nilai untuk menambahkan kotak, dan kemudian klik Tambahkan.
  8. Setelah Anda menambahkan semua akhiran DNS yang Anda butuhkan untuk domain, klik Oke.
  9. Klik Oke untuk menutup kotak dialog properti untuk domain.
  10. Klik kanan ADSI Edit, lalu klik Hubungkan ke untuk mengubah msDS-AllowedDNSSuffixes Active Directory atribut pada objek domain wadah di domain lain.
  11. Di bawah Komputer, klik Pilih atau ketik domain atau server: (Server | Domain [: pelabuhan]), ketik nama domain berikutnya yang Anda ingin memodifikasi, dan kemudian klik Oke.
  12. Ulangi langkah 5 melalui 9 untuk mengubah domain.
  13. Ulangi langkah-langkah 10 hingga 12 untuk mengubah semua domain.
  
  

Versi artikel ini telah disebutkan mengubah permisisons pada objek komputer untuk membolehkan akses tulis umum untuk mengatasi masalah ini. Ini adalah satu-satunya metode yang ada pada Windows 2000, namun kurang aman daripada menggunakan msDS-AllowedDNSSuffixes.

msDS-AllowedDNSSuffixes membatasi klien dari menulis sewenang-wenang SPNs ke Active Directory. "Windows 2000 metode" memungkinkan klien untuk menulis SPNs yang memblokir Kerberos dari bekerja dengan server lain penting (membuat duplikat). Menggunakan msDS-AllowedDNSSuffixesTabrakan SPN seperti yang dapat hanya terjadi ketika server lain memiliki nama host yang sama sebagai mesin lokal.

Jejak jaringan menanggapi LDAP mengubah permintaan menampilkan informasi berikut:Dalam jejak jaringan ini, 244B heksadesimal sama dengan 8203 desimal.

The bersih helpmsg 8203 perintah akan menampilkan informasi berikut:
Nama domain DNS dan nama domain Active Directory dapat berbeda jika satu atau lebih kondisi berikut ini benar:

• Berisi konfigurasi TCP/IP DNS DNS domain yang berbeda dari domain direktori aktif yang komputer adalah anggota dan Perubahan utama DNS akhiran ketika domain keanggotaan perubahan pilihan dinonaktifkan. Untuk melihat opsi ini, klik kanan Komputer Saya, klik Properti, lalu klik Jaringan identifikasi tab.
• Windows berbasis Server 2003 atau Windows XP Professional berbasis komputer dapat menerapkan pengaturan kebijakan grup yang menetapkan akhiran utama ke nilai yang berbeda dari domain direktori aktif. Pengaturan kebijakan grup adalah:
  Komputer Configuration\Administrative Templates\Network\DNS klien: Akhiran DNS utama
• Kontroler domain berada dalam domain yang telah diubah namanya oleh utilitas Rendom.exe. Namun, administrator telah tidak belum diubah akhiran DNS dari nama domain DNS sebelumnya. Proses Ubah nama domain tidak memperbarui utama akhiran DNS untuk mencocokkan nama domain DNS saat ini berikut mengganti nama nama domain DNS.

Domain dalam forest Active Directory yang tidak memiliki nama domain hirarkis yang sama berada di pohon domain yang berbeda. Ketika domain berbeda pohon-pohon di hutan, domain akar tidak bersebelahan. Namun, konfigurasi ini tidak merupakan namespace DNS penjaluran. Anda memiliki beberapa DNS atau DNS direktori yang bahkan aktif root domain. Namespace penjaluran dicirikan oleh perbedaan antara akhiran DNS utama dan nama domain direktori aktif yang komputer adalah anggota.

Namespace penjaluran dapat digunakan dengan hati-hati dalam beberapa skenario, tetapi tidak didukung dalam semua skenario.

Untuk informasi lebih lanjut tentang penjaluran pedoman namespace dan dukungan, kunjungi Website Microsoft berikut:

Dukungan teknis bagi versi Microsoft Windows berbasis x

Jika perangkat keras Anda datang dengan Microsoft Windows edisi x 64 sudah diinstal, pembuat perangkat keras Anda menyediakan dukungan teknis dan bantuan untuk versi Windows berbasis x 64 edition. Dalam kasus ini, pembuat perangkat keras Anda menyediakan dukungan karena versi Windows berbasis x 64 disertakan dengan perangkat keras Anda. Pembuat perangkat keras Anda mungkin telah mengkustomisasi penginstalan Windows x 64 edisi dengan menggunakan komponen unik. Komponen unik meliputi pengandar spesifik perangkat atau pengaturan opsional untuk memaksimalkan kinerja perangkat keras. Microsoft akan berusaha menyediakan usaha bantuan apabila Anda harus memiliki membutuhkan bantuan dengan Windows edisi x 64. Namun, Anda mungkin harus menghubungi pabrik Anda secara langsung. Pabrik Anda terbaik memenuhi syarat untuk mendukung perangkat lunak yang pabrik Anda diinstal pada perangkat keras. Jika Anda membeli Windows edisi x 64 seperti Windows Server 2003 x 64 edisi terpisah, hubungi Microsoft untuk dukungan teknis.

Untuk informasi produk tentang Windows XP Professional edisi x 64, kunjungi Web site Microsoft berikut: Untuk informasi produk tentang versi Windows Server 2003 berbasis x, kunjungi Web site Microsoft berikut: