ID de evento 5788 e evento ID 5789 ocorrem quando o nome de domínio de DNS e o nome de domínio do Active Directory diferem num computador com o Windows

Ter um computador baseado no Windows com um dos seguintes sistemas operativos:

• Microsoft Windows 2000
• Windows Vista
• Windows XP
• Windows Server 2003
• Windows Server 2008

Em computadores que estão a executar um destes sistemas operativos, as seguintes mensagens de evento são registadas no registo do sistema:

mensagem de evento 1

Tipo de evento: erro
Origem do evento: NETLOGON
Categoria do evento: nenhum
ID do evento: 5788
Computador: ComputerName
Descrição:
Tentativa de actualização principal nome serviço (SPN) do objecto computador no Active Directory falhou. Ocorreu o seguinte erro: mensagem de erro Detailed error message. Varies depending on the root cause

mensagem de evento 2

Tipo de evento: erro
Origem do evento: NETLOGON
Categoria do evento: nenhum
ID do evento: 5789
Computador: Computer
Descrição:
Tente actualizar o nome de anfitrião DNS do objecto computador no Active Directory falhou. Ocorreu o seguinte erro: mensagem de erro Detailed error message. Varies depending on the root cause

Nota As mensagens de erro detalhadas para os eventos são listadas na secção "Causa".

Este comportamento ocorre quando um computador tenta mas não consegue escrever os atributos dNSHostName e servicePrincipalName para a conta de computador num domínio serviços de domínio do Active Directory (AD DS). Um computador tenta actualizar estes atributos nas seguintes condições:

• Directamente depois de um computador baseado no Windows 2008, baseado no Windows Vista, baseado no Windows Server 2003 ou baseado no Windows XP tem associado um domínio, o computador tenta definir os atributos dNSHostName e servicePrincipalName para a conta de computador no novo domínio.
• Quando é estabelecido o canal de segurança num computador baseado no Windows que já é um membro de um domínio de AD DS, o computador tentará actualizar os atributos dNSHostName e servicePrincipalName para a conta de computador no domínio.
• Num controlador de domínio baseado no Windows, o serviço Início de sessão de rede tenta actualizar o atributo servicePrincipalName 22 minutos.

Existem duas causas possíveis para as falhas de actualização:

• O computador não tem permissão suficiente para concluir um pedido "LDAP modificar" dos atributos dNSHostName ou servicePrincipalName para a conta de computador.
  
  Neste caso, as mensagens de erro que correspondem aos eventos que são descritos na secção "Sintomas" são:
  • Evento 5788
    O acesso é negado.
  • Evento 5789
    O sistema não é possível encontrar o ficheiro especificado.
• O sufixo DNS primário do computador não coincidir com o nome DNS do domínio de AD DS do que o computador é membro. Esta configuração é conhecida como um espaço de ? nomes disjunto." A actualização está bloqueada nesta configuração como falha a validação de escrita pre-requisite dos valores de atributo. A validação de escrita falha porque o Gestor de contas de segurança (SAM, Security Accounts Manager) requer, por predefinição, que sufixo DNS primário ?s computador corresponde ao nome DNS do domínio de AD DS que do computador é membro.
  
  Neste caso, as mensagens de erro que correspondem aos eventos que são descritos na secção "Sintomas" são:
  • Evento 5788
    A sintaxe do atributo especificada para o serviço de directório é inválida.
  • Evento 5789
    O parâmetro está incorrecto.

Para resolver este problema, localize a causa mais provável conforme descrito na secção "Causa". Em seguida, utilize a resolução é adequada para a causa.

Resolução para a causa 1

Para resolver este problema, tem Certifique-se de que a conta de computador tem permissões suficientes para actualizar o respectivo objecto de computador.

No Editor de ACL, Access Control List, certifique-se que existe uma entrada de controlo de acesso (ACE, Access Control ENTRY) para a conta de utilizador fidedigno ? SELF ? e que tem acesso ? permitir ? para a seguinte expandido direitos:

• Escrita validada para o nome de anfitrião DNS
• Escrita validada para o nome principal do serviço

Em seguida, verifique se quaisquer permissões Negar que poderão ser aplicáveis. Excluindo os membros de grupo do computador, trustees seguintes também se aplicam ao computador:

• Todos os utilizadores
• Utilizadores autenticados
• AUTO-

As ACE são aplicáveis a estes trustees também podem negar acesso a escrever atributos, ou podem negar direitos ? Validated escrita para o DNS anfitrião nome ? ou ? validada escrita para o nome principal do serviço ? expandido.

Resolução para a causa 2

Para resolver este problema, utilize um dos seguintes métodos, conforme adequado:

• Método 1: Corrigir um espaço de nomes disjunto não intencionais

  Se a configuração disjunto não intencionais e se pretender reverter para o espaço de nomes contíguo, utilize este método.
  
  Para mais informações sobre como reverter para um espaço de nomes contíguo, visite o seguinte Web site da Microsoft:
  http://technet.microsoft.com/en-us/library/cc773025.aspx (http://technet.microsoft.com/en-us/library/cc773025.aspx)
  Para o Windows Server 2008 e para o Windows Vista, siga estes passos para configurar o sufixo de DNS utilizando a caixa de diálogo Propriedades Systems :
  1. No computador que registados os eventos, clique em Iniciar , clique com o botão direito do rato em computador e, em seguida, clique em Propriedades .
  2. Na caixa de diálogo sistema , clique em Definições avançadas do sistema em tarefas .
  3. Na caixa de diálogo Propriedades do sistema , clique no separador Nome do computador , clique em alterar e, em seguida, clique em mais .
  4. Clique para seleccionar a caixa de verificação o sufixo DNS primários alterar quando alterada a associação ao domínio e, em seguida, clique em OK .
  5. Se a definição de sufixo DNS primário de alterar quando altera os membros do domínio é aplicada pelo cliente de DNS política de grupo, remova a definição de política de grupo ou desligar a política que contém a definição da unidade organizacional (UO) que contém a conta de computador.
  6. Reinicie o computador.

• Método 2: Verificar a configuração de espaço de nomes disjunto está a funcionar correctamente

  Utilize este método, se pretender manter espaço de nomes disjunto. Para o fazer, siga estes passos para efectuar algumas alterações de configuração para resolver os erros.
  
  Para mais informações sobre como verificar se o espaço de nomes disjunto está a funcionar correctamente no Windows Server 2003 e no Windows 2000 Server, visite o seguinte Web site da Microsoft:
  http://technet.microsoft.com/en-us/library/cc755926.aspx (http://technet.microsoft.com/en-us/library/cc755926.aspx)
  Para o Windows Server 2008 e o Windows Vista, para que estes passos para se certificar de que os computadores membros permanecem num espaço de nomes disjunto:
  1. No computador que registados os eventos, clique em Iniciar , clique com o botão direito do rato em computador e, em seguida, clique em Propriedades .
  2. Na caixa de diálogo sistema , clique em Definições avançadas do sistema em tarefas .
  3. Na caixa de diálogo Propriedades do sistema , clique no separador Nome do computador , clique em alterar e, em seguida, clique em mais .
  4. Clique para desmarcar a caixa de verificação o sufixo DNS primários alterar quando alterada a associação ao domínio e, em seguida, clique em OK.
  5. Reinicie o computador.
  Para se certificar de que os domínios do Windows Server 2008 estão a funcionar correctamente, siga estes passos:
  1. No Menu Iniciar, aponte para Todos os programas , aponte para Ferramentas administrativas e, em seguida, clique em ADSI Edit .
  2. Right-Click ADSI Edit e clique em ligar .
  3. Seleccione ' OK ' para escolher as opções predefinidas na caixa de diálogo Definições de ligação para trabalhar com o domínio actual do servidor. Em alternativa, especifique o nome de um controlador de domínio ou um domínio que pretende gerir na área de computador .
  4. Faça duplo clique sobre a partição de directório de domínio para o domínio que pretende modificar.
  5. Clique com o botão direito do rato no objecto domínio e, em seguida, clique em Propriedades .
  6. No separador Editor de atributos , faça duplo clique no atributo msDS-AllowedDNSSuffixes na lista de atributos . Se o atributo não for apresentado, clique em filtro , certifique-se que opcional está seleccionada em Mostrar atributos e que a opção Mostrar apenas os atributos que têm valores está desactivada.
  7. Na caixa de diálogo Editor de cadeias Multi-valued , escreva um sufixo de DNS na caixa valor para adicionar e, em seguida, clique em Adicionar .
  8. Depois de adicionar todos os sufixos DNS que necessita para o domínio, clique em OK .
  9. Clique em OK para fechar a caixa de diálogo Propriedades para o domínio.
  10. Clique com o botão direito do rato em ADSI Edit e, em seguida, clique em ligar para modificar o atributo Do Active Directory msDS-AllowedDNSSuffixes no contentor de objecto de domínio noutro domínio.
  11. Em computadores , clique em Seleccione ou escreva um domínio ou servidor: (Server | domínio [: porta]) , escreva o nome do domínio seguinte que pretende modificar e, em seguida, clique em OK .
  12. Repita os passos 5 a 9 para modificar o domínio.
  13. Repita os passos 10 a 12 para modificar todos os domínios.

Um rastreio de rede da resposta para o LDAP modifique pedido apresenta as informações seguintes: Num rastreio rede, é igual a 8203 decimal 200B hexadecimal.

O comando net helpmsg 8203 devolve as seguintes informações:
O nome de domínio DNS e o nome de domínio do Active Directory podem ser diferentes se um ou mais das seguintes condições se verificar:

• A Configuração de TCP/IP DNS contém um domínio diferente do domínio do Active Directory do qual o computador é membro e a opção o sufixo DNS primários alterar quando alterada a associação ao domínio é desactivada. Para ver esta opção, clique com o botão direito do rato nos meus , clique em Propriedades e, em seguida, clique no separador Identificação de rede .
• Windows Server 2003 ou com o Windows XP Professional computadores poderão aplicar uma definição Política de grupo que define o sufixo primário para um valor diferente do domínio do Active Directory. A definição de política de grupo é:
  Cliente de Templates\Network\DNS de configuração do computador: Sufixo DNS primário
• O controlador de domínio reside num domínio que mudou pelo utilitário Rendom.exe. No entanto, o administrador não ainda modificou o sufixo DNS do nome de domínio DNS anterior. O processo de mudança de nome de domínio não é actualizado o principal sufixo DNS para corresponder ao seguinte de nome de domínio DNS actual muda o nome dos nomes de domínio DNS.

Domínios numa floresta do Active Directory que não têm o mesmo nome de domínio hierárquica são numa árvore de domínio diferente. Quando estão árvores de domínio diferentes numa floresta, os domínios raiz não estão contíguos. No entanto, esta configuração não constitui um espaço de nomes DNS disjunto. Tem várias DNS ou domínios de raiz mesmo DNS do Active Directory. Espaço de nomes disjunto é caracterizado por uma diferença entre o sufixo DNS primário e o nome de domínio do Active Directory do qual o computador é membro.

Espaço de nomes disjunto pode ser utilizado com atenção em alguns cenários, mas não é suportada em todos os cenários.

Para obter mais informações sobre directrizes de suporte e espaço de nomes disjuntos, visite o seguinte Web site da Microsoft:

Suporte técnico para versões baseadas em 64 do Microsoft Windows x

Se o hardware foi fornecido com uma edição x 64 do Microsoft Windows instalada, o fabricante do hardware fornece suporte técnico e assistência para a edição x 64 do Windows. Neste caso, o fabricante do hardware fornece suporte porque foi incluída com o hardware de uma edição x 64 do Windows. O fabricante do hardware pode ter personalizado a instalação da edição x 64 do Windows utilizando componentes exclusivos. Estes componentes exclusivos podem incluir controladores de dispositivo específicos ou podem incluir definições opcionais para maximizar o desempenho do hardware. A Microsoft fornecerá assistência razoável se necessitar de assistência técnica para uma edição x 64 do Windows. No entanto, poderá ter de contactar o fabricante directamente. O fabricante está melhor qualificado para suportar o software que o fabricante do instalado no hardware. Se tiver adquirido uma edição x 64 do Windows, que um Windows Server 2003 x 64 edition, separadamente, contacte a Microsoft para obter suporte técnico.

Para obter informações sobre o Windows XP Professional x 64 Edition, visite o seguinte Web site da Microsoft: Para obter informações sobre versões baseadas em 64 do Windows Server 2003 x, visite o seguinte Web site da Microsoft: