Identificação do evento 5788 e evento ID 5789 ocorrem quando o nome de domínio DNS e nome de domínio do Active Directory são diferentes em um computador com Windows

Você tiver um computador com baseada em Windows que está executando um dos seguintes sistemas operacionais:

• Microsoft Windows 2000
• Windows Vista
• Windows XP
• Windows Server 2003
• Windows Server 2008

Em computadores que estejam executando um desses sistemas operacionais, as seguintes mensagens de evento são registradas no log do sistema:

mensagem de evento 1

Tipo de evento: erro
Origem do evento: NETLOGON
Categoria do evento: nenhum
IDENTIFICAÇÃO de evento: 5788
ComputerName do computador:
Descrição:
Tentativa de atualizar nome principal de serviço (SPN) do objeto de computador no Active Directory falhou. Ocorreu o seguinte erro: mensagem de erro Detailed error message. Varies depending on the root cause

mensagem de evento 2

Tipo de evento: erro
Origem do evento: NETLOGON
Categoria do evento: nenhum
IDENTIFICAÇÃO de evento: 5789
Computador: Computer
Descrição:
Tentativa de atualizar o nome do host DNS do objeto de computador no Active Directory falhou. Ocorreu o seguinte erro: mensagem de erro Detailed error message. Varies depending on the root cause

Observação As mensagens de erro detalhadas para os eventos são listadas na seção "Causa".

Esse comportamento ocorre quando um computador tenta mas falha gravar os atributos de dNSHostName e servicePrincipalName para sua conta de computador em um domínio de serviços de domínio Active Directory (AD DS). Um computador tenta atualizar esses atributos sob as seguintes condições:

• Diretamente após um computador com base em Windows 2008, com base no Windows Vista, baseado no Windows Server 2003 ou baseado no Windows XP ingressou em um domínio, o computador tenta definir os atributos de dNSHostName e servicePrincipalName para sua conta de computador no novo domínio.
• Quando o canal de segurança é estabelecido em um computador baseado no Windows que já é um membro de um domínio do AD DS, o computador tenta atualizar os atributos de dNSHostName e servicePrincipalName para sua conta de computador no domínio.
• Em um controlador de domínio baseado no Windows, o serviço Logon de rede tenta atualizar o atributo servicePrincipalName cada 22 minutos.

Há duas causas possíveis para as falhas de atualização:

• O computador não tem permissão suficiente para concluir uma solicitação "Modificar LDAP" dos atributos dNSHostName ou servicePrincipalName de sua conta de computador.
  
  Nesse caso, as mensagens de erro que correspondem aos eventos que são descritos na seção "Sintomas" são:
  • Evento 5788
    O acesso foi negado.
  • Evento 5789
    O sistema não é possível localizar o arquivo especificado.
• O sufixo DNS primário do computador não coincidir com o nome DNS do domínio AD DS do que o computador é membro. Essa configuração é conhecida como ? namespace separado". A atualização está bloqueada nessa configuração, como a validação de gravação pre-requisite dos valores de atributo falhar. A validação de gravação falha porque o Gerenciador de contas de segurança (SAM) requer, por padrão, que o sufixo DNS primário ?s computador corresponde ao nome DNS do domínio AD DS que do computador no qual é membro.
  
  Nesse caso, as mensagens de erro que correspondem aos eventos que são descritos na seção "Sintomas" são:
  • Evento 5788
    A sintaxe do atributo especificada para o serviço de diretório é inválida.
  • Evento 5789
    O parâmetro está incorreto.

Para resolver esse problema, localize a causa mais provável, conforme descrito na seção "Causa". Em seguida, use a resolução é apropriada para a causa.

Resolução para a causa 1

Para resolver esse problema, você deve verificar se a conta de computador tem permissões suficientes para atualizar seu próprio objeto de computador.

No Editor de ACL, certifique-se que há uma entrada de controle de acesso (ACE) para a conta de confiança ? própria ? e que ele tem acesso ? permitir ? os seguintes direitos estendidos:

• Gravação validada para nome de host DNS
• Gravação validada para nome principal de serviço

Em seguida, verifique se negar permissões que podem ser aplicadas. Excluindo os membros do grupo do computador, os seguintes objetos de confiança também aplicam ao computador:

• Todos
• Usuários autenticados
• POR CONTA PRÓPRIA

As ACEs que são aplicáveis para esses objetos de confiança também podem negar acesso para gravar atributos, ou eles podem negar direitos ? gravação validadas para DNS hospedar gravação nome ? ou ? validada para o nome principal de serviço ? estendido.

Resolução para a causa 2

Para resolver esse problema, use um dos seguintes métodos, conforme apropriado:

• Método 1: Corrigir um espaço para nome não intencional separado

  Se a configuração separada é não intencional e se você quiser reverter para espaço para nome contíguo, use esse método.
  
  Para obter mais informações sobre como reverter para um espaço para nome contíguo, visite o seguinte site:
  http://technet.microsoft.com/en-us/library/cc773025.aspx (http://technet.microsoft.com/en-us/library/cc773025.aspx)
  Para o Windows Server 2008 e para o Windows Vista, siga estas etapas para configurar o sufixo DNS usando a caixa de diálogo Propriedades de sistemas :
  1. No computador que os eventos registrados, clique em Iniciar , clique com o botão direito do mouse em computador e, em seguida, clique em Propriedades .
  2. Na caixa de diálogo sistema , clique em Configurações avançadas do sistema em tarefas .
  3. Na caixa de diálogo Propriedades do sistema , clique na guia Nome do computador , clique em Alterar e, em seguida, clique em mais .
  4. Clique para marque a caixa de seleção Alterar sufixo DNS primário quando altera a participação no domínio e, em seguida, clique em OK .
  5. Se a configuração Alterar sufixo DNS primário quando altera a participação no domínio é aplicada pelo cliente DNS diretiva de grupo, remova a configuração de diretiva de grupo ou desvincular a diretiva que contém a configuração da unidade organizacional (OU) que contém a conta de computador.
  6. Reinicie o computador.

• Método 2: Verificar a configuração de espaço para nome separado está funcionando corretamente

  Use este método, se você deseja manter o espaço para nome separado. Para fazer isso, siga estas etapas para fazer algumas alterações de configuração para resolver os erros.
  
  Para obter mais informações sobre como verificar se o espaço para nome separado está funcionando corretamente no Windows Server 2003 e no Windows 2000 Server, visite o seguinte site:
  http://technet.microsoft.com/en-us/library/cc755926.aspx (http://technet.microsoft.com/en-us/library/cc755926.aspx)
  Para o Windows Server 2008 e para o Windows Vista, para essas etapas para se certificar de que computadores membro permanecem em um espaço para nome separado:
  1. No computador que os eventos registrados, clique em Iniciar , clique com o botão direito do mouse em computador e, em seguida, clique em Propriedades .
  2. Na caixa de diálogo sistema , clique em Configurações avançadas do sistema em tarefas .
  3. Na caixa de diálogo Propriedades do sistema , clique na guia Nome do computador , clique em Alterar e, em seguida, clique em mais .
  4. Clique para desmarcar a caixa de seleção Alterar sufixo DNS primário quando altera a participação no domínio e, em seguida, clique em OK.
  5. Reinicie o computador.
  Para certificar-se que os domínios do Windows Server 2008 estão funcionando corretamente, execute estas etapas:
  1. No Menu Iniciar, aponte para Todos os programas , aponte para Ferramentas administrativas e, em seguida, clique em ADSI Edit .
  2. Right-Click ADSI Edit e clique em conectar-se a .
  3. Selecione OK para escolher as opções padrão na caixa de diálogo Configurações de conexão para trabalhar com o domínio atual do servidor. Como alternativa, especifique o nome de um controlador de domínio ou de um domínio que você deseja gerenciar na área de computador .
  4. Clique duas vezes a partição de diretório de domínio para o domínio que você deseja modificar.
  5. Clique com o botão direito do mouse no objeto do domínio e, em seguida, clique em Propriedades .
  6. Na guia Attribute Editor , clique duas vezes o atributo msDS-AllowedDNSSuffixes na lista de atributos . Se o atributo não for exibido, clique em Filtrar , verifique se que opcional é selecionado em Mostrar atributos e que a opção Mostrar somente os atributos que possuem valores está desativada.
  7. Na caixa de diálogo Editor de seqüência Multi-valued , digite um sufixo DNS na caixa valor para adicionar e em seguida, clique em Adicionar .
  8. Depois de adicionar todos os sufixos DNS requer para o domínio, clique em OK .
  9. Clique em OK para fechar a caixa de diálogo Propriedades para o domínio.
  10. Clique com o botão direito do mouse em ADSI Edit e, em seguida, clique em conectar-se ao modificar o atributo msDS-AllowedDNSSuffixes Active Directory no recipiente de objeto de domínio em outro domínio.
  11. Em computador , clique em Selecione ou digite um domínio ou servidor: (Server | domínio [: porta]) , digite o nome do próximo domínio que você deseja modificar e, em seguida, clique em OK .
  12. Repita as etapas 5 a 9 para modificar o domínio.
  13. Repita as etapas 10 a 12 para modificar todos os domínios.

Um rastreamento de rede da resposta para o LDAP modifique solicitação exibe as seguintes informações: No rastreamento de rede, 200B hexadecimal é igual a 8203 decimal.

O comando net helpmsg 8203 retorna as seguintes informações:
O nome de domínio DNS e nome de domínio do Active Directory podem diferir se um ou mais das seguintes condições forem verdadeiras:

• A Configuração de DNS TCP/IP contém um domínio DNS que seja diferente do domínio do Active Directory da qual o computador é um membro e a opção Alterar sufixo DNS primário quando altera a participação no domínio está desativada. Para exibir essa opção, clique com o botão direito do mouse Meu computador , clique em Propriedades e clique na guia Identificação de rede .
• Computadores de Windows Server 2003 ou baseados no Windows XP Professional podem aplicar uma configuração diretiva de grupo que define o sufixo primário como um valor que é diferente do domínio do Active Directory. A configuração de diretiva de grupo é:
  Computador configuração Templates\Network\DNS cliente: Sufixo DNS primário
• O controlador de domínio reside em um domínio que foi renomeado pelo utilitário Rendom.exe. No entanto, o administrador não ainda modificou o sufixo DNS do nome de domínio DNS anterior. O processo de renomeação de domínio não atualiza o primário sufixo DNS para coincidir com o seguinte de nome de domínio DNS atual renomeia de nomes de domínio DNS.

Domínios em uma floresta do Active Directory que não têm o mesmo nome de domínio hierárquica são em uma árvore de domínio diferentes. Quando árvores de domínio diferentes estão em uma floresta, os domínios raiz não são contíguos. No entanto, essa configuração não constitui um espaço para nome DNS separado. Você tem vários DNS ou até mesmo Active Directory DNS raiz domínios. Um espaço para nome separado é caracterizado por uma diferença entre o sufixo DNS primário e o nome de domínio do Active Directory do qual o computador é membro.

Espaço para nome separado pode ser usado com cuidado em alguns cenários, mas não é suportado em todos os cenários.

Para obter mais informações sobre as diretrizes separadas de namespace e suporte, visite o seguinte site:

Suporte técnico para versões com base em 64 x do Microsoft Windows

Se o hardware veio com uma edição x 64 do Microsoft Windows instalada, o fabricante do hardware fornecerá suporte técnico e assistência para a edição x 64 do Windows. Nesse caso, o fabricante do hardware fornece suporte porque uma edição x 64 do Windows foi incluída com o hardware. O fabricante do hardware pode ter personalizado a instalação da edição x 64 do Windows do usando componentes exclusivos. Componentes exclusivos podem incluir drivers de dispositivo específico ou podem incluir configurações opcionais para maximizar o desempenho do hardware. A Microsoft fornecerá assistência razoável se você precisar de ajuda técnica com uma edição x 64 do Windows. No entanto, talvez você precise entrar em contato com o fabricante diretamente. O fabricante do seu melhor é qualificado para suportar o software que o fabricante do seu instalado no hardware. Se você comprou uma edição x 64 do Windows, como um Windows Server 2003 x 64 edition separadamente, contate a Microsoft para obter suporte técnico.

Para informações de produto sobre o Windows XP Professional x 64 Edition, visite o seguinte site: Para informações de produto sobre versões com base em 64 x do Windows Server 2003, visite o seguinte site: