Идентификаторы событий 5788 и 5789 возникают на компьютере под управлением Windows

  • Статья

В этой статье описаны решения проблемы, из-за которой события с идентификатором 5788 и идентификатором события 5789 регистрируются, если dns-имя домена и доменное имя Active Directory отличаются на компьютере под управлением Windows.

Применимо к: Windows Server 7 с пакетом обновления 1, Windows Server 2012 R2
Исходный номер базы знаний: 258503

Симптомы

Может возникнуть одна из следующих проблем:

  • В Windows Vista и более поздних версиях во время интерактивного входа появляется следующее сообщение об ошибке:

    У базы данных безопасности на сервере нет учетной записи компьютера для этого отношения доверия рабочей станции.

  • Интерактивные входы с учетными записями на основе домена не работают. Работают только входы с локальными учетными записями.

  • В системном журнале регистрируются следующие сообщения о событиях:

    Тип события: Ошибка
    Источник события: NETLOGON
    Категория события: None
    Идентификатор события: 5788
    Computer: ComputerName
    Описание:
    Не удалось обновить имя субъекта-службы (SPN) объекта компьютера в Active Directory. Произошла следующая ошибка: <Подробное сообщение об ошибке, которое зависит от причины.>

    Тип события: Ошибка
    Источник события: NETLOGON
    Категория события: None
    Идентификатор события: 5789
    Компьютер: Компьютер
    Описание:
    Не удалось обновить DNS-имя узла объекта компьютера в Active Directory. Произошла следующая ошибка: <Подробное сообщение об ошибке, которое зависит от причины.>

    Примечание.

    Подробные сообщения об ошибках для этих событий перечислены в разделе "Причина".

Причина

Это происходит, когда компьютер пытается выполнить запись в атрибуты dNSHostName и servicePrincipalName для своей учетной записи компьютера в домене доменные службы Active Directory (AD DS).

Компьютер пытается обновить эти атрибуты, если выполняются следующие условия:

  • Сразу после присоединения компьютера под управлением Windows к домену компьютер пытается задать атрибуты dNSHostName и servicePrincipalName для учетной записи компьютера в новом домене.
  • Когда канал безопасности установлен на компьютере под управлением Windows, который уже является членом домена AD DS, компьютер пытается обновить атрибуты dNSHostName и servicePrincipalName для своей учетной записи компьютера в домене.
  • На контроллере домена под управлением Windows служба Netlogon пытается обновить атрибут servicePrincipalName каждые 22 минуты.

Существует две возможные причины сбоев обновления:

  • Компьютер не имеет достаточных разрешений для выполнения запроса ldap на изменение атрибутов dNSHostName или servicePrincipalName для своей учетной записи компьютера.

    В этом случае сообщения об ошибках, соответствующие событиям, описанным в разделе "Симптомы", будут следующими:

    • Событие 5788

      Отказ в доступе.

    • Событие 5789

      Не удается найти указанный файл.

  • Основной DNS-суффикс компьютера не соответствует DNS-имени домена AD DS, членом которого является компьютер. Эта конфигурация называется несвязанным пространством имен.

    Например, компьютер является членом домена contoso.comActive Directory . Однако полное доменное имя DNS — member1.nyc.contoso.com. Таким образом, основной DNS-суффикс не соответствует доменному имени Active Directory.

    Обновление блокируется в этой конфигурации из-за сбоя проверки необходимых значений атрибутов для записи. Проверка записи завершается ошибкой, так как по умолчанию диспетчер учетных записей безопасности (SAM) требует, чтобы основной DNS-суффикс компьютера соответствовал DNS-имени домена AD DS, членом которого является компьютер.

    В этом случае сообщения об ошибках, соответствующие событиям, описанным в разделе "Симптомы", будут следующими:

    • Событие 5788

      Синтаксис атрибута, указанный для службы каталогов, недопустим.

    • Событие 5789

      Неправильный параметр.

Разрешение

Чтобы устранить эту проблему, найдите наиболее вероятную причину, как описано в разделе "Причина". Затем используйте решение, подходящее для причины.

Решение для причины 1

Чтобы устранить эту проблему, необходимо убедиться, что учетная запись компьютера имеет достаточные разрешения для обновления собственного объекта компьютера.

В Редактор ACL убедитесь, что для учетной записи доверенного лица "SELF" есть запись управления доступом (ACE) и что у нее есть доступ "Разрешить" для следующих расширенных прав:

  • Проверенная запись в dns-имя узла
  • Проверенная запись в имя субъекта-службы

Затем проверьте все разрешения запрета, которые могут применяться. За исключением членства в группах компьютера, к компьютеру также применяются следующие доверенные лица:

  • Все пользователи
  • Пользователи, прошедшие проверку
  • SELF

ACE, которые применяются к этим доверенным лицам, также могут запретить доступ к записи в атрибуты или запретить расширенные права "Проверенная запись в dns-имя узла" или "Проверенная запись в имя субъекта-службы".

Решение для причины 2

Чтобы устранить эту проблему, при необходимости используйте один из следующих методов:

Метод 1. Исправление непреднамеренного несвязанного пространства имен

Если несвязанная конфигурация непреднамеренно и вы хотите отменить изменения в непрерывное пространство имен, используйте этот метод.

Дополнительные сведения о том, как отменить изменения в непрерывное пространство имен в Windows Server 2003, см. в следующей статье Microsoft TechNet:
Переход из несвязанного пространства имен в непрерывное пространство имен
Сведения о Windows Server 2008 и Windows Vista и более поздних версиях см. в следующей статье Microsoft TechNet:
Отмена случайно созданного несвязанного пространства имен

Метод 2. Убедитесь, что конфигурация несвязанного пространства имен работает правильно

Используйте этот метод, если требуется сохранить несвязанное пространство имен. Для этого выполните следующие действия, чтобы внести некоторые изменения в конфигурацию для устранения ошибок.

Дополнительные сведения о том, как проверить правильность работы несвязанного пространства имен в Windows Server 2003 R2, Windows Server 2003, Windows Server 2003 с пакетом обновления 1 (SP1) и Windows Server 2003 с пакетом обновления 2 (SP2) см. в следующей статье Microsoft TechNet: Создание несвязанного пространства имен
Дополнительные сведения о том, как проверить правильность работы несвязанного пространства имен в Windows Server 2008 R2 и Windows Server 2008, см. в следующей статье Microsoft TechNet: Создание несвязанного пространства имен.

Расширив пример, упомянутый в последнем крупном маркере в разделе "Причина", вы добавите nyc.contoso.com в атрибут в качестве разрешенного суффикса.

Дополнительная информация

В более ранних версиях этой статьи упоминалось изменение разрешений на объекты компьютера, чтобы разрешить общий доступ на запись для устранения этой проблемы. Это был единственный подход, который существовал в Windows 2000. Однако это менее безопасно, чем использование msDS-AllowedDNSSuffixes.

MsDS-AllowedDNSСуффиксы запрещают клиенту записывать произвольные имена субъектов-служб в Active Directory. Метод Windows 2000 позволяет клиенту записывать имена субъектов-служб, которые блокируют работу Kerberos с другими важными серверами (создание дубликатов). При использовании msDS-AllowedDNSSuffixes конфликты имени субъекта-службы могут возникать только в том случае, если другой сервер имеет то же имя узла, что и локальный компьютер.

В трассировке сети ответа на запрос на изменение LDAP отображаются следующие сведения:
win: 17368, src: 389 dst: 1044

LDAP: ProtocolOp: ModifyResponse (7)

LDAP: MessageID

LDAP: ProtocolOp = ModifyResponse

LDAP: код результата = нарушение ограничений

LDAP: сообщение об ошибке = 0000200B: AtrErr: DSID-03151E6D В этой трассировке сети шестнадцатеричное значение 200B равно десятичному десятичному разряду 8203.

Команда net helpmsg 8203 возвращает следующие сведения: синтаксис атрибута, указанного в службе каталогов, недопустим. Монитор сети 5.00.943 отображает следующий код результата: "Нарушение ограничений". Winldap.h сопоставляет ошибку 13 с "LDAP_CONSTRAINT_VIOLATION.

Доменное имя DNS и доменное имя Active Directory могут отличаться, если выполняются одно или несколько из следующих условий:

  • Конфигурация DNS TCP/IP содержит домен DNS, отличающийся от домена Active Directory, членом которого является компьютер, и параметр Изменить основной DNS-суффикс при изменении членства в домене отключен. Чтобы просмотреть этот параметр, щелкните правой кнопкой мыши Мой компьютер, выберите пункт Свойства, а затем перейдите на вкладку Идентификация сети .

  • Компьютеры под управлением Windows Server 2003 или Windows XP Professional могут применять параметр групповая политика, который задает для основного суффикса значение, отличающееся от домена Active Directory. Параметр групповая политика выглядит следующим образом: Конфигурация компьютера\Административные шаблоны\Сеть\DNS-клиент: основной DNS-суффикс

  • Контроллер домена находится в домене, который был переименован служебной программой Rendom.exe. Однако администратор все же изменил DNS-суффикс по сравнению с предыдущим доменным именем DNS. Процесс переименования домена не обновляет основной DNS-суффикс в соответствии с текущим доменным именем DNS после переименования доменных имен DNS. Домены в лесу Active Directory, не имеющие одинаковое иерархическое доменное имя, находятся в другом дереве доменов. Если в лесу находятся разные доменные деревья, корневые домены не являются смежными. Однако эта конфигурация не создает несвязанное пространство имен DNS. У вас есть несколько доменов DNS или даже корневых доменов DNS Active Directory. Несвязанное пространство имен характеризуется различием между основным DNS-суффиксом и доменным именем Active Directory, членом которого является компьютер.

Несвязанное пространство имен можно использовать с осторожностью в некоторых сценариях. Однако он поддерживается не во всех сценариях.