หมายเลขบทความ (Article ID): 258503 - รีวิวครั้งสุดท้าย: 11 กันยายน 2554 - Revision: 3.0

รหัสเหตุการณ์ 5788 และเหตุการณ์ 5789 รหัสเกิดขึ้นเมื่อชื่อโดเมน DNS และชื่อโดเมน Active Directory แตกต่างกันบนคอมพิวเตอร์ที่ใช้ Windows

มุมมองแบบเคียงข้างกันคลิกที่นี่เพื่อแสดงบทความที่แปลโดยคอมพิวเตอร์และต้นฉบับภาษาอังกฤษเคียงข้างกัน
แปลโดยคอมพิวเตอร์คลิกที่นี่เพื่อดูข้อจำกัดความรับผิดชอบของ KB ที่แปลโดยคอมพิวเตอร์
ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
เคล็ดลับของระบบThis article applies to a different operating system than the one you are using. Article content that may not be relevant to you is disabled.

เนื้อหาบนหน้านี้

ขยายทั้งหมด | ยุบทั้งหมด

อาการ

คุณมีคอมพิวเตอร์ที่ใช้งานหน้าต่างที่กำลังเรียกใช้ระบบปฏิบัติการต่อไปนี้อย่างใดอย่างหนึ่ง:
  • Windows XP:
  • Windows Vista:
  • Windows 7
  • Windows Server 2003
  • windows Server 2008
  • Windows Server 2008 R2
ใน Windows Vista และระบบปฏิบัติการที่ใหม่กว่า คุณอาจพบกล่องโต้ตอบข้อผิดพลาดในระหว่างการเข้าสู่ระบบแบบโต้ตอบที่อ่านว่า:

ฐานข้อมูลความปลอดภัยบนเซิร์ฟเวอร์ไม่มีบัญชีคอมพิวเตอร์สำหรับความสัมพันธ์นี้ความน่าเชื่อถือของเวิร์กสเตชัน


logons แบบโต้ตอบกับบัญชีโดเมนไม่ทำงาน logons เท่ากับบัญชีภายในทำงาน

บนคอมพิวเตอร์ที่รันระบบปฏิบัติการเหล่านี้อย่างใดอย่างหนึ่ง ข้อความเหตุการณ์ต่อไปนี้ถูกบันทึกไว้ในบันทึกของระบบ:

ข้อความแสดงเหตุการณ์ 1

ชนิดเหตุการณ์: ข้อผิดพลาด
แหล่งที่มาของเหตุการณ์: NETLOGON
ประเภทเหตุการณ์: ไม่มี
รหัสเหตุการณ์: 5788
คอมพิวเตอร์:computername
คำอธิบาย::
ความพยายามในการปรับปรุงบริการหลักชื่อ (SPN) ของวัตถุคอมพิวเตอร์ใน Active Directory ล้มเหลว เกิดข้อผิดพลาดต่อไปนี้:ข้อความแสดงข้อผิดพลาดอย่างละเอียด แตกต่างกันไปขึ้นอยู่กับสาเหตุหลัก

ข้อความแสดงเหตุการณ์ 2

ชนิดเหตุการณ์: ข้อผิดพลาด
แหล่งที่มาของเหตุการณ์: NETLOGON
ประเภทเหตุการณ์: ไม่มี
รหัสเหตุการณ์: 5789
คอมพิวเตอร์:คอมพิวเตอร์
คำอธิบาย::
ความพยายามในการปรับปรุงชื่อโฮสต์ DNS ของวัตถุคอมพิวเตอร์ใน Active Directory ล้มเหลว เกิดข้อผิดพลาดต่อไปนี้:ข้อความแสดงข้อผิดพลาดอย่างละเอียด แตกต่างกันไปขึ้นอยู่กับสาเหตุหลัก


หมายเหตุ:ข้อความแสดงข้อผิดพลาดของรายละเอียดสำหรับเหตุการณ์จะแสดงรายการในส่วน "สาเหตุ"
กลับไปด้านบน

สาเหตุ

ลักษณะการทำงานนี้เกิดขึ้นเมื่อเครื่องพยายาม แต่ไม่สามารถเขียนไปยังdNSHostNameและservicePrincipalNameแอตทริบิวต์ของบัญชีคอมพิวเตอร์ในโดเมนบริการการโดเมน active Directory ใช้งานอยู่ (AD DS) คอมพิวเตอร์ที่พยายามปรับปรุงแอตทริบิวต์เหล่านี้ภายใต้เงื่อนไขต่อไปนี้:
  • directly หลังจากที่คอมพิวเตอร์ที่ใช้ Windows 2008 ใช้งาน Windows Vista เซิร์ฟเวอร์ที่ใช้ Windows server 2003 หรือใช้ Windows XP ได้เข้าร่วมโดเมน คอมพิวเตอร์พยายามตั้งค่านี้dNSHostNameและservicePrincipalNameแอตทริบิวต์ของบัญชีคอมพิวเตอร์ในโดเมนใหม่
  • เมื่อช่องสัญญาณการรักษาความปลอดภัยสำเร็จบนคอมพิวเตอร์ที่ใช้ Windows ที่อยู่เป็นสมาชิกของโดเมน AD DS คอมพิวเตอร์พยายามปรับปรุงนี้dNSHostNameและservicePrincipalNameแอตทริบิวต์ของบัญชีคอมพิวเตอร์ในโดเมน
  • ในตัวควบคุมโดเมนที่ใช้ Windows บริการ Net Logon จะพยายามปรับปรุงนี้servicePrincipalNameคุณลักษณะทุกนาที 22
มีสองสาเหตุสำหรับความล้มเหลวของการปรับปรุง:
  • คอมพิวเตอร์ไม่มีสิทธิ์เพียงพอสำหรับการดำเนินการ "LDAP แก้ไขการ" ร้องขอของการdNSHostNameหรือservicePrincipalNameแอตทริบิวต์สำหรับบัญชีของคอมพิวเตอร์

    ในกรณีนี้ ข้อความแสดงข้อผิดพลาดที่ตรงกับเหตุการณ์ที่อธิบายไว้ในส่วน "อาการ" จะเป็นดังนี้:
    • เหตุการณ์ 5788
      ปฏิเสธการเข้าใช้งาน
    • เหตุการณ์ 5789
      ระบบไม่พบแฟ้มที่ระบุ
  • ส่วนต่อท้าย DNS หลักของคอมพิวเตอร์ที่ไม่ตรงกับชื่อ DNS AD DS โดเมนที่คอมพิวเตอร์ที่เป็นสมาชิก การกำหนดค่านี้เรียกว่าแบบ “ Disjoint namespace การปรับปรุงถูกบล็อคในการกำหนดค่านี้เป็นการตรวจสอบ pre-requisite เขียนค่าของแอตทริบิวต์ล้มเหลว การตรวจสอบการเขียนล้มเหลวเนื่องจากความปลอดภัยบัญชีผู้ใช้'ตัวจัดการ' (SAM) ต้อง โดยค่าเริ่มต้น ว่า เครื่องคอมพิวเตอร์หลัก DNS Suffix ที่ตรงกับชื่อ DNS ของโดเมน AD DS ของคอมพิวเตอร์ที่เป็นสมาชิก

    ในกรณีนี้ ข้อความแสดงข้อผิดพลาดที่ตรงกับเหตุการณ์ที่อธิบายไว้ในส่วน "อาการ" จะเป็นดังนี้:
    • เหตุการณ์ 5788
      ไวยากรณ์ของแอตทริบิวต์ที่ระบุให้กับบริการไดเรกทอรีไม่ถูกต้อง
    • เหตุการณ์ 5789
      พารามิเตอร์ไม่ถูกต้อง
กลับไปด้านบน

การแก้ไข

เมื่อต้องการแก้ไขปัญหานี้ ค้นหาสาเหตุที่น่าใช่ที่สุดตามที่อธิบายไว้ในส่วน "การทำให้เกิด" จากนั้น ใช้ความละเอียดที่เหมาะสมสำหรับสาเหตุ
กลับไปด้านบน

การแก้ปัญหาสำหรับสาเหตุที่ 1

เมื่อต้องการแก้ไขปัญหานี้ คุณต้องมั่นใจว่า บัญชีคอมพิวเตอร์ที่มีสิทธิ์เพียงพอในการปรับปรุงวัตถุคอมพิวเตอร์ของคุณเอง

ในตัว ACL แก้ไข ตรวจสอบให้แน่ใจว่า ไม่มีตัวควบคุมรายการการเข้าถึง (ACE) สำหรับบัญชีทรัสตี “ SELF ” และว่า มี “อนุญาต ” การเข้าถึงสำหรับขยายสิทธิ์ต่อไปนี้:
  • การเขียนไปยังชื่อ DNS ที่โฮสต์ validated
  • หากต้องการเขียน validated ให้ชื่อหลักของบริการ
จากนั้น ให้ตรวจสอบสิทธิ์ใด ๆ ปฏิเสธที่อาจนำไปใช้ excluding สมาชิกกลุ่มของเครื่องคอมพิวเตอร์ trustees ที่ต่อไปนี้ยังใช้กับเครื่องคอมพิวเตอร์:
  • Everyone
  • ผู้ใช้ที่ได้รับการรับรองความถูกต้อง:
  • Self
ACEs ที่เกี่ยวข้องกับ trustees เหล่านี้ยังอาจปฏิเสธการเข้าถึงเขียนไปยังแอตทริบิวต์ หรือพวกเขาอาจปฏิเสธสิทธิ์ “ Validated การเขียนการ DNS โฮสต์เขียนชื่อ ” หรือ “ Validated ให้ชื่อหลักของบริการ ” ขยาย
กลับไปด้านบน

Resolution for Cause 2

To resolve this issue, use one of the following methods, as appropriate:

  • Method 1: Correct an unintentional disjoint namespace

    If the disjoint configuration is unintentional and if you want to revert to contiguous namespace, use this method.

    For more information about how to revert to a contiguous namespace, visit the following Microsoft Web site:
    http://technet.microsoft.com/en-us/library/cc773025.aspx (http://technet.microsoft.com/en-us/library/cc773025.aspx)
    For Windows Server 2008 and for Windows Vista and newer, follow these steps to configure the DNS suffix by using theSystems Propertiesกล่องโต้ตอบ:
    1. On the computer that recorded the events, clickเริ่มการทำงานคลิกขวาคอมพิวเตอร์แล้ว คลิกคุณสมบัติ.
    2. ในการระบบ:กล่องโต้ตอบ คลิกAdvanced System Settingsภายใต้งาน.
    3. ในการคุณสมบัติของระบบกล่องโต้ตอบ คลิกการComputer Nameแท็บ คลิกเปลี่ยนแปลงแล้ว คลิกเพิ่มเติม.
    4. คลิกเพื่อเลือกนั้นChange primary DNS suffix when domain membership changesกล่องกาเครื่องหมาย และจากนั้น คลิกตกลง.
    5. ถ้าการChange primary DNS suffix when domain membership changessetting is applied by the DNS client Group Policy, remove the Group Policy setting, or unlink the policy that contains the setting from the organizational unit (OU) that contains the computer account.
    6. เริ่มต้นระบบคอมพิวเตอร์ใหม่

  • Method 2: Verify that the disjoint namespace configuration is working correctly

    Use this method, if you want to keep the disjoint namespace. To do this, follow these steps to make some configuration changes to resolve the errors.

    For more information about how to verify that the disjoint namespace is working correctly in Windows Server 2003 and in Windows 2000 Server, visit the following Microsoft Web site:
    http://technet.microsoft.com/en-us/library/cc755926.aspx (http://technet.microsoft.com/en-us/library/cc755926.aspx)
    For Windows Server 2008 and for Windows Vista and newer, for these steps to make sure that member computers stay in a disjoint namespace:
    1. On the computer that recorded the events, clickเริ่มการทำงานคลิกขวาคอมพิวเตอร์แล้ว คลิกคุณสมบัติ.
    2. ในการระบบ:กล่องโต้ตอบ คลิกAdvanced System Settingsภายใต้งาน.
    3. ในการคุณสมบัติของระบบกล่องโต้ตอบ คลิกการComputer Nameแท็บ คลิกเปลี่ยนแปลงแล้ว คลิกเพิ่มเติม.
    4. คลิกเพื่อยกเลิกเลือกนั้นChange primary DNS suffix when domain membership changesกล่องกาเครื่องหมาย และจากนั้น คลิกตกลง
    5. เริ่มต้นระบบคอมพิวเตอร์ใหม่
    To make sure that the Windows Server 2008 domains are working correctly, follow these steps:
    1. In the Start Menu, point toโปรแกรมทั้งหมดชี้ไปที่เครื่องมือการดูแลระบบแล้ว คลิกADSI Edit.
    2. Right-ClickADSI Editแล้ว คลิกเชื่อมต่อไป.
    3. เลือกตกลงto choose the default options in theConnection Settingsdialog box to work with the current domain of the server. Alternatively, specify the name of a domain controller or a domain that you want to manage in theคอมพิวเตอร์พื้นที่
    4. Double-click the domain directory partition for the domain that you want to modify.
    5. Right-click the domain object, and then clickคุณสมบัติ.
    6. ในการAttribute Editortab, double-click themsDS-AllowedDNSSuffixesattribute in theแอตทริบิวต์รายการ ถ้าแอตทริบิวต์ไม่มีแสดง คลิกตัวกรองตรวจสอบให้แน่ใจว่าไม่ใส่ก็ได้เลือกข้างใต้แสดงแอตทริบิวต์และยังแสดงคุณลักษณะที่มีค่าเท่านั้นตัวเลือกถูกปิดใช้งาน
    7. ในการตัวแก้ไขสายอักขระ multi-valuedกล่องโต้ตอบ ชนิดใด DNS suffix ในนั้นมูลค่าเพิ่มกล่อง แล้วคลิกadd.
    8. หลังจากที่คุณเพิ่มส่วนต่อทั้งหมด DNS ท้ายที่คุณต้องการสำหรับโดเมน คลิกตกลง.
    9. คลิกตกลงเมื่อต้องการปิดกล่องโต้ตอบคุณสมบัติสำหรับโดเมน
    10. คลิกขวาแก้ไข adsiแล้ว คลิกเชื่อมต่อไปการแก้ไขนี้msDS-AllowedDNSSuffixes Active Directoryแอตทริบิวต์ในคอนเทนเนอร์วัตถุของโดเมนในโดเมนอื่น
    11. ภายใต้คอมพิวเตอร์คลิกเลือก หรือพิมพ์โดเมนหรือเซิร์ฟเวอร์: (Server | โดเมน [: พอร์ต])พิมพ์ชื่อของโดเมนถัดไปที่คุณต้อง การปรับเปลี่ยน แล้ว คลิกตกลง.
    12. ทำซ้ำขั้นตอนที่ 5 ถึง 9 เพื่อปรับเปลี่ยนโดเมน
    13. ทำซ้ำขั้นตอนที่ 10 ถึง 12 เพื่อปรับเปลี่ยนโดเมนทั้งหมด

กลับไปด้านบน

ข้อมูลเพิ่มเติม

รุ่นที่เก่ากว่าของบทความนี้ได้กล่าวถึงการเปลี่ยนแปลง permisisons บนวัตถุคอมพิวเตอร์การอนุญาตให้เข้าถึงการเขียนทั่วไปเพื่อแก้ไขปัญหานี้ ซึ่งมีวิธีการเดียวที่อยู่ใน Windows 2000 มีความปลอดภัยอย่างไรก็ตามน้อยกว่าที่ใช้AllowedDNSSuffixes msDS.

AllowedDNSSuffixes msDSจำกัดไคลเอนต์จากการเขียน SPNs เองลงใน Active Directory "Windows 2000 วิธี" การอนุญาตให้ไคลเอ็นต์ในการเขียน SPNs บล็อก Kerberos จากการทำงานกับเซิร์ฟเวอร์ที่สำคัญอื่น ๆ (สร้างรายการที่ซ้ำกัน) การใช้AllowedDNSSuffixes msDS, SPN ซ้ำเช่นเดียวกับที่อาจเกิดขึ้นเฉพาะเมื่อเซิร์ฟเวอร์อื่นที่มีชื่อโฮสต์เหมือนกันเป็นการภายในเครื่อง

สืบค้นกลับของเครือข่ายของการตอบสนองการ LDAP แก้ไขการร้องขอการแสดงข้อมูลต่อไปนี้:
ชนะครั้ง: 17368, src: 389 dst: 1044
LDAP: ProtocolOp: ModifyResponse (7)
LDAP: MessageID
LDAP: ProtocolOp = ModifyResponse
รหัสของผลลัพธ์ LDAP: =การละเมิดข้อจำกัด
ข้อความแสดงข้อผิดพลาด LDAP: = 0000200B: AtrErr: 03151E6D DSID
ในการตรวจสอบเครือข่ายนี้ 200B เลขฐานสิบหกจะเท่ากับ 8203 ทศนิยม

กระบวนการสุทธิ helpmsg 8203คำสั่งส่งคืนข้อมูลดังต่อไปนี้:
ไวยากรณ์ของแอตทริบิวต์ที่ระบุให้กับบริการไดเรกทอรีไม่ถูกต้อง" การตรวจสอบเครือข่าย 5.00.943 แสดงรหัสของผลลัพธ์ต่อไปนี้: "ข้อจำกัดของการ" Winldap.h แมปข้อผิดพลาด 13 เพื่อ "LDAP_CONSTRAINT_VIOLATION

ชื่อโดเมน DNS และชื่อโดเมน Active Directory สามารถแตกต่างถ้าหนึ่ง หรือมากกว่ามีเงื่อนไขใด ๆ ต่อไปนี้เป็นจริง:
  • การกำหนดค่า TCP/IP DNS ประกอบด้วยโดเมน DNS ที่แตกต่างจากที่คอมพิวเตอร์ที่เป็นสมาชิกโดเมน Active Directory และเปลี่ยนส่วนต่อท้าย DNS หลักเมื่อการเปลี่ยนแปลงการเป็นสมาชิกของโดเมนตัวเลือกถูกปิดใช้งาน เมื่อต้องการดูอ็อพชันนี้ คลิกขวาMy Computerคลิกคุณสมบัติแล้ว คลิกการการระบุเครือข่ายแท็บ
  • windows Server 2003 หรือ Windows XP Professional ใช้คอมพิวเตอร์อาจใช้การตั้งค่า Group Policy ที่กำหนดส่วนต่อท้ายหลักกับค่าที่แตกต่างจากโดเมน Active Directory การตั้งค่า'นโยบายกลุ่ม'เป็น:
    ไคลเอ็นต์ Templates\Network\DNS Configuration\Administrative คอมพิวเตอร์: ส่วนต่อท้าย DNS หลัก
  • ตัวควบคุมโดเมนอยู่ในโดเมนที่มีการเปลี่ยนชื่อ โดยยูทิลิตี Rendom.exe อย่างไรก็ตาม ผู้ดูแลระบบได้ไม่ได้แก้ไขส่วนต่อท้าย DNS จากชื่อโดเมน DNS ก่อนหน้านี้ กระบวนการเปลี่ยนชื่อโดเมนไม่สามารถปรับปรุงหลักในส่วนต่อท้าย DNS ให้ตรงกับต่อไปปัจจุบัน DNS โดเมนชื่อนี้เปลี่ยนชื่อของชื่อโดเมน DNS
Domains in an Active Directory forest that do not have the same hierarchical domain name are in a different domain tree. When different domain trees are in a forest, the root domains are not contiguous. However, this configuration does not constitute a disjoint DNS namespace. You have multiple DNS or even Active Directory DNS root domains. A disjoint namespace is characterized by a difference between the primary DNS suffix and the Active Directory domain name of which the computer is a member.

Disjoint namespace can be used with caution in some scenarios, but it is not supported in all scenarios.

For more information about disjoint namespace and support guidelines, visit the following Microsoft Web site:
http://technet.microsoft.com/en-us/library/cc773264.aspx (http://technet.microsoft.com/en-us/library/cc773264.aspx)

กลับไปด้านบน

ฝ่ายสนับสนุนด้านเทคนิคสำหรับ x 64-รุ่นที่ใช้ Microsoft Windows

If your hardware came with a Microsoft Windows x64 edition already installed, your hardware manufacturer provides technical support and assistance for the Windows x64 edition. In this case, your hardware manufacturer provides support because a Windows x64 edition was included with your hardware. Your hardware manufacturer might have customized the Windows x64 edition installation by using unique components. คอมโพเนนต์เฉพาะอาจรวมถึงโปรแกรมควบคุมอุปกรณ์เฉพาะหรืออาจรวมถึงการตั้งค่าเพิ่มเติมเพื่อเพิ่มประสิทธิภาพของฮาร์ดแวร์ Microsoft will provide reasonable-effort assistance if you must have technical help with a Windows x64 edition. อย่างไรก็ตาม คุณอาจต้องติดต่อผู้ผลิตฮาร์ดแวร์โดยตรง บริษัทผู้ผลิตของคุณคือผู้ที่มีความสามารถในการให้การสนับสนุนซอฟต์แวร์ที่ติดตั้งไว้บนฮาร์ดแวร์ If you purchased a Windows x64 edition such as a Windows Server 2003 x64 edition separately, contact Microsoft for technical support.

For product information about Windows XP Professional x64 Edition, visit the following Microsoft Web site:
http://www.microsoft.com/windowsxp/64bit/default.mspx (http://www.microsoft.com/windowsxp/64bit/default.mspx)
For product information about x64-based versions of Windows Server 2003, visit the following Microsoft Web site:
http://www.microsoft.com/windowsserver2003/64bit/x64/editions.mspx (http://www.microsoft.com/windowsserver2003/64bit/x64/editions.mspx)
กลับไปด้านบน
ใช้กับ
  • Windows Web Server 2008
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Ultimate
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows 7 Professional
  • Windows 7 Enterprise
  • Windows 7 Ultimate
กลับไปด้านบน
Keywords: 
kbdns kberrmsg kbprb kbmt KB258503 KbMtth
กลับไปด้านบน
แปลโดยคอมพิวเตอร์แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:258503  (http://support.microsoft.com/kb/258503/en-us/ )
กลับไปด้านบน