Ereignis-IDs 5788 und 5789 treten auf einem Windows-basierten computer

Der Support für Windows XP wurde eingestellt

Microsoft stellte am 8. April 2014 den Support für Windows XP ein. Diese Änderung wirkt sich auf Ihre Softwareupdates und Sicherheitsoptionen aus. Erfahren Sie, was das für Sie bedeutet und wie Sie Ihren Schutz aufrechterhalten können.

Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 258503
Problembeschreibung
Sie können die folgenden Probleme auftreten:
  • Unter Windows Vista und neueren Versionen wird während der interaktiven Anmeldung die folgende Fehlermeldung angezeigt:
    Die Sicherheitsdatenbank auf dem Server muss kein Computerkonto für diese Arbeitsstationsvertrauensstellung.
  • Interaktive Anmeldungen mit domänenbasierten Konten funktionieren nicht. Nur Anmeldungen mit lokalen Konten funktionieren.
  • Die folgenden Ereignismeldungen werden im Systemprotokoll protokolliert:

    Ereignistyp: Fehler
    Ereignisquelle: NETLOGON
    Ereigniskategorie: keine
    Ereignis-ID: 5788
    Computer: ComputerName
    Beschreibung
    Versuch, Service Principal Name (SPN) des Computerobjekts in Active Directory konnte nicht aktualisieren. Der folgende Fehler aufgetreten:Ausführliche Fehlermeldung, die je nach Thecause unterschiedlich.>
    Ereignistyp: Fehler
    Ereignisquelle: NETLOGON
    Ereigniskategorie: keine
    Ereignis-ID: 5789
    Computer: Computer
    Beschreibung
    Versuchen Sie, den DNS-Hostnamen des Computerobjekts in Active Directory konnte nicht aktualisieren. Der folgende Fehler aufgetreten:Ausführliche Fehlermeldung, die je nach Thecause unterschiedlich.>

    Hinweis Detaillierte Fehlermeldungen für diese Ereignisse sind im Abschnitt "Ursache" aufgeführt.
Ursache
Dieses Verhalten tritt auf, wenn ein Computer versucht, jedoch keine AttributedNSHostName und ServicePrincipalName für das Computerkonto in einer Active Directory-Domänendienste (AD DS) Domäne.

Ein Computer versucht, diese zu aktualisieren Attributesif die folgenden Bedingungen zutreffen:
  • Unmittelbar nach ein Windows-basierten Computer einer Domäne beitritt, versucht der Computer die Attribute dNSHostName und ServicePrincipalName für das Computerkonto in der neuen Domäne festgelegt.
  • Wenn der Sicherheitskanal auf einem Windows-basierten Computer, der bereits Mitglied einer AD DS-Domäne ist hergestellt wird, versucht der Computer die Attribute dNSHostName und ServicePrincipalName für das Computerkonto in der Domäne aktualisiert.
  • Der Netlogon-Dienst versucht, auf einem Windows-basierten Domänencontroller das Attribut ServicePrincipalName alle 22 Minuten aktualisieren.
Es gibt zwei mögliche Ursachen für die Update-Fehler:
  • Der Computer wird nicht über ausreichende Berechtigungen zum Abschließen eines LDAP über Anforderung der AttributedNSHostName oder ServicePrincipalName für sein Computerkonto zu ändern.

    In diesem Fall sind die Fehlermeldungen, die den Ereignissen entsprechen, die im Abschnitt "Problembeschreibung" beschrieben werden:
    • Ereignis 5788
      Zugriff wurde verweigert.
    • Ereignis 5789
      Das System kann die angegebene Datei nicht finden.
  • Das primäre DNS-Suffix des Computers entspricht nicht den DNS-Namen der AD DS-Domäne, der der Computer angehört. Diese Konfiguration bekannt als ein "unzusammenhängender Namespace".

    Beispielsweise ist der Computer Mitglied einer Active Directory-Domäne contoso.com. Allerdings ist seine DNS-FQDN-Namen member1.nyc.contoso.com. Das primäre DNS-Suffix entspricht daher nicht den Namen der Active Directory-Domäne.

    Das Update wird in dieser Konfiguration blockiert, da die Validierung Erforderlicher Schreiben des Attributs schlägt Werte. Die Write-Validierung schlägt fehl, weil standardmäßig die Sicherheitskontenverwaltung (SAM) erfordert, dass der primäre DNS-Suffix des Computers den DNS-Namen der AD DS-Domäne übereinstimmt, welcher Computer Mitglied ist.

    In diesem Fall sind die Fehlermeldungen, die den Ereignissen entsprechen, die im Abschnitt "Problembeschreibung" beschrieben werden:
    • Ereignis 5788
      Die Attributsyntax, die an den Verzeichnisdienst ist ungültig.
    • Ereignis 5789
      Der Parameter ist falsch.
Lösung
Um dieses Problem zu beheben, finden Sie die wahrscheinlichste Ursache, wie im Abschnitt "Ursache" beschrieben. Verwenden Sie dann die Auflösung, die für den Zweck geeignet ist.

Lösung für Ursache 1

Um dieses Problem zu beheben, müssen Sie sicherstellen, dass das Computerkonto über ausreichende Berechtigungen zum eigenen Computerobjekt zu aktualisieren hat.

Stellen Sie im ACL-Editor sicher, dass ein Zugriffssteuerungseintrag (ACE) für das Konto des Vertrauensnehmers "Selbst" und hat Zugriff auf "Zulassen" für die folgenden erweiterten Rechte:
  • Bestätigtes Schreiben an Hostnamen
  • Bestätigtes Schreiben an Dienstprinzipal
Überprüfen Sie dann, die geltenden Berechtigungen verweigern. Die Gruppenmitgliedschaften des Computers gelten die folgenden Vertrauensnehmer auch für den Computer:
  • Jeder
  • Authentifizierte Benutzer
  • SELBST
Die ACEs, die für diesen Vertrauensnehmer gelten möglicherweise auch Schreibzugriff auf die Attribute verweigern oder möglicherweise verweigert den "Bestätigter Schreibvorgang an den Hostnamen" oder "Bestätigter Schreibvorgang an Service principal Name" Erweiterte Rechte.

Lösung für Ursache 2

Um dieses Problem zu beheben, verwenden Sie eine der folgenden Methoden nach Bedarf:
  • Methode 1: Einen unbeabsichtigten unzusammenhängenden Namespace zu korrigieren

    Verwenden Sie Wenn die Konfiguration nicht zusammenhängende unbeabsichtigt ist und auf einen zusammenhängenden Namespace zurückgesetzt werden soll, diese Methode.

    Weitere Informationen dazu, wie Sie einen zusammenhängenden Namespace unter Windows Server 2003 wiederherstellen finden Sie im folgenden Microsoft TechNet-Artikel:Finden Sie für Windows Server 2008 und Windows Vista und höheren Versionen im folgenden Microsoft TechNet-Artikel:
  • Methode 2: Stellen Sie sicher, dass die Konfiguration der Domäne gehörende Namespace korrekt arbeitet.

    Verwenden Sie diese Methode, wenn Sie den Domäne gehörende Namespace beibehalten möchten. Zu diesem Zweck gehen Sie einige Konfigurationsänderungen, die Fehler zu beheben.

    Weitere Informationen dazu, wie Sie überprüfen, ob der Domäne gehörende Namespace korrekt funktioniert auf Windows Server 2003 R2, Windows Server 2003, Windows Server 2003 mit Service Pack 1 (SP1) und Windows Server 2003 mit Service Pack 2 (SP2) finden Sie im folgenden Microsoft TechNet-Artikel:Weitere Informationen dazu, wie Sie überprüfen, ob der Domäne gehörende Namespace korrekt auf Windows Server 2008 R2 und Windows Server 2008 funktioniert finden Sie im folgenden Microsoft TechNet-Artikel:
    Zeigen Sie im Abschnitt "Ursache" durch die Erweiterung im Beispiel, das in der letzten wichtigen Punkt erwähnt wird, fügen Sie "nyc.contoso.com" als einen zulässigen Suffix in das Attribut.
Weitere Informationen
Ältere Versionen der in diesem Artikel erwähnten beim Ändern der Berechtigungen für die Computerobjekte zur Problembehebung allgemeiner Schreibzugriff aktivieren. Dies war der einzige Ansatz, der unter Windows 2000 vorhanden war. Es ist jedoch weniger sicher als dasMsDS-AllowedDNSSuffixesverwenden.

MsDS-AllowedDNSSuffixes verhindert, dass den Client willkürliche Dienstprinzipalnamen in Active Directory geschrieben. Die "Windows 2000-Methode" ermöglicht dem Client, SPNs zu schreiben, die verhindern, dass Kerberos arbeiten mit anderen wichtigen Servern (Duplikate erstellen). Bei Verwendung von MsDS-AllowedDNSSuffixeseintreten SPN Kollisionen wie Thosecan nur, wenn der anderen Server den gleichen Hostnamen wie der lokale Computer hat.

Eine Netzwerkablaufverfolgung der Antwort auf die LDAP-Anforderung zeigt ändern Sie die folgende Informationen:
Win: 17368, Src: 389 dst: 1044
LDAP: ProtocolOp: ModifyResponse (7)
LDAP: Nachrichten-ID
LDAP: ProtocolOp = ModifyResponse
LDAP: Ergebniscode = Beschränkungsverletzung
LDAP: Fehlermeldung = 0000200B: AtrErr: DSID 03151E6D
In diesem Netzwerk-Ablaufverfolgung entspricht hexadezimal 200 b 8203 dezimal.

Die net Helpmsg 8203 Befehl gibt folgende Informationen zurück:

Die Attributsyntax, die an den Verzeichnisdienst ist ungültig." Netzwerkmonitor 5.00.943 zeigt den folgenden Ergebniscode: "Beschränkungsverletzung". Winldap.h ordnet den Fehler 13, "LDAP_CONSTRAINT_VIOLATION.

Den DNS-Domänennamen und den Namen der Active Directory-Domäne können abweichen, wenn eine oder mehrere der folgenden Bedingungen erfüllt sind:
  • Die TCP/IP-DNS-Konfiguration enthält eine DNS-Domäne, die Active Directory-Domäne unterscheidet sich von denen der Computer Mitglied ist und die OptionChange primäre DNS-suffix bei Domänenmitgliedschaftsänderung ist deaktiviert. Um diese Option anzuzeigen, Maustaste auf Arbeitsplatz, klicken Sie auf Eigenschaften, und klicken Sie dann auf die Registerkarte Netzwerkidentifikation .
  • Windows Server 2003- oder Windows XP Professional-basierten Computer können eine Gruppenrichtlinieneinstellung angewendet, die das primäre Suffix auf einen Wert festlegt, die von Active Directory-Domäne abweicht. Die Gruppenrichtlinieneinstellung lautet wie folgt:
    Computers Computerkonfiguration\Administrative Vorlagen\Netzwerk\DNS-Client: Primäres DNS-Suffix
  • Der Domänencontroller befindet sich in einer Domäne, die vom Dienstprogramm Rendom.exe umbenannt wurde. Der Administrator jedoch noch das DNS-Suffix vom früheren DNS-Domänennamen ändern. Aktualisiert den Vorgang zur Umbenennung einer Domäne nicht die primäre DNS-Suffix entsprechend den aktuellen DNS-Domäne hinter der DNS-Domänennamen wird umbenannt.
Domänen in einer Active Directory-Gesamtstruktur, die nicht den gleichen hierarchischen Domänennamen besitzen, werden in einer anderen Domänenstruktur. Bei anderen Domänenstrukturen in einer Gesamtstruktur befinden, sind die Stammdomänen nicht zusammenhängend. Diese Konfiguration wird jedoch keinen unzusammenhängender DNS-Namespace erstellt. Sie haben mehrere DNS oder sogar Active Directory DNS-root-Domänen. Ein unzusammenhängender Namespace zeichnet sich durch eine Differenz zwischen dem primären DNS-Suffixes und der Active Directory-Domänenname, der der Computer angehört.

Unzusammenhängenden Namespace kann bei einigen Szenarien mit Vorsicht verwendet werden. In allen Szenarios ist es jedoch nicht unterstützt.
Ereignis-Id 5789 5788 Winx64 Windowsx64 64-Bit 64-bit

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 258503 – Letzte Überarbeitung: 06/29/2015 17:03:00 – Revision: 1.0

Windows Server 2008 Service Pack 2, Windows Vista Service Pack 2, Windows 7 Service Pack 1, Microsoft Exchange Server 2003 Service Pack 2, Microsoft Windows XP Service Pack 3, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Server, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Standard, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Standard, Windows Server 2012 Foundation

  • kbdns kberrmsg kbprb kbmt KB258503 KbMtde
Feedback