Los identificadores de sucesos 5788 y 5789 se producen en un equipo basado en Windows

Ha finalizado el soporte técnico para Windows XP

Microsoft puso fin al soporte técnico para Windows XP el 8 de abril de 2014. Este cambio ha afectado a las actualizaciones de software y las opciones de seguridad. Sepa qué significa esto en su caso y cómo puede mantenerse protegido.

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 258503
Síntomas
Puede experimentar uno de los siguientes problemas:
  • En Windows Vista y versiones posteriores, recibirá el siguiente mensaje de error durante el inicio de sesión interactivo:
    La base de datos de seguridad en el servidor no tiene una cuenta de equipo para esta relación de confianza de estación de trabajo.
  • Inicios de sesión interactivos con cuentas de dominio no funcionan. Sólo los inicios de sesión con cuentas locales están funcionando.
  • Se registran los sucesos siguientes en el registro del sistema:

    Tipo de suceso: Error
    Origen del evento: NETLOGON
    Categoría del suceso: ninguna
    ID. de suceso: 5788
    Equipo: nombreDeEquipo
    Descripción:
    Intento de actualizar el nombre Principal de servicio (SPN) del objeto equipo en Active Directory no pudo. Se ha producido el siguiente error:Mensaje de error detallado que varía dependiendo de.>
    Tipo de suceso: Error
    Origen del evento: NETLOGON
    Categoría del suceso: ninguna
    ID. de suceso: 5789
    Equipo: equipo
    Descripción:
    Intento de actualizar el nombre de Host DNS del objeto equipo en Active Directory no pudo. Se ha producido el siguiente error:Mensaje de error detallado que varía dependiendo de.>

    Nota: Mensajes de error detallados para estos eventos se enumeran en la sección "Causa".
Causa
Este comportamiento se produce cuando un equipo intenta pero no escribir en los atributosservicePrincipalName y DNSHostName para su cuenta de equipo en un dominio de servicios de dominio de Active Directory (AD DS).

Un equipo intenta actualizar estos attributesif las siguientes condiciones son verdaderas:
  • Inmediatamente después de que un equipo basado en Windows une a un dominio, el equipo intenta establecer los atributos servicePrincipalName y DNSHostName para su cuenta de equipo en el nuevo dominio.
  • Cuando se establece el canal de seguridad en un equipo basado en Windows que ya es un miembro de un dominio de AD DS, el equipo intenta actualizar los atributos servicePrincipalName y DNSHostName para su cuenta de equipo en el dominio.
  • En un controlador de dominio basado en Windows, el servicio Netlogon intenta actualizar el atributo servicePrincipalName cada 22 minutos.
Hay dos posibles causas de los errores de actualización:
  • El equipo no tiene los permisos necesarios para completar un LDAP modificar solicitud de los atributos dedNSHostName o servicePrincipalName para su cuenta de equipo.

    En este caso, los mensajes de error que corresponden a los eventos que se describen en la sección "Síntomas" son los siguientes:
    • Evento 5788
      Acceso denegado.
    • Evento 5789
      El sistema no puede encontrar el archivo especificado.
  • El sufijo DNS principal del equipo no coincide con el nombre DNS del dominio de AD DS que el equipo es miembro. Esta configuración se conoce como un "espacio de nombres discontinuo."

    Por ejemplo, el equipo es miembro del dominio de Active Directory contoso.com. Sin embargo, su nombre DNS FQDN es member1.nyc.contoso.com. Por lo tanto, el sufijo DNS principal no coincide con el nombre de dominio de Active Directory.

    La actualización está bloqueada en esta configuración, porque la validación de requisitos previos de escritura del atributo valores se produce un error. Se produce un error en la validación de escritura porque, de forma predeterminada, el Administrador de cuentas de seguridad (SAM) requiere que sufijo DNS principal de un equipo coincide con el nombre DNS del dominio de AD DS que del equipo que es miembro.

    En este caso, los mensajes de error que corresponden a los eventos que se describen en la sección "Síntomas" son los siguientes:
    • Evento 5788
      La sintaxis de atributo especificada para el servicio de directorio no es válida.
    • Evento 5789
      El parámetro es incorrecto.
Solución
Para resolver este problema, encontrar la causa más probable, como se describe en la sección "Causa". A continuación, utilice la resolución apropiada para la causa.

Solución para la causa 1

Para resolver este problema, debe asegurarse de que la cuenta de equipo tiene los permisos necesarios para actualizar su propio objeto de equipo.

En el Editor de ACL, asegúrese de que hay una entrada de control de acceso (ACE) para la cuenta de administrador de confianza "Propia" y que tiene un acceso "Permitir" de derechos extendidos siguientes:
  • Escritura validada en el nombre de host DNS
  • Escritura validada en el nombre principal de servicio
A continuación, compruebe los permisos Denegar que se pueden aplicar. Excluyendo la pertenencia del equipo, los siguientes elementos de confianza también se aplican al equipo:
  • Todos los usuarios
  • Usuarios autenticados
  • SELF
Las ACE que se aplican a estos administradores también pueden denegar acceso de escritura a los atributos o niegan "validados escritura a nombre de host DNS" o "Escritura validada en el nombre principal de servicio" derechos extendidos.

Solución para la causa 2

Para resolver este problema, utilice uno de los métodos siguientes, según corresponda:
  • Método 1: Corregir un espacio de nombres disjunto involuntario

    Si la configuración discontinuo es involuntaria, y si desea volver a un espacio de nombres contiguo, utilice este método.

    Para obtener más información acerca de cómo volver a un espacio de nombres contiguo en Windows Server 2003, consulte el siguiente artículo de Microsoft TechNet:Para Windows Server 2008 y Windows Vista y versiones posteriores, consulte el siguiente artículo de Microsoft TechNet:
  • Método 2: Compruebe que la configuración del espacio de nombres disjunto funciona correctamente

    Utilice este método si desea conservar el espacio de nombres discontinuo. Para ello, siga estos pasos para realizar algunos cambios de configuración para resolver los errores.

    Para obtener más información acerca de cómo comprobar el espacio de nombres disjunto funciona correctamente en Windows Server 2003 R2, Windows Server 2003, Windows Server 2003 con Service Pack 1 (SP1) y Windows Server 2003 con Service Pack 2 (SP2), consulte el siguiente artículo de Microsoft TechNet:Para obtener más información acerca de cómo comprobar que el espacio de nombres disjunto funciona correctamente en Windows Server 2008 R2 y Windows Server 2008, consulte el siguiente artículo de Microsoft TechNet:
    Ampliando el ejemplo que se menciona en la última viñeta principal punto en la sección "Causa", agregaría "nyc.contoso.com" como un sufijo permitido para el atributo.
Más información
Las versiones anteriores de este artículo mencionan cambiando los permisos de los objetos de equipo para habilitar el acceso de escritura general resolver este problema. Esto era la única solución que existía en Windows 2000. Sin embargo, es menos seguro que usarmsDS-AllowedDNSSuffixes.

msDS-AllowedDNSSuffixes impide que el cliente los SPN arbitrarios de escritura en Active Directory. El método"Windows 2000" permite al cliente escribir el SPN que bloquean Kerberos funcione con otros servidores importantes (crear duplicados). Cuando se utiliza el Atributo msDS-AllowedDNSSuffixes, se producen colisiones de SPN como thosecan sólo cuando el otro servidor tiene el mismo nombre de host que el equipo local.

Una traza de red de la respuesta en el LDAP modificar solicitud muestra la siguiente información:
17368: Win, src: 389 dst: 1044
LDAP: ProtocolOp: ModifyResponse (7)
LDAP: MessageID
LDAP: ProtocolOp = ModifyResponse
LDAP: Código de resultado = infracción de restricción
LDAP: Mensaje de Error = 0000200B: AtrErr: DSID-03151E6D
En esta traza de red, 200B hexadecimal es igual que 8203 decimal.

La net helpmsg 8203 comando devuelve la siguiente información:

La sintaxis de atributo especificada para el servicio de directorio es válida". 5.00.943 el Monitor de red muestra el siguiente código de resultado: "Infracción de restricción". Winldap.h asigna el error 13 a "LDAP_CONSTRAINT_VIOLATION.

El nombre de dominio DNS y el nombre de dominio de Active Directory pueden diferir si uno o más de las siguientes condiciones son verdaderas:
  • La configuración DNS de TCP/IP contiene un dominio DNS que difiere del dominio de Active Directory que el equipo es miembro y está deshabilitada la opción decambiar el sufijo principal DNS cuando cambie la pertenencia al dominio . Para ver esta opción, haga clic en Mi PC, haga clic en Propiedadesy, a continuación, haga clic en la ficha Identificación de red .
  • Equipos con Windows Server 2003 o Windows XP Professional pueden aplicar una configuración de directiva de grupo que establece el sufijo primario en un valor distinto del dominio de Active Directory. La configuración de directiva de grupo es la siguiente:
    Configuración del equipo\Plantillas Administrativas\red\cliente de grupo: Sufijo DNS principal
  • El controlador de dominio se encuentra en un dominio cuyo nombre ha cambiado con la utilidad Rendom.exe. Sin embargo, el administrador ha cambiado todavía el sufijo DNS del nombre de dominio DNS anterior. El proceso de cambio de nombre de dominio no actualiza el principal cambia el nombre de sufijo DNS para que coincida con el siguiente del nombre de dominio DNS actual de nombres de dominio DNS.
Dominios de un bosque de Active Directory que no tienen el mismo nombre de dominio jerárquico están en un árbol de dominios diferentes. Cuando los árboles de dominios diferentes están en un bosque, los dominios raíz no son contiguos. Sin embargo, esta configuración no crea un espacio de nombres DNS desunido. Tiene varios DNS o incluso DNS de Active Directory dominios de la raíz. Un espacio de nombres disjunto se caracteriza por una diferencia entre el sufijo DNS principal y el nombre de dominio de Active Directory del que el equipo es miembro.

Espacio de nombres discontinuo puede utilizarse con precaución en algunas situaciones. Sin embargo, no se admite en todos los escenarios.
id. de suceso 5789 5788 Winx64 Windowsx64 64 bits 64 bits

Advertencia: este artículo se tradujo automáticamente

Propiedades

Id. de artículo: 258503 - Última revisión: 06/29/2015 17:04:00 - Revisión: 1.0

Windows Server 2008 Service Pack 2, Windows Vista Service Pack 2, Windows 7 Service Pack 1, Microsoft Exchange Server 2003 Service Pack 2, Service Pack 3 para Microsoft Windows XP, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Server, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Standard, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Standard, Windows Server 2012 Foundation

  • kbdns kberrmsg kbprb kbmt KB258503 KbMtes
Comentarios