ID d'événement 5788 et 5789 se produisent sur un ordinateur fonctionnant sous Windows

Le support de Windows XP a pris fin

Microsoft a mis fin au support de Windows XP le 8 avril 2014. Cette modification a affecté vos mises à jour logicielles et options de sécurité. Découvrez les implications de ce changement à votre niveau et la marche à suivre pour rester protégé.

IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d’une traduction incorrecte du contenu ou de son utilisation par les clients.

La version anglaise de cet article est la suivante: 258503
Symptômes
Vous pouvez rencontrer l'un des problèmes suivants :
  • Sur Windows Vista et versions ultérieures, vous recevez le message d'erreur suivant lors de l'ouverture de session interactive :
    La base de données de sécurité sur le serveur n'a pas de compte d'ordinateur pour cette relation d'approbation de station de travail.
  • Ouvertures de session interactives avec des comptes de domaine ne fonctionnent pas. Uniquement les ouvertures de session avec des comptes locaux fonctionnent.
  • Les messages d'événement suivants sont enregistrés dans le journal système :

    Type d'événement : erreur
    Source de l'événement : NETLOGON
    Catégorie de l'événement : aucune
    L'ID d'événement : 5788
    Ordinateur : nom_ordinateur
    Description :
    Tentative de mise à jour de Service de nom Principal (SPN) de l'objet ordinateur dans Active Directory a échoué. L'erreur suivante s'est produite :Message d'erreur détaillé qui varie en fonction de thecause.>
    Type d'événement : erreur
    Source de l'événement : NETLOGON
    Catégorie de l'événement : aucune
    L'ID d'événement : 5789
    Ordinateur : ordinateur
    Description :
    Essayez de mettre à jour le nom d'hôte DNS de l'objet ordinateur dans Active Directory a échoué. L'erreur suivante s'est produite :Message d'erreur détaillé qui varie en fonction de thecause.>

    Remarque Messages d'erreur détaillés pour que ces événements sont répertoriés dans la section « Cause ».
Cause
Ce problème se produit lorsqu'un ordinateur essaie mais n'écrit pas les attributsdNSHostName et servicePrincipalName pour son compte d'ordinateur dans un domaine des Services de domaine Active Directory (AD DS).

Un ordinateur essaie de mettre à jour ces attributesif les conditions suivantes sont remplies :
  • Immédiatement après qu'un ordinateur basé sur Windows rejoint un domaine, l'ordinateur essaie de définir les attributs dNSHostName et servicePrincipalName pour son compte d'ordinateur dans le nouveau domaine.
  • Lorsque le canal sécurisé est établi sur un ordinateur basé sur Windows qui est déjà un membre d'un domaine AD DS, l'ordinateur essaie de mettre à jour les attributs dNSHostName et servicePrincipalName pour son compte d'ordinateur dans le domaine.
  • Sur un contrôleur de domaine Windows, le service Netlogon tente de mettre à jour l'attribut servicePrincipalName toutes les 22 minutes.
Il existe deux causes possibles des échecs de mise à jour de :
  • L'ordinateur n'a pas les autorisations suffisantes pour exécuter un LDAP modifier demande des attributsdNSHostName ou servicePrincipalName pour son compte d'ordinateur.

    Dans ce cas, les messages d'erreur qui correspondent aux événements qui sont décrites dans la section « Symptômes » sont les suivantes :
    • Événement 5788
      L'accès est refusé.
    • Événement 5789
      Le système ne trouve pas le fichier spécifié.
  • Le suffixe DNS principal de l'ordinateur ne correspond pas le nom DNS du domaine AD DS dont l'ordinateur est un membre. Cette configuration est appelée « espace de noms Disjoint. »

    Par exemple, l'ordinateur est membre du domaine Active Directory contoso.com. Toutefois, son nom FQDN DNS est member1.nyc.contoso.com. Par conséquent, le suffixe DNS principal ne correspond pas au nom de domaine Active Directory.

    La mise à jour est bloquée dans cette configuration, car la validation préalable d'écriture de l'attribut valeurs échoue. La validation de l'écriture échoue car, par défaut, le Gestionnaire de comptes de sécurité (SAM) nécessite que le suffixe DNS principal d'un ordinateur correspond le nom DNS du domaine AD DS que de l'ordinateur est membre.

    Dans ce cas, les messages d'erreur qui correspondent aux événements qui sont décrites dans la section « Symptômes » sont les suivantes :
    • Événement 5788
      La syntaxe d'attribut spécifiée au service d'annuaire n'est pas valide.
    • Événement 5789
      Le paramètre est incorrect.
Résolution
Pour résoudre ce problème, recherchez la cause la plus probable comme décrit dans la section « Cause ». Ensuite, utilisez la résolution correspondant à la cause.

Résolution de la Cause 1

Pour résoudre ce problème, vous devez vous assurer que le compte d'ordinateur dispose des autorisations nécessaires pour mettre à jour son propre objet ordinateur.

Dans l'éditeur ACL, assurez-vous qu'il existe une entrée de contrôle d'accès (ACE) pour le compte de tiers de confiance « SELF » et qu'il dispose de l'accès « Autoriser » pour les droits étendus suivants :
  • Écriture validée vers le nom d'hôte DNS
  • Écriture validée vers le nom principal de service
Ensuite, vérifiez les autorisations Refuser qui peuvent s'appliquer. À l'exclusion de l'appartenance aux groupes de l'ordinateur, les tiers de confiance suivants s'appliquent également à l'ordinateur :
  • Tout le monde
  • Utilisateurs authentifiés
  • SELF
Les ACE qui s'appliquent à ces tiers de confiance peuvent refuser également l'accès en écriture aux attributs, ou ils peuvent refuser « écriture validée vers le nom d'hôte DNS » ou « Écriture validée vers le nom principal de service « droits étendus.

Résolution de la Cause 2

Pour résoudre ce problème, utilisez une des méthodes suivantes, selon le cas :
  • Méthode 1: Corriger un espace de noms disjoint involontaire

    Si la configuration disjoint est involontaire, et si vous souhaitez revenir à un espace de noms contigu, utilisez cette méthode.

    Pour plus d'informations sur la façon de revenir à un espace de noms contigu sur Windows Server 2003, consultez l'article Microsoft TechNet suivant :Pour Windows Server 2008 et Windows Vista et les versions ultérieures, consultez l'article Microsoft TechNet suivant :
  • Méthode 2: Vérifier que la configuration de l'espace de nom disjoint fonctionne correctement

    Utilisez cette méthode si vous souhaitez conserver l'espace de noms disjoint. Pour ce faire, procédez comme suit pour apporter certaines modifications de configuration pour résoudre les erreurs.

    Pour plus d'informations sur la façon de vérifier que l'espace de noms disjoint fonctionne correctement sur Windows Server 2003 R2, Windows Server 2003, Windows Server 2003 avec Service Pack 1 (SP1) et Windows Server 2003 avec Service Pack 2 (SP2), voir l'article Microsoft TechNet suivant :Pour plus d'informations sur la façon de vérifier que l'espace de noms disjoint fonctionne correctement sur Windows Server 2008 R2 et Windows Server 2008, voir l'article Microsoft TechNet suivant :
    En étendant l'exemple qui est mentionné dans le dernier point majeur point dans la section « Cause », ajouter « nyc.contoso.com » comme un suffixe autorisé à l'attribut.
Plus d'informations
Les versions antérieures de cet article mentionné la modification des autorisations sur les objets ordinateur pour permettre un accès en écriture général résoudre ce problème. Il s'agit de la seule approche qui existait dans Windows 2000. Toutefois, il est moins sûre que l'utilisation demsDS-AllowedDNSSuffixes.

msDS-AllowedDNSSuffixes empêche le client d'écrire les noms SPN arbitraires dans Active Directory. « Méthode Windows 2000 » permet au client d'écrire les noms principaux de service qui bloquent Kerberos de fonctionner avec d'autres serveurs importants (créer des doublons). Lorsque vous utilisez msDS-AllowedDNSSuffixes, il se produit des collisions de nom principal de service comme thosecan uniquement lorsque l'autre serveur a le même nom d'hôte en tant que l'ordinateur local.

Une trace réseau de la réponse au serveur LDAP modifier demande affiche les informations suivantes :
Win : 17368, src : 389 dst: 1044
LDAP : ProtocolOp : ModifyResponse (7)
LDAP : MessageID
LDAP : ProtocolOp = ModifyResponse
LDAP : Code de résultat = Violation de contrainte
LDAP : Message d'erreur = 0000200B : AtrErr : DSID-03151E6D
Dans cette trace réseau, le nombre hexadécimal 200 b est égal au nombre décimal 8203.

Le net helpmsg 8203 commande renvoie les informations suivantes :

La syntaxe d'attribut spécifiée au service d'annuaire n'est pas valide." Le Moniteur réseau 5.00.943 affiche le code de résultat suivant: « Violation de contrainte ». Winldap.h mappe erreur 13 « LDAP_CONSTRAINT_VIOLATION.

Le nom de domaine DNS et le nom du domaine Active Directory peuvent différer si une ou plusieurs des conditions suivantes sont remplies :
  • La configuration DNS TCP/IP contient un domaine DNS qui diffère du domaine Active Directory dont l'ordinateur est un membre de l'optionModifier principal le suffixe DNS lorsque les adhésions au domaine sont modifiées est désactivée. Pour afficher cette option, cliquez droit sur Poste de travail, cliquez sur Propriétés, puis cliquez sur l'onglet Identification réseau .
  • Ordinateurs Windows Server 2003 ou Windows XP Professionnel peuvent appliquer un paramètre de stratégie de groupe qui définit le suffixe principal sur une valeur qui diffère du domaine Active Directory. Le paramètre de stratégie de groupe est la suivante :
    Ordinateur Configuration\Administrative Templates\Network\DNS Client : Suffixe DNS principal
  • Le contrôleur de domaine se trouve dans un domaine qui a été renommé par l'utilitaire Rendom.exe. Toutefois, l'administrateur encore modifier le suffixe DNS du nom de domaine DNS précédent. Le processus de changement de nom de domaine ne met pas à jour primaire correspond à la suivante de nom de domaine DNS en cours le suffixe DNS renomme des noms de domaine DNS.
Les domaines dans une forêt Active Directory qui n'ont pas le même nom de domaine hiérarchique sont dans une arborescence de domaine différente. Lorsque différentes arborescences de domaine se trouvent dans une forêt, les domaines racine ne sont pas contigus. Toutefois, cette configuration ne crée pas un espace de nom DNS disjoint. Vous avez plusieurs DNS ou même DNS Active Directory racine de domaines. Un espace de noms disjoint est caractérisée par une différence entre le suffixe DNS principal et le nom du domaine Active Directory dont l'ordinateur est un membre.

Espace de nom disjoint peut être utilisé avec précaution dans certains scénarios. Toutefois, il n'est pas pris en charge dans tous les scénarios.
id d'événement 5788 5789 Winx64 Windowsx64 64 bits 64 bits

Avertissement : Cet article a été traduit automatiquement.

Propriétés

ID d'article : 258503 - Dernière mise à jour : 06/29/2015 17:04:00 - Révision : 1.0

Windows Server 2008 Service Pack 2, Windows Vista Service Pack 2, Windows 7 Service Pack 1, Microsoft Exchange Server 2003 Service Pack 2, Microsoft Windows XP Service Pack 3, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professionnel, Microsoft Windows 2000 Server, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Standard, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Standard, Windows Server 2012 Foundation

  • kbdns kberrmsg kbprb kbmt KB258503 KbMtfr
Commentaires