ID Kejadian 5788 dan 5789 terjadi pada komputer berbasis Windows

Dukungan untuk Windows XP telah berakhir

Microsoft mengakhiri dukungan untuk Windows XP pada 8 April 2014. Perubahan ini telah memengaruhi pemutakhiran perangkat lunak dan opsi keamanan Anda. Pelajari apa artinya ini bagi Anda dan cara untuk tetap terlindungi.

PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.

Klik disini untuk melihat versi Inggris dari artikel ini: 258503
Gejala
Anda mungkin mengalami salah satu masalah berikut ini:
  • Di Windows Vista dan versi yang lebih baru, Anda menerima pesan galat berikut selama log masuk interaktif:
    Pangkalan data keamanan di server tidak memiliki akun komputer untuk hubungan kepercayaan workstation ini.
  • Interaktif log masuk dengan akun berbasis domain tidak bekerja. Hanya log masuk dengan akun lokal yang berfungsi.
  • Pesan kejadian berikut ini dicatat di log sistem:

    Jenis peristiwa: kesalahan
    Sumber peristiwa: NETLOGON
    Kategori Peristiwa: Tidak Ada
    ID Kejadian: 5788
    Komputer: ComputerName
    Keterangan:
    Mencoba memperbarui nama prinsip Layanan (SPN) dari objek komputer di direktori aktif yang gagal. Terjadi galat berikut ini:Pesan galat rinci yang berbeda-beda, tergantung pada thecause.>
    Jenis peristiwa: kesalahan
    Sumber peristiwa: NETLOGON
    Kategori Peristiwa: Tidak Ada
    ID Kejadian: 5789
    Komputer: komputer
    Keterangan:
    Mencoba memperbarui nama Host DNS objek komputer di direktori aktif yang gagal. Terjadi galat berikut ini:Pesan galat rinci yang berbeda-beda, tergantung pada thecause.>

    Catatan Pesan galat rincian peristiwa ini tercantum di bagian "Sebab".
Penyebab
Perilaku ini terjadi ketika komputer mencoba tetapi tidak menulis kedNSHostName dan servicePrincipalName atribut untuk akun yang komputer di domain Layanan Domain direktori aktif (AD DS).

Komputer mencoba memperbarui ini attributesif kondisi berikut ini benar:
  • Segera setelah komputer berbasis Windows bergabung dengan domain, komputer mencoba untuk menetapkan atribut dNSHostName dan servicePrincipalName untuk komputer dengan akun di domain baru.
  • Bila keamanan saluran dibuat di komputer berbasis Windows yang sudah ada anggota domain AD DS, komputer mencoba untuk memperbarui atribut dNSHostName dan servicePrincipalName untuk akun ke komputer di domain.
  • Pada pengendali domain berbasis Windows, Layanan Netlogon mencoba memperbarui atribut servicePrincipalName setiap 22 menit.
Ada dua kemungkinan penyebab kegagalan pemutakhiran:
  • Komputer tidak memiliki izin yang memadai untuk menyelesaikan LDAP memodifikasi permintaandNSHostName atau servicePrincipalName atribut untuk akun ke komputer.

    Dalam hal ini, pesan galat yang terkait dengan peristiwa yang dijelaskan di bagian "Gejala" adalah sebagai berikut:
    • Peristiwa 5788
      Akses ditolak.
    • Peristiwa 5789
      Sistem tidak dapat menemukan berkas yang ditentukan.
  • Akhiran DNS utama komputer tidak cocok nama DNS yang komputer adalah anggota domain AD DS. Konfigurasi ini disebut sebagai "namespace utma."

    Misalnya, komputer adalah anggota domain direktori aktif contoso.com. Namun, nama DNS FQDN adalah member1.nyc.contoso.com. Oleh karena itu, akhiran DNS utama tidak cocok dengan nama domain direktori aktif.

    Pemutakhiran memblokir dalam konfigurasi ini karena validasi prasyarat tulis atribut nilai gagal. Tulis validasi gagal karena, secara asali, manajer akun keamanan (SAM) memerlukan akhiran DNS utama komputer yang cocok dengan nama DNS yang komputer adalah anggota domain AD DS.

    Dalam hal ini, pesan galat yang terkait dengan peristiwa yang dijelaskan di bagian "Gejala" adalah sebagai berikut:
    • Peristiwa 5788
      Sintaks atribut yang ditetapkan untuk layanan direktori tidak valid.
    • Peristiwa 5789
      Parameter tidak benar.
Pemecahan masalah
Untuk mengatasi masalah ini, temukan kemungkinan penyebab seperti yang dijelaskan di bagian "Penyebab". Kemudian, gunakan resolusi yang sesuai untuk penyebab.

Resolusi untuk penyebab 1

Untuk mengatasi masalah ini, Anda harus memastikan bahwa akun komputer memiliki izin yang memadai untuk memperbarui objek komputer.

Di Editor ACL, pastikan bahwa ada entri kontrol akses (ACE) untuk akun pengawas "Diri" dan memiliki akses "Izinkan" perpanjangan hak berikut ini:
  • Divalidasi tulis nama host DNS
  • Divalidasi tulis nama prinsip Layanan
Kemudian, verifikasi izin menolak apa pun yang mungkin berlaku. Mengecualikan keanggotaan grup komputer, pengawas berikut ini juga berlaku untuk komputer:
  • Siapa saja
  • Pengguna yang diotentikasi
  • MANDIRI
Ace yang berlaku untuk pengawas ini juga dapat menolak akses ke menulis ke atribut, atau mereka dapat menolak "validasi tulis nama host DNS" atau "Validasi tulis nama prinsip Layanan" perpanjangan hak.

Resolusi untuk penyebab 2

Untuk mengatasi masalah ini, gunakan salah satu dari metode berikut, yang sesuai:
  • Metode 1: Memperbaiki namespace utma disengaja

    Jika konfigurasi utma tidak disengaja, dan jika Anda ingin kembali ke namespace bersebelahan, gunakan metode ini.

    Untuk informasi selengkapnya tentang cara kembali ke namespace bersebelahan pada Windows Server 2003, lihat artikel Microsoft TechNet berikut:Untuk Windows Server 2008 dan Windows Vista dan versi yang lebih baru, lihat artikel Microsoft TechNet berikut:
  • Metode 2: Memverifikasi bahwa konfigurasi utma namespace berfungsi dengan baik

    Gunakan metode ini, jika Anda ingin menyimpan namespace utma. Untuk melakukannya, ikuti langkah-langkah untuk membuat beberapa perubahan konfigurasi untuk menyelesaikan galat.

    Untuk informasi selengkapnya tentang cara memverifikasi bahwa namespace utma bekerja dengan benar pada Windows Server 2003 R2, Windows Server 2003, Windows Server 2003 dengan Service Pack 1 (SP1), dan Windows Server 2003 dengan Service Pack 2 (SP2), lihat artikel Microsoft TechNet berikut:Untuk informasi selengkapnya tentang cara memverifikasi bahwa namespace utma bekerja dengan benar pada Windows Server 2008 R2 dan Windows Server 2008, lihat artikel Microsoft TechNet berikut:
    Dengan memperluas contoh yang disebutkan di poin utama terakhir titik di bagian "Sebab", Anda harus menambahkan "nyc.contoso.com" sebagai sufiks diizinkan untuk atribut.
Informasi lebih lanjut
Versi yang lebih lama dari artikel ini disebut mengubah izin pada objek komputer untuk mengaktifkan akses tulis umum untuk menyelesaikan masalah ini. Ini adalah satu-satunya metode yang ada pada Windows 2000. Namun, akan lebih aman daripada menggunakanmsDS-AllowedDNSSuffixes.

msDS-AllowedDNSSuffixes membatasi klien dari penulisan SPNs sembarang ke direktori aktif. "Windows 2000 metode" memungkinkan klien untuk menulis SPNs yang memblokir Kerberos bekerja dengan server pasangan (membuat duplikat). Ketika Anda menggunakan msDS-AllowedDNSSuffixes, SPN tabrakan seperti thosecan terjadi hanya pada saat server lainnya memiliki nama host yang sama sebagai komputer lokal.

Jejak jaringan menanggapi LDAP memodifikasi permintaan menampilkan informasi berikut ini:
Win: 17368, src: 389 dst: 1044
LDAP: ProtocolOp: ModifyResponse (7)
LDAP: MessageID
LDAP: ProtocolOp = ModifyResponse
LDAP: Menghasilkan kode = batasan pelanggaran
LDAP: Pesan galat = 0000200B: AtrErr: DSID-03151E6D
Di jejak jaringan ini, 200B heksadesimal sama dengan 8203 desimal.

Bagian net helpmsg 8203 perintah menghasilkan informasi berikut ini:

Sintaks atribut yang ditetapkan untuk layanan direktori tidak valid." Monitor jaringan 5.00.943 Menampilkan hasil kode berikut ini: "Batasan pelanggaran." Winldap.h peta galat 13 "LDAP_CONSTRAINT_VIOLATION.

Nama domain DNS dan nama domain direktori aktif dapat berbeda apabila satu atau lebih kondisi berikut ini benar:
  • Konfigurasi TCP/IP DNS berisi DNS domain yang berbeda dari domain direktori aktif yang komputer adalah anggota, dan opsiakhiran DNS primer perubahan ketika perubahan keanggotaan domain dinonaktifkan. Untuk melihat opsi ini, klik kanan-atas Komputer Saya, klik properti, dan kemudian klik tab Identifikasi jaringan .
  • Windows Server 2003 atau Windows XP Professional-based komputer dapat menerapkan pengaturan Kebijakan Grup yang menetapkan sufiks utama ke nilai yang berbeda dari domain direktori aktif. Setelan Kebijakan Grup adalah sebagai berikut:
    Komputer Configuration\Administrative Templates\Network\DNS klien: Akhiran DNS utama
  • pengendali domain yang terletak di domain yang telah diganti oleh utilitas Rendom.exe. Namun, administrator belum melakukan perubahan akhiran DNS dari nama domain DNS yang sebelumnya. Proses ganti nama domain tidak memperbarui primer akhiran DNS untuk mencocokkan berikut nama domain DNS saat ini mengubah nama DNS nama domain.
Domain di hutan direktori aktif yang tidak memiliki nama hierarki domain yang sama ada di pohon domain yang berbeda. Ketika pohon domain yang berbeda dalam hutan, domain akar tidak bersebelahan. Namun, konfigurasi ini tidak membuat ruang nama DNS utma. Anda memiliki banyak DNS atau bahkan Active Directory DNS root domain. Ruang nama utma ditandai dengan perbedaan antara akhiran DNS utama dan nama domain direktori aktif yang komputer adalah anggota.

Ruang nama utma dapat digunakan dengan hati-hati dalam beberapa skenario. Namun, tidak didukung dalam semua skenario.
id kejadian 5789 5788 Winx64 Windowsx64 64 bit 64-bit

Peringatan: Artikel ini telah diterjemahkan secara otomatis

Properti

ID Artikel: 258503 - Tinjauan Terakhir: 06/29/2015 17:05:00 - Revisi: 3.0

Windows Server 2008 Service Pack 2, Windows Vista Service Pack 2, Windows 7 Service Pack 1, Microsoft Exchange Server 2003 Service Pack 2, Microsoft Windows XP Service Pack 3, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Server, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Standard, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Standard, Windows Server 2012 Foundation

  • kbdns kberrmsg kbprb kbmt KB258503 KbMtid
Tanggapan