Gli ID evento 5788 e 5789 si verificano in un computer basato su Windows

Il supporto per Windows XP è terminato

Il supporto Microsoft per Windows XP è terminato l'8 aprile 2014. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

IMPORTANTE: il presente articolo è stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l’obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre è perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilità per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualità della traduzione.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 258503
Sintomi
Può verificarsi uno dei seguenti problemi:
  • In Windows Vista e versioni successive, viene visualizzato il seguente messaggio di errore durante l'accesso interattivo:
    Il database di protezione sul server non dispone di un account computer per la relazione di trust della workstation.
  • Gli accessi interattivi con account di dominio non funzionano. Funzionano solo gli accessi con gli account locali.
  • Vengono registrati i seguenti messaggi di evento nel Registro di sistema:

    Tipo di evento: errore
    Origine evento: NETLOGON
    Categoria evento: nessuno
    ID evento: 5788
    Computer: nomecomputer
    Descrizione:
    Tentativo di aggiornamento principale nome servizio (SPN) dell'oggetto computer in Active Directory non riuscita. Si è verificato il seguente errore:Messaggio di errore dettagliato varia a seconda di thecause.>
    Tipo di evento: errore
    Origine evento: NETLOGON
    Categoria evento: nessuno
    ID evento: 5789
    Computer: Computer
    Descrizione:
    Tentativo di aggiornare il nome Host DNS dell'oggetto computer in Active Directory non riuscita. Si è verificato il seguente errore:Messaggio di errore dettagliato varia a seconda di thecause.>

    Nota Messaggi di errore dettagliati per questi eventi sono elencati nella sezione "Cause".
Cause
Questo comportamento si verifica quando un computer cerca, ma non di scrivere gli attributidNSHostName e servicePrincipalName del proprio account computer in un dominio di Active Directory Domain Services (AD DS).

Un computer tenta di aggiornare i attributesif le seguenti condizioni sono vere:
  • Immediatamente dopo che un computer basato su Windows viene aggiunto a un dominio, il computer tenta di impostare gli attributi dNSHostName e servicePrincipalName del proprio account computer nel nuovo dominio.
  • Quando viene stabilito il canale di protezione in un computer basato su Windows che è già un membro di un dominio Active Directory, il computer tenta di aggiornare gli attributi dNSHostName e servicePrincipalName del proprio account computer nel dominio.
  • In un controller di dominio basato su Windows, il servizio Accesso rete tenta di aggiornare l'attributo servicePrincipalName ogni 22 minuti.
Esistono due possibili cause di errori di aggiornamento:
  • Il computer non dispone di autorizzazioni sufficienti per completare un LDAP modificare richiesta degli attributidNSHostName o servicePrincipalName del proprio account computer.

    In questo caso, i messaggi di errore che corrispondono agli eventi descritti nella sezione "Sintomi" sono i seguenti:
    • Evento 5788
      Accesso negato.
    • Evento 5789
      Impossibile trovare il file specificato.
  • Il suffisso DNS primario del computer non corrisponde al nome DNS del dominio di Active Directory di cui il computer è un membro. Questa configurazione è nota come un "spazio dei nomi disgiunto."

    Ad esempio, il computer è un membro del dominio contoso.com Active Directory. Tuttavia, il nome DNS FQDN è member1.nyc.contoso.com. Di conseguenza, il suffisso DNS primario non corrisponde al nome di dominio di Active Directory.

    L'aggiornamento è bloccato in questa configurazione perché la convalida dei prerequisiti di scrittura dell'attributo valori ha esito negativo. La convalida di scrittura ha esito negativo in quanto, per impostazione predefinita, la gestione di account di protezione (SAM) richiede che il suffisso DNS primario del computer corrisponda il nome DNS del quale computer è un membro di dominio Active Directory.

    In questo caso, i messaggi di errore che corrispondono agli eventi descritti nella sezione "Sintomi" sono i seguenti:
    • Evento 5788
      La sintassi dell'attributo specificata per il servizio directory non è valida.
    • Evento 5789
      Il parametro non è corretto.
Risoluzione
Per risolvere il problema, individuare la causa più probabile, come descritto nella sezione "Cause". Quindi, utilizzare la soluzione appropriata per la causa.

Risoluzione per la causa 1

Per risolvere questo problema, è necessario assicurarsi che l'account del computer disponga di autorizzazioni sufficienti per aggiornare il proprio oggetto computer.

Nell'Editor ACL, assicurarsi che vi sia una voce di controllo di accesso (ACE) per l'account del fiduciario "SELF" e che abbia accesso a "Consenti" per le seguenti autorizzazioni estese:
  • Scrittura convalidata su nome host DNS
  • Scrittura convalidata su nome principale servizio
Quindi, verificare le autorizzazioni Nega applicabili. Escludendo le appartenenze di gruppo del computer, i fiduciari seguenti si applicano anche al computer:
  • Tutti gli utenti
  • Utenti autenticati
  • SELF
Anche le voci ACE che si applicano a tali parti trusted possono negare l'accesso in scrittura agli attributi o potrebbe negare i "scrittura convalidata su nome host DNS" o "Scrittura convalidata su nome principale di servizio" diritti estesi.

Risoluzione per la causa 2

Per risolvere questo problema, utilizzare uno dei metodi seguenti, a seconda dei casi:
  • Metodo 1: Correggere uno spazio dei nomi disgiunto non intenzionale

    Se la configurazione disgiunto è intenzionale e se si desidera ripristinare uno spazio dei nomi contiguo, utilizzare questo metodo.

    Per ulteriori informazioni su come ripristinare un spazio dei nomi contiguo in Windows Server 2003, vedere il seguente articolo Microsoft TechNet:Per Windows Server 2008 e Windows Vista e versioni successive, vedere il seguente articolo Microsoft TechNet:
  • Metodo 2: Verificare che la configurazione dello spazio dei nomi disgiunto non funzioni correttamente

    Utilizzare questo metodo se si desidera mantenere lo spazio dei nomi disgiunto. A tale scopo, attenersi alla seguente procedura per apportare alcune modifiche alla configurazione per risolvere gli errori.

    Per ulteriori informazioni su come verificare che lo spazio dei nomi disgiunto non funzioni correttamente su Windows Server 2003 R2, Windows Server 2003, Windows Server 2003 con Service Pack 1 (SP1) e Windows Server 2003 con Service Pack 2 (SP2), vedere il seguente articolo Microsoft TechNet:Per ulteriori informazioni su come verificare che lo spazio dei nomi disgiunto non funzioni correttamente in Windows Server 2008 R2 e Windows Server 2008, vedere il seguente articolo Microsoft TechNet:
    Estendendo l'esempio citato al punto principale ultimo punto nella sezione "Cause", è necessario aggiungere "nyc.contoso.com" come un suffisso consentito per l'attributo.
Informazioni
Le versioni precedenti di questo articolo di cui la modifica delle autorizzazioni sugli oggetti computer per consentire l'accesso in scrittura generale risolvere il problema. Questo era l'unico approccio esistenti in Windows 2000. Tuttavia, è meno sicura rispetto all'utilizzo dimsDS-AllowedDNSSuffixes.

msDS-AllowedDNSSuffixes impedisce al client di scrittura arbitrario SPN in Active Directory. Il "metodo di Windows 2000" consente al client scrivere SPN che blocca l'utilizzo di altri importanti server (creare duplicati) Kerberos. Quando si utilizza l'Attributo msDS-AllowedDNSSuffixes, si verificano conflitti di SPN, ad esempio thosecan solo quando l'altro server con lo stesso nome di host del computer locale.

Un'analisi di rete della risposta per il protocollo LDAP modifica richiesta Visualizza le seguenti informazioni:
Win: 17368, src: 389 dst: 1044
LDAP: ProtocolOp: ModifyResponse (7)
LDAP: MessageID
LDAP: ProtocolOp = ModifyResponse
LDAP: Codice risultato = violazione di vincolo
LDAP: Messaggio di errore = 0000200B: AtrErr: DSID-03151E6D
In questa analisi di rete esadecimale 200B è uguale al valore decimale 8203.

Il net helpmsg 8203 comando restituisce le informazioni seguenti:

La sintassi dell'attributo specificata per il servizio di directory non valida". Network Monitor 5.00.943 visualizza il codice riportato di seguito: "Violazione di vincolo." Winldap associa l'errore 13 a "LDAP_CONSTRAINT_VIOLATION.

Il nome di dominio DNS e il nome di dominio di Active Directory può essere diverso se uno o più delle seguenti condizioni sono vere:
  • La configurazione DNS TCP/IP contiene un dominio diverso dal dominio di Active Directory di cui il computer è un membro e l'opzioneCambia suffisso DNS primario quando cambia l'appartenenza al dominio è disattivata. Per visualizzare questa opzione, destro del mouse su Risorse del Computer, scegliere proprietàe quindi fare clic sulla scheda di Identificazione di rete .
  • Computer basato su Windows XP Professional o Server 2003 Windows può applicare un'impostazione di criteri di gruppo che imposta il suffisso primario su un valore diverso dal dominio di Active Directory. L'impostazione di criteri di gruppo è la seguente:
    Computer Amministrativi\rete\client: Suffisso DNS primario
  • Il controller di dominio si trova in un dominio che è stato rinominato con l'utilità Rendom.exe. Tuttavia, l'amministratore ancora modificare il suffisso DNS dal precedente nome di dominio DNS. Il processo di ridenominazione del dominio non aggiorna il server primario il suffisso DNS segue nome di dominio DNS corrente Rinomina dei nomi di dominio DNS.
I domini in un insieme di strutture di Active Directory che non hanno lo stesso nome di dominio gerarchico sono in una struttura di dominio diverso. Quando in un insieme di strutture sono strutture di dominio diverso, i domini principali non sono contigui. Tuttavia, questa configurazione non crea uno spazio dei nomi DNS disgiunto. Sono presenti più DNS o persino DNS di Active Directory domini principali. Uno spazio dei nomi disgiunto è caratterizzato da una differenza tra il suffisso DNS primario e il nome di dominio Active Directory di cui il computer è un membro.

Spazio dei nomi disgiunto può essere utilizzato con cautela in alcuni scenari. Tuttavia, non è supportato in tutti gli scenari.
id evento 5788 5789 Winx64 Windowsx64 64 bit a 64 bit

Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 258503 - Ultima revisione: 06/29/2015 17:06:00 - Revisione: 1.0

Windows Server 2008 Service Pack 2, Windows Vista Service Pack 2, Windows 7 Service Pack 1, Microsoft Exchange Server 2003 Service Pack 2, Microsoft Windows XP Service Pack 3, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Server, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Standard, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Standard, Windows Server 2012 Foundation

  • kbdns kberrmsg kbprb kbmt KB258503 KbMtit
Feedback