Windows ベースのコンピューターでイベント Id 5788 および 5789 が発生します。

Windows XP のサポートは終了しました

マイクロソフトでは、2014 年 4 月 8 日に Windows XP のサポートを終了しました。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。

英語版 KB:258503
現象
次の問題のいずれかする必要があります。
  • Windows Vista およびそれ以降のバージョン、[対話型ログオン時に次のエラー メッセージが表示されます。
    サーバー上のセキュリティ データベースにこのワークステーションの信頼関係に対するコンピューター アカウントはありません。
  • ドメイン ベースのアカウントに対話型ログオンが機能しません。ローカル アカウントでログオンのみが機能しています。
  • 次のイベント メッセージがシステム ログに記録されます。

    イベントの種類: エラー
    イベント ソース: NETLOGON
    イベント カテゴリ: なし
    イベント ID: 5788
    コンピューター: コンピューター名
    説明:
    サービス プリンシパル名 (SPN) の Active Directory 内のコンピューター オブジェクトを更新しようとしてください。次のエラーが発生しました。詳細なエラー メッセージが原因によって異なります。>
    イベントの種類: エラー
    イベント ソース: NETLOGON
    イベント カテゴリ: なし
    イベント ID: 5789
    コンピューター: コンピューター
    説明:
    Active Directory 内のコンピューター オブジェクトの DNS ホスト名を更新しようとしてください。次のエラーが発生しました。詳細なエラー メッセージが原因によって異なります。>

    注: <b> これらのイベントに対して詳細なエラー メッセージの「原因」セクションに記載されています。
原因
コンピューターが Active Directory ドメイン サービス (AD DS) ドメインにコンピューター アカウントのdNSHostNameおよびプリンシパル属性に書き込まないと、この現象が発生します。

これらが更新されると attributesif、次の条件に該当します。
  • Windows ベースのコンピューターがドメインに参加後、すぐにコンピューターを新しいドメインに、コンピューター アカウントのdNSHostNameおよびプリンシパル属性を設定しようとします。
  • 既に AD DS ドメインのメンバーである Windows ベースのコンピューター上にセキュリティ チャネルが確立されると、コンピューター、ドメイン内のコンピューター アカウントのdNSHostNameおよびプリンシパル属性を更新しようとします。
  • 、Windows ベースのドメイン コント ローラー上の Netlogon サービスプリンシパル属性を 22 分ごとに更新しようとします。
更新エラーの 2 つの原因があります。
  • コンピューターが LDAP を完了するに十分なアクセス許可要求のdNSHostNameまたはプリンシパルコンピューター アカウントの属性を変更します。

    この場合、エラー メッセージ「現象」に記載されているイベントに対応するとおり。
    • イベント 5788
      アクセスが拒否されました。
    • イベント 5789
      システム指定されたファイルが見つかりません。
  • コンピューターのプライマリ DNS サフィックスは、コンピューターがメンバーとなっている AD DS ドメインの DNS 名が一致しません。この構成は、「切り離された名前空間。」と呼ばれます。

    コンピューターは、Active Directory ドメインが contoso.com のメンバーです。FQDN の DNS 名は、member1.nyc.contoso.com です。したがって、プライマリ DNS サフィックスは Active Directory ドメイン名が一致しません。

    前提の書き込み検証属性の値が失敗したため、この構成で、更新プログラムはブロックされます。書き込み検証は、既定では、セキュリティ アカウント マネージャー (SAM) が必要なため、コンピューターのプライマリ DNS サフィックスがメンバーであるコンピューターの AD DS ドメインの DNS 名と一致することに失敗します。

    この場合、エラー メッセージ「現象」に記載されているイベントに対応するとおり。
    • イベント 5788
      ディレクトリ サービスに指定された属性の構文が正しくありません。
    • イベント 5789
      パラメーターが正しくありません。
解決方法
この問題を解決する「原因」に記載されて原因多くを見つけます。原因に適した解像度を使用します。

原因 1 の解決方法

この問題を解決するのにはコンピューター アカウントを独自のコンピューター オブジェクトを更新する権限を持つことを確認する必要があります。

ACL エディターで、トラスティ アカウントの"SELF"のアクセス制御エントリ (ACE) があり、次の拡張権利の「許可」アクセスがあることを確認します。
  • DNS ホスト名への検証された書き込み
  • サービス プリンシパル名への検証された書き込み
すべて適用される拒否のアクセス許可を確認してください。除外するコンピューターのグループ メンバーシップ、次のトラスティはコンピューターにも適用されます。
  • Everyone
  • Authenticated Users
  • セルフ
これらのトラスティに適用する Ace が、属性への書き込みアクセスを拒否しても、したりが拒否したり、「DNS ホスト名を確認済みの書き込み」または「確認済み書き込みサービス プリンシパル名を"拡張権利です。

原因 2 の解決方法

この問題を解決するには、適切なメソッドを次のいずれかを使用します。
  • 意図しない名前空間の不整合を修正する方法 1。

    ジョイントの構成が意図的で、連続した名前空間に戻す場合はこのメソッドを使用します。

    連続した名前空間を Windows Server 2003 上に戻す方法の詳細については、次の Microsoft TechNet の記事を参照してください。Windows Server 2008 および Windows Vista およびそれ以降のバージョンは、次の Microsoft TechNet の記事を参照してください。
  • 方法 2: は、切り離された名前空間の構成が正常に動作ことを確認します。

    切り離された名前空間を保持する場合、このメソッドを使用します。いくつかのエラーを解決するために構成を変更するこれら手順を実行します。

    確認する方法の詳細についての名前空間の不整合が Windows Server 2003 R2、Windows Server 2003 Service Pack 1 (SP1)、Windows Server 2003 で正常に動作し、Windows Server 2003 Service Pack 2 (SP2) を次のマイクロソフト TechNet の記事を参照してください。名前空間の不整合が Windows Server 2008 R2 と Windows Server 2008 で正常に動作を確認する方法の詳細については、次の Microsoft TechNet の記事を参照してください。
    原因」に記載のポイントの最後の主要な項目に記載されている例を拡張して、属性を「nyc.contoso.com」、許可されるサフィックスとして追加します。
詳細
この資料の以前のバージョンこの問題を解決するのには書き込みアクセスを有効にするコンピューター オブジェクトのアクセス許可の変更を説明します。Windows 2000 に含まれていた唯一の方法でした。ただし、msDS AllowedDNSSuffixesを使用するよりも安全性の低いです。

msDS AllowedDNSSuffixesから Active Directory へ任意の Spn を作成するクライアントを制限します。「Windows 2000 の方法」によりクライアントは Kerberos 動作他の重要なサーバー (複製の作成) を禁止している Spn を作成します。MsDS AllowedDNSSuffixesを使用すると他のサーバーにホスト名はローカル コンピューターと同じ場合にのみ thosecan などの SPN の衝突が発生します。

LDAP への応答のネットワーク トレースの要求が表示されます、次の情報を変更します。
win: 17368、src: 389 dst: 1044年
LDAP: ProtocolOp: ModifyResponse (7)
LDAP: メッセージ Id
LDAP: ProtocolOp = ModifyResponse
LDAP: 結果コード = 制約違反
LDAP: エラー メッセージ = 0000200B: AtrErr: DSID 03151E6D
このネットワーク トレースで 200B 16 進数は 8203 10 進数になります。

net helpmsg 8203 コマンドは、次の情報を返します。

ディレクトリ サービスに指定された属性の構文が正しくありません。"ネットワーク モニター 5.00.943 は、次の結果コードが表示されます:「制約違反です。」Winldap.h マップのエラー 13」LDAP_CONSTRAINT_VIOLATION。

DNS ドメイン名と、Active Directory ドメイン名が異なる場合は 1 つまたは次の条件に該当します。
  • TCP/IP の DNS の構成が、DNS ドメインとは異なる Active Directory ドメインが、コンピューターがメンバーで、変更のプライマリ DNS サフィックスをドメインのメンバーシップが変更する場合のオプションは無効になります。このオプションを表示するには、マイ コンピューターを右クリックして、プロパティ] をクリックし、ネットワーク Idタブをクリックします。
  • Windows Server 2003 ベースまたは Windows XP Professional ベースのコンピューター可能性がありますプライマリ サフィックスを Active Directory ドメインと異なる値を設定するグループ ポリシー設定を適用します。グループ ポリシー設定は次のとおりです。
    プライャ笠 DNS サフィックスをコンピューターの構成 \ 管理用 Templates\Network\DNS のクライアント:
  • Rendom.exe ユーティリティによって名前が変更されたドメインのドメイン コント ローラーはあります。ただし、管理者がまだ DNS サフィックスを変更、以前の DNS ドメイン名から。ドメイン名の変更処理を更新しません、プライマリ DNS ドメイン名の DNS ドメイン名は現在、次に一致する DNS サフィックスの名前を変更します。
同じ階層的なドメイン名を持たない Active Directory フォレスト内のドメインは、別のドメイン ツリーです。別のドメイン ツリーは、フォレストでは、ときに、ルート ドメインが連続していません。ただし、この構成では、切り離された DNS 名前空間が作成されません。複数も Active Directory の DNS ドメインに DNS があります。名前空間の不整合は、プライマリ DNS サフィックスを Active Directory ドメイン名、コンピューターの所属の違いによって特徴付けられます。

状況によっては注意が必要、切り離された名前空間を使用できます。ただし、すべてのシナリオではサポートされません。
イベント id 5789 5788 Winx64 Windowsx64 64 ビット 64 ビット

警告: この記事は自動翻訳されています

プロパティ

文書番号:258503 - 最終更新日: 06/30/2015 10:01:00 - リビジョン: 1.0

Windows Server 2008 Service Pack 2, Windows Vista Service Pack 2, Windows 7 Service Pack 1, Microsoft Exchange Server 2003 Service Pack 2, Microsoft Windows XP Service Pack 3, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Datacenter Server, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Standard, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Standard, Windows Server 2012 Foundation

  • kbdns kberrmsg kbprb kbmt KB258503 KbMtja
フィードバック