Gli ID evento 5788 e 5789 si verificano su un computer basato su Windows

  • Articolo

Questo articolo fornisce soluzioni a un problema per cui l'ID evento 5788 e l'ID evento 5789 vengono registrati quando il nome di dominio DNS e il nome di dominio Active Directory sono diversi in un computer basato su Windows.

Si applica a: Windows Server 7 Service Pack 1, Windows Server 2012 R2
Numero KB originale: 258503

Sintomi

È possibile che si verifichi uno dei problemi seguenti:

  • In Windows Vista e versioni successive viene visualizzato il messaggio di errore seguente durante l'accesso interattivo:

    Il database di sicurezza nel server non dispone di un account computer per questa relazione di attendibilità della workstation.

  • Gli accessi interattivi con account basati su dominio non funzionano. Funzionano solo gli accessi con account locali.

  • I messaggi di evento seguenti vengono registrati nel log di sistema:

    Tipo evento: Errore
    Origine evento: NETLOGON
    Categoria di eventi: Nessuna
    ID evento: 5788
    Computer: ComputerName
    Descrizione:
    Tentativo di aggiornamento del nome dell'entità servizio (SPN) dell'oggetto computer in Active Directory non riuscito. Si è verificato l'errore seguente: <messaggio di errore dettagliato che varia, a seconda della causa.>

    Tipo evento: Errore
    Origine evento: NETLOGON
    Categoria di eventi: Nessuna
    ID evento: 5789
    Computer: Computer
    Descrizione:
    Tentativo di aggiornamento del nome host DNS dell'oggetto computer in Active Directory non riuscito. Si è verificato l'errore seguente: <messaggio di errore dettagliato che varia, a seconda della causa.>

    Nota

    I messaggi di errore dettagliati per questi eventi sono elencati nella sezione "Causa".

Causa

Questo comportamento si verifica quando un computer tenta di scrivere negli attributi dNSHostName e servicePrincipalName per il relativo account computer in un dominio Active Directory Domain Services (AD DS).

Un computer tenta di aggiornare questi attributi se si verificano le condizioni seguenti:

  • Immediatamente dopo l'aggiunta di un computer basato su Windows a un dominio, il computer tenta di impostare gli attributi dNSHostName e servicePrincipalName per il relativo account computer nel nuovo dominio.
  • Quando il canale di sicurezza viene stabilito in un computer basato su Windows che è già membro di un dominio di Active Directory Domain Services, il computer tenta di aggiornare gli attributi dNSHostName e servicePrincipalName per il relativo account computer nel dominio.
  • In un controller di dominio basato su Windows, il servizio Netlogon tenta di aggiornare l'attributo servicePrincipalName ogni 22 minuti.

Esistono due possibili cause degli errori di aggiornamento:

  • Il computer non dispone di autorizzazioni sufficienti per completare una richiesta di modifica LDAP degli attributi dNSHostName o servicePrincipalName per il relativo account computer.

    In questo caso, i messaggi di errore che corrispondono agli eventi descritti nella sezione "Sintomi" sono i seguenti:

    • Evento 5788

      Accesso negato.

    • Evento 5789

      Impossibile trovare il file specificato.

  • Il suffisso DNS primario del computer non corrisponde al nome DNS del dominio di Active Directory Domain Services di cui il computer è membro. Questa configurazione è nota come "Spazio dei nomi non contiguo".

    Ad esempio, il computer è un membro del dominio contoso.comdi Active Directory . Tuttavia, il nome FQDN DNS è member1.nyc.contoso.com. Pertanto, il suffisso DNS primario non corrisponde al nome di dominio di Active Directory.

    L'aggiornamento viene bloccato in questa configurazione perché la convalida di scrittura dei prerequisiti dei valori dell'attributo ha esito negativo. La convalida di scrittura ha esito negativo perché, per impostazione predefinita, Gestione account di sicurezza (SAM) richiede che il suffisso DNS primario di un computer corrisponda al nome DNS del dominio di Active Directory Domain Services di cui il computer è membro.

    In questo caso, i messaggi di errore che corrispondono agli eventi descritti nella sezione "Sintomi" sono i seguenti:

    • Evento 5788

      La sintassi dell'attributo specificata per il servizio directory non è valida.

    • Evento 5789

      Parametro non corretto.

Risoluzione

Per risolvere questo problema, trovare la causa più probabile, come descritto nella sezione "Causa". Usare quindi la risoluzione appropriata per la causa.

Risoluzione della causa 1

Per risolvere questo problema, è necessario assicurarsi che l'account computer disponga di autorizzazioni sufficienti per aggiornare il proprio oggetto computer.

Nella Editor ACL verificare che sia presente una voce di controllo di accesso (ACE) per l'account fiduciario "SELF" e che disponga dell'accesso "Consenti" per i diritti estesi seguenti:

  • Scrittura convalidata nel nome host DNS
  • Scrittura convalidata nel nome dell'entità servizio

Verificare quindi eventuali autorizzazioni negate che possono essere applicate. Escludendo le appartenenze al gruppo del computer, al computer si applicano anche i seguenti trustee:

  • Tutti
  • Utenti autenticati
  • SELF

Gli ACL che si applicano a questi trustee possono anche negare l'accesso alla scrittura negli attributi oppure possono negare i diritti estesi "Validate write to DNS host name" o "Validated write to service principal name".

Risoluzione della causa 2

Per risolvere questo problema, usare uno dei metodi seguenti, a seconda delle esigenze:

Metodo 1: Correggere uno spazio dei nomi non contiguo non intenzionale

Se la configurazione non contigua non è intenzionale e si vuole ripristinare uno spazio dei nomi contiguo, usare questo metodo.

Per altre informazioni su come ripristinare uno spazio dei nomi contiguo in Windows Server 2003, vedere l'articolo Microsoft TechNet seguente:
Transizione da uno spazio dei nomi disgiunto a uno spazio dei nomi contiguo
Per Windows Server 2008 e per Windows Vista e versioni successive, vedere l'articolo Microsoft TechNet seguente:
Invertire uno spazio dei nomi disgiunto creato accidentalmente

Metodo 2: Verificare che la configurazione dello spazio dei nomi non contiguo funzioni correttamente

Usare questo metodo, se si vuole mantenere lo spazio dei nomi non contiguo. A tale scopo, seguire questa procedura per apportare alcune modifiche alla configurazione per risolvere gli errori.

Per altre informazioni su come verificare che lo spazio dei nomi non contiguo funzioni correttamente in Windows Server 2003 R2, Windows Server 2003, Windows Server 2003 con Service Pack 1 (SP1) e Windows Server 2003 con Service Pack 2 (SP2), vedere l'articolo Microsoft TechNet seguente: Creare uno spazio dei nomi disgiunto
Per altre informazioni su come verificare che lo spazio dei nomi non contiguo funzioni correttamente in Windows Server 2008 R2 e Windows Server 2008, vedere l'articolo Microsoft TechNet seguente: Creare uno spazio dei nomi non contiguo

Estendendo l'esempio menzionato nell'ultimo punto elenco principale nella sezione "Causa", aggiungere nyc.contoso.com come suffisso consentito all'attributo.

Ulteriori informazioni

Le versioni precedenti di questo articolo menzionano la modifica delle autorizzazioni per gli oggetti computer per abilitare l'accesso in scrittura generale per risolvere il problema. Questo è l'unico approccio che esisteva in Windows 2000. Tuttavia, è meno sicuro rispetto all'uso di msDS-AllowedDNSSuffixes.

msDS-AllowedDNSSuffixes impedisce al client di scrivere nomi SPN arbitrari in Active Directory. Il "metodo Windows 2000" consente al client di scrivere nomi SPN che impediscono a Kerberos di usare altri server importanti (creare duplicati). Quando si usano msDS-AllowedDNSSuffixes, le collisioni SPN come queste possono verificarsi solo quando l'altro server ha lo stesso nome host del computer locale.

Una traccia di rete della risposta alla richiesta di modifica LDAP visualizza le informazioni seguenti:
win: 17368, src: 389 dst: 1044

LDAP: ProtocolOp: ModifyResponse (7)

LDAP: MessageID

LDAP: ProtocolOp = ModifyResponse

LDAP: Codice risultato = Violazione del vincolo

LDAP: Messaggio di errore = 0000200B: AtrErr: DSID-03151E6D In questa traccia di rete, l'esadecimale 200B è uguale a 8203 decimali.

Il comando net helpmsg 8203 restituisce le informazioni seguenti: La sintassi dell'attributo specificata per il servizio directory non è valida." Network Monitor 5.00.943 visualizza il codice di risultato seguente: "Constraint Violation". Winldap.h esegue il mapping dell'errore 13 a "LDAP_CONSTRAINT_VIOLATION.

Il nome di dominio DNS e il nome di dominio Active Directory possono essere diversi se si verifica una o più delle condizioni seguenti:

  • La configurazione DNS TCP/IP contiene un dominio DNS diverso dal dominio di Active Directory di cui il computer è membro e l'opzione Modifica suffisso DNS primario quando viene modificata l'appartenenza al dominio è disabilitata. Per visualizzare questa opzione, fare clic con il pulsante destro del mouse su Risorse del computer, scegliere Proprietà e quindi fare clic sulla scheda Identificazione rete .

  • I computer basati su Windows Server 2003 o Windows XP Professional possono applicare un'impostazione di Criteri di gruppo che imposta il suffisso primario su un valore diverso dal dominio di Active Directory. L'impostazione Criteri di gruppo è la seguente: Configurazione computer\Modelli amministrativi\Rete\Client DNS: Suffisso DNS primario

  • Il controller di dominio si trova in un dominio rinominato dall'utilità Rendom.exe. Tuttavia, l'amministratore ha ancora modificato il suffisso DNS dal nome di dominio DNS precedente. Il processo di ridenominazione del dominio non aggiorna il suffisso DNS primario in modo che corrisponda al nome di dominio DNS corrente dopo le ridenominazioni dei nomi di dominio DNS. I domini in una foresta di Active Directory che non hanno lo stesso nome di dominio gerarchico si trovano in un albero di dominio diverso. Quando in una foresta si trovano alberi di dominio diversi, i domini radice non sono contigui. Tuttavia, questa configurazione non crea uno spazio dei nomi DNS non contiguo. Sono disponibili più domini dns o persino domini radice DNS di Active Directory. Uno spazio dei nomi disgiunto è caratterizzato da una differenza tra il suffisso DNS primario e il nome di dominio di Active Directory di cui il computer è membro.

Lo spazio dei nomi non contiguo può essere usato con cautela in alcuni scenari. Tuttavia, non è supportato in tutti gli scenari.