Windows 기반 컴퓨터에서 이벤트 ID 5788 및 5789가 발생함

  • 아티클

이 문서에서는 WINDOWS 기반 컴퓨터에서 DNS 도메인 이름 및 Active Directory 도메인 이름이 다를 때 이벤트 ID 5788 및 이벤트 ID 5789가 기록되는 문제에 대한 해결 방법을 제공합니다.

적용 대상: Windows 7 Service Pack 1, Windows Server 2012 R2
원래 KB 번호: 258503

증상

다음 문제 중 하나가 발생할 수 있습니다.

  • Windows Vista 이상 버전에서는 대화형 로그온 중에 다음 오류 메시지가 표시됩니다.

    서버의 보안 데이터베이스에는 이 워크스테이션 트러스트 관계에 대한 컴퓨터 계정이 없습니다.

  • 도메인 기반 계정이 있는 대화형 로그온은 작동하지 않습니다. 로컬 계정이 있는 로그온만 작동합니다.

  • 시스템 로그에 기록되는 이벤트 메시지는 다음과 같습니다.

    이벤트 유형: 오류
    이벤트 원본: NETLOGON
    이벤트 범주: 없음
    이벤트 ID: 5788
    컴퓨터: ComputerName
    설명:
    Active Directory에서 컴퓨터 개체의 SPN(서비스 사용자 이름)을 업데이트하지 못했습니다. 다음 오류가 발생했습니다<. 원인에 따라 달라지는 자세한 오류 메시지입니다.>

    이벤트 유형: 오류
    이벤트 원본: NETLOGON
    이벤트 범주: 없음
    이벤트 ID: 5789
    컴퓨터: 컴퓨터
    설명:
    Active Directory에서 컴퓨터 개체의 DNS 호스트 이름을 업데이트하지 못했습니다. 다음 오류가 발생했습니다<. 원인에 따라 달라지는 자세한 오류 메시지입니다.>

    참고

    이러한 이벤트에 대한 자세한 오류 메시지는 "원인" 섹션에 나열됩니다.

원인

이 동작은 컴퓨터가 Active Directory Domain Services(AD DS) 도메인의 컴퓨터 계정에 대한 dNSHostName 및 servicePrincipalName 특성에 씁니다.

다음 조건이 충족되면 컴퓨터에서 이러한 특성을 업데이트하려고 합니다.

  • Windows 기반 컴퓨터가 도메인에 가입한 직후 컴퓨터는 새 도메인의 컴퓨터 계정에 대해 dNSHostName 및 servicePrincipalName 특성을 설정하려고 합니다.
  • 보안 채널이 이미 AD DS 도메인의 멤버인 Windows 기반 컴퓨터에 설정된 경우 컴퓨터는 도메인의 컴퓨터 계정에 대한 dNSHostName 및 servicePrincipalName 특성을 업데이트하려고 합니다.
  • Windows 기반 도메인 컨트롤러에서 Netlogon 서비스는 22분마다 servicePrincipalName 특성을 업데이트하려고 시도합니다.

업데이트 실패의 두 가지 가능한 원인은 다음과 같습니다.

  • 컴퓨터에 컴퓨터 계정에 대한 dNSHostName 또는 servicePrincipalName 특성의 LDAP 수정 요청을 완료할 수 있는 충분한 권한이 없습니다.

    이 경우 "증상" 섹션에 설명된 이벤트에 해당하는 오류 메시지는 다음과 같습니다.

    • 이벤트 5788

      액세스가 거부되었습니다.

    • 이벤트 5789

      지정된 파일을 찾을 수 없습니다.

  • 컴퓨터의 기본 DNS 접미사가 컴퓨터가 멤버인 AD DS 도메인의 DNS 이름과 일치하지 않습니다. 이 구성을 "연결되지 않는 네임스페이스"라고 합니다.

    예를 들어 컴퓨터는 Active Directory 도메인 contoso.com의 멤버입니다. 그러나 DNS FQDN 이름은 입니다 member1.nyc.contoso.com. 따라서 기본 DNS 접미사가 Active Directory 도메인 이름과 일치하지 않습니다.

    특성 값의 필수 구성 요소 쓰기 유효성 검사가 실패하기 때문에 이 구성에서 업데이트가 차단됩니다. 기본적으로 SAM(보안 계정 관리자)은 컴퓨터의 기본 DNS 접미사가 컴퓨터가 멤버인 AD DS 도메인의 DNS 이름과 일치해야 하므로 쓰기 유효성 검사가 실패합니다.

    이 경우 "증상" 섹션에 설명된 이벤트에 해당하는 오류 메시지는 다음과 같습니다.

    • 이벤트 5788

      디렉터리 서비스에 지정된 특성 구문이 잘못되었습니다.

    • 이벤트 5789

      매개 변수가 틀립니다.

해결 방법

이 문제를 resolve "원인" 섹션에 설명된 대로 가장 가능성이 높은 원인을 찾습니다. 그런 다음 원인에 적합한 해결을 사용합니다.

원인 1에 대한 해결 방법

이 문제를 resolve 컴퓨터 계정에 자체 컴퓨터 개체를 업데이트할 수 있는 충분한 권한이 있는지 확인해야 합니다.

ACL 편집기 수탁자 계정 "SELF"에 대한 ACE(액세스 제어 항목)가 있고 다음 확장 권한에 대해 "허용" 액세스 권한이 있는지 확인합니다.

  • DNS 호스트 이름에 대한 유효한 쓰기
  • 서비스 주체 이름에 대한 유효한 쓰기

그런 다음, 적용할 수 있는 거부 권한을 확인합니다. 컴퓨터의 그룹 멤버 자격을 제외하면 다음 수탁자도 컴퓨터에 적용됩니다.

  • 모든 사용자
  • Authenticated Users
  • SELF

이러한 수탁자에게 적용되는 ACE는 특성에 대한 쓰기 액세스를 거부하거나 "DNS 호스트 이름에 대한 유효성 검사된 쓰기" 또는 "서비스 주체 이름에 대한 유효성 검사된 쓰기" 확장 권한을 거부할 수 있습니다.

원인 2 해결

이 문제를 resolve 다음 방법 중 하나를 적절하게 사용합니다.

방법 1: 의도하지 않은 연결되지 않은 네임스페이스 수정

연결되지 않은 구성이 의도하지 않은 경우 연속 네임스페이스로 되돌리기 경우 이 메서드를 사용합니다.

Windows Server 2003에서 연속 네임스페이스로 되돌리기 방법에 대한 자세한 내용은 다음 Microsoft TechNet 문서를 참조하세요.
연결 해제 네임스페이스에서 연속 네임스페이스로 전환
Windows Server 2008 및 Windows Vista 이상 버전의 경우 다음 Microsoft TechNet 문서를 참조하세요.
실수로 생성된 연결 해제 네임스페이스 반전

방법 2: 연결되지 않은 네임스페이스 구성이 올바르게 작동하는지 확인

연결이 해제된 네임스페이스를 유지하려면 이 메서드를 사용합니다. 이렇게 하려면 다음 단계에 따라 일부 구성을 변경하여 오류를 resolve.

연결되지 않은 네임스페이스가 Windows Server 2003 R2, Windows Server 2003, Windows Server 2003 SP1(서비스 팩 1) 및 Windows Server 2003 SP2(서비스 팩 2)에서 제대로 작동하는지 확인하는 방법에 대한 자세한 내용은 다음 Microsoft TechNet 문서: 연결되지 않은 네임스페이스 만들기를 참조하세요.
연결되지 않은 네임스페이스가 Windows Server 2008 R2 및 Windows Server 2008에서 올바르게 작동하는지 확인하는 방법에 대한 자세한 내용은 다음 Microsoft TechNet 문서: 연결되지 않은 네임스페이스 만들기를 참조하세요.

"원인" 섹션의 마지막 주요 글머리 기호에 언급된 예제를 확장하면 특성에 허용되는 접미사로 를 추가 nyc.contoso.com 합니다.

추가 정보

이 문서의 이전 버전에서는 이 문제를 resolve 위해 일반적인 쓰기 액세스를 사용하도록 컴퓨터 개체에 대한 사용 권한을 변경하는 방법을 설명했습니다. 이는 Windows 2000에 있는 유일한 접근 방식이었습니다. 그러나 msDS-AllowedDNSSuffixes를 사용하는 것보다 보안이 떨어집니다.

msDS-AllowedDNSSuffixes는 클라이언트가 임의의 SPN을 Active Directory에 쓰는 것을 제한합니다. "Windows 2000 메서드"를 사용하면 클라이언트가 Kerberos가 다른 중요한 서버에서 작업하지 못하도록 차단하는 SPN을 작성할 수 있습니다(중복 만들기). msDS-AllowedDNSSuffixes를 사용하는 경우 이러한 SPN 충돌은 다른 서버가 로컬 컴퓨터와 동일한 호스트 이름을 가진 경우에만 발생할 수 있습니다.

LDAP 수정 요청에 대한 응답의 네트워크 추적에는 다음 정보가 표시됩니다.
win: 17368, src: 389 dst: 1044

LDAP: ProtocolOp: ModifyResponse (7)

LDAP: MessageID

LDAP: ProtocolOp = ModifyResponse

LDAP: 결과 코드 = 제약 조건 위반

LDAP: 오류 메시지 = 0000200B: AtrErr: DSID-03151E6D 이 네트워크 추적에서 200B 16진수는 8203 10진수와 같습니다.

net helpmsg 8203 명령은 다음 정보를 반환합니다. 디렉터리 서비스에 지정된 특성 구문이 잘못되었습니다." 네트워크 모니터 5.00.943에는 "제약 조건 위반"이라는 결과 코드가 표시됩니다. Winldap.h는 오류 13을 "LDAP_CONSTRAINT_VIOLATION 매핑합니다.

다음 조건 중 하나 이상이 true인 경우 DNS 도메인 이름과 Active Directory 도메인 이름이 다를 수 있습니다.

  • TCP/IP DNS 구성에는 컴퓨터가 멤버인 Active Directory 도메인과 다른 DNS 도메인과 도메인 멤버 자격 변경 시 기본 DNS 접미사 변경 옵션이 포함되어 있습니다. 이 옵션을 보려면 내 컴퓨터를 마우스 오른쪽 단추로 클릭하고 속성을 클릭한 다음 네트워크 식별 탭을 클릭합니다.

  • Windows Server 2003 기반 또는 Windows XP Professional 기반 컴퓨터는 기본 접미사를 Active Directory 도메인과 다른 값으로 설정하는 그룹 정책 설정을 적용할 수 있습니다. 그룹 정책 설정은 다음과 같습니다. 컴퓨터 구성\관리 템플릿\네트워크\DNS 클라이언트: 기본 DNS 접미사

  • 도메인 컨트롤러는 Rendom.exe 유틸리티에 의해 이름이 변경된 도메인에 있습니다. 그러나 관리자는 아직 이전 DNS 도메인 이름에서 DNS 접미사를 변경했습니다. 도메인 이름 바꾸기 프로세스는 DNS 도메인 이름의 이름 변경에 따라 현재 DNS 도메인 이름과 일치하도록 기본 DNS 접미사를 업데이트하지 않습니다. 동일한 계층적 도메인 이름이 없는 Active Directory 포리스트의 도메인은 다른 도메인 트리에 있습니다. 다른 도메인 트리가 포리스트에 있는 경우 루트 도메인은 연속되지 않습니다. 그러나 이 구성은 연결되지 않은 DNS 네임스페이스를 만들지 않습니다. 여러 DNS 또는 Active Directory DNS 루트 도메인이 있습니다. 연결되지 않은 네임스페이스는 기본 DNS 접미사와 컴퓨터가 멤버인 Active Directory 도메인 이름 간의 차이를 특징으로 합니다.

일부 시나리오에서는 연결되지 않은 네임스페이스를 신중하게 사용할 수 있습니다. 그러나 모든 시나리오에서 지원되지는 않습니다.