Você está offline; aguardando reconexão

Identificações de evento 5788 e 5789 ocorrerem em um computador baseado no Windows

O suporte para o Windows XP terminou

A Microsoft terminou o suporte para o Windows XP em 8 de abril de 2014. Esta alteração afetou as suas atualizações de software e opções de segurança. Saiba o que isto significa para você e como permanecer protegido.

IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.

Clique aqui para ver a versão em Inglês deste artigo: 258503
Sintomas
Você pode enfrentar um dos seguintes problemas:
  • No Windows Vista e versões posteriores, você pode receber a seguinte mensagem de erro durante o logon interativo:
    O banco de dados de segurança no servidor não tem uma conta de computador para a relação de confiança desta estação de trabalho.
  • Logons interativos com contas baseadas em domínio não funcionam. Somente logons com contas locais estão funcionando.
  • As seguintes mensagens de evento são registradas no log do sistema:

    Tipo de evento: erro
    Origem do evento: NETLOGON
    Categoria do evento: nenhuma
    Identificação do evento: 5788
    Computador: nome_do_computador
    Descrição:
    Tentativa de atualizar o nome Principal de serviço (SPN) do objeto de computador no Active Directory falhou. Ocorreu o seguinte erro:Mensagem de erro detalhada que varia de acordo com thecause.>
    Tipo de evento: erro
    Origem do evento: NETLOGON
    Categoria do evento: nenhuma
    Identificação do evento: 5789
    Computador: computador
    Descrição:
    Tentativa de atualizar o nome do Host DNS do objeto de computador no Active Directory falhou. Ocorreu o seguinte erro:Mensagem de erro detalhada que varia de acordo com thecause.>

    Observação: Mensagens de erro detalhadas para esses eventos estão listadas na seção "Causa".
Causa
Esse comportamento ocorre quando um computador tenta mas não grava os atributosdNSHostName e servicePrincipalName para sua conta de computador em um domínio serviços de domínio Active Directory (AD DS).

Um computador tenta atualizar esses attributesif as seguintes condições forem verdadeiras:
  • Imediatamente depois que um computador baseado em Windows ingressa em um domínio, o computador tenta definir os atributos de dNSHostName e servicePrincipalName para sua conta de computador no novo domínio.
  • Quando o canal de segurança é estabelecido em um computador baseado no Windows que já é um membro de um domínio AD DS, o computador tenta atualizar os atributos de dNSHostName e servicePrincipalName para sua conta de computador no domínio.
  • Em um controlador de domínio baseado no Windows, o serviço Netlogon tenta atualizar o atributo servicePrincipalName a cada 22 minutos.
Existem duas possíveis causas das falhas de atualização:
  • O computador não tem permissão suficiente para concluir um LDAP modificar solicitação dos atributos dedNSHostName ou servicePrincipalName para sua conta de computador.

    Nesse caso, as mensagens de erro que correspondem aos eventos que são descritos na seção "Sintomas" são os seguintes:
    • Evento 5788
      O acesso é negado.
    • Evento 5789
      O sistema não pode encontrar o arquivo especificado.
  • O sufixo DNS primário do computador não coincide com o nome DNS do domínio do AD DS do qual o computador é membro. Essa configuração é conhecida como um "espaço para nome separado."

    Por exemplo, o computador é membro do domínio contoso.com do Active Directory. No entanto, o nome FQDN do DNS é member1.nyc.contoso.com. Portanto, o sufixo DNS primário não coincide com o nome de domínio do Active Directory.

    A atualização está bloqueada nesta configuração porque a validação de pré-requisito de gravação do atributo valores falhar. A validação de gravação falha porque, por padrão, o Gerenciador de contas de segurança (SAM) requer que o sufixo DNS primário do computador coincide com o nome DNS do domínio do AD DS que do computador no qual é membro.

    Nesse caso, as mensagens de erro que correspondem aos eventos que são descritos na seção "Sintomas" são os seguintes:
    • Evento 5788
      A sintaxe de atributo especificada para o serviço de diretório é inválida.
    • Evento 5789
      O parâmetro está incorreto.
Resolução
Para resolver esse problema, localize a causa mais provável, conforme descrito na seção "Causa". Em seguida, use a resolução que é apropriada para a causa.

Resolução para a causa 1

Para resolver esse problema, certifique-se de que a conta do computador tem permissões suficientes para atualizar seu próprio objeto de computador.

No Editor de ACL, certifique-se de que há uma entrada de controle de acesso (ACE) para a conta de confiança "SELF" e que ele tem acesso de "Permitir" para os seguintes direitos estendidos:
  • Gravação validada para nome de host DNS
  • Gravação validada para nome principal de serviço
Em seguida, verifique se as permissões de negação que podem ser aplicáveis. Excluindo as associações de grupo do computador, os seguintes objetos de confiança também se aplicam ao computador:
  • Todas as pessoas
  • Usuários autenticados
  • POR CONTA PRÓPRIA
As ACEs que se aplicam a esses objetos de confiança também podem negar acesso para gravar atributos, ou eles podem negar a "gravação validadas em nome de host DNS" ou "Validadas grava nome principal de serviço" direitos estendidos.

Resolução para a causa 2

Para resolver esse problema, use um dos seguintes métodos, conforme apropriado:
  • Método 1: Corrigir um espaço para nome separado não intencional

    Se a configuração de disjunção é intencional, e se você quiser reverter para um espaço de nome contíguo, use esse método.

    Para obter mais informações sobre como reverter para um espaço de nome contíguo no Windows Server 2003, consulte o seguinte artigo do Microsoft TechNet:Para o Windows Server 2008 e para Windows Vista e versões posteriores, consulte o seguinte artigo do Microsoft TechNet:
  • Método 2: Verificar se a configuração de espaço para nome separado está funcionando corretamente

    Use esse método se quiser manter o espaço para nome separado. Para fazer isso, siga estas etapas para fazer algumas alterações na configuração para resolver os erros.

    Para obter mais informações sobre como verificar se o espaço para nome separado está funcionando corretamente no Windows Server 2003 R2, Windows Server 2003, Windows Server 2003 com Service Pack 1 (SP1) e Windows Server 2003 com Service Pack 2 (SP2), consulte o seguinte artigo do Microsoft TechNet:Para obter mais informações sobre como verificar se o espaço para nome separado está funcionando corretamente no Windows Server 2008 R2 e Windows Server 2008, consulte o seguinte artigo do Microsoft TechNet:
    Estendendo o exemplo mencionado no último marcador principal ponto na seção "Causa", você adicionaria o "nyc.contoso.com" como um sufixo permitido para o atributo.
Mais Informações
Versões mais antigas deste artigo mencionaram alterando as permissões sobre os objetos de computador para permitir o acesso de gravação geral resolver esse problema. Essa foi a abordagem única que existiam no Windows 2000. No entanto, é menos seguro do que usandomsDS-AllowedDNSSuffixes.

msDS-AllowedDNSSuffixes impede que o cliente escrita arbitrárias SPNs no Active Directory. O "método do Windows 2000" permite que o cliente grave SPNs que bloqueiam Kerberos do que trabalhar com outros servidores importantes (criar duplicatas). Quando você usa msDS-AllowedDNSSuffixes, colisões de SPN como thosecan ocorrerem somente quando o outro servidor tem o mesmo nome de host do computador local.

Um rastreamento de rede da resposta para o LDAP modificar solicitação exibe as seguintes informações:
Win: 17368, src: 389 dst: 1044
LDAP: ProtocolOp: ModifyResponse (7)
LDAP: MessageID
LDAP: ProtocolOp = ModifyResponse
LDAP: Código do resultado = violação de restrição
LDAP: Mensagem de erro = 0000200B: AtrErr: 03151E6D DSID
No rastreamento de rede, 200B hexadecimal é igual a 8203 decimal.

O net helpmsg 8203 comando retorna as seguintes informações:

A sintaxe de atributo especificada para o serviço de diretório é inválida." 5.00.943 o Monitor de rede exibe o seguinte código de resultado: "Violação de restrição". Winldap. h mapeia o erro 13 "LDAP_CONSTRAINT_VIOLATION.

O nome de domínio DNS e nome de domínio do Active Directory podem ser diferentes se uma ou mais das seguintes condições forem verdadeiras:
  • A configuração de DNS TCP/IP contém um domínio DNS que seja diferente do domínio do Active Directory do qual o computador é um membro e a opçãoAlterar sufixo DNS primário quando a participação no domínio for alterada está desativada. Para exibir essa opção, clique em Meu computador, clique em Propriedadese, em seguida, clique na guia Identificação de rede .
  • Computadores com Windows Server 2003 ou no Windows XP Professional podem aplicar uma configuração de diretiva de grupo que define o sufixo primário com um valor que seja diferente do domínio do Active Directory. A configuração de diretiva de grupo é a seguinte:
    Computador configuração do computador\Modelos Administrativos\rede\cliente: Sufixo DNS primário
  • O controlador de domínio está localizado em um domínio que foi renomeado pelo utilitário Rendom.exe. No entanto, o administrador ainda alterar o sufixo DNS do nome de domínio DNS anterior. O processo de renomeação de domínio não atualiza o principal renomeia sufixo DNS para corresponder o seguinte atual de nome de domínio DNS de nomes de domínio DNS.
Domínios em uma floresta do Active Directory que não têm o mesmo nome de domínio hierárquica estão em uma árvore de domínio diferente. Quando árvores diferentes de domínio em uma floresta, os domínios raiz não são contíguos. No entanto, essa configuração não cria um espaço para nome DNS separado. Você tem vários DNS ou até mesmo DNS do Active Directory domínios de raiz. Um espaço para nome separado é caracterizado por uma diferença entre o sufixo DNS primário e o nome do domínio do Active Directory do qual o computador é membro.

Espaço para nome separado pode ser usado com cuidado em alguns cenários. No entanto, não é suportado em todas as situações.
identificação de evento 5789 5788 Winx64 Windowsx64 64bit 64 bits

Aviso: este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 258503 - Última Revisão: 06/30/2015 10:02:00 - Revisão: 1.0

Windows Server 2008 Service Pack 2, Windows Vista Service Pack 2, Windows 7 Service Pack 1, Microsoft Exchange Server 2003 Service Pack 2, Service Pack 3 para Windows XP, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Server, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Standard, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Standard, Windows Server 2012 Foundation

  • kbdns kberrmsg kbprb kbmt KB258503 KbMtpt
Comentários