IDs de evento 5788 e 5789 ocorrem num computador baseado no Windows

O suporte para o Windows XP terminou

A Microsoft terminou o suporte para o Windows XP em 8 de Abril de 2014. Esta alteração afetou as suas atualizações de software e opções de segurança. Aprenda o que isto significa para si e como pode ficar protegido.

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 258503
Sintomas
Poderá detectar um dos seguintes problemas:
  • No Windows Vista e versões posteriores, recebe a seguinte mensagem de erro durante o início de sessão interactivo:
    A base de dados de segurança no servidor não tem uma conta de computador para esta relação de fidedignidade da estação de trabalho.
  • Inícios de sessão interactivos com contas baseadas em domínios não funcionam. Apenas inícios de sessão com contas locais estão a funcionar.
  • As seguintes mensagens de eventos são registadas no registo do sistema:

    Tipo de evento: erro
    Origem do evento: NETLOGON
    Categoria de evento: Nenhum
    ID do evento: 5788
    Computador: nomedocomputador
    Descrição:
    Tentativa de actualização Principal nome serviço (SPN) do objecto computador no Active Directory falhou. Ocorreu o seguinte erro:Mensagem de erro detalhadas que varia, dependendo do thecause.>
    Tipo de evento: erro
    Origem do evento: NETLOGON
    Categoria de evento: Nenhum
    ID do evento: 5789
    Computador: computador
    Descrição:
    Tentativa de actualizar o nome de anfitrião de DNS do objecto computador no Active Directory falhou. Ocorreu o seguinte erro:Mensagem de erro detalhadas que varia, dependendo do thecause.>

    Nota Mensagens de erro detalhadas para estes eventos são listadas na secção "Causa".
Causa
Este comportamento ocorre quando um computador tenta mas não escrever os atributosdNSHostName e servicePrincipalName por sua conta de computador no domínio dos serviços de domínio do Active Directory (AD DS).

Um computador tenta actualizar estas attributesif as seguintes condições forem verdadeiras:
  • Imediatamente depois de um computador baseado no Windows adere a um domínio, o computador tenta definir os atributos dNSHostName e servicePrincipalName por sua conta de computador no novo domínio.
  • Quando o canal de segurança é estabelecido num computador baseado no Windows que já é um membro de um domínio AD DS, o computador tentará actualizar os atributos dNSHostName e servicePrincipalName por sua conta de computador no domínio.
  • Num controlador de domínio baseado no Windows, o serviço Netlogon tentará actualizar o atributo servicePrincipalName cada 22 minutos.
Existem duas causas possíveis falhas de actualização:
  • O computador não tem permissão suficiente para concluir um LDAP modificar pedido dos atributosdNSHostName ou servicePrincipalName por sua conta de computador.

    Neste caso, as mensagens de erro que correspondem aos eventos que são descritos na secção "Sintomas" são os seguintes:
    • Evento 5788
      Acesso negado.
    • Evento 5789
      O sistema não consegue localizar o ficheiro especificado.
  • O sufixo DNS primário do computador não corresponder ao nome DNS do domínio AD DS do qual o computador é membro. Esta configuração é conhecida como um "espaço de nomes disjunto."

    Por exemplo, o computador é membro do domínio contoso.com Active Directory. No entanto, o respectivo nome de DNS FQDN é member1.nyc.contoso.com. Por conseguinte, o sufixo DNS primário não coincide com o nome de domínio do Active Directory.

    A actualização está bloqueada nesta configuração, porque a validação de escrita de pré-requisitos do atributo de valores falhar. A validação de escrita falhar porque, por predefinição, o Gestor de contas de segurança (SAM) requer que o sufixo DNS primário do computador corresponde ao nome DNS do domínio AD DS que do qual o computador é membro.

    Neste caso, as mensagens de erro que correspondem aos eventos que são descritos na secção "Sintomas" são os seguintes:
    • Evento 5788
      A sintaxe do atributo especificada para o serviço de directório é inválida.
    • Evento 5789
      O parâmetro está incorrecto.
Resolução
Para resolver este problema, localize a causa mais provável, tal como descrito na secção "Causa". Em seguida, utilize a resolução que é conveniente que a causa.

Resolução para a causa 1

Para resolver este problema, tem de se certificar de que a conta de computador tem permissões suficientes para actualizar o seu próprio objecto de computador.

No Editor de ACL, certifique-se de que existe uma entrada de controlo de acesso (ACE) para a conta de utilizador fidedigno "Automático" e se tem acesso de "Permitir" extended direitos o seguinte:
  • Escrita validada para o nome de anfitrião DNS
  • Escrita validada para o nome principal do serviço
Em seguida, verifique se negar permissões que podem ser aplicadas. Excluindo os membros de grupo do computador, os administradores fiduciários seguintes também se aplicam ao computador:
  • Todos os utilizadores
  • Utilizadores autenticados
  • PRÓPRIO
As ACEs que se aplicam a estes administradores fiduciários também podem negar o acesso de escrita atributos, ou podem negar "validada escrita para o nome de anfitrião DNS" ou "Validada escrita para o nome principal do serviço" extended direitos.

Resolução para a causa 2

Para resolver este problema, utilize um dos seguintes métodos, conforme adequado:
  • Método 1: Corrigir um espaço de nomes disjunto não intencional

    Se a configuração disjunto é intencional, e se pretender reverter para um espaço de nomes contíguo, utilize este método.

    Para mais informações sobre como reverter para um espaço de nomes contíguo no Windows Server 2003, consulte o seguinte artigo da Microsoft TechNet:Para o Windows Server 2008 e para Windows Vista e versões posteriores, consulte o seguinte artigo da Microsoft TechNet:
  • Método 2: Verificar se a configuração de espaço de nomes disjunto está a funcionar correctamente

    Utilize este método, se pretender manter o espaço de nomes disjunto. Para tal, siga estes passos para efectuar algumas alterações de configuração para resolver os erros.

    Para mais informações sobre como verificar que o espaço de nomes disjunto está a funcionar correctamente no Windows Server 2003 R2, Windows Server 2003, Windows Server 2003 com Service Pack 1 (SP1) e Windows Server 2003 com Service Pack 2 (SP2), consulte o seguinte artigo da Microsoft TechNet:Para mais informações sobre como verificar se o espaço de nomes disjunto está a funcionar correctamente no Windows Server 2008 R2 e Windows Server 2008, consulte o seguinte artigo da Microsoft TechNet:
    Expandindo o exemplo mencionado na última marca principal ponto na secção "Causa", adicione "nyc.contoso.com" como um sufixo permitido para o atributo.
Mais Informação
Versões mais antigas do presente artigo mencionado alterando as permissões em objectos de computador para activar o acesso de escrita geral resolver este problema. Esta foi a abordagem apenas que existiam no Windows 2000. No entanto, é menos segura do que utilizandomsDS-AllowedDNSSuffixes.

msDS-AllowedDNSSuffixes impede o cliente de escrita SPN arbitrários para o Active Directory. O Windows 2000 método"" permite que o cliente escrever os SPNs que bloqueiam Kerberos de funcionar com outros servidores importantes (criar duplicados). Quando utiliza msDS-AllowedDNSSuffixes, colisões de SPN, tais como o thosecan ocorrem apenas quando o outro servidor com o mesmo nome de anfitrião que o computador local.

Um rastreio de rede da resposta para o protocolo LDAP modificar pedido apresenta as seguintes informações:
Win: 17368, src: 389 hora de Verão: 1044
LDAP: ProtocolOp: ModifyResponse (7)
LDAP: MessageID
LDAP: ProtocolOp = ModifyResponse
LDAP: Código de resultado = violação de restrição
LDAP: Mensagem de erro = 0000200B: AtrErr: DSID-03151E6D
Este rastreio de rede, 200B, hexadecimal é igual a 8203 decimal.

O NET HELPMSG-8203 comando devolve as seguintes informações:

A sintaxe do atributo especificada para o serviço de directório é inválida." Monitor de rede 5.00.943 apresenta o seguinte código de resultado: "Violação de restrição." Winldap.h mapeia erro 13 para "LDAP_CONSTRAINT_VIOLATION.

O nome de domínio DNS e nome de domínio do Active Directory podem ser diferentes se uma ou mais das seguintes condições forem verdadeiras:
  • A configuração de TCP/IP DNS contém um domínio DNS que seja diferente do domínio do Active Directory, dos quais o computador é membro e a opçãoChange primary DNS sufixo quando membros do domínio for alterada está desactivada. Para ver esta opção, O meu computadorcom o botão direito, clique em Propriedadese, em seguida, clique no separador Identificação de rede .
  • Computadores de Windows Server 2003 ou com o Windows XP Professional podem aplicar uma definição de política de grupo que define o sufixo primário para um valor que seja diferente do domínio do Active Directory. A definição de política de grupo é o seguinte:
    Computador cliente de Templates\Network\DNS de configuração do computador\Modelos: Sufixo DNS primário
  • O controlador de domínio está localizado num domínio cujo nome foi mudado pelo utilitário Rendom.exe. No entanto, o administrador ainda alterar o sufixo DNS do nome do domínio DNS anterior. O processo de mudança de nome de domínio não é actualizado o principal sufixo DNS para corresponder ao seguinte de nome de domínio DNS actual muda o nome DNS nomes de domínio.
Os domínios numa floresta do Active Directory que não têm o mesmo nome de domínio hierárquica são numa árvore de domínio diferente. Quando árvores de domínio diferentes numa floresta, os domínios raiz não são contíguos. No entanto, esta configuração não cria um espaço de nomes DNS disjunto. Tem várias DNS ou mesmo DNS do Active Directory domínios de raiz. Um espaço de nomes disjunto caracteriza-se por uma diferença entre o sufixo DNS primário e o nome de domínio do Active Directory do qual o computador é membro.

Espaço de nomes disjunto pode ser utilizado com cuidado em alguns cenários. No entanto, não é suportada em todos os cenários.
id de evento 5789 5788 Winx64 Windowsx64 64 bits de 64 bits

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 258503 - Última Revisão: 06/30/2015 10:03:00 - Revisão: 1.0

Windows Server 2008 Service Pack 2, Windows Vista Service Pack 2, Windows 7 Service Pack 1, Microsoft Exchange Server 2003 Service Pack 2, Microsoft Windows XP Service Pack 3, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Server, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Standard, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Standard, Windows Server 2012 Foundation

  • kbdns kberrmsg kbprb kbmt KB258503 KbMtpt
Comentários