Momentan sunteți offline, așteptați să vă reconectați la internet

ID eveniment 5788 și 5789 produce pe un computer bazat pe Windows

Asistența pentru Windows XP s-a încheiat

Microsoft a încheiat asistența pentru Windows XP la data de 8 aprilie 2014. Această schimbare a afectat actualizările de software și opțiunile de securitate. Aflați ce înseamnă aceasta pentru dvs. și cum puteți rămâne protejat.

IMPORTANT: Acest articol este tradus cu ajutorul software-ului Microsoft de traducere automată și poate fi corectat prin intermediul tehnologiei Community Translation Framework (CTF). Microsoft oferă articole traduse automat, post-editate de comunitate și articole traduse de oameni, pentru a permite accesul la toate articolele din Baza noastră de cunoștințe în mai multe limbi. Articolele traduse automat și post-editate pot conține greșeli de vocabular, sintaxă și/sau gramatică. Microsoft nu este responsabil de inexactitățile, erorile sau daunele cauzate de traducerea greșită a conținutului sau de utilizarea acestuia de către clienți. Găsiți mai multe informații despre traducerea în colaborare la http://support.microsoft.com/gp/machine-translation-corrections/ro.

Faceți clic aici pentru a vizualiza versiunea în limba engleză a acestui articol: 258503
Simptome
Este posibil să apară una dintre următoarele probleme:
  • Windows Vista și versiuni mai recente, primiţi următorul mesaj de eroare în timpul conecta interactiv:
    Baza acoperire de date de securitate de pe server nu are un cont de computer pentru acest lucru relație de încredere.
  • Conectărilor interactive cu conturi de domeniu nu funcționează. Funcționează numai conectările cu conturi locale.
  • Următoarele mesaje de evenimente sunt înregistrate în Jurnalul de sistem:

    Tip eveniment: eroare
    Sursă eveniment: NETLOGON
    Categorie eveniment: nici unul
    ID eveniment: 5788
    Computer: numecomputer
    Descriere:
    Încercați să actualizați nume SPN (Service Principal) al obiectului computer în Active Directory nu a reușit. A apărut următoarea eroare:Mesaj de eroare detaliate care variază în funcție de thecause.>
    Tip eveniment: eroare
    Sursă eveniment: NETLOGON
    Categorie eveniment: nici unul
    ID eveniment: 5789
    Computer: Computer
    Descriere:
    Încercarea de a actualiza DNS nume de sign-in de gazdă al obiectului computer în Active Directory nu a reușit. A apărut următoarea eroare:Mesaj de eroare detaliate care variază în funcție de thecause.>

    Notă Mesaje de eroare detaliate pentru aceste evenimente sunt listate în secțiunea "Cauze".
Cauză
Acest comportament se produce atunci când un computer încearcă, dar nu se scrie în atributeleNumeGazdăDNS și NumePrincipalServiciu în nume de computer într-un domeniu Active Directory Domain Services (AD DS).

Un computer încearcă să actualizați attributesif următoarele condiții sunt adevărate:
  • Imediat după ce un computer Windows asociază un domeniu, computerul încearcă să setați atributele NumeGazdăDNS și NumePrincipalServiciu pentru contul său de computer din nou domeniu.
  • Stabilirea canal de securitate pe un computer bazat pe Windows, care este deja membru al unui domeniu AD DS, computerul încearcă să actualizeze atributele NumeGazdăDNS și NumePrincipalServiciu pentru sale cont pentru computer din domeniu.
  • Pe un controler de domeniu Windows, serviciul Netlogon încearcă să actualizeze atributul NumePrincipalServiciu fiecare 22 minute.
Există două cauze posibile pentru erorile de actualizare:
  • Computerul nu are suficiente permisiuni pentru a efectua o LDAP modifica cererea atributeleNumeGazdăDNS sau NumePrincipalServiciu pentru contul său de computer.

    În acest caz, mesajele de eroare care corespund evenimentele care sunt descrise în secţiunea "Simptome" sunt după cum urmează:
    • Eveniment 5788
      Acces refuzat.
    • Eveniment 5789
      Sistemul nu poate găsi fişierul specificat.
  • Sufixul DNS primar al computerului nu corespunde cu nume de sign-in DNS al domeniului AD DS care computerul este membru. Această configurație este cunoscută ca un "nume disjuncte."

    De exemplu, computerul este membru al contoso.com de domeniu Active Directory. Cu toate acestea, nume de sign-in DNS FQDN este member1.nyc.contoso.com. De aceea, sufixul DNS primar nu se potrivesc cu nume de sign-in de domeniu Active Directory.

    Actualizarea este blocată în această configurație, deoarece validarea necesare scriere atributul valori eșuează. Scriere de validare nu reușește, deoarece, implicit, Manager SAM (Security Accounts) necesită ca un computer sufixului DNS se potrivește cu nume de sign-in DNS al domeniului AD DS de computer pe care este membru.

    În acest caz, mesajele de eroare care corespund evenimentele care sunt descrise în secţiunea "Simptome" sunt după cum urmează:
    • Eveniment 5788
      Sintaxa atributul specificat la serviciul nu este validă.
    • Eveniment 5789
      Parametrul este incorect.
Rezoluţie
Pentru a rezolva această problemă, găsiți cel mai probabil cauza descris în secțiunea "Cauza". Apoi, utilizați rezolvare potrivită pentru cauza.

Rezolvare pentru cauza 1

Pentru a rezolva această problemă, trebuie să vă asigurați că contul de computer are suficiente permisiuni pentru a actualiza obiect de computer.

În editorul ACL, asigurați-vă că există o intrare de control acces (ACE) pentru cont administrator "SELF" și că are "Allow" acces pentru extins drepturi următoarele:
  • Scriere validate la nume de sign-in de gazdă DNS
  • Scriere validate la nume principal serviciu
Apoi, Verificați permisiunile Deny care se pot aplica. Excluderea membri de grup a computerului, administratorilor următoarele se aplică la computer:
  • Toată lumea
  • Utilizatorii autentificați
  • AUTO-ASISTAT
Ace-urile care se aplică aceste administratori, de asemenea, poate refuza acorda acces la scriere atributele sau le poate refuza "validate scriere la nume de sign-in de gazdă DNS" sau "Scrie validate la nume principal serviciu" drepturi de extins.

Rezolvare pentru cauza 2

Pentru a rezolva această problemă, utilizați una dintre metodele următoare, corespunzătoare:
  • Metoda 1: Corectează un nume dezarticulatie neintenționate

    În cazul în care configurația dezarticulatie este neintenționate și dacă doriți să reveniți la un spațiu de nume contiguă, utilizați această metodă.

    Pentru mai multe informații despre cum să reveniți la un spațiu de nume contiguă pe Windows Server 2003, consultaţi următorul articol Microsoft TechNet:Pentru Windows Server 2008 și pentru Windows Vista și versiuni mai recente, consultați următorul articol Microsoft TechNet:
  • Metoda 2: Verificați configurația dezarticulatie namespace funcționează corect

    Utilizați această metodă, dacă doriți să păstrați dezarticulatie de nume. Pentru aceasta, urmați acești pași pentru a face unele modificări de configurație pentru a rezolva erorile.

    Pentru mai multe informații despre cum să verificați dacă spațiul de nume dezarticulatie funcționează corect în Windows Server 2003 R2, Windows Server 2003, Windows Server 2003 cu pachet Service Pack 1 (SP1) și Windows Server 2003 cu pachet Service Pack 2 (SP2), consultaţi următorul articol Microsoft TechNet:Pentru mai multe informații despre cum se verifică dacă spațiul de nume dezarticulatie funcționează corect pe Windows Server 2008 R2 şi Windows Server 2008, consultaţi următorul articol Microsoft TechNet:
    Extinzând exemplul menționat în ultimul marcator majore în secțiunea "Cauze" punctul, adăugați "nyc.contoso.com" ca sufix un permis pentru atributul.
Informaţii suplimentare
Versiunile mai vechi de acest articol menționat modificarea permisiunilor obiectele computerul pentru a permite acces general de scriere pentru a rezolva această problemă. Aceasta a fost singura abordare care exista în Windows 2000. Cu toate acestea, este mai sigur decât utilizareaAllowedDNSSuffixes AMS.

AMS-AllowedDNSSuffixes restricționează clientul de scris spn arbitrar în Active Directory. "Windows 2000 metoda" permite clientul să scrie spn care blochează Kerberos să funcționeze cu alte fermă de servere importante (crea dubluri). Când utilizați AllowedDNSSuffixes AMS, SPN coliziunilor, cum ar fi thosecan apar numai atunci când alte serverul are același nume gazdă ca computer local.

O urmărire în rețea de răspuns la LDAP modificați solicitare afișează următoarele informații:
Win: 17368, src: 389 pentru ora de vară: 1044
LDAP: ProtocolOp: ModifyResponse (7)
LDAP: MessageID
LDAP: ProtocolOp = ModifyResponse
LDAP: Rezultat Code = violare restricție
LDAP: Mesaj de eroare = 0000200B: AtrErr: DSID-03151E6D
În această urmărire în rețea, este egală cu 8203 zecimal 200B hexazecimal.

The net helpmsg 8203 comandă returnează următoarele informații:

Sintaxa atributul specificat la serviciul nu este validă." Monitor reţea 5.00.943 afişează codul următoarele rezultate: "Violare restricție." Winldap.h hărţi eroare 13 la "LDAP_CONSTRAINT_VIOLATION.

nume de sign-in de domeniu DNS şi nume de sign-in de domeniu Active Directory pot diferi dacă una sau mai multe dintre următoarele condiții sunt adevărate:
  • Configurația TCP/IP DNS conține un domeniu DNS care diferă de domeniu Active Directory care computerul este membru și opțiunea deModificare DNS primar sufixul când se modifică membru de domeniu este dezactivat. Pentru a vizualiza această opțiune, faceți clic dreapta pe Computerul meu, faceți clic pe Proprietăți, și apoi faceți clic pe fila Rețea identificare .
  • Computerele de Windows Server 2003 sau Windows XP Professional se pot aplica o setare de politică de grup care setează sufixului la o valoare care diferă de domeniu Active Directory. Setarea de politică de grup este după cum urmează:
    Configurație computer Templates\Network\DNS Client: Sufixul DNS primar
  • Controlerul de domeniu se află într-un domeniu care a fost redenumit de utilitarul Rendom.exe. Cu toate acestea, administratorul a schimbat încă sufixul DNS din nume de sign-in de domeniu DNS anterior. Procesul de redenumire de domeniu nu se actualizează primar redenumește sufixul DNS pentru a se potrivi curentă următoarele nume DNS domeniu de nume de domeniu DNS.
Domenii într-o pădure Active Directory care nu au același nume de domeniu ierarhică sunt într-un domeniu diferit de arbore. Când structurile de domeniu diferit într-o pădure, domenii rădăcină nu sunt contigue. Cu toate acestea, această configurație nu creează un spațiu de nume DNS disjuncte. Aveți mai multe DNS sau chiar Active Directory DNS rădăcină domenii. Un spațiu de nume dezarticulatie este caracterizată prin o diferență între sufixul DNS primar şi nume de sign-in de domeniu Active Directory care computerul este membru.

Nume dezarticulatie pot fi utilizate cu atenție în unele scenarii. Cu toate acestea, nu este acceptat în toate scenariile.
id eveniment 5789 5788 Winx64 Windowsx64 64 bit 64-bit

Avertisment: acest articol a fost tradus automat

Proprietăți

ID articol: 258503 - Ultima examinare: 06/30/2015 10:03:00 - Revizie: 1.0

Windows Server 2008 Service Pack 2, Pachet Service Pack 2 pentru Windows Vista, Windows 7 Service Pack 1, Microsoft Exchange Server 2003 Service Pack 2, Microsoft Windows XP Service Pack 3, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Server, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Standard, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Standard, Windows Server 2012 Foundation

  • kbdns kberrmsg kbprb kbmt KB258503 KbMtro
Feedback
ementsByTagName("head")[0].appendChild(m);