Olay Kimliği 5788 ve 5789 Windows tabanlı bir bilgisayarda oluşur

Windows XP desteği sona erdi

Microsoft, Windows XP desteğini 8 Nisan 2014'te sona erdirdi. Bu değişiklik yazılım güncelleştirmelerinizi ve güvenlik seçeneklerinizi etkiledi. Bunun sizin için ne anlama geldiğini ve korunmaya nasıl devam edebileceğinizi öğrenin.

ÖNEMLİ: Bu makale, Microsoft Makine Çevirisi Düzenleme yazılımı tarafından tercüme edilmiş olup, yüksek olasılıkla profesyonel bir çevirmen yerine CTF teknolojisi kullanılarak, Microsoft Topluluğu tarafından düzenlenmiştir. Microsoft, Bilgi Bankamız içindeki tüm makaleleri kendi dilinizde okuyabilmeniz için size hem profesyonel çevirmenler tarafından tercüme edilen hem de makine tarafından tercüme edildikten sonra Topluluk tarafından kontrol edilen makaleler sunar. Bununla birlikte, makine tarafından tercüme edilen, hatta Topluluk tarafından kontrol edilen bir makale bile her zaman mükemmel dil kalitesinde olmayabilir. Makalede dilinizi konuşan yabancı birisinin yapabileceği türden sözcük, söz dizimi veya dilbilgisi hataları bulunabilir. Microsoft, içeriğin hatalı tercümesinin veya müşterilerimiz tarafından kullanımının doğurabileceği olası yanlış anlamalar, hatalar veya zararlardan sorumlu değildir. Öte yandan Microsoft, Makine Çevirisi Düzenleme işlemini geliştirmek amacıyla Makine Çevirisi Düzenleme yazılımını ve araçlarını sık sık güncelleştirmektedir.

Makalenin İngilizcesi aşağıdaki gibidir: 258503
Belirtiler
Aşağıdaki sorunlardan biriyle karşılaşabilirsiniz:
  • Windows Vista ve sonraki sürümler, etkileşimli oturum açma sırasında aşağıdaki hata iletisini alırsınız:
    Güvenlik veritabanı sunucusu üzerindeki bu iş istasyonu güven ilişkisi için bir bilgisayar hesabı yok.
  • Etkileşimli oturum açma etki alanı tabanlı hesapları ile çalışmıyor. Yalnızca yerel hesapları ile oturum açma çalışmaktadır.
  • Sistem günlüğüne aşağıdaki olay iletileri kaydedilir:

    Olay türü: hata
    Olay kaynağı: NETLOGON
    Olay Kategorisi: Yok
    Olay Kimliği: 5788
    Bilgisayar: BilgisayarAdı
    Açıklama:
    Hizmet asıl adı (SPN) başarısız Active Directory'de bilgisayar nesnesinin güncelleştirme denemesi. Aşağıdaki hata oluştu:Ayrıntılı hata iletisi, thecause bağlı olarak değişir.>
    Olay türü: hata
    Olay kaynağı: NETLOGON
    Olay Kategorisi: Yok
    Olay Kimliği: 5789
    Bilgisayar: bilgisayar
    Açıklama:
    Başarısız Active Directory'de bilgisayar nesnesinin DNS ana bilgisayar adı güncelleştirme denemesi. Aşağıdaki hata oluştu:Ayrıntılı hata iletisi, thecause bağlı olarak değişir.>

    Not Bu olaylar için ayrıntılı hata iletileri "Neden" bölümünde listelenir.
Neden
Bir bilgisayarda çalışır, ancak kendi bilgisayar hesabı Active Directory etki alanı Hizmetleri (AD DS) etki alanındadNSHostName ve servicePrincipalName özniteliklerini yazmak değil, bu davranışla karşılaşılır.

Bir bilgisayara bu güncelleştirmeyi dener attributesif aşağıdaki koşullar doğruysa:
  • Hemen Windows tabanlı bir bilgisayar bir etki alanına üye olduktan sonra yeni etki alanında, bilgisayar hesabının dNSHostName ve servicePrincipalName özniteliklerini ayarlamak bilgisayarı çalışır.
  • Güvenlik kanalını, AD DS etki alanının üyesi olan bir Windows tabanlı bilgisayarda kurulduğunda bilgisayarın dNSHostName ve servicePrincipalName öznitelikleri kendi etki alanındaki bilgisayar hesabı için güncelleştirmeyi dener.
  • Bir Windows tabanlı etki alanı denetleyicisinde Netlogon hizmeti servicePrincipalName özniteliği 22 dakikada bir güncelleştirmeye çalışır.
Güncelleştirme hatalarını iki olası nedeni vardır:
  • Bilgisayar bir LDAP tamamlamak için yeterli izni yok isteği kendi bilgisayar hesabıdNSHostName veya servicePrincipalName özniteliklerini değiştirin.

    Bu durumda, "Belirtiler" bölümünde anlatılan olayların hata iletileri şunlardır:
    • Olay 5788
      Erişim engellendi.
    • Olay 5789
      Sistem belirtilen dosyayı bulamıyor.
  • Bilgisayarın birincil DNS soneki, bilgisayarın üyesi olduğu AD DS etki alanının DNS adı eşleşmiyor. Bu yapılandırma "ayrık ad alanı." denir.

    Örneğin, contoso.com Active Directory etki alanı üyesi bir bilgisayardır. Ancak, DNS FQDN adı member1.nyc.contoso.com olur. Bu nedenle, birincil DNS sonekini Active Directory etki alanı adıyla eşleşmiyor.

    Güncelleştirme başarısız önkoşul yazma doğrulama öznitelik değerleri bu yapılandırmada engellendi. Varsayılan olarak, bir bilgisayarın birincil DNS soneki hangi bilgisayarın üyesi olduğu AD DS etki alanının DNS adı eşleşen Güvenlik Hesapları Yöneticisi (SAM) gerektirdiğinden, yazma doğrulama başarısız olur.

    Bu durumda, "Belirtiler" bölümünde anlatılan olayların hata iletileri şunlardır:
    • Olay 5788
      Dizin hizmetine belirtilen öznitelik sözdizimi geçersiz.
    • Olay 5789
      Parametre yanlış.
Çözüm
Bu sorunu gidermek için en olası nedeni "Neden" bölümünde açıklandığı şekilde bulabilirsiniz. Daha sonra neden için uygun çözümü kullanın.

Neden 1 için çözüm

Bu sorunu gidermek için bilgisayar hesabını kendi bilgisayar nesnesini güncelleştirmek için yeterli izinlere sahip olduğundan emin olmanız gerekir.

ACL Düzenleyicisi'nde "Kendi KENDİNE" güvenlik hesabı için erişim denetimi girdisi (ACE) olan ve aşağıdaki hakları genişletilmiş "İzin ver" erişimi olduğundan emin olun:
  • DNS ana makine adına doğrulanmış yazma
  • Hizmet asıl adına doğrulanmış yazma
Ardından, uygulanabilir herhangi bir izin verme izinleri doğrulayın. Bilgisayar grup üyelikleri, aşağıdaki güvenlik bilgileri de uygulayın:
  • Herkes
  • Kimliği doğrulanmış kullanıcılar
  • KENDİNİ
Bu güvenlik bilgileri için geçerli olmayacağından, bu girdiler de öznitelikleri yazma erişimini ya da "Validated DNS ana bilgisayar adına yazma" deny veya "hakları genişletilmiş Validated yazma hizmet asıl adına".

Neden 2 için çözüm

Bu sorunu gidermek için aşağıdaki yöntemlerden uygun olanını kullanın:
  • Yöntem 1: yanlışlıkla ayrık ad alanı düzeltmesi

    Ayrık yanlışlıkla yapılandırmadır ve bitişik bir ad alanına geri dönmek isterseniz, bu yöntemi kullanın.

    Windows Server 2003'te bitişik ad alanı dönmek hakkında daha fazla bilgi için aşağıdaki Microsoft TechNet makalesine bakın:Windows Server 2008 ve Windows Vista ve sonraki sürümler için aşağıdaki Microsoft TechNet makalesine bakın:
  • Yöntem 2: ayrık ad alanı yapılandırma düzgün çalıştığını doğrulayın.

    Ayrık ad alanı tutmak istiyorsanız bu yöntemi kullanın. Bunu yapmak için hataları gidermek için bazı yapılandırma değişiklikleri yapmak için aşağıdaki adımları izleyin.

    Bu doğrulama hakkında daha fazla bilgi için ayrık ad alanı doğru çalıştığından Windows Server 2003 R2, Windows Server 2003, Windows Server 2003 Service Pack 1 (SP1) ve Windows Server 2003 Service Pack 2 (SP2), aşağıdaki Microsoft TechNet makalesine bakın:Ayrık ad alanı Windows Server 2008 R2 ve Windows Server 2008 üzerinde düzgün çalıştığını doğrulama hakkında daha fazla bilgi için aşağıdaki Microsoft TechNet makalesine bakın:
    "Neden" bölümünde noktası son ana maddede açıklanan örnek genişletilerek, izin verilen bir sonek olarak "nyc.contoso.com" özniteliği eklersiniz.
Daha fazla bilgi
Bu sorunu gidermek genel yazma erişimini etkinleştirmek için bilgisayar nesneleri izinlerini değiştirme eski sürümleri, bu makalenin belirtilmişti. Bu, Windows 2000'de varolan tek bir yaklaşım oldu. Ancak,msDS-AllowedDNSSuffixeskullanmaktan daha az güvenli olmasıdır.

msDS-AllowedDNSSuffixes rasgele SPN'ler Active Directory'ye yazma gelen istemci kısıtlar. Windows 2000 "yöntem" Kerberos (yineleme oluşturma) diğer önemli sunucularla çalışmasını engelleyen SPN'ler yazmak istemci sağlar. msDS-AllowedDNSSuffixeskullandığınızda, yalnızca yerel bilgisayarın ana bilgisayar adıyla aynı diğer sunucu varsa, SPN thosecan gibi çarpışmalar.

Bir ağ izlemesi yanıtı LDAP isteği görüntüler aşağıdaki bilgileri değiştirin:
Win: 17368, src: 389 dst: 1044
LDAP: ProtocolOp: ModifyResponse (7)
LDAP: MessageID
LDAP: ProtocolOp = ModifyResponse
: LDAP Sonuç kodu kısıtlama ihlali =
LDAP: Hata iletisi = 0000200B: AtrErr: DSID 03151E6D
Bu ağ izlemesinde 200B onaltılı onlu 8203 eşittir.

, net helpmsg 8203 komut, aşağıdaki bilgileri verir:

Dizin hizmetine belirtilen öznitelik sözdizimi geçersiz." Ağ İzleyicisi'ni 5.00.943 aşağıdaki sonuç kodunu görüntüler: "Kısıtlama ihlali" Winldap.h tarafından "LDAP_CONSTRAINT_VIOLATION. 13 hatasıyla eşleşir

Bir DNS etki alanı adını ve Active Directory etki alanı adı farklı olabilir veya daha aşağıdaki koşullardan biri doğru olduğunda:
  • TCP/IP'yi DNS yapılandırması, bilgisayarın üyesi olduğuetki alanı üyeliği değiştiğinde birincil DNS son ekini değiştir seçeneği devre dışı bırakılır ve Active Directory etki alanından farklı bir DNS etki alanı içerir. Bu seçeneği görüntülemek için Bilgisayarım' ı sağ tıklatın, Özellikler' i tıklatın ve Ağ tanımlama sekmesini tıklatın.
  • Windows Server 2003 veya Windows XP Professional tabanlı bilgisayarlar birincil soneki Active Directory etki alanından farklı bir değere ayarlayan Grup İlkesi ayarı uygulayabilirsiniz. Grup İlkesi ayarı aşağıdaki gibidir:
    Bilgisayar Yapılandırması\Yönetim Templates\Network\DNS istemci: Birincil DNS soneki
  • Rendom.exe yardımcı programı tarafından yeniden adlandırılan etki alanındaki etki alanı denetleyicisi bulunur. Ancak, yönetici DNS soneki henüz önceki DNS etki alanı adı değişti. Birincil etki alanı yeniden adlandırma işlemi güncelleştirmez geçerli DNS etki alanı adı aşağıdaki eşleştirmek için DNS soneki DNS etki alanı adlarını yeniden adlandırır.
Aynı hiyerarşik etki alanı adına sahip değil bir Active Directory ormanındaki etki alanları farklı etki alanı ağacında ' dir. Kök etki alanları farklı etki alanı ağaçları orman içinde olduğunda, bitişik değil. Ancak, bu yapılandırma, ayrık bir DNS ad alanı oluşturmaz. Birden çok DNS ya da Active Directory etki alanı kök DNS var. Ayrık ad alanı, bilgisayarın üyesi olduğu Active Directory etki alanı adı ve birincil DNS soneki arasındaki farktan ayırdedilir.

Ayrık ad alanı dikkatli bazı senaryolarda kullanılabilir. Ancak, tüm senaryolarda desteklenmez.
Olay Kimliği 5789 5788 Winx64 Windowsx64 64 bit 64-bit

Uyarı: Bu makalenin çevirisi otomatik olarak yapılmıştır

Özellikler

Makale No: 258503 - Son İnceleme: 06/30/2015 10:04:00 - Düzeltme: 1.0

Windows Server 2008 Service Pack 2, Windows Vista Service Pack 2, Windows 7 Service Pack 1, Microsoft Exchange Server 2003 Service Pack 2, Microsoft Windows XP Service Pack 3, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Server, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Standard, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Standard, Windows Server 2012 Foundation

  • kbdns kberrmsg kbprb kbmt KB258503 KbMttr
Geri bildirim