Los Id. de evento 5788 y 5789 se producen en un equipo basado en Windows

  • Artículo

En este artículo se proporcionan soluciones a un problema en el que el identificador de evento 5788 y el identificador de evento 5789 se registran cuando el nombre de dominio DNS y el nombre de dominio de Active Directory difieren en un equipo basado en Windows.

Se aplica a: Windows Server 7 Service Pack 1, Windows Server 2012 R2
Número de KB original: 258503

Síntomas

Puede experimentar uno de los siguientes problemas:

  • En Windows Vista y versiones posteriores, recibirá el siguiente mensaje de error durante el inicio de sesión interactivo:

    La base de datos de seguridad del servidor no tiene una cuenta de equipo para esta relación de confianza de estación de trabajo.

  • Los inicios de sesión interactivos con cuentas basadas en dominio no funcionan. Solo funcionan los inicios de sesión con cuentas locales.

  • Los siguientes mensajes de evento se registran en el registro del sistema:

    Tipo de evento: Error
    Origen de eventos: NETLOGON
    Categoría de eventos: Ninguno
    Identificador de evento: 5788
    Equipo: NombreDeEquipo
    Descripción:
    Error al intentar actualizar el nombre de entidad de seguridad de servicio (SPN) del objeto de equipo en Active Directory. Error siguiente: <mensaje de error detallado que varía en función de la causa.>

    Tipo de evento: Error
    Origen de eventos: NETLOGON
    Categoría de eventos: Ninguno
    Identificador de evento: 5789
    Equipo: Equipo
    Descripción:
    Error al intentar actualizar el nombre de host DNS del objeto de equipo en Active Directory. Error siguiente: <mensaje de error detallado que varía en función de la causa.>

    Nota:

    Los mensajes de error detallados de estos eventos se enumeran en la sección "Causa".

Causa

Este comportamiento se produce cuando un equipo intenta pero no escribe en los atributos dNSHostName y servicePrincipalName para su cuenta de equipo en un dominio de Servicios de dominio de Active Directory (AD DS).

Un equipo intenta actualizar estos atributos si se cumplen las condiciones siguientes:

  • Inmediatamente después de que un equipo basado en Windows se una a un dominio, el equipo intenta establecer los atributos dNSHostName y servicePrincipalName para su cuenta de equipo en el nuevo dominio.
  • Cuando el canal de seguridad se establece en un equipo basado en Windows que ya es miembro de un dominio de AD DS, el equipo intenta actualizar los atributos dNSHostName y servicePrincipalName para su cuenta de equipo en el dominio.
  • En un controlador de dominio basado en Windows, el servicio Netlogon intenta actualizar el atributo servicePrincipalName cada 22 minutos.

Hay dos causas posibles de los errores de actualización:

  • El equipo no tiene permiso suficiente para completar una solicitud de modificación LDAP de los atributos dNSHostName o servicePrincipalName para su cuenta de equipo.

    En este caso, los mensajes de error que corresponden a los eventos que se describen en la sección "Síntomas" son los siguientes:

    • Evento 5788

      Acceso denegado.

    • Evento 5789

      El sistema no puede encontrar el archivo especificado.

  • El sufijo DNS principal del equipo no coincide con el nombre DNS del dominio de AD DS del que es miembro el equipo. Esta configuración se conoce como "Espacio de nombres separado".

    Por ejemplo, el equipo es miembro del dominio contoso.comde Active Directory . Sin embargo, su nombre FQDN de DNS es member1.nyc.contoso.com. Por lo tanto, el sufijo DNS principal no coincide con el nombre de dominio de Active Directory.

    La actualización se bloquea en esta configuración porque se produce un error en la validación de escritura de requisitos previos de los valores de atributo. Se produce un error en la validación de escritura porque, de forma predeterminada, el Administrador de cuentas de seguridad (SAM) requiere que el sufijo DNS principal de un equipo coincida con el nombre DNS del dominio de AD DS del que es miembro el equipo.

    En este caso, los mensajes de error que corresponden a los eventos que se describen en la sección "Síntomas" son los siguientes:

    • Evento 5788

      La sintaxis de atributo especificada para el servicio de directorio no es válida.

    • Evento 5789

      El parámetro es incorrecto.

Solución

Para resolver este problema, busque la causa más probable como se describe en la sección "Causa". A continuación, use la resolución adecuada para la causa.

Resolución de la causa 1

Para resolver este problema, debe asegurarse de que la cuenta de equipo tenga permisos suficientes para actualizar su propio objeto de equipo.

En la acl Editor, asegúrese de que hay una entrada de control de acceso (ACE) para la cuenta de administrador de confianza "SELF" y que tiene acceso "Allow" para los siguientes derechos extendidos:

  • Escritura validada en el nombre de host DNS
  • Escritura validada en el nombre de la entidad de servicio

A continuación, compruebe los permisos denegar que se puedan aplicar. Excluyendo las pertenencias a grupos del equipo, los siguientes administradores también se aplican al equipo:

  • Todos
  • Usuarios autenticados
  • SELF

Las ACE que se aplican a estos administradores también pueden denegar el acceso para escribir en atributos, o bien pueden denegar los derechos extendidos "Escritura validada en el nombre de host DNS" o "Escritura validada en el nombre principal de servicio".

Resolución de la causa 2

Para resolver este problema, use uno de los métodos siguientes, según corresponda:

Método 1: Corregir un espacio de nombres no contiguo no intencionado

Si la configuración no intencionada es involuntaria y si desea revertir a un espacio de nombres contiguo, use este método.

Para obtener más información sobre cómo revertir a un espacio de nombres contiguo en Windows Server 2003, consulte el siguiente artículo de Microsoft TechNet:
Transición de un espacio de nombres separado a un espacio de nombres contiguo
Para Windows Server 2008 y para Windows Vista y versiones posteriores, consulte el siguiente artículo de Microsoft TechNet:
Invertir un espacio de nombres separado creado accidentalmente

Método 2: Comprobar que la configuración del espacio de nombres no contiguo funciona correctamente

Use este método si desea mantener el espacio de nombres no contiguo. Para ello, siga estos pasos para realizar algunos cambios de configuración para resolver los errores.

Para obtener más información sobre cómo comprobar que el espacio de nombres no contiguo funciona correctamente en Windows Server 2003 R2, Windows Server 2003, Windows Server 2003 con Service Pack 1 (SP1) y Windows Server 2003 con Service Pack 2 (SP2), consulte el siguiente artículo de Microsoft TechNet: Creación de un espacio de nombres separado
Para obtener más información sobre cómo comprobar que el espacio de nombres no contiguo funciona correctamente en Windows Server 2008 R2 y Windows Server 2008, consulte el siguiente artículo de Microsoft TechNet: Creación de un espacio de nombres separado

Al ampliar el ejemplo que se menciona en el último punto de viñeta principal de la sección "Causa", se agregaría nyc.contoso.com como sufijo permitido al atributo .

Más información

Las versiones anteriores de este artículo mencionan el cambio de los permisos en los objetos de equipo para permitir el acceso de escritura general para resolver este problema. Este era el único enfoque que existía en Windows 2000. Sin embargo, es menos seguro que usar msDS-AllowedDNSSuffixes.

msDS-AllowedDNSSuffixes impide que el cliente escriba SPN arbitrarios en Active Directory. El "método Windows 2000" permite al cliente escribir SPN que impiden que Kerberos funcione con otros servidores importantes (crear duplicados). Cuando se usa msDS-AllowedDNSSuffixes, las colisiones de SPN, como las que se producen, solo se pueden producir cuando el otro servidor tiene el mismo nombre de host que el equipo local.

Un seguimiento de red de la respuesta a la solicitud de modificación LDAP muestra la siguiente información:
win: 17368, src: 389 dst: 1044

LDAP: ProtocolOp: ModifyResponse (7)

LDAP: MessageID

LDAP: ProtocolOp = ModifyResponse

LDAP: código de resultado = infracción de restricción

LDAP: Mensaje de error = 0000200B: AtrErr: DSID-03151E6D En este seguimiento de red, 200B hexadecimal es igual a 8203 decimal.

El comando net helpmsg 8203 devuelve la siguiente información: La sintaxis de atributo especificada para el servicio de directorio no es válida." Network Monitor 5.00.943 muestra el siguiente código de resultado: "Infracción de restricción". Winldap.h asigna el error 13 a "LDAP_CONSTRAINT_VIOLATION.

El nombre de dominio DNS y el nombre de dominio de Active Directory pueden diferir si se cumplen una o varias de las condiciones siguientes:

  • La configuración dns de TCP/IP contiene un dominio DNS que difiere del dominio de Active Directory del que es miembro el equipo y la opción Cambiar sufijo DNS principal cuando cambia la pertenencia al dominio está deshabilitada. Para ver esta opción, haga clic con el botón derecho en Mi equipo, haga clic en Propiedadesy, a continuación, haga clic en la pestaña Identificación de red .

  • Los equipos basados en Windows Server 2003 o Windows XP Professional pueden aplicar una configuración de directiva de grupo que establece el sufijo principal en un valor que difiere del dominio de Active Directory. La configuración de directiva de grupo es la siguiente: Configuración del equipo\Plantillas administrativas\Red\Cliente DNS: Sufijo DNS principal

  • El controlador de dominio se encuentra en un dominio cuyo nombre cambió la utilidad Rendom.exe. Sin embargo, el administrador todavía cambió el sufijo DNS del nombre de dominio DNS anterior. El proceso de cambio de nombre de dominio no actualiza el sufijo DNS principal para que coincida con el nombre de dominio DNS actual después de cambiar el nombre de los nombres de dominio DNS. Los dominios de un bosque de Active Directory que no tienen el mismo nombre de dominio jerárquico están en un árbol de dominio diferente. Cuando hay árboles de dominio diferentes en un bosque, los dominios raíz no son contiguos. Sin embargo, esta configuración no crea un espacio de nombres DNS separado. Tiene varios dominios DNS o incluso raíz dns de Active Directory. Un espacio de nombres separado se caracteriza por una diferencia entre el sufijo DNS principal y el nombre de dominio de Active Directory del que el equipo es miembro.

El espacio de nombres separado se puede usar con precaución en algunos escenarios. Sin embargo, no se admite en todos los escenarios.