As IDs de evento 5788 e 5789 ocorrem em um computador baseado no Windows

  • Artigo

Este artigo fornece soluções para um problema em que a ID do evento 5788 e a ID do evento 5789 são registradas quando o nome de domínio DNS e o nome de domínio do Active Directory diferem em um computador baseado no Windows.

Aplica-se a: Windows 7 Service Pack 1, Windows Server 2012 R2
Número de KB original: 258503

Sintomas

Você pode ter um dos seguintes problemas:

  • No Windows Vista e nas versões posteriores, você recebe a seguinte mensagem de erro durante o logon interativo:

    O banco de dados de segurança no servidor não tem uma conta de computador para essa relação de confiança da estação de trabalho.

  • Logons interativos com contas baseadas em domínio não funcionam. Somente logons com contas locais estão funcionando.

  • As seguintes mensagens de evento são registradas no log do sistema:

    Tipo de Evento: Erro
    Fonte do evento: NETLOGON
    Categoria de evento: Nenhum
    ID do evento: 5788
    Computador: ComputerName
    Descrição:
    Falha ao tentar atualizar o SPN (Nome da Entidade de Serviço) do objeto de computador no Active Directory. O seguinte erro ocorreu: <mensagem de erro detalhada que varia, dependendo da causa.>

    Tipo de Evento: Erro
    Fonte do evento: NETLOGON
    Categoria de evento: Nenhum
    ID do evento: 5789
    Computador: Computador
    Descrição:
    Falha ao tentar atualizar o Nome do Host DNS do objeto do computador no Active Directory. O seguinte erro ocorreu: <mensagem de erro detalhada que varia, dependendo da causa.>

    Observação

    Mensagens de erro detalhadas para esses eventos são listadas na seção "Causa".

Motivo

Esse comportamento ocorre quando um computador tenta, mas não grava nos atributos dNSHostName e servicePrincipalName para sua conta de computador em um domínio do AD DS (Active Directory Domain Services).

Um computador tenta atualizar esses atributos se as seguintes condições forem verdadeiras:

  • Imediatamente após um computador baseado no Windows ingressar em um domínio, o computador tenta definir os atributos dNSHostName e servicePrincipalName para sua conta de computador no novo domínio.
  • Quando o canal de segurança é estabelecido em um computador baseado no Windows que já é membro de um domínio do AD DS, o computador tenta atualizar os atributos dNSHostName e servicePrincipalName para sua conta de computador no domínio.
  • Em um controlador de domínio baseado no Windows, o serviço Netlogon tenta atualizar o atributo servicePrincipalName a cada 22 minutos.

Há duas possíveis causas das falhas de atualização:

  • O computador não tem permissão suficiente para concluir uma solicitação de modificação LDAP dos atributos dNSHostName ou servicePrincipalName para sua conta de computador.

    Nesse caso, as mensagens de erro que correspondem aos eventos descritos na seção "Sintomas" são as seguintes:

    • Evento 5788

      Acesso negado.

    • Evento 5789

      O sistema não pôde encontrar o arquivo especificado.

  • O sufixo DNS primário do computador não corresponde ao nome DNS do domínio do AD DS do qual o computador é membro. Essa configuração é conhecida como um "namespace desarticulado".

    Por exemplo, o computador é um membro do domínio contoso.comdo Active Directory . No entanto, seu nome DNS FQDN é member1.nyc.contoso.com. Portanto, o sufixo DNS primário não corresponde ao nome de domínio do Active Directory.

    A atualização é bloqueada nessa configuração porque a validação de gravação do pré-requisito dos valores de atributo falha. A validação de gravação falha porque, por padrão, o SAM (Gerenciador de Contas de Segurança) exige que o sufixo DNS primário de um computador corresponda ao nome DNS do domínio do AD DS do qual o computador é membro.

    Nesse caso, as mensagens de erro que correspondem aos eventos descritos na seção "Sintomas" são as seguintes:

    • Evento 5788

      A sintaxe de atributo especificada para o serviço de diretório é inválida.

    • Evento 5789

      O parâmetro está incorreto.

Resolução

Para resolve esse problema, encontre a causa mais provável, conforme descrito na seção "Causa". Em seguida, use a resolução apropriada para a causa.

Resolução para Causa 1

Para resolve esse problema, você deve garantir que a conta de computador tenha permissões suficientes para atualizar seu próprio objeto de computador.

No acl Editor, verifique se há uma ACE (entrada de controle de acesso) para a conta de administrador "SELF" e que ela tem acesso "Permitir" para os seguintes direitos estendidos:

  • Gravação validada para o nome do host DNS
  • Gravação validada para o nome da entidade de serviço

Em seguida, verifique todas as permissões Deny que possam ser aplicadas. Excluindo as associações de grupo do computador, os seguintes administradores também se aplicam ao computador:

  • Todos
  • Usuários Autenticados
  • SELF

As ACEs que se aplicam a esses administradores também podem negar acesso à gravação em atributos ou podem negar os direitos estendidos "Gravação validada para nome do host DNS" ou "Gravação validada no nome da entidade de serviço".

Resolução para Causa 2

Para resolve esse problema, use um dos seguintes métodos, conforme apropriado:

Método 1: corrigir um namespace desarticulado não intencional

Se a configuração de desarticulação não for intencional e se você quiser reverter a um namespace contíguo, use esse método.

Para obter mais informações sobre como reverter a um namespace contíguo no Windows Server 2003, confira o seguinte artigo do Microsoft TechNet:
Transição de um namespace desarticulado para um namespace contíguo
Para Windows Server 2008 e para Versões posteriores e Windows Vista, confira o seguinte artigo do Microsoft TechNet:
Reverter um namespace de desarticulação criado acidentalmente

Método 2: verificar se a configuração de namespace desarticulada está funcionando corretamente

Use esse método, se você quiser manter o namespace desarticulado. Para fazer isso, siga estas etapas para fazer algumas alterações de configuração para resolve os erros.

Para obter mais informações sobre como verificar se o namespace desarticulado está funcionando corretamente no Windows Server 2003 R2, Windows Server 2003, Windows Server 2003 com Service Pack 1 (SP1) e Windows Server 2003 com Service Pack 2 (SP2), confira o seguinte artigo do Microsoft TechNet: Criar um Namespace disjoint
Para obter mais informações sobre como verificar se o namespace desarticulado está funcionando corretamente no Windows Server 2008 R2 e no Windows Server 2008, consulte o seguinte artigo do Microsoft TechNet: Criar um Namespace disjoint

Ao estender o exemplo mencionado no último ponto de bala principal na seção "Causa", você adicionaria nyc.contoso.com como sufixo permitido ao atributo.

Mais informações

Versões mais antigas deste artigo mencionam a alteração das permissões nos objetos do computador para habilitar o acesso geral à gravação para resolve esse problema. Essa foi a única abordagem que existia no Windows 2000. No entanto, ele é menos seguro do que usar sufixos msDS-AllowedDNSS.

MsDS-AllowedDNSSuffixes restringem o cliente de escrever SPNs arbitrários no Active Directory. O "método Windows 2000" permite que o cliente escreva SPNs que impedem Kerberos de trabalhar com outros servidores importantes (criar duplicatas). Quando você usa sufixos msDS-AllowedDNSSuffixes, colisões de SPN como essas só podem ocorrer quando o outro servidor tiver o mesmo nome de host que o computador local.

Um rastreamento de rede da resposta à solicitação de modificação LDAP exibe as seguintes informações:
win: 17368, src: 389 dst: 1044

LDAP: ProtocolOp: ModifiResponse (7)

LDAP: MessageID

LDAP: ProtocolOp = ModifiResponse

LDAP: Código de Resultado = Violação de Restrição

LDAP: Mensagem de erro = 0000200B: AtrErr: DSID-03151E6D Neste rastreamento de rede, 200B hexadecimal é igual a 8203 decimal.

O comando net helpmsg 8203 retorna as seguintes informações: A sintaxe de atributo especificada para o serviço de diretório é inválida.". O Monitor de Rede 5.00.943 exibe o seguinte código de resultado: "Violação de Restrição". Winldap.h mapeia o erro 13 para "LDAP_CONSTRAINT_VIOLATION.

O nome de domínio DNS e o nome de domínio do Active Directory podem diferir se uma ou mais das seguintes condições forem verdadeiras:

  • A configuração DNS TCP/IP contém um domínio DNS diferente do domínio do Active Directory do qual o computador é membro e o sufixo Alterar DNS primário quando a opção de alteração de associação de domínio é desabilitada. Para exibir essa opção, clique com o botão direito do mouse em Meu Computador, clique em Propriedades e clique na guia Identificação de Rede .

  • Computadores baseados em Windows Server 2003 ou Windows XP Professional podem aplicar uma configuração de Política de Grupo que define o sufixo primário como um valor diferente do domínio do Active Directory. A configuração Política de Grupo é a seguinte: Configuração do Computador\Modelos Administrativos\Rede\Cliente DNS: Sufixo DNS primário

  • O controlador de domínio está localizado em um domínio que foi renomeado pelo utilitário Rendom.exe. No entanto, o administrador ainda alterou o sufixo DNS do nome de domínio DNS anterior. O processo de renomeação de domínio não atualiza o sufixo DNS primário para corresponder ao nome de domínio DNS atual após renomeações de nomes de domínio DNS. Domínios em uma floresta do Active Directory que não têm o mesmo nome de domínio hierárquico estão em uma árvore de domínio diferente. Quando árvores de domínio diferentes estão em uma floresta, os domínios raiz não são contíguos. No entanto, essa configuração não cria um namespace DNS desarticulado. Você tem vários domínios raiz DNS ou mesmo DNS do Active Directory. Um namespace desarticulado é caracterizado por uma diferença entre o sufixo DNS primário e o nome de domínio do Active Directory do qual o computador é membro.

O namespace desarticulado pode ser usado com cuidado em alguns cenários. No entanto, não há suporte em todos os cenários.