As IDs de evento 5788 e 5789 ocorrem em um computador baseado no Windows

  • Artigo

Este artigo fornece soluções para um problema em que o ID de evento 5788 e o ID de evento 5789 são registados quando o nome de domínio DNS e o nome de domínio do Active Directory diferem num computador baseado no Windows.

Número original da BDC: 258503

Sintomas

Poderá deparar-se com um dos seguintes problemas:

  • No Windows Vista e versões posteriores, recebe a seguinte mensagem de erro durante o início de sessão interativo:

    A base de dados de segurança no servidor não tem uma conta de computador para esta relação de confiança da estação de trabalho.

  • Os inícios de sessão interativos com contas baseadas em domínio não funcionam. Apenas os inícios de sessão com contas locais estão a funcionar.

  • As seguintes mensagens de evento são registadas no Registo do sistema:

    Tipo de Evento: Erro
    Origem do Evento: NETLOGON
    Categoria do Evento: Nenhuma
    ID do Evento: 5788
    Computador: ComputerName
    Descrição:
    A tentativa de atualizar o Nome do Principal de Serviço (SPN) do objeto de computador no Active Directory falhou. Ocorreu o seguinte erro: <mensagem de erro detalhada que varia consoante a causa.>

    Tipo de Evento: Erro
    Origem do Evento: NETLOGON
    Categoria do Evento: Nenhuma
    ID do Evento: 5789
    Computador: Computador
    Descrição:
    A tentativa de atualizar o Nome do Anfitrião DNS do objeto de computador no Active Directory falhou. Ocorreu o seguinte erro: <mensagem de erro detalhada que varia consoante a causa.>

    Observação

    As mensagens de erro detalhadas para estes eventos estão listadas na secção "Causa".

Motivo

Este comportamento ocorre quando um computador tenta, mas não escreve nos atributos dNSHostName e servicePrincipalName para a respetiva conta de computador num domínio dos Serviços de Domínio do Active Directory (AD DS).

Um computador tenta atualizar estes atributos se as seguintes condições forem verdadeiras:

  • Imediatamente após a associação de um computador baseado no Windows a um domínio, o computador tenta definir os atributos dNSHostName e servicePrincipalName para a respetiva conta de computador no novo domínio.
  • Quando o canal de segurança é estabelecido num computador baseado no Windows que já seja membro de um domínio do AD DS, o computador tenta atualizar os atributos dNSHostName e servicePrincipalName para a respetiva conta de computador no domínio.
  • Num controlador de domínio baseado no Windows, o serviço Netlogon tenta atualizar o atributo servicePrincipalName a cada 22 minutos.

Existem duas causas possíveis das falhas de atualização:

  • O computador não tem permissão suficiente para concluir um pedido de modificação LDAP dos atributos dNSHostName ou servicePrincipalName para a respetiva conta de computador.

    Neste caso, as mensagens de erro que correspondem aos eventos descritos na secção "Sintomas" são as seguintes:

    • Evento 5788

      Acesso negado.

    • Evento 5789

      O sistema não pôde encontrar o arquivo especificado.

  • O sufixo DNS principal do computador não corresponde ao nome DNS do domínio do AD DS do qual o computador é membro. Esta configuração é conhecida como "Espaço de nomes não contíguo".

    Por exemplo, o computador é membro do domínio contoso.comdo Active Directory . No entanto, o nome do DNS FQDN é member1.nyc.contoso.com. Por conseguinte, o sufixo DNS principal não corresponde ao nome de domínio do Active Directory.

    A atualização está bloqueada nesta configuração porque a validação de escrita de pré-requisitos dos valores do atributo falha. A validação de escrita falha porque, por predefinição, o Gestor de Contas de Segurança (SAM) requer que o sufixo DNS principal de um computador corresponda ao nome DNS do domínio do AD DS do qual o computador é membro.

    Neste caso, as mensagens de erro que correspondem aos eventos descritos na secção "Sintomas" são as seguintes:

    • Evento 5788

      A sintaxe de atributo especificada para o serviço de diretório é inválida.

    • Evento 5789

      O parâmetro está incorreto.

Solução

Para resolver este problema, encontre a causa mais provável, conforme descrito na secção "Causa". Em seguida, utilize a resolução adequada para a causa.

Resolução da Causa 1

Para resolver este problema, tem de se certificar de que a conta de computador tem permissões suficientes para atualizar o seu próprio objeto de computador.

No Editor da ACL, certifique-se de que existe uma entrada de controlo de acesso (ACE) para a conta de administrador "SELF" e que tem acesso "Permitir" para os seguintes direitos alargados:

  • Escrita validada no nome do anfitrião DNS
  • Escrita validada no nome do principal de serviço

Em seguida, verifique as permissões negar que possam ser aplicadas. Excluindo as associações a grupos do computador, os seguintes administradores também se aplicam ao computador:

  • Todos
  • Usuários Autenticados
  • SELF

Os ACEs que se aplicam a estes administradores também podem negar o acesso à escrita em atributos ou podem negar os direitos alargados "Escrita validada no nome do anfitrião DNS" ou "Escrita validada no nome principal do serviço".

Resolução para a Causa 2

Para resolver este problema, utilize um dos seguintes métodos, conforme adequado:

Método 1: Corrigir um espaço de nomes não intencionalmente não contíguo

Se a configuração não for intencional e quiser reverter para um espaço de nomes contíguo, utilize este método.

Para obter mais informações sobre como reverter para um espaço de nomes contíguo no Windows Server 2003, consulte o seguinte artigo do Microsoft TechNet:
Transição de um Espaço de Nomes Não Contíguo para um Espaço de Nomes Contíguo
Para o Windows Server 2008 e para Windows Vista e versões posteriores, consulte o seguinte artigo do Microsoft TechNet:
Inverter um Espaço de Nomes Não Contíguo Criado Acidentalmente

Método 2: Verifique se a configuração do espaço de nomes não contíguo está a funcionar corretamente

Utilize este método se quiser manter o espaço de nomes não contíguo. Para tal, siga estes passos para fazer algumas alterações de configuração para resolver os erros.

Para obter mais informações sobre como verificar se o espaço de nomes não contíguo está a funcionar corretamente no Windows Server 2003 R2, Windows Server 2003, Windows Server 2003 com Service Pack 1 (SP1) e Windows Server 2003 com Service Pack 2 (SP2), consulte o seguinte artigo do Microsoft TechNet: Criar um Espaço de Nomes Não Contíguo
Para obter mais informações sobre como verificar se o espaço de nomes não contíguo está a funcionar corretamente no Windows Server 2008 R2 e no Windows Server 2008, consulte o seguinte artigo do Microsoft TechNet: Criar um Espaço de Nomes Não Contíguo

Ao expandir o exemplo mencionado no último ponto de marca de lista principal na secção "Causa", adicionaria nyc.contoso.com como um sufixo permitido ao atributo .

Mais informações

As versões mais antigas deste artigo mencionavam a alteração das permissões nos objetos de computador para permitir o acesso geral de escrita para resolver este problema. Esta foi a única abordagem que existia no Windows 2000. No entanto, é menos seguro do que utilizar msDS-AllowedDNSSuffixes.

msDS-AllowedDNSSuffixes impedem o cliente de escrever SPNs arbitrários no Active Directory. O "método Windows 2000" permite ao cliente escrever SPNs que impedem o Kerberos de trabalhar com outros servidores importantes (criar duplicados). Quando utiliza msDS-AllowedDNSSuffixes, as colisões SPN como estas só podem ocorrer quando o outro servidor tem o mesmo nome de anfitrião que o computador local.

Um rastreio de rede da resposta ao pedido de modificação LDAP apresenta as seguintes informações:
vitória: 17368, src: 389 dst: 1044

LDAP: ProtocolOp: ModifyResponse (7)

LDAP: MessageID

LDAP: ProtocolOp = ModifyResponse

LDAP: Código de Resultado = Violação de Restrição

LDAP: Mensagem de Erro = 0000200B: AtrErr: DSID-03151E6D Neste rastreio de rede, 200B hexadecimal é igual a 8203 decimal.

O comando net helpmsg 8203 devolve as seguintes informações: A sintaxe de atributo especificada para o serviço de diretório é inválida." O Monitor de Rede 5.00.943 apresenta o seguinte código de resultado: "Violação de Restrição". Winldap.h mapeia o erro 13 para "LDAP_CONSTRAINT_VIOLATION.

O nome de domínio DNS e o nome de domínio do Active Directory podem ser diferentes se uma ou mais das seguintes condições forem verdadeiras:

  • A configuração do DNS TCP/IP contém um domínio DNS diferente do domínio do Active Directory do qual o computador é membro e a opção Alterar sufixo DNS primário quando a associação a um domínio é desativada. Para ver esta opção, clique com o botão direito do rato em O Meu Computador, clique em Propriedades e, em seguida, clique no separador Identificação de Rede .

  • Os computadores baseados no Windows Server 2003 ou windows XP Professional podem aplicar uma definição de Política de Grupo que define o sufixo primário para um valor diferente do domínio do Active Directory. A definição da Política de Grupo é a seguinte: Configuração do Computador\Modelos Administrativos\Rede\Cliente DNS: Sufixo DNS Primário

  • O controlador de domínio está localizado num domínio cujo nome foi mudado pelo utilitário Rendom.exe. No entanto, o administrador ainda alterou o sufixo DNS do nome de domínio DNS anterior. O processo de mudança de nome de domínio não atualiza o sufixo DNS principal para corresponder ao nome de domínio DNS atual, após nomes de nomes de domínio DNS. Os domínios numa floresta do Active Directory que não têm o mesmo nome de domínio hierárquico estão numa árvore de domínio diferente. Quando existem diferentes árvores de domínio numa floresta, os domínios raiz não são contíguos. No entanto, esta configuração não cria um espaço de nomes DNS não contíguo. Tem vários domínios de raiz DNS ou mesmo DNS do Active Directory. Um espaço de nomes não contíguo é caracterizado por uma diferença entre o sufixo DNS primário e o nome de domínio do Active Directory do qual o computador é membro.

O espaço de nomes não contíguo pode ser utilizado com cuidado em alguns cenários. No entanto, não é suportado em todos os cenários.