 |
|
|
|
|
|
Eine der Operationen, die von Mitgliedsservern und Mitgliedsarbeitsstationen auf Windows 2000-Basis und in regelmäßigen Intervallen auch durch den Dienst "Netlogon" durchgeführt werden, ist die Aktualisierung der Attribute "dnsHostName" und "ServicePrincipalName" für das jeweilige Computerobjekt.
Auf Computern, welche diese Attribute nicht auf einem Windows 2000-Domänencontroller aktualisieren können, werden die folgenden Ereignisse protokolliert:
Ereignis-ID 5789
Der Versuch, den DNS-Hostnamen des Computerobjekts im Active Directory zu aktualisieren, ist fehlgeschlagen.
Der folgende Fehler ist aufgetreten:
Falscher Parameter.
Ereignis-ID 5788
Der Versuch, die SPNs (Service Principal Names) des Computers im Active Directory zu aktualisieren, ist fehlgeschlagen.
Der folgende Fehler ist aufgetreten:
Die Attributsyntax, die dem Verzeichnisdienst übergeben wurde, ist ungültig.
Dieses Verhalten kann auftreten, wenn der DNS-Domänenname für den Computer nicht dem Active Directory-Domänennamen entspricht.
Dies ist insbesondere dann der Fall, wenn das Kontrollkästchen PRIMÄRES DNS-SUFFIX BEI DOMÄNENMITGLIEDSCHAFTSÄNDERUNG ÄNDERN deaktiviert wurde und eine DNS-Domäne enthält, bei der es sich nicht um die Active Directory-Domäne handelt, deren Mitglied der Computer ist.
Um dieses Kontrollkästchen einzusehen, klicken Sie mit der rechten Maustaste auf Arbeitsplatz, klicken Sie auf EIGENSCHAFTEN, und klicken Sie dann auf die Registerkarte NETZWERKIDENTIFIKATION.
Die Fehler 5788 und 5789 treten auf, weil ein standardmäßiges Windows 2000-Computerkonto nicht über die erforderlichen Berechtigungen verfügt, um eine LDAP-Änderung der Attribute DNSHOSTNAME und SPNNAME vorzunehmen, wenn der neue zu schreibende Wert von den bereits existierenden Werten abweicht.
Das Schreiben des neuen Wertes in ein Computerkonto mit null Attributen des Typs DNSHOSTNAME und SPNNAME ist jedoch erfolgreich.
Auch wenn man den Computer zuvor mit den erforderlichen Berechtigungen versieht, erfolgt die Aktualisierung ohne Fehler.
Eine Netzwerkablaufverfolgung der Antwort auf die LDAP-Änderungsanforderung ergibt folgendes:
- win:17368, src: 389 dst: 1044
- LDAP: ProtocolOp: ModifyResponse (7)
- LDAP: MessageID
- LDAP: ProtocolOp = ModifyResponse
- LDAP: Result Code = Constant Violation
- LDAP: Error Message = 0000200B: AtrErr: DSID-03151E6D
(Beachten Sie bitte, dass 200B hexadezimal = 8203 dezimal ist.)
Der Befehl "net helpmsg 8203" (ohne die Anführungszeichen) führt zu der Meldung "Die Attributsyntax, die dem Verzeichnisdienst übergeben wurde, ist ungültig".
Der Netzwerkmonitor (Version 5.00.943) zeigt den Ergebniscode "Constant Violation" (Konstante Zugriffsverletzung) an. "Winldap.h" ordnet den Fehler 13 der Meldung "LDAP_CONSTRAINT_VIOLATION" zu.
Ist der nicht zu der Domäne gehörende Namespace unbeabsichtigt, aktivieren Sie bitte das Kontrollkästchen PRIMÄRES DNS-SUFFIX BEI DOMÄNENMITGLIEDSCHAFTSÄNDERUNG ÄNDERN und starten Sie dann den Computer neu.
Ist der nicht zu der Domäne gehörende Namespace beabsichtigt, aktivieren Sie bitte das Kontrollkästchen PRIMÄRES DNS-SUFFIX BEI DOMÄNENMITGLIEDSCHAFTSÄNDERUNG ÄNDERN und führen Sie dann die folgenden Schritte durch:
- Starten Sie das Active Directory-Benutzer und Computer-Snap-In.
- Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf ACTIVE DIRECTORY-BENUTZER UND -COMPUTER und klicken Sie dann auf VERBINDUNG ZUR DOMÄNE HERSTELLEN.
- Geben Sie den Domänennamen in das Feld "
- Domäne
" ein oder klicken Sie auf DURCHSUCHEN, um die Domäne zu finden, in der sie für Computer die Möglichkeit einrichten möchten, unterschiedliche DNS-Namen zu verwenden. Klicken Sie dann auf OK.
- Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf ACTIVE DIRECTORY-BENUTZER UND -COMPUTER, zeigen Sie auf ANSICHT und klicken Sie dann auf ERWEITERTE FUNKTIONEN.
- Klicken Sie mit der rechten Maustaste auf die Domäne und klicken Sie dann auf EIGENSCHAFTEN
.
- Klicken Sie in der Registerkarte SICHERHEIT auf HINZUFÜGEN, Klicken Sie auf die Gruppe SELBST, klicken Sie auf HINZUFÜGEN und dann auf OK.
- Klicken Sie auf ERWEITERT, auf SELBST und dann im Menü ANSICHT auf BEARBEITEN.
- Klicken Sie im Feld "Anwenden auf" der Registerkarte EIGENSCHAFTEN auf COMPUTEROBJEKTE. KLICKEN Sie unter "Berechtigungen" auf DNSHOSTNAME SCHREIBEN und aktivieren Sie dann das Kontrollkästchen ZULASSEN.
WARNUNG: Wenn Sie die standardmäßigen Sicherheitseinstellungen auf diese Weise ändern, besteht die Möglichkeit, dass der Computer, der der ausgewählten Domäne angeschlossene ist, von einem böswilligen Benutzer manipuliert und mit Hilfe des Attributs "Service Principal Name" unter einem anderen Namen angekündigt wird.
|
|
| |
|
|
|
|
nach oben |
|
|
|
Druckversion
PDF Version
Dieses Thema einem Freund schicken
