Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU Windows Server 2012 Windows Embedded 8 Standard Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro Windows 10 Windows 10, version 1607, all editions Windows Server 2016, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10 Enterprise Multi-Session, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 on Surface Hub Windows 10, version 21H1, all editions Windows 10, version 21H2, all editions Windows 11 version 21H2, all editions Windows 11 version 22H2, all editions Windows Server 2022

Märkus.: Värskendatud 13.08.2024; vt käitumine 13. augustil 2024

Kokkuvõte

Windowsi värskendused, mis on välja antud 11. oktoobril 2022 ja pärast seda, sisaldavad CVE-2022-38042 kasutusele võetud lisakaitset. Need kaitsed tahtlikult takistavad domeeniga liitumise toimingutel sihtdomeenis olemasoleva arvutikonto korduskasutamist, välja arvatud juhul, kui:

  • Toimingut prooviv kasutaja on olemasoleva konto looja.

    või

  • Arvuti on loonud domeeniadministraatorite liige.

    või

  • Taaskasutatava arvutikonto omanik on domeenikontrolleri "Domeenikontroller: Luba arvutikonto uuesti kasutamine domeeniga liitumise ajal". Rühmapoliitika säte. See säte nõuab Windowsi värskenduste installimist, mis on välja antud 14. märtsil 2023 või hiljem kõigis liikmearvutites ja domeenikontrollerites.

14. märtsil 2023 ja 12. septembril 2023 välja antud värskendused pakuvad mõjutatud klientidele Windows Server 2012 R2 ja uuema versiooni ning kõigi toetatud klientide jaoks lisavõimalusi. Lisateavet leiate jaotistest 11. oktoobri 2022 käitumine ja Toimingu tegemine .

Märkus Selles artiklis on varem viidatud NetJoinLegacyAccountReuse registrivõtmele. Alates 13. augustist 2024 eemaldati see registrivõti ja selle viited selles artiklis. 

Käitumine enne 11. oktoobrit 2022

Enne 11. oktoobri 2022 või uuemate koondvärskenduste installimist küsib klientarvuti Active Directorylt sama nimega olemasoleva konto päringuid. See päring toimub domeeniga liitumise ja arvutikonto ettevalmistamise ajal. Kui selline konto on olemas, proovib klient seda automaatselt uuesti kasutada.

Märkus Korduskasutamise katse nurjub, kui domeeniga liitumist proovival kasutajal pole vajalikke kirjutusõigusi. Kui aga kasutajal on piisavalt õigusi, siis domeeniga liitumine õnnestub.

Domeeniga liitumiseks on kaks stsenaariumi, kus vastavad vaikekäitumised ja lipud on järgmised.

11. oktoobri 2022 käitumine 

Kui installite klientarvutisse 11. oktoobril 2022 või hiljem Windowsi koondvärskendused, teeb klient domeeniga liitumise ajal täiendavaid turbekontrolle enne olemasoleva arvutikonto uuesti kasutamise katset. Algoritm:

  1. Konto korduskasutamise katse on lubatud, kui toimingut prooviv kasutaja on olemasoleva konto looja.

  2. Konto korduskasutamise katse on lubatud, kui konto on loonud domeeniadministraatorite liige.

Need täiendavad turbekontrollid tehakse enne arvutiga liitumise katset. Kui kontrollid õnnestuvad, kehtivad ülejäänud liitumistoimingule Active Directory õigused nagu varem.

See muudatus ei mõjuta uusi kontosid.

Märkus Pärast 11. oktoobri 2022 või uuemate Windowsi koondvärskenduste installimist võib domeeni ühendamine arvutikonto taaskasutusega tahtlikult nurjuda järgmise tõrketeatega:

Tõrge 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Samanimeline konto on Active Directorys olemas. Turbepoliitika blokeeris konto uuesti kasutamise."

Sel juhul kaitseb kontot tahtlikult uus käitumine.

Sündmuse ID 4101 käivitatakse pärast ülaltoodud tõrke ilmnemist ja probleem logitakse sisse asukohta c:\windows\debug\netsetup.log. Tõrke mõistmiseks ja probleemi lahendamiseks järgige alltoodud juhiseid teemas Toiming.

14. märts 2023 käitumine

14. märtsil 2023 või pärast seda välja antud Windowsi värskendustes tegime turbekõvenemises mõned muudatused. Need muudatused hõlmavad kõiki 11. oktoobril 2022 tehtud muudatusi.

Esiteks laiendasime nende rühmade ulatust, mis on sellest paksenemisest vabastatud. Lisaks domeeniadministraatoritele on omanikukontrollist vabastatud ka ettevõtteadministraatorite ja sisseehitatud administraatorite rühmad.

Teiseks rakendasime uue rühmapoliitika sätte. Administraatorid saavad seda kasutada usaldusväärsete arvutikontode omanike lubatud loendi määramiseks. Arvutikonto eirab turbekontrolli, kui üks järgmistest on tõene.

  • Konto omanik on kasutaja, kes on määratud usaldusväärseks omanikuks rühmapoliitikas "Domeenikontroller: Luba arvutikonto uuesti kasutamine domeeniga liitumise ajal".

  • Konto omanik on kasutaja, kes kuulub rühmapoliitikas "Domeenikontroller: Luba arvutikonto domeeniga liitumise ajal uuesti kasutada".

Uue rühmapoliitika kasutamiseks peavad domeenikontrollerisse ja liikmesarvutisse olema installitud 14. märtsi 2023 või uuem värskendus. Mõnel teist võib olla kindlaid kontosid, mida kasutate arvutikontode automaatseks loomiseks. Kui nende kontode kuritarvitamine on turvaline ja usaldate neid arvutikontode loomiseks, saate need välistada. Windowsi värskenduste 11. oktoobril 2022 leevendatud algse nõrkuse vastu olete endiselt kaitstud.

12. september 2023 käitumine

12. septembril 2023 või hiljem välja antud Windowsi värskendustes tegime mõned täiendavad turbekõvenemise muudatused. Need muudatused hõlmavad kõiki 11. oktoobril 2022 tehtud muudatusi ja muudatusi alates 14. märtsist 2023.

Lahendasime probleemi, mille korral kiipkaardi autentimise abil domeeniga liitumine nurjus olenemata poliitikasättest. Selle probleemi lahendamiseks teisaldasime ülejäänud turbekontrollid tagasi domeenikontrollerisse. Seetõttu pärast 2023. aasta septembri turbevärskendust teevad klientarvutid autenditud SAMRPC kutsed domeenikontrollerile, et teha arvutikontode korduskasutamisega seotud turbekontrollid.

Kuid see võib põhjustada domeeniga liitumise nurjumise keskkondades, kus on määratud järgmine poliitika: Võrgujuurdepääs: piira kliente, kes tohivad TEHA SAM-i kaugkõnesid.  Lisateavet selle probleemi lahendamise kohta leiate jaotisest "Teadaolevad probleemid".

13. august 2024 käitumine

13. augustil 2024 või hiljem välja antud Windowsi värskendustes lahendasime kõik teadaolevad ühilduvusprobleemid Allowlisti poliitikaga. Eemaldasime ka NetJoinLegacyAccountReuse võtme toe . Tugevnev käitumine püsib olenemata võtmesättest. Sobivad erandite lisamise meetodid on ära toodud allpool jaotises "Tegutsemine". 

Toiming

Konfigureerige uus lubatud loendi poliitika domeenikontrolleri rühmapoliitika abil ja eemaldage kliendipoolsed pärandpõhised lahendused. Seejärel tehke järgmist.

  1. Kõigisse liikmearvutitesse ja domeenikontrolleritesse tuleb installida 12. septembri 2023 või uuemad värskendused. 

  2. Konfigureerige uues või olemasolevas rühmapoliitikas, mis rakendub kõigile domeenikontrolleritele, järgmiste juhiste sätted.

  3. Topeltklõpsake jaotises Arvuti konfiguratsioon\Poliitikad\Windowsi sätted\Turbesätted\Kohalikud poliitikad\Turbesuvandid valikut Domeenikontroller: Lubage arvutikonto uuesti kasutamine domeeniga liitumise ajal.

  4. Valige Määratle see poliitikasäte ja <Redigeeri turvet...>.

  5. Objektivalija abil saate lisada usaldusväärsete arvutikontode loojate ja omanike kasutajad või rühmad õigusesse Luba . (Hea tavana soovitame õiguste saamiseks kasutada rühmi.) Ärge lisage domeeniga liitumist teostavat kasutajakontot.

    Hoiatus.: Piirake liikmestaatuse poliitika usaldusväärsete kasutajate ja teenusekontodega. Ärge lisage sellele poliitikale autenditud kasutajaid, kõiki ega muid suuri rühmi. Selle asemel lisage rühmadesse kindlad usaldusväärsed kasutajad ja teenusekontod ning lisage need rühmad poliitikasse.

  6. Oodake rühmapoliitika värskendusintervalli või käivitage kõigis domeenikontrollerites gpupdate /force.

  7. Veenduge, et registrivõti HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" oleks täidetud soovitud SDDL-iga. Ärge redigeerige registrit käsitsi.

  8. Katse liituda arvutiga, kuhu on installitud 12. septembril 2023 või uuem värskendus. Veenduge, et üks poliitikas loetletud kontodest kuulub arvutikontole. Kui domeeniga liitumine nurjub, kontrollige \netsetup.log c:\windows\silumine.

Kui vajate endiselt alternatiivset lahendust, vaadake läbi arvutikonto ettevalmistamise töövood ja vaadake, kas muudatused on vajalikud. 

  1. Sooritage liitumistoiming sama kontoga, mis lõi arvutikonto sihtdomeenis.

  2. Kui olemasolev konto on aegunud (kasutamata), kustutage see enne, kui proovite domeeniga uuesti liituda.

  3. Nimetage arvuti ümber ja liituge mõne muu kontoga, mida pole veel olemas.

  4. Kui olemasolev konto kuulub usaldusväärsele turbesubjektile ja administraator soovib kontot uuesti kasutada, järgige 2023. aasta septembri või uuemate Windowsi värskenduste installimiseks ja lubade loendi konfigureerimiseks jaotises Toiming toodud juhiseid.

Nonsolutions

  • Ärge lisage domeeniadministraatorite turberühma teenusekontosid ega ettevalmistuskontosid.

  • Ärge redigeerige arvutikontode turbedeskriptorit käsitsi, kui te ei soovi nende kontode omandiõigust ümber määratleda, välja arvatud juhul, kui eelmine omanikukonto on kustutatud. Omaniku redigeerimise ajal lubatakse uute kontrollide õnnestumine, võib arvutikontol olla algsele omanikule samad potentsiaalselt riskantsed ja soovimatud õigused, v.a juhul, kui need on konkreetselt läbi vaadatud ja eemaldatud.

Uued sündmuselogid

Sündmuselogi

SÜSTEEM  

Sündmuse allikas

Netjoin

Sündmuse ID

4100

Sündmuse tüüp

Informatiivsel

Sündmuse tekst

"Domeeniga liitumise ajal võttis domeenikontroller ühendust active Directory olemasoleva samanimelise arvutikontoga.

Selle konto uuesti kasutamise katse oli lubatud.

Otsitud domeenikontrollerilt: <domeenikontrolleri nimi>Olemasolev arvutikonto DN: <arvutikonto DN-tee>. Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2202145.

Sündmuselogi

SÜSTEEM

Sündmuse allikas

Netjoin

Sündmuse ID

4101

Sündmuse tüüp

Tõrge

Sündmuse tekst

Domeeniga liitumise ajal võttis domeenikontroller ühendust active Directory olemasoleva samanimelise arvutikontoga. Selle konto uuesti kasutamise katset takistati turvalisusega seotud põhjustel. Otsitud domeenikontrollerist: olemasolev arvutikonto DN: tõrkekood <tõrkekood>. Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2202145.

Silumislogi on kõigis klientarvutites vaikimisi saadaval (paljusõnalist logimist pole vaja lubada) kaustaS:\Windows\Silumine\netsetup.log.

Näide silumise logimisest, mis luuakse siis, kui konto korduskasutust turvalisuse huvides ei lubata.

NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac

Uued sündmused lisati märtsis 2023 

See värskendus lisab domeenikontrolleri SÜSTEEMIlogisse neli (4) uut sündmust:

Sündmuse tase

Informatiivsel

Sündmuse ID

16995

Logi

SÜSTEEM

Sündmuse allikas

Directory-Services-SAM

Sündmuse tekst

Turbekonto haldur kasutab määratud turbedeskriptorit arvutikonto uuesti kasutamise katsete valideerimiseks domeeniga liitumise ajal.

SDDL-väärtus: SDDL-stringi> <

See lubatud loend on konfigureeritud Active Directory rühmapoliitika kaudu.

Lisateavet leiate teemast http://go.microsoft.com/fwlink/?LinkId=2202145.

Sündmuse tase

Tõrge

Sündmuse ID

16996

Logi

SÜSTEEM

Sündmuse allikas

Directory-Services-SAM

Sündmuse tekst

Turbedeskriptor, mis sisaldab arvutikonto uuestikasutuse lubamise loendit, mida kasutatakse klienditaotluste domeeniga liitumise valideerimiseks, on vigane.

SDDL-väärtus: SDDL-stringi> <

See lubatud loend on konfigureeritud Active Directory rühmapoliitika kaudu.

Selle probleemi lahendamiseks peab administraator poliitika värskendama, et seada see väärtus kehtivale turbedeskriptorile või keelata.

Lisateavet leiate teemast http://go.microsoft.com/fwlink/?LinkId=2202145.

Sündmuse tase

Tõrge

Sündmuse ID

16997

Logi

SÜSTEEM

Sündmuse allikas

Directory-Services-SAM

Sündmuse tekst

Turbekonto haldur leidis arvutikonto, mis näib olevat orb ja millel pole olemasolevat omanikku.

Arvutikonto: S-1-5-xxx

Arvutikonto omanik: S-1-5-xxx

Lisateavet leiate teemast http://go.microsoft.com/fwlink/?LinkId=2202145.

Sündmuse tase

Hoiatus!

Sündmuse ID

16998

Logi

SÜSTEEM

Sündmuse allikas

Directory-Services-SAM

Sündmuse tekst

Turbekonto haldur lükkas tagasi klienditaotluse arvutikonto uuesti kasutamiseks domeeniga liitumise ajal.

Arvutikonto ja kliendi identiteet ei vastanud turvalisuse valideerimise kontrollidele.

Kliendikonto: S-1-5-xxx

Arvutikonto: S-1-5-xxx

Arvutikonto omanik: S-1-5-xxx

Kontrollige selle sündmuse kirjeandmeid NT tõrkekoodi kohta.

Lisateavet leiate teemast http://go.microsoft.com/fwlink/?LinkId=2202145.

Vajaduse korral võib netsetup.log anda lisateavet.

Teadaolevad probleemid

Probleem 1

Pärast 12. septembri 2023 või uuemate värskenduste installimist võib domeeniga liitumine nurjuda keskkondades, kus on määratud järgmine poliitika: Võrgujuurdepääs - Klientidele SAM-i kaugkõnede tegemise lubamise piiramine - Windowsi turve | Microsoft Learn. Põhjus on selles, et klientarvutid teevad nüüd autenditud SAMRPC kutseid domeenikontrollerile, et teha arvutikontode korduskasutamisega seotud turbekontrollid.     See on oodatav. Selle muudatuse mahutamiseks peaksid administraatorid säilitama domeenikontrolleri SAMRPC poliitika vaikesätetes VÕI lisama SDDL-i sätetesse selgesõnaliselt domeeniga liitumist teostava kasutajarühma, et anda neile õigus. 

Näide netsetup.log, kus see probleem ilmnes:

09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c0000022, NetStatus: 5
09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused: Active Directory Policy check with SAM_DOMAIN_JOIN_POLICY_LEVEL_V2 returned NetStatus:0x5.
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
09/18/2023 13:37:15:379 NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
09/18/2023 13:37:15:379 NetpProvisionComputerAccount: LDAP creation failed: 0xaac

Probleem 2

Kui arvuti omaniku konto on kustutatud ja arvutikontot proovitakse uuesti kasutada, logitakse sündmus 16997 süsteemi sündmuselogisse. Sel juhul on võimalik omandiõigus mõnele muule kontole või rühmale uuesti määrata.

Probleem 3

Kui ainult kliendil on 14. märtsi 2023 või uuem värskendus, tagastab Active Directory poliitika kontroll 0x32 STATUS_NOT_SUPPORTED. Varasemad kontrollid, mis viidi läbi novembri kiirparandustes, rakendatakse vastavalt allpool toodud näitele.

NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c00000bb, NetStatus: 32 
NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x32.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
NetpProvisionComputerAccount: LDAP creation failed: 0xaac

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.

Kogukonnad aitavad teil küsimusi esitada ja neile vastuseid saada, anda tagasisidet ja saada nõu rikkalike teadmistega asjatundjatelt.