หมายเหตุ: อัปเดตเมื่อ 13/08/2024; ดูลักษณะการทํางานของวันที่ 13 สิงหาคม 2024
บทสรุป
การอัปเดต Windows ที่เผยแพร่ในวันที่ 11 ตุลาคม 2022 และหลังจากนั้นจะมีการป้องกันเพิ่มเติมที่นําเสนอโดย CVE-2022-38042 การป้องกันเหล่านี้ป้องกันการดําเนินการเข้าร่วมโดเมนจากการใช้บัญชีคอมพิวเตอร์ที่มีอยู่ในโดเมนเป้าหมายอีกครั้งเว้นแต่ว่า:
-
ผู้ใช้ที่พยายามดําเนินการเป็นผู้สร้างบัญชีที่มีอยู่
หรือ
-
คอมพิวเตอร์ถูกสร้างขึ้นโดยสมาชิกของผู้ดูแลโดเมน
หรือ
-
เจ้าของบัญชีคอมพิวเตอร์ที่นํามาใช้ใหม่เป็นสมาชิกของ "ตัวควบคุมโดเมน: อนุญาตให้ใช้บัญชีคอมพิวเตอร์อีกครั้งระหว่างการเข้าร่วมโดเมน" การตั้งค่านโยบายกลุ่ม การตั้งค่านี้จําเป็นต้องติดตั้งการอัปเดต Windows ที่เผยแพร่ในวันที่ 14 มีนาคม 2023 หรือหลังจากนั้น บนคอมพิวเตอร์ที่เป็นสมาชิกทั้งหมดและตัวควบคุมโดเมน
การอัปเดตที่เผยแพร่ในวันที่ 14 มีนาคม 2023 และวันที่ 12 กันยายน 2023 และหลังจากนั้นจะมอบตัวเลือกเพิ่มเติมสําหรับลูกค้าที่ได้รับผลกระทบบน Windows Server 2012 R2 และสูงกว่าและไคลเอ็นต์ที่ได้รับการสนับสนุนทั้งหมด สําหรับข้อมูลเพิ่มเติม โปรดดูที่ส่วนลักษณะการทํางานและการดําเนินการของวันที่ 11 ตุลาคม 2022
โน้ต บทความนี้อ้างอิงรีจิสทรีคีย์ NetJoinLegacyAccountReuse ไว้ก่อนหน้านี้ ตั้งแต่วันที่ 13 สิงหาคม 2024 รีจิสทรีคีย์นี้และการอ้างอิงในบทความนี้ถูกเอาออก
ลักษณะการทํางานก่อนวันที่ 11 ตุลาคม 2022
ก่อนที่คุณจะติดตั้งการอัปเดตแบบสะสมของวันที่ 11 ตุลาคม 2022 หรือใหม่กว่า คอมพิวเตอร์ไคลเอ็นต์จะคิวรี Active Directory สําหรับบัญชีที่มีอยู่ที่มีชื่อเดียวกัน คิวรีนี้เกิดขึ้นในระหว่างการเข้าร่วมโดเมนและการเตรียมใช้งานบัญชีคอมพิวเตอร์ หากมีบัญชีดังกล่าวอยู่ ลูกค้าจะพยายามนําบัญชีนั้นกลับมาใช้ใหม่โดยอัตโนมัติ
โน้ต ความพยายามนํากลับมาใช้ใหม่จะล้มเหลวถ้าผู้ใช้ที่พยายามดําเนินการเข้าร่วมโดเมนไม่มีสิทธิ์การเขียนที่เหมาะสม อย่างไรก็ตาม ถ้าผู้ใช้มีสิทธิ์เพียงพอการเข้าร่วมโดเมนจะสําเร็จ
มีสถานการณ์สมมติสองสถานการณ์สําหรับการเข้าร่วมโดเมนที่มีลักษณะการทํางานเริ่มต้นและค่าสถานะที่เกี่ยวข้องดังนี้:
-
การเข้าร่วมโดเมน (NetJoinDomain)
-
ค่าเริ่มต้นสําหรับการนําบัญชีมาใช้ใหม่ (ยกเว้นมีการระบุค่าสถานะ NETSETUP_NO_ACCT_REUSE )
-
-
การเตรียมใช้งานบัญชี (NetProvisionComputerAccountNetCreateProvisioningPackage)
-
ค่าเริ่มต้นเป็น ไม่มี การนํากลับมาใช้ใหม่ (ยกเว้นมีการระบุ NETSETUP_PROVISION_REUSE_ACCOUNT )
-
ลักษณะการทํางานของวันที่ 11 ตุลาคม 2022
เมื่อคุณติดตั้งการอัปเดตแบบสะสมของ Windows บนคอมพิวเตอร์ไคลเอ็นต์ในวันที่ 11 ตุลาคม 2022 หรือใหม่กว่า ระหว่างการเข้าร่วมโดเมน ไคลเอ็นต์จะดําเนินการตรวจสอบความปลอดภัยเพิ่มเติมก่อนที่จะพยายามนําบัญชีคอมพิวเตอร์ที่มีอยู่มาใช้ใหม่ อัลกอริทึม:
-
ความพยายามนําบัญชีกลับมาใช้ใหม่จะได้รับอนุญาตหากผู้ใช้ที่พยายามดําเนินการเป็นผู้สร้างบัญชีที่มีอยู่
-
ความพยายามนําบัญชีกลับมาใช้ใหม่จะได้รับอนุญาตหากบัญชีถูกสร้างขึ้นโดยสมาชิกของผู้ดูแลระบบโดเมน
การตรวจสอบความปลอดภัยเพิ่มเติมเหล่านี้จะเสร็จสิ้นก่อนพยายามเข้าร่วมคอมพิวเตอร์ ถ้าการตรวจสอบเสร็จสมบูรณ์ การดําเนินการเข้าร่วมที่เหลือจะอยู่ภายใต้สิทธิ์ Active Directory เหมือนก่อนหน้านี้
การเปลี่ยนแปลงนี้ไม่มีผลต่อบัญชีใหม่
หมายเหตุ หลังจากติดตั้งการอัปเดตแบบสะสมของ Windows ในวันที่ 11 ตุลาคม 2022 หรือใหม่กว่า โดเมนที่เข้าร่วมกับบัญชีคอมพิวเตอร์อาจนํามาใช้ใหม่โดยเจตนาอาจล้มเหลวโดยมีข้อผิดพลาดต่อไปนี้:
0xaac ข้อผิดพลาด (2732): NERR_AccountReuseBlockedByPolicy: "บัญชีที่มีชื่อเดียวกันมีอยู่ใน Active Directory การใช้บัญชีอีกครั้งถูกบล็อกโดยนโยบายความปลอดภัย"
หากเป็นเช่นนั้น บัญชีจะได้รับการป้องกันโดยตั้งใจโดยลักษณะการทํางานแบบใหม่
รหัสเหตุการณ์ 4101 จะถูกทริกเกอร์เมื่อเกิดข้อผิดพลาดข้างต้นและจะเข้าสู่ระบบใน c:\windows\debug\netsetup.log โปรดทําตามขั้นตอนด้านล่างใน ดําเนินการ เพื่อทําความเข้าใจความล้มเหลวและแก้ไขปัญหา
ลักษณะการทํางานวันที่ 14 มีนาคม 2566
ในการอัปเดต Windows ที่เผยแพร่ในวันที่ 14 มีนาคม 2023 หรือหลังจากนั้น เราทําการเปลี่ยนแปลงบางอย่างกับการเพิ่มความปลอดภัย การเปลี่ยนแปลงเหล่านี้รวมถึงการเปลี่ยนแปลงทั้งหมดที่เราทําในวันที่ 11 ตุลาคม 2022
ก่อนอื่นเราได้ขยายขอบเขตของกลุ่มที่ได้รับการยกเว้นจากการชุบแข็งนี้ นอกจากผู้ดูแลระบบโดเมนแล้ว ผู้ดูแลระบบขององค์กรและกลุ่มผู้ดูแลระบบที่มีอยู่แล้วภายในจะได้รับการยกเว้นจากการตรวจสอบความเป็นเจ้าของ
ประการที่สอง เราได้นําการตั้งค่านโยบายกลุ่มใหม่มาใช้ ผู้ดูแลระบบสามารถใช้เพื่อระบุรายการที่อนุญาตของเจ้าของบัญชีคอมพิวเตอร์ที่เชื่อถือได้ บัญชีคอมพิวเตอร์จะข้ามการตรวจสอบความปลอดภัยถ้าอย่างใดอย่างหนึ่งต่อไปนี้เป็นจริง:
-
บัญชีเป็นของผู้ใช้ที่ระบุเป็นเจ้าของที่เชื่อถือได้ในนโยบายกลุ่ม "ตัวควบคุมโดเมน: อนุญาตให้ใช้บัญชีคอมพิวเตอร์อีกครั้งระหว่างการเข้าร่วมโดเมน"
-
บัญชีเป็นของผู้ใช้ที่เป็นสมาชิกของกลุ่มที่ระบุเป็นเจ้าของที่เชื่อถือได้ในนโยบายกลุ่ม "ตัวควบคุมโดเมน: อนุญาตการใช้บัญชีคอมพิวเตอร์อีกครั้งระหว่างการเข้าร่วมโดเมน"
เมื่อต้องการใช้นโยบายกลุ่มใหม่นี้ ตัวควบคุมโดเมนและคอมพิวเตอร์สมาชิกต้องมีการติดตั้งการอัปเดตวันที่ 14 มีนาคม 2023 หรือใหม่กว่าอย่างสม่ําเสมอ บางคนอาจมีบัญชีที่คุณใช้ในการสร้างบัญชีคอมพิวเตอร์อัตโนมัติ หากบัญชีเหล่านั้นมีความปลอดภัยจากการใช้งานในทางที่ผิด และคุณไว้วางใจให้พวกเขาสร้างบัญชีคอมพิวเตอร์ คุณสามารถยกเว้นได้ คุณจะยังคงปลอดภัยจากช่องโหว่เดิมที่บรรเทาจากการอัปเดต Windows ในวันที่ 11 ตุลาคม 2022
ลักษณะการทํางานของวันที่ 12 กันยายน 2023
ในการอัปเดต Windows ที่เผยแพร่ในวันที่ 12 กันยายน 2023 หรือหลังจากนั้น เราทําการเปลี่ยนแปลงเพิ่มเติมเล็กน้อยในการเพิ่มความปลอดภัย การเปลี่ยนแปลงเหล่านี้รวมถึงการเปลี่ยนแปลงทั้งหมดที่เราทําในวันที่ 11 ตุลาคม 2022 และการเปลี่ยนแปลงตั้งแต่วันที่ 14 มีนาคม 2023
เราได้แก้ไขปัญหาที่การเข้าร่วมโดเมนโดยใช้การรับรองความถูกต้องสมาร์ทการ์ดล้มเหลวโดยไม่คํานึงถึงการตั้งค่านโยบาย เมื่อต้องการแก้ไขปัญหานี้ เราได้ย้ายการตรวจสอบความปลอดภัยที่เหลือกลับไปยังตัวควบคุมโดเมน ดังนั้น หลังจากการอัปเดตความปลอดภัยเดือนกันยายน 2023 เครื่องไคลเอ็นต์จะเรียก SAMRPC ที่ได้รับการรับรองความถูกต้องไปยังตัวควบคุมโดเมนเพื่อทําการตรวจสอบความปลอดภัยที่เกี่ยวข้องกับการใช้บัญชีคอมพิวเตอร์อีกครั้ง
อย่างไรก็ตาม อาจทําให้การเข้าร่วมโดเมนล้มเหลวในสภาพแวดล้อมที่มีการตั้งค่านโยบายต่อไปนี้: การเข้าถึงเครือข่าย: จํากัดไคลเอ็นต์ที่อนุญาตให้โทรระยะไกลไปยัง SAM โปรดดูที่ส่วน "ปัญหาที่ทราบ" สําหรับข้อมูลเกี่ยวกับวิธีการแก้ไขปัญหานี้
พฤติกรรมวันที่ 13 สิงหาคม 2024
ในการอัปเดตของ Windows ที่เผยแพร่ในวันที่ 13 สิงหาคม 2024 หรือหลังจากนั้น เราได้แก้ไขปัญหาความเข้ากันได้ที่ทราบทั้งหมดด้วยนโยบาย Allowlist เรายังได้นําการสนับสนุนคีย์ NetJoinLegacyAccountReuse ออกด้วย ลักษณะการทํางานที่แข็งตัวจะยังคงอยู่โดยไม่คํานึงถึงการตั้งค่าแป้น วิธีการที่เหมาะสมสําหรับการเพิ่มการยกเว้นจะแสดงอยู่ในส่วนดําเนินการด้านล่าง
ดําเนินการ
กําหนดค่านโยบายรายการอนุญาตใหม่โดยใช้นโยบายกลุ่มบนตัวควบคุมโดเมน และลบการแก้ไขปัญหาชั่วคราวฝั่งไคลเอ็นต์แบบดั้งเดิมออก จากนั้นให้ทําดังต่อไปนี้:
-
คุณต้องติดตั้งการอัปเดตวันที่ 12 กันยายน 2023 หรือใหม่กว่าในคอมพิวเตอร์ที่เป็นสมาชิกและตัวควบคุมโดเมนทั้งหมด
-
ในนโยบายกลุ่มใหม่หรือที่มีอยู่ที่นําไปใช้กับตัวควบคุมโดเมนทั้งหมด ให้กําหนดค่าการตั้งค่าในขั้นตอนด้านล่าง
-
ภายใต้ การกําหนดค่าคอมพิวเตอร์\นโยบาย\การตั้งค่า Windows\การตั้งค่าความปลอดภัย\นโยบายภายใน\ตัวเลือกความปลอดภัย ให้ดับเบิลคลิกที่ ตัวควบคุมโดเมน: อนุญาตให้ใช้บัญชีคอมพิวเตอร์อีกครั้งระหว่างการเข้าร่วมโดเมน
-
เลือก กําหนดการตั้งค่านโยบายนี้ และ <แก้ไขความปลอดภัย...>
-
ใช้ตัวเลือกวัตถุเพื่อเพิ่มผู้ใช้หรือกลุ่มของผู้สร้างบัญชีคอมพิวเตอร์ที่เชื่อถือได้และ เจ้าของไปยังอนุญาต สิทธิ์ (สําหรับแนวทางปฏิบัติที่ดีที่สุด เราขอแนะนําให้คุณใช้กลุ่มสําหรับสิทธิ์) อย่าเพิ่มบัญชีผู้ใช้ที่ทําการรวมโดเมน
คำเตือน: จํากัดการเป็นสมาชิกของนโยบายไว้ที่ผู้ใช้และบัญชีบริการที่เชื่อถือได้ อย่าเพิ่มผู้ใช้ที่ได้รับการรับรองความถูกต้อง ทุกคน หรือกลุ่มขนาดใหญ่อื่นๆ ลงในนโยบายนี้ แต่ให้เพิ่มผู้ใช้ที่เชื่อถือได้และบัญชีบริการเฉพาะลงในกลุ่มและเพิ่มกลุ่มเหล่านั้นลงในนโยบายแทน
-
รอให้ช่วงเวลาการรีเฟรชนโยบายกลุ่มหรือเรียกใช้ gpupdate /force บนตัวควบคุมโดเมนทั้งหมด
-
ตรวจสอบว่ามีการเติมรีจิสทรีคีย์ HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" ด้วย SDDL ที่ต้องการ ห้ามแก้ไขรีจิสทรีด้วยตนเอง
-
พยายามเข้าร่วมคอมพิวเตอร์ที่มีการติดตั้งการอัปเดตวันที่ 12 กันยายน 2023 หรือใหม่กว่า ตรวจสอบให้แน่ใจว่าบัญชีใดบัญชีหนึ่งที่แสดงอยู่ในนโยบายเป็นเจ้าของบัญชีคอมพิวเตอร์ ถ้าการเข้าร่วมโดเมนล้มเหลว ให้ตรวจสอบ \netsetup.log c:\windows\debug
ถ้าคุณยังต้องการวิธีแก้ไขปัญหาชั่วคราวอื่น ให้ตรวจทานเวิร์กโฟลว์การเตรียมใช้งานบัญชีคอมพิวเตอร์ และทําความเข้าใจว่ามีการเปลี่ยนแปลงหรือไม่
-
ดําเนินการเข้าร่วมโดยใช้บัญชีเดียวกับที่สร้างบัญชีคอมพิวเตอร์ในโดเมนเป้าหมาย
-
ถ้าบัญชีที่มีอยู่เก่า (ไม่ได้ใช้งาน) ให้ลบออกก่อนที่จะพยายามเข้าร่วมโดเมนอีกครั้ง
-
เปลี่ยนชื่อคอมพิวเตอร์และเข้าร่วมโดยใช้บัญชีผู้ใช้อื่นที่ยังไม่มีอยู่
-
หากบัญชีที่มีอยู่เป็นของหลักด้านความปลอดภัยที่เชื่อถือได้และผู้ดูแลระบบต้องการนําบัญชีกลับมาใช้ใหม่ ให้ทําตามคําแนะนําในส่วน ดําเนินการ เพื่อติดตั้งการอัปเดต Windows ในเดือนกันยายน 2023 หรือใหม่กว่า และกําหนดค่ารายการที่อนุญาต
ไม่เป็นสารละลาย
-
อย่าเพิ่มบัญชีบริการหรือบัญชีการเตรียมใช้งานลงในกลุ่มความปลอดภัยของผู้ดูแลโดเมน
-
ห้ามแก้ไขตัวบอกเกี่ยวกับความปลอดภัยด้วยตนเองในบัญชีคอมพิวเตอร์โดยพยายามกําหนดความเป็นเจ้าของบัญชีดังกล่าวใหม่ เว้นแต่ว่าบัญชีเจ้าของเดิมถูกลบออก ในขณะที่การแก้ไขเจ้าของจะทําให้การตรวจสอบใหม่สําเร็จ แต่บัญชีคอมพิวเตอร์อาจเก็บสิทธิ์ที่อาจมีความเสี่ยงแบบเดียวกันที่ไม่ต้องการสําหรับเจ้าของเดิมไว้ เว้นแต่จะมีการตรวจทานและเอาออกอย่างชัดเจน
บันทึกเหตุการณ์ใหม่
|
บันทึกเหตุการณ์ |
ระบบ |
|
แหล่งของเหตุการณ์ |
Netjoin |
|
ID เหตุการณ์ |
4100 |
|
ชนิดเหตุการณ์ |
ข้อมูล |
|
ข้อความเหตุการณ์ |
"ในระหว่างการเข้าร่วมโดเมน ตัวควบคุมโดเมนได้ติดต่อหาบัญชีคอมพิวเตอร์ที่มีอยู่ใน Active Directory ที่มีชื่อเดียวกัน อนุญาตให้พยายามใช้บัญชีนี้อีกครั้ง ตัวควบคุมโดเมนที่ค้นหา: <ชื่อตัวควบคุมโดเมน>บัญชีผู้ใช้คอมพิวเตอร์ที่มีอยู่ DN: <เส้นทาง DN ของบัญชีผู้ใช้คอมพิวเตอร์> ดูที่ https://go.microsoft.com/fwlink/?linkid=2202145 สําหรับข้อมูลเพิ่มเติม |
|
บันทึกเหตุการณ์ |
ระบบ |
|
แหล่งของเหตุการณ์ |
Netjoin |
|
ID เหตุการณ์ |
4101 |
|
ชนิดเหตุการณ์ |
ข้อผิดพลาด |
|
ข้อความเหตุการณ์ |
ในระหว่างการเข้าร่วมโดเมน ตัวควบคุมโดเมนได้ติดต่อหาบัญชีผู้ใช้คอมพิวเตอร์ที่มีอยู่ใน Active Directory ที่มีชื่อเดียวกัน ความพยายามนําบัญชีนี้กลับมาใช้ใหม่ถูกป้องกันด้วยเหตุผลด้านความปลอดภัย ตัวควบคุมโดเมนค้นหา: DN บัญชีคอมพิวเตอร์ที่มีอยู่: รหัสข้อผิดพลาดถูก <รหัสข้อผิดพลาด> ดูที่ https://go.microsoft.com/fwlink/?linkid=2202145 สําหรับข้อมูลเพิ่มเติม |
การบันทึกแก้จุดบกพร่องจะพร้อมใช้งานตามค่าเริ่มต้น (ไม่จําเป็นต้องเปิดใช้งานการบันทึกแบบรายละเอียดใดๆ) ใน C:\Windows\Debug\netsetup.log บนคอมพิวเตอร์ไคลเอ็นต์ทั้งหมด
ตัวอย่างของการบันทึกการแก้ไขจุดบกพร่องที่สร้างขึ้นเมื่อป้องกันการใช้บัญชีซ้ําด้วยเหตุผลด้านความปลอดภัย:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
เหตุการณ์ใหม่ที่เพิ่มในเดือนมีนาคม 2023
การอัปเดตนี้เพิ่มเหตุการณ์ใหม่สี่ (4) รายการในบันทึกของระบบบนตัวควบคุมโดเมนดังนี้:
|
ระดับเหตุการณ์ |
ข้อมูล |
|
รหัสเหตุการณ์ |
16995 |
|
ซุง |
ระบบ |
|
แหล่งของเหตุการณ์ |
Directory-Services-SAM |
|
ข้อความเหตุการณ์ |
ตัวจัดการบัญชีความปลอดภัยกําลังใช้ตัวบอกเกี่ยวกับความปลอดภัยที่ระบุสําหรับการตรวจสอบความถูกต้องของบัญชีคอมพิวเตอร์ที่พยายามใช้ใหม่ระหว่างการเข้าร่วมโดเมน ค่า SDDL: <> สตริง SDDL รายการที่อนุญาตนี้ได้รับการกําหนดค่าผ่านนโยบายกลุ่มใน Active Directory สําหรับข้อมูลเพิ่มเติม โปรดดูที่ http://go.microsoft.com/fwlink/?LinkId=2202145 |
|
ระดับเหตุการณ์ |
ข้อผิดพลาด |
|
รหัสเหตุการณ์ |
16996 |
|
ซุง |
ระบบ |
|
แหล่งของเหตุการณ์ |
Directory-Services-SAM |
|
ข้อความเหตุการณ์ |
ตัวบอกเกี่ยวกับความปลอดภัยที่มีบัญชีคอมพิวเตอร์นํารายการอนุญาตมาใช้ใหม่ซึ่งถูกใช้เพื่อตรวจสอบความถูกต้องของการเข้าร่วมโดเมนที่ไคลเอ็นต์ร้องขอมีรูปแบบไม่ถูกต้อง ค่า SDDL: <> สตริง SDDL รายการที่อนุญาตนี้ได้รับการกําหนดค่าผ่านนโยบายกลุ่มใน Active Directory เมื่อต้องการแก้ไขปัญหานี้ ผู้ดูแลระบบจะต้องปรับปรุงนโยบายเพื่อตั้งค่านี้ให้เป็นตัวบอกเกี่ยวกับความปลอดภัยที่ถูกต้องหรือปิดใช้งาน สําหรับข้อมูลเพิ่มเติม โปรดดูที่ http://go.microsoft.com/fwlink/?LinkId=2202145 |
|
ระดับเหตุการณ์ |
ข้อผิดพลาด |
|
รหัสเหตุการณ์ |
16997 |
|
ซุง |
ระบบ |
|
แหล่งของเหตุการณ์ |
Directory-Services-SAM |
|
ข้อความเหตุการณ์ |
ผู้จัดการบัญชีความปลอดภัยพบบัญชีคอมพิวเตอร์ที่ดูเหมือนจะกําพร้าและไม่มีเจ้าของที่มีอยู่ บัญชีคอมพิวเตอร์: S-1-5-xxx เจ้าของบัญชีคอมพิวเตอร์: S-1-5-xxx สําหรับข้อมูลเพิ่มเติม โปรดดูที่ http://go.microsoft.com/fwlink/?LinkId=2202145 |
|
ระดับเหตุการณ์ |
คำเตือน |
|
รหัสเหตุการณ์ |
16998 |
|
ซุง |
ระบบ |
|
แหล่งของเหตุการณ์ |
Directory-Services-SAM |
|
ข้อความเหตุการณ์ |
ตัวจัดการบัญชีความปลอดภัยปฏิเสธคําขอจากไคลเอ็นต์ให้ใช้บัญชีคอมพิวเตอร์อีกครั้งระหว่างการเข้าร่วมโดเมน บัญชีคอมพิวเตอร์และข้อมูลประจําตัวไคลเอ็นต์ไม่ตรงกับการตรวจสอบความปลอดภัย บัญชีลูกค้า: S-1-5-xxx บัญชีคอมพิวเตอร์: S-1-5-xxx เจ้าของบัญชีคอมพิวเตอร์: S-1-5-xxx ตรวจสอบข้อมูลบันทึกของเหตุการณ์นี้สําหรับรหัสข้อผิดพลาด NT สําหรับข้อมูลเพิ่มเติม โปรดดูที่ http://go.microsoft.com/fwlink/?LinkId=2202145 |
หากจําเป็น netsetup.log สามารถให้ข้อมูลเพิ่มเติมได้
ปัญหาที่ทราบแล้ว
|
ปัญหาที่ 1 |
หลังจากติดตั้งการอัปเดตวันที่ 12 กันยายน 2023 หรือใหม่กว่า การเข้าร่วมโดเมนอาจล้มเหลวในสภาพแวดล้อมที่มีการตั้งค่านโยบายต่อไปนี้: การเข้าถึงเครือข่าย - จํากัดไคลเอ็นต์ที่อนุญาตให้โทรระยะไกลไปยัง SAM - ความปลอดภัยของ Windows | Microsoft Learn เนื่องจากในตอนนี้เครื่องไคลเอ็นต์จะเรียกใช้ SAMRPC ที่ได้รับการรับรองความถูกต้องไปยังตัวควบคุมโดเมนเพื่อทําการตรวจสอบความปลอดภัยที่เกี่ยวข้องกับการใช้บัญชีคอมพิวเตอร์อีกครั้ง นี่คือสิ่งที่คาดไว้ เพื่อรองรับการเปลี่ยนแปลงนี้ ผู้ดูแลระบบควรเก็บนโยบาย SAMRPC ของตัวควบคุมโดเมนไว้ที่การตั้งค่าเริ่มต้น หรือระบุกลุ่มผู้ใช้ที่เข้าร่วมโดเมนในการตั้งค่า SDDL เพื่อให้สิทธิ์แก่ผู้ดูแลระบบ ตัวอย่างจาก netsetup.log ที่ปัญหานี้เกิดขึ้น: |
|
ปัญหาที่ 2 |
หากบัญชีเจ้าของคอมพิวเตอร์ถูกลบและพยายามนําบัญชีคอมพิวเตอร์กลับมาใช้ใหม่ เหตุการณ์ 16997 จะถูกบันทึกไว้ในบันทึกเหตุการณ์ของระบบ หากเกิดเหตุการณ์นี้ขึ้น คุณสามารถกําหนดความเป็นเจ้าของให้กับบัญชีหรือกลุ่มอื่นอีกครั้งได้ |
|
ปัญหาที่ 3 |
ถ้ามีเฉพาะไคลเอ็นต์ที่มีการอัปเดตวันที่ 14 มีนาคม 2023 หรือใหม่กว่า การตรวจสอบนโยบาย Active Directory จะส่งกลับ 0x32 STATUS_NOT_SUPPORTED การตรวจสอบก่อนหน้านี้ที่ถูกนําไปใช้ในการแก้ไขด่วนเดือนพฤศจิกายนจะนําไปใช้ตามที่แสดงด้านล่าง: |
