KB5020276 — Netjoin: تغييرات تقوية الانضمام إلى المجال

الملخص

تحتوي تحديثات Windows التي تم إصدارها في 11 أكتوبر 2022 وبعده على حماية إضافية مقدمة من CVE-2022-38042. تمنع عمليات الحماية هذه عمدا عمليات الانضمام إلى المجال من إعادة استخدام حساب كمبيوتر موجود في المجال الهدف ما لم:

المستخدم الذي يحاول العملية هو منشئ الحساب الحالي.

أو
تم إنشاء الكمبيوتر بواسطة عضو من مسؤولي المجال.

أو

مالك حساب الكمبيوتر الذي تتم إعادة استخدامه هو عضو في "وحدة تحكم المجال: السماح بإعادة استخدام حساب الكمبيوتر أثناء الانضمام إلى المجال." إعداد نهج المجموعة. يتطلب هذا الإعداد تثبيت تحديثات Windows التي تم إصدارها في 14 مارس 2023 أو بعد ذلك، على جميع أجهزة الكمبيوتر الأعضاء ووحدات التحكم بالمجال.

التحديثات تم إصداره في 14 مارس 2023 وبعده و12 سبتمبر 2023، سيوفر خيارات إضافية للعملاء المتأثرين على Windows Server 2012 R2 وما فوق وجميع العملاء المدعومين. لمزيد من المعلومات، راجع قسمي سلوك 11 أكتوبر 2022 واتخاذ إجراء .

السلوك قبل 11 أكتوبر 2022

قبل تثبيت التحديثات التراكمية في 11 أكتوبر 2022 أو التحديثات التراكمية اللاحقة، يستعلم الكمبيوتر العميل عن Active Directory لحساب موجود بنفس الاسم. يحدث هذا الاستعلام أثناء الانضمام إلى المجال وتوفير حساب الكمبيوتر. إذا كان مثل هذا الحساب موجودا، فسيحاول العميل إعادة استخدامه تلقائيا.

ملاحظه ستفشل محاولة إعادة الاستخدام إذا لم يكن لدى المستخدم الذي يحاول عملية الانضمام إلى المجال أذونات الكتابة المناسبة. ومع ذلك، إذا كان لدى المستخدم أذونات كافية، فسينجح الانضمام إلى المجال.

هناك سيناريوهان للانضمام إلى المجال مع السلوكيات والعلامات الافتراضية المعنية على النحو التالي:

الانضمام إلى المجال (NetJoinDomain)
- الإعدادات الافتراضية لإعادة استخدام الحساب (ما لم يتم تحديد علامة NETSETUP_NO_ACCT_REUSE )
توفير الحساب (NetProvisionComputerAccountNetCreateProvisioningPackage).
- الإعدادات الافتراضية لإعادة استخدام NO (ما لم يتم تحديد NETSETUP_PROVISION_REUSE_ACCOUNT .)

سلوك 11 أكتوبر 2022

بمجرد تثبيت تحديثات Windows التراكمية في 11 أكتوبر 2022 أو أحدث على كمبيوتر عميل، أثناء الانضمام إلى المجال، سيقوم العميل بإجراء فحوصات أمان إضافية قبل محاولة إعادة استخدام حساب كمبيوتر موجود. خوارزميه:

سيتم السماح بمحاولة إعادة استخدام الحساب إذا كان المستخدم الذي يحاول العملية هو منشئ الحساب الحالي.
سيتم السماح بمحاولة إعادة استخدام الحساب إذا تم إنشاء الحساب بواسطة عضو من مسؤولي المجال.

يتم إجراء عمليات التحقق الإضافية من الأمان هذه قبل محاولة الانضمام إلى الكمبيوتر. إذا كانت عمليات التحقق ناجحة، تخضع بقية عملية الربط لأذونات Active Directory كما كان من قبل.

لا يؤثر هذا التغيير على الحسابات الجديدة.

‏ملاحظة بعد تثبيت تحديثات Windows التراكمية في 11 أكتوبر 2022 أو أحدث، قد يفشل الانضمام إلى المجال مع إعادة استخدام حساب الكمبيوتر عن قصد مع الخطأ التالي:

خطأ 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "يوجد حساب بنفس الاسم في Active Directory. تم حظر إعادة استخدام الحساب بواسطة نهج الأمان."

إذا كان الأمر كذلك، يتم حماية الحساب عن قصد بواسطة السلوك الجديد.

سيتم تشغيل معرف الحدث 4101 بمجرد حدوث الخطأ أعلاه وسيتم تسجيل المشكلة في c:\windows\debug\netsetup.log. يرجى اتباع الخطوات أدناه في اتخاذ إجراء لفهم الفشل وحل المشكلة.

سلوك 14 مارس 2023

في تحديثات Windows التي تم إصدارها في 14 مارس 2023 أو بعد ذلك، قمنا بإجراء بعض التغييرات على تصلب الأمان. تتضمن هذه التغييرات جميع التغييرات التي قمنا بها في 11 أكتوبر 2022.

أولا، قمنا بتوسيع نطاق المجموعات المعفاة من هذا التصلب. بالإضافة إلى مسؤولي المجال، يتم الآن إعفاء مسؤولي المؤسسة ومجموعات المسؤولين المضمنين من التحقق من الملكية.

ثانيا، قمنا بتنفيذ إعداد نهج المجموعة جديد. يمكن للمسؤولين استخدامه لتحديد قائمة السماح لمالكي حساب الكمبيوتر الموثوق بهم. سيتجاوز حساب الكمبيوتر التحقق من الأمان إذا كان أحد الإجراءات التالية صحيحا:

الحساب مملوك لمستخدم محدد كمالك موثوق به في نهج المجموعة "وحدة التحكم بالمجال: السماح بإعادة استخدام حساب الكمبيوتر أثناء الانضمام إلى المجال".
الحساب مملوك لمستخدم عضو في مجموعة محددة كمالك موثوق به في "وحدة تحكم المجال: السماح بإعادة استخدام حساب الكمبيوتر أثناء الانضمام إلى المجال" نهج المجموعة.

لاستخدام هذه نهج المجموعة الجديدة، يجب أن يكون لدى وحدة التحكم بالمجال والكمبيوتر العضو تثبيت التحديث 14 مارس 2023 أو التحديث الأحدث باستمرار. قد يكون لدى بعضكم حسابات معينة تستخدمها في إنشاء حساب الكمبيوتر التلقائي. إذا كانت هذه الحسابات آمنة من إساءة الاستخدام وكنت تثق بها لإنشاء حسابات الكمبيوتر، يمكنك إعفائها. ستظل آمنا من الثغرة الأمنية الأصلية التي تم تخفيفها بحلول تحديثات Windows في 11 أكتوبر 2022.

^{سلوك 12 سبتمبر 2023}

في تحديثات Windows التي تم إصدارها في 12 سبتمبر 2023 أو بعد ذلك، قمنا بإجراء بعض التغييرات الإضافية على تصلب الأمان. تتضمن هذه التغييرات جميع التغييرات التي قمنا بها في 11 أكتوبر 2022 والتغييرات من 14 مارس 2023.

لقد عالجنا مشكلة فشل الانضمام إلى المجال باستخدام مصادقة البطاقة الذكية بغض النظر عن إعداد النهج. لإصلاح هذه المشكلة، قمنا بنقل عمليات التحقق من الأمان المتبقية مرة أخرى إلى وحدة تحكم المجال. لذلك، بعد تحديث الأمان لشهر سبتمبر 2023، تقوم أجهزة العميل بإجراء مكالمات SAMRPC مصادق عليها إلى وحدة تحكم المجال لإجراء عمليات التحقق من صحة الأمان المتعلقة بإعادة استخدام حسابات الكمبيوتر.

ومع ذلك، قد يتسبب هذا في فشل الانضمام إلى المجال في البيئات التي تم فيها تعيين النهج التالي: الوصول إلى الشبكة: تقييد العملاء المسموح لهم بإجراء مكالمات عن بعد إلى SAM. يرجى مراجعة قسم "المشاكل المعروفة" للحصول على معلومات حول كيفية حل هذه المشكلة.

كما نخطط لإزالة إعداد سجل NetJoinLegacyAccountReuse الأصلي في تحديث Windows مستقبلي. [يناير 2024 - البدء]تمت جدولة هذه الإزالة مبدئيا للتحديث بتاريخ 13 أغسطس 2024. تخضع تواريخ الإصدار للتغيير. [نهاية - يناير 2024]

ملاحظه إذا قمت بنشر مفتاح NetJoinLegacyAccountReuse على عملائك وقمت بتعيينه إلى القيمة 1، فيجب عليك الآن إزالة هذا المفتاح (أو تعيينه إلى 0) للاستفادة من أحدث التغييرات.

اتخاذ إجراء

قم بتكوين نهج قائمة السماح الجديد باستخدام نهج المجموعة على وحدة تحكم المجال وإزالة أي حلول قديمة من جانب العميل. ثم قم بما يلي:

يجب تثبيت تحديثات 12 سبتمبر 2023 أو التحديثات الأحدث على جميع أجهزة الكمبيوتر الأعضاء ووحدات التحكم بالمجال.
في نهج مجموعة جديد أو موجود ينطبق على جميع وحدات التحكم بالمجال، قم بتكوين الإعدادات في الخطوات أدناه.
ضمن Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options، انقر نقرا مزدوجا فوق وحدة تحكم المجال: السماح بإعادة استخدام حساب الكمبيوتر أثناء الانضمام إلى المجال.
حدد تعريف إعداد النهج هذا <تحرير الأمان...>.
استخدم منتقي الكائنات لإضافة مستخدمين أو مجموعات منشئي حساب الكمبيوتر الموثوق بهم ومالكيه إلى إذن السماح . (كأفضل ممارسة، نوصي بشدة باستخدام المجموعات للأذونات.) لا تقم بإضافة حساب المستخدم الذي يقوم بالانضمام إلى المجال.

تحذير: قصر العضوية على النهج على المستخدمين الموثوق بهم وحسابات الخدمة. لا تقم بإضافة مستخدمين مصادق عليهم أو كل شخص أو مجموعات كبيرة أخرى إلى هذا النهج. بدلا من ذلك، أضف مستخدمين موثوق بهم محددين وحسابات خدمة إلى المجموعات وأضف هذه المجموعات إلى النهج.
انتظر نهج المجموعة الفاصل الزمني للتحديث أو قم بتشغيل gpupdate /force على جميع وحدات التحكم بالمجال.
تحقق من ملء مفتاح التسجيل HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" ب SDDL المطلوب. لا تقم بتحرير السجل يدويا.
حاول الانضمام إلى كمبيوتر مثبت عليه تحديثات 12 سبتمبر 2023 أو التحديثات الأحدث. تأكد من أن أحد الحسابات المدرجة في النهج يمتلك حساب الكمبيوتر. تأكد أيضا من أن سجله لا يحتوي على مفتاح NetJoinLegacyAccountReuse ممكن (تعيين إلى 1). إذا فشل الانضمام إلى المجال، فتحقق من c:\windows\debug\netsetup.log.

إذا كنت لا تزال بحاجة إلى حل بديل، فراجع مهام سير عمل توفير حساب الكمبيوتر وفهم ما إذا كانت التغييرات مطلوبة.

قم بإجراء عملية الانضمام باستخدام نفس الحساب الذي أنشأ حساب الكمبيوتر في المجال الهدف.
إذا كان الحساب الموجود قديما (غير مستخدم)، فاحذفه قبل محاولة الانضمام إلى المجال مرة أخرى.
إعادة تسمية الكمبيوتر والانضمام باستخدام حساب مختلف غير موجود بالفعل.
إذا كان الحساب الحالي مملوكا لمدير أمان موثوق به وكان المسؤول يريد إعادة استخدام الحساب، فاتبع الإرشادات الواردة في قسم اتخاذ إجراء لتثبيت تحديثات Windows في سبتمبر 2023 أو أحدث وتكوين قائمة السماح.

إرشادات مهمة لاستخدام مفتاح التسجيل NetJoinLegacyAccountReuse

إنذار: إذا اخترت تعيين هذا المفتاح للتغلب على هذه الحماية، فستترك بيئتك عرضة ل CVE-2022-38042 ما لم تتم الإشارة إلى السيناريو أدناه حسب الاقتضاء. لا تستخدم هذا الأسلوب دون تأكيد أن منشئ/مالك كائن الكمبيوتر الموجود هو أساس أمان آمن وموثوق به.

بسبب نهج المجموعة الجديدة، يجب عدم استخدام مفتاح التسجيل NetJoinLegacyAccountReuse. [يناير 2024 - البدء]سنحافظ على المفتاح لعدة أشهر القادمة في حال كنت بحاجة إلى حلول بديلة. [نهاية - يناير 2024]إذا لم تتمكن من تكوين عنصر نهج المجموعة الجديد في السيناريو الخاص بك، فإننا نشجعك بشدة على الاتصال بدعم Microsoft.

مسار	HKLM\System\CurrentControlSet\Control\LSA
النوع	Reg_dword
الاسم	NetJoinLegacyAccountReuse
‏‏القيمة	1 يتم تجاهل القيم الأخرى.

ملاحظه ستقوم Microsoft بإزالة دعم إعداد سجل NetJoinLegacyAccountReuse في تحديث Windows مستقبلي. [يناير 2024 - البدء]تمت جدولة هذه الإزالة مبدئيا للتحديث بتاريخ 13 أغسطس 2024. تخضع تواريخ الإصدار للتغيير. [نهاية - يناير 2024]

عدم الحلول

بعد تثبيت 12 سبتمبر 2023 أو التحديثات الأحدث على DCs والعملاء في البيئة، لا تستخدم سجل NetJoinLegacyAccountReuse . بدلا من ذلك، اتبع الخطوات الواردة في اتخاذ إجراء لتكوين عنصر نهج المجموعة الجديد.
لا تقم بإضافة حسابات الخدمة أو حسابات التوفير إلى مجموعة أمان مسؤولي المجال.
لا تقم بتحرير واصف الأمان يدويا على حسابات الكمبيوتر في محاولة لإعادة تعريف ملكية هذه الحسابات، ما لم يتم حذف حساب المالك السابق. أثناء تحرير المالك سيمكن عمليات التحقق الجديدة من النجاح، قد يحتفظ حساب الكمبيوتر بنفس الأذونات التي يحتمل أن تكون محفوفة بالمخاطر وغير المرغوب فيها للمالك الأصلي ما لم تتم مراجعتها وإزالتها بشكل صريح.
لا تقم بإضافة مفتاح التسجيل NetJoinLegacyAccountReuse إلى صور نظام التشغيل الأساسية لأنه يجب إضافة المفتاح مؤقتا فقط ثم إزالته مباشرة بعد اكتمال الانضمام إلى المجال.

سجلات الأحداث الجديدة

سجل الأحداث	نظام
مصدر الحدث	Netjoin
معرف الحدث	4100
نوع الحدث	اعلاميه
نص الحدث	"أثناء الانضمام إلى المجال، عثرت وحدة التحكم بالمجال التي تم الاتصال بها على حساب كمبيوتر موجود في Active Directory بنفس الاسم. تم السماح بمحاولة إعادة استخدام هذا الحساب. تم البحث في وحدة التحكم بالمجال: اسم وحدة تحكم المجال <>DN لحساب الكمبيوتر الموجود: <مسار DN لحساب الكمبيوتر>. راجع https://go.microsoft.com/fwlink/?linkid=2202145 لمزيد من المعلومات.

سجل الأحداث	نظام
مصدر الحدث	Netjoin
معرف الحدث	4101
نوع الحدث	الخطأ
نص الحدث	أثناء الانضمام إلى المجال، عثرت وحدة التحكم بالمجال التي تم الاتصال بها على حساب كمبيوتر موجود في Active Directory بنفس الاسم. تم منع محاولة إعادة استخدام هذا الحساب لأسباب أمنية. تم البحث في وحدة التحكم بالمجال: DN لحساب الكمبيوتر الموجود: تم <رمز الخطأ>. راجع https://go.microsoft.com/fwlink/?linkid=2202145 لمزيد من المعلومات.

يتوفر تسجيل تتبع الأخطاء بشكل افتراضي (لا حاجة لتمكين أي تسجيل مطول) في C:\Windows\Debug\netsetup.log على جميع أجهزة الكمبيوتر العميلة.

مثال على تسجيل تتبع الأخطاء الذي تم إنشاؤه عند منع إعادة استخدام الحساب لأسباب أمنية:

NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac

تمت إضافة أحداث جديدة في مارس 2023

يضيف هذا التحديث أربعة (4) أحداث جديدة في سجل SYSTEM على وحدة تحكم المجال كما يلي:

مستوى الحدث	اعلاميه
معرف الحدث	16995
سجل	نظام
مصدر الحدث	Directory-Services-SAM
نص الحدث	يستخدم مدير حساب الأمان واصف الأمان المحدد للتحقق من صحة محاولات إعادة استخدام حساب الكمبيوتر أثناء الانضمام إلى المجال. قيمة SDDL:> سلسلة SDDL < يتم تكوين قائمة السماح هذه من خلال نهج المجموعة في Active Directory. لمزيد من المعلومات، يرجى الاطلاع على http://go.microsoft.com/fwlink/?LinkId=2202145.

مستوى الحدث	الخطأ
معرف الحدث	16996
سجل	نظام
مصدر الحدث	Directory-Services-SAM
نص الحدث	تم تكوين واصف الأمان الذي يحتوي على قائمة السماح بإعادة استخدام حساب الكمبيوتر المستخدمة للتحقق من صحة انضمام مجال طلبات العميل. قيمة SDDL:> سلسلة SDDL < يتم تكوين قائمة السماح هذه من خلال نهج المجموعة في Active Directory. لتصحيح هذه المشكلة، سيحتاج المسؤول إلى تحديث النهج لتعيين هذه القيمة إلى واصف أمان صالح أو تعطيله. لمزيد من المعلومات، يرجى الاطلاع على http://go.microsoft.com/fwlink/?LinkId=2202145.

مستوى الحدث	الخطأ
معرف الحدث	16997
سجل	نظام
مصدر الحدث	Directory-Services-SAM
نص الحدث	عثر مدير حساب الأمان على حساب كمبيوتر يبدو معزولا وليس لديه مالك موجود. حساب الكمبيوتر: S-1-5-xxx مالك حساب الكمبيوتر: S-1-5-xxx لمزيد من المعلومات، يرجى الاطلاع على http://go.microsoft.com/fwlink/?LinkId=2202145.

مستوى الحدث	تحذير
معرف الحدث	16998
سجل	نظام
مصدر الحدث	Directory-Services-SAM
نص الحدث	رفض مدير حساب الأمان طلب عميل لإعادة استخدام حساب كمبيوتر أثناء الانضمام إلى المجال. لم يستوف حساب الكمبيوتر وهوية العميل عمليات التحقق من صحة الأمان. حساب العميل: S-1-5-xxx حساب الكمبيوتر: S-1-5-xxx مالك حساب الكمبيوتر: S-1-5-xxx تحقق من بيانات السجل لهذا الحدث للحصول على رمز خطأ NT. لمزيد من المعلومات، يرجى الاطلاع على http://go.microsoft.com/fwlink/?LinkId=2202145.

إذا لزم الأمر، يمكن أن يعطي netsetup.log مزيدا من المعلومات. راجع المثال أدناه من جهاز عمل.

NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=contoso,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2. 
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: 0, NetStatus: 0
NetpDsValidateComputerAccountReuseAttempt: returning Result: TRUE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x0.
NetpCheckIfAccountShouldBeReused: Account re-use attempt was permitted by Active Directory Policy.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x0

المشاكل المعروفة

المشكلة 1

بعد تثبيت تحديثات 12 سبتمبر 2023 أو التحديثات الأحدث، قد يفشل الانضمام إلى المجال في البيئات التي تم فيها تعيين النهج التالي: الوصول إلى الشبكة - تقييد العملاء المسموح لهم بإجراء مكالمات عن بعد إلى SAM - أمن Windows | Microsoft Learn. وذلك لأن أجهزة العميل تجري الآن استدعاءات SAMRPC مصادق عليها إلى وحدة التحكم بالمجال لإجراء عمليات التحقق من صحة الأمان المتعلقة بإعادة استخدام حسابات الكمبيوتر.

هذا متوقع. لاستيعاب هذا التغيير، يجب على المسؤولين إما الاحتفاظ بنهج SAMRPC لوحدة التحكم بالمجال في الإعدادات الافتراضية أو تضمين مجموعة المستخدمين التي تقوم بتنفيذ الانضمام إلى المجال في إعدادات SDDL لمنحهم الإذن.

مثال من netsetup.log حيث حدثت هذه المشكلة:

09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c0000022, NetStatus: 5
09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused: Active Directory Policy check with SAM_DOMAIN_JOIN_POLICY_LEVEL_V2 returned NetStatus:0x5.
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
09/18/2023 13:37:15:379 NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
09/18/2023 13:37:15:379 NetpProvisionComputerAccount: LDAP creation failed: 0xaac

المشكلة 2

إذا تم حذف حساب مالك الكمبيوتر، وحدثت محاولة لإعادة استخدام حساب الكمبيوتر، فسيتم تسجيل الحدث 16997 في سجل أحداث النظام. إذا حدث ذلك، فلا بأس من إعادة تعيين الملكية إلى حساب أو مجموعة أخرى.

المشكلة 3

إذا كان العميل فقط لديه تحديث 14 مارس 2023 أو أحدث، فسيرجع فحص نهج Active Directory 0x32 STATUS_NOT_SUPPORTED. سيتم تطبيق عمليات التحقق السابقة التي تم تنفيذها في الإصلاحات العاجلة لشهر نوفمبر كما هو موضح أدناه:

NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=LT-NIClientBA,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Ms-Ds-CreatorSid is empty.
NetpGetNCData: Reading NC data
NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=LT2k16dom,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2. 
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c00000bb, NetStatus: 32 
NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x32.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
NetpProvisionComputerAccount: LDAP creation failed: 0xaac