Συμβουλή: Για να προβάλετε το νέο ή αναθεωρημένο περιεχόμενο του Ιανουαρίου 2024, ανατρέξτε στις ετικέτες [Ιανουάριος 2024 - Έναρξη] και [Τέλος - Ιανουάριος 2024] στο άρθρο.
Σύνοψη
Οι ενημερώσεις των Windows που κυκλοφόρησαν στις και μετά τις 11 Οκτωβρίου 2022 περιέχουν πρόσθετα μέτρα προστασίας που εισήγαγε το CVE-2022-38042. Αυτά τα μέτρα προστασίας εμποδίζουν σκόπιμα τις λειτουργίες συμμετοχής σε τομέα από την επαναχρηση ενός υπάρχοντος λογαριασμού υπολογιστή στον τομέα προορισμού, εκτός εάν:
-
Ο χρήστης που επιχειρεί τη λειτουργία είναι ο δημιουργός του υπάρχοντος λογαριασμού.
Ή
-
Ο υπολογιστής δημιουργήθηκε από ένα μέλος των διαχειριστών τομέα.
Ή
-
Ο κάτοχος του λογαριασμού υπολογιστή που επαναχρησιμοποιείται είναι μέλος του "Ελεγκτής τομέα: Να επιτρέπεται η επανάληψη χρήσης του λογαριασμού υπολογιστή κατά τη συμμετοχή σε τομέα". Πολιτική ομάδας ρύθμιση. Αυτή η ρύθμιση απαιτεί την εγκατάσταση των ενημερώσεων των Windows που κυκλοφόρησαν στις ή μετά τις 14 Μαρτίου 2023 σε ΟΛΟΥΣ τους υπολογιστές-μέλη και τους ελεγκτές τομέα.
Ενημερώσεις που θα κυκλοφορήσει στις και μετά τις 14 Μαρτίου 2023 και στις 12 Σεπτεμβρίου 2023, θα παρέχει πρόσθετες επιλογές για τους πελάτες που επηρεάζονται στον Windows Server 2012 R2 και νεότερη έκδοση, καθώς και για όλα τα υποστηριζόμενα προγράμματα-πελάτες. Για περισσότερες πληροφορίες, ανατρέξτε στις ενότητες Συμπεριφορά 11 Οκτωβρίου 2022 και Ανάληψη δράσης .
Συμπεριφορά πριν από τις 11 Οκτωβρίου 2022
Πριν από την εγκατάσταση των ενημερώσεων της 11ης Οκτωβρίου 2022 ή μεταγενέστερων αθροιστικών ενημερώσεων, ο υπολογιστής-πελάτης ερωτά την υπηρεσία καταλόγου Active Directory για έναν υπάρχοντα λογαριασμό με το ίδιο όνομα. Αυτό το ερώτημα παρουσιάζεται κατά τη σύνδεση σε τομέα και την παροχή λογαριασμού υπολογιστή. Εάν υπάρχει τέτοιος λογαριασμός, ο πελάτης θα επιχειρήσει αυτόματα να τον χρησιμοποιήσει ξανά.
Σημείωση Η προσπάθεια επαναχρησιμοποίησης θα αποτύχει εάν ο χρήστης που επιχειρεί τη λειτουργία συμμετοχής σε τομέα δεν έχει τα κατάλληλα δικαιώματα εγγραφής. Ωστόσο, εάν ο χρήστης έχει αρκετά δικαιώματα, ο σύνδεσμος τομέα θα είναι επιτυχής.
Υπάρχουν δύο σενάρια για τη συμμετοχή σε τομέα με τις αντίστοιχες προεπιλεγμένες συμπεριφορές και σημαίες ως εξής:
-
Συμμετοχή σε τομέα (NetJoinDomain)
-
Προεπιλογές επαναχρησιμοποίησης λογαριασμού (εκτός εάν έχει καθοριστεί NETSETUP_NO_ACCT_REUSE σημαία)
-
-
Παροχή λογαριασμού (NetProvisionComputerAccountNetCreateProvisioningPackage).
-
Προεπιλογές σε NO επαναχρησιμοποίηση (εκτός εάν έχει καθοριστεί NETSETUP_PROVISION_REUSE_ACCOUNT .)
-
Συμπεριφορά της 11ης Οκτωβρίου 2022
Αφού εγκαταστήσετε τις αθροιστικές ενημερώσεις της 11ης Οκτωβρίου 2022 ή μεταγενέστερες αθροιστικές ενημερώσεις των Windows σε έναν υπολογιστή-πελάτη, κατά τη συμμετοχή σε τομέα, ο υπολογιστής-πελάτης θα εκτελέσει πρόσθετους ελέγχους ασφαλείας πριν προσπαθήσει να χρησιμοποιήσει ξανά έναν υπάρχοντα λογαριασμό υπολογιστή. Αλγόριθμο:
-
Η προσπάθεια επαναχρησιμοποίησης λογαριασμού θα επιτρέπεται εάν ο χρήστης που επιχειρεί τη λειτουργία είναι ο δημιουργός του υπάρχοντος λογαριασμού.
-
Η προσπάθεια επαναχρησιμοποίησης λογαριασμού θα επιτρέπεται εάν ο λογαριασμός δημιουργήθηκε από ένα μέλος των διαχειριστών τομέα.
Αυτοί οι πρόσθετοι έλεγχοι ασφαλείας γίνονται πριν επιχειρήσετε να συνδεθείτε στον υπολογιστή. Εάν οι έλεγχοι είναι επιτυχείς, η υπόλοιπη λειτουργία σύνδεσης υπόκειται σε δικαιώματα υπηρεσίας καταλόγου Active Directory όπως πριν.
Αυτή η αλλαγή δεν επηρεάζει τους νέους λογαριασμούς.
Σημείωση Μετά την εγκατάσταση των αθροιστικών ενημερώσεων της 11ης Οκτωβρίου 2022 ή μεταγενέστερων αθροιστικών ενημερώσεων των Windows, η συμμετοχή σε τομέα με επαναχρησιμοποίηση λογαριασμού υπολογιστή ενδέχεται να αποτύχει σκόπιμα με το ακόλουθο σφάλμα:
Σφάλμα 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Υπάρχει ένας λογαριασμός με το ίδιο όνομα στην υπηρεσία καταλόγου Active Directory. Η εκ νέου χρήση του λογαριασμού αποκλείστηκε από την πολιτική ασφαλείας".
Σε αυτή την περίπτωση, ο λογαριασμός προστατεύεται σκόπιμα από τη νέα συμπεριφορά.
Το αναγνωριστικό συμβάντος 4101 θα ενεργοποιηθεί μόλις παρουσιαστεί το παραπάνω σφάλμα και το πρόβλημα θα καταγραφεί στο c:\windows\debug\netsetup.log. Ακολουθήστε τα παρακάτω βήματα στην ενότητα Ανάληψη ενέργειας για να κατανοήσετε την αποτυχία και να επιλύσετε το πρόβλημα.
Συμπεριφορά της 14ης Μαρτίου 2023
Στις ενημερώσεις των Windows που κυκλοφόρησαν στις ή μετά τις 14 Μαρτίου 2023, κάναμε μερικές αλλαγές στη θωρισμική προστασία της ασφάλειας. Αυτές οι αλλαγές περιλαμβάνουν όλες τις αλλαγές που κάναμε στις 11 Οκτωβρίου 2022.
Πρώτον, διευρύναμε το πεδίο εφαρμογής των ομάδων που εξαιρούνται από αυτή τη σκλήρυνση. Εκτός από τους διαχειριστές τομέων, οι ομάδες Εταιρικών διαχειριστών και Ενσωματωμένων διαχειριστών εξαιρούνται πλέον από τον έλεγχο κυριότητας.
Δεύτερον, εφαρμόσαμε μια νέα ρύθμιση Πολιτική ομάδας. Οι διαχειριστές μπορούν να τη χρησιμοποιήσουν για να καθορίσουν μια λίστα αποδοχής των κατόχων αξιόπιστων λογαριασμών υπολογιστή. Ο λογαριασμός υπολογιστή θα παρακάμψει τον έλεγχο ασφαλείας, εάν ισχύει ένα από τα εξής:
-
Ο λογαριασμός ανήκει σε ένα χρήστη που καθορίζεται ως αξιόπιστος κάτοχος στον Πολιτική ομάδας "Ελεγκτής τομέα: Να επιτρέπεται η επαναχρησιμοποίηση του λογαριασμού υπολογιστή κατά τη συμμετοχή σε τομέα".
-
Ο λογαριασμός ανήκει σε ένα χρήστη ο οποίος είναι μέλος μιας ομάδας που καθορίζεται ως αξιόπιστος κάτοχος στον Πολιτική ομάδας "Ελεγκτής τομέα: Να επιτρέπεται η επαναχρησιμοποίηση του λογαριασμού υπολογιστή κατά τη συμμετοχή σε τομέα".
Για να χρησιμοποιήσετε αυτήν τη νέα Πολιτική ομάδας, ο ελεγκτής τομέα και ο υπολογιστής-μέλος πρέπει να έχουν με συνέπεια εγκατεστημένη την ενημέρωση της 14ης Μαρτίου 2023 ή νεότερης έκδοσης. Ορισμένοι από εσάς μπορεί να έχετε συγκεκριμένους λογαριασμούς που χρησιμοποιείτε στην αυτόματη δημιουργία λογαριασμού υπολογιστή. Εάν αυτοί οι λογαριασμοί είναι ασφαλείς από κατάχρηση και τους εμπιστεύεστε να δημιουργήσουν λογαριασμούς υπολογιστή, μπορείτε να τους εξαιρέσετε. Θα εξακολουθήσετε να είστε ασφαλείς έναντι της αρχικής ευπάθειας που μετριάζεται από τις ενημερώσεις των Windows στις 11 Οκτωβρίου 2022.
Συμπεριφορά της 12ης Σεπτεμβρίου 2023
Στις ενημερώσεις των Windows που κυκλοφόρησαν στις ή μετά τις 12 Σεπτεμβρίου 2023, κάναμε μερικές πρόσθετες αλλαγές στη θωρηματική λειτουργία της ασφάλειας. Αυτές οι αλλαγές περιλαμβάνουν όλες τις αλλαγές που κάναμε στις 11 Οκτωβρίου 2022 και τις αλλαγές από τις 14 Μαρτίου 2023.
Επιδιορθώθηκε ένα πρόβλημα κατά το οποίο η συμμετοχή σε τομέα με χρήση ελέγχου ταυτότητας έξυπνης κάρτας απέτυχε ανεξάρτητα από τη ρύθμιση πολιτικής. Για να διορθώσουμε αυτό το πρόβλημα, μετακινήσαμε τους υπόλοιπους ελέγχους ασφαλείας πίσω στον ελεγκτή τομέα. Επομένως, μετά την ενημέρωση ασφαλείας του Σεπτεμβρίου 2023, οι υπολογιστές-πελάτες πραγματοποιούν κλήσεις SAMRPC με έλεγχο ταυτότητας στον ελεγκτή τομέα για την εκτέλεση ελέγχων επικύρωσης ασφαλείας που σχετίζονται με την επαναχρησιοποίηση λογαριασμών υπολογιστή.
Ωστόσο, αυτό μπορεί να προκαλέσει αποτυχία συμμετοχής σε τομέα σε περιβάλλοντα όπου έχει οριστεί η ακόλουθη πολιτική: Πρόσβαση στο δίκτυο: Περιορισμός πελατών που επιτρέπεται να πραγματοποιούν απομακρυσμένες κλήσεις στη SAM. Ανατρέξτε στην ενότητα "Γνωστά ζητήματα" για πληροφορίες σχετικά με τον τρόπο επίλυσης αυτού του προβλήματος.
Σχεδιάζουμε επίσης να καταργήσουμε την αρχική ρύθμιση μητρώου NetJoinLegacyAccountReuse σε μια μελλοντική ενημέρωση των Windows. [Ιανουάριος 2024 - Έναρξη]Αυτή η κατάργηση έχει προγραμματιστεί με αβεβαιότητα για την ενημέρωση της 13ης Αυγούστου 2024. Οι ημερομηνίες κυκλοφορίας υπόκεινται σε αλλαγή. [Τέλος - Ιανουάριος 2024]
Σημείωση Εάν αναπτύξατε το κλειδί NetJoinLegacyAccountReuse στους υπολογιστές-πελάτες σας και το έχετε ορίσει στην τιμή 1, πρέπει τώρα να καταργήσετε αυτό το κλειδί (ή να το ορίσετε σε 0) για να επωφεληθείτε από τις πιο πρόσφατες αλλαγές.
Ανάληψη δράσης
Ρυθμίστε τις παραμέτρους της νέας πολιτικής λίστας αποδοχής χρησιμοποιώντας το Πολιτική ομάδας σε έναν ελεγκτή τομέα και καταργήστε τυχόν λύσεις από την πλευρά του προγράμματος-πελάτη παλαιού τύπου. Στη συνέχεια, κάντε τα εξής:
-
Πρέπει να εγκαταστήσετε τις ενημερώσεις της 12ης Σεπτεμβρίου 2023 ή μεταγενέστερες ενημερώσεις σε όλους τους υπολογιστές-μέλη και τους ελεγκτές τομέα.
-
Σε μια νέα ή υπάρχουσα πολιτική ομάδας που ισχύει για όλους τους ελεγκτές τομέα, ρυθμίστε τις παραμέτρους στις παρακάτω ρυθμίσεις.
-
Στην περιοχή Ρυθμίσεις υπολογιστή\Πολιτικές\Ρυθμίσεις των Windows\Ρυθμίσεις ασφαλείας\Τοπικές πολιτικές\Επιλογές ασφαλείας, κάντε διπλό κλικ στην επιλογή Ελεγκτής τομέα: Να επιτρέπεται η επαναχρησιμοποίηση του λογαριασμού υπολογιστή κατά τη συμμετοχή σε τομέα.
-
Επιλέξτε Ορισμός αυτής της ρύθμισης πολιτικής και <Επεξεργασία ασφάλειας...>.
-
Χρησιμοποιήστε τον επιλογέα αντικειμένων για να προσθέσετε χρήστες ή ομάδες αξιόπιστων δημιουργών και κατόχων λογαριασμών υπολογιστή στο δικαίωμα Αποδοχή . (Ως βέλτιστη πρακτική, συνιστάται ιδιαίτερα να χρησιμοποιείτε ομάδες για δικαιώματα.) Μην προσθέσετε το λογαριασμό χρήστη που εκτελεί τη συμμετοχή σε τομέα.
Προειδοποίηση: Περιορίστε την ιδιότητα μέλους στην πολιτική σε αξιόπιστους χρήστες και λογαριασμούς υπηρεσιών. Μην προσθέτετε χρήστες με έλεγχο ταυτότητας, όλους ή άλλες μεγάλες ομάδες σε αυτήν την πολιτική. Αντί για αυτό, προσθέστε συγκεκριμένους αξιόπιστους χρήστες και λογαριασμούς υπηρεσίας σε ομάδες και προσθέστε αυτές τις ομάδες στην πολιτική.
-
Περιμένετε το χρονικό διάστημα ανανέωσης Πολιτική ομάδας ή εκτελέστε gpupdate /force σε όλους τους ελεγκτές τομέα.
-
Βεβαιωθείτε ότι το κλειδί μητρώου HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" συμπληρώνεται με το SDDL που θέλετε. Μην επεξεργαστείτε το μητρώο με μη αυτόματο τρόπο.
-
Προσπαθήστε να συνδέσετε έναν υπολογιστή που έχει εγκατεστημένες τις ενημερώσεις της 12ης Σεπτεμβρίου 2023 ή νεότερες. Βεβαιωθείτε ότι ο λογαριασμός υπολογιστή ανήκει σε έναν από τους λογαριασμούς που παρατίθενται στην πολιτική. Επίσης, βεβαιωθείτε ότι στο μητρώο του δεν είναι ενεργοποιημένο το κλειδί NetJoinLegacyAccountReuse (ορίζεται σε 1). Εάν αποτύχει η συμμετοχή σε τομέα, ελέγξτε το c:\windows\debug\netsetup.log.
Εάν εξακολουθείτε να χρειάζεστε μια εναλλακτική λύση, εξετάστε τις ροές εργασιών παροχής λογαριασμού υπολογιστή και κατανοήστε εάν απαιτούνται αλλαγές.
-
Εκτελέστε τη λειτουργία σύνδεσης χρησιμοποιώντας τον ίδιο λογαριασμό που δημιούργησε το λογαριασμό υπολογιστή στον τομέα προορισμού.
-
Εάν ο υπάρχων λογαριασμός είναι μη ενημερωμένος (δεν χρησιμοποιείται), διαγράψτε τον προτού προσπαθήσετε να συμμετάσχετε ξανά στον τομέα.
-
Μετονομάστε τον υπολογιστή και συνδεθείτε χρησιμοποιώντας διαφορετικό λογαριασμό που δεν υπάρχει ήδη.
-
Αν ο υπάρχων λογαριασμός ανήκει σε μια αξιόπιστη αρχή ασφαλείας και ο διαχειριστής θέλει να χρησιμοποιήσει ξανά τον λογαριασμό, ακολουθήστε τις οδηγίες στην ενότητα Ανάληψη ενέργειας για να εγκαταστήσετε τις ενημερώσεις του Σεπτεμβρίου 2023 ή μεταγενέστερων ενημερώσεων των Windows και να ρυθμίσετε τις παραμέτρους μιας λίστας αποδοχής.
Σημαντικές οδηγίες για τη χρήση του κλειδιού μητρώου NetJoinLegacyAccountReuse
Προσοχή: Εάν επιλέξετε να ορίσετε αυτό το κλειδί για να επιλύσετε αυτά τα μέτρα προστασίας, θα αφήσετε το περιβάλλον σας ευάλωτο στο CVE-2022-38042, εκτός εάν αναφέρεται παρακάτω, ανάλογα με την περίπτωση. Μην χρησιμοποιήσετε αυτήν τη μέθοδο χωρίς επιβεβαίωση ότι ο Δημιουργός/Κάτοχος του υπάρχοντος αντικειμένου υπολογιστή είναι μια ασφαλής και αξιόπιστη αρχή ασφαλείας.
Λόγω της νέας Πολιτική ομάδας, δεν θα πρέπει πλέον να χρησιμοποιείτε το κλειδί μητρώου NetJoinLegacyAccountReuse. [Ιανουάριος 2024 - Έναρξη]Θα διατηρήσουμε το κλειδί για τους επόμενους μήνες, σε περίπτωση που χρειάζεστε λύσεις. [Τέλος - Ιανουάριος 2024]Εάν δεν μπορείτε να ρυθμίσετε τις παραμέτρους του νέου GPO στο σενάριό σας, συνιστούμε να επικοινωνήσετε με την Υποστήριξη της Microsoft.
|
Διαδρομή |
HKLM\System\CurrentControlSet\Control\LSA |
|
Τύπος |
REG_DWORD |
|
Όνομα |
NetJoinLegacyAccountReuse |
|
Τιμή |
1 Οι άλλες τιμές παραβλέπονται. |
ΣημείωσηΗ Microsoft θα καταργήσει την υποστήριξη για τη ρύθμιση μητρώου NetJoinLegacyAccountReuse σε μια μελλοντική ενημέρωση των Windows. [Ιανουάριος 2024 - Έναρξη]Αυτή η κατάργηση έχει προγραμματιστεί με αβεβαιότητα για την ενημέρωση της 13ης Αυγούστου 2024. Οι ημερομηνίες κυκλοφορίας υπόκεινται σε αλλαγή. [Τέλος - Ιανουάριος 2024]
Μη διαλυμάτων
-
Μετά την εγκατάσταση των ενημερώσεων της 12ης Σεπτεμβρίου 2023 ή μεταγενέστερων ενημερώσεων σε υπολογιστές-πελάτες και υπολογιστές-πελάτες στο περιβάλλον, μην χρησιμοποιείτε το μητρώο NetJoinLegacyAccountReuse . Αντί για αυτό, ακολουθήστε τα βήματα στο θέμα Ανάληψη ενέργειας για να ρυθμίσετε τις παραμέτρους του νέου GPO.
-
Μην προσθέτετε λογαριασμούς υπηρεσίας ή προμήθειας λογαριασμών στην ομάδα ασφαλείας "Διαχειριστές τομέα".
-
Μην επεξεργάζεστε με μη αυτόματο τρόπο την περιγραφή ασφαλείας σε λογαριασμούς υπολογιστών σε μια προσπάθεια να επαναπροσδιοριστεί η κυριότητα των εν λόγω λογαριασμών, εκτός εάν ο προηγούμενος λογαριασμός κατόχου έχει διαγραφεί. Κατά την επεξεργασία του κατόχου θα επιτρέψει στους νέους ελέγχους να επιτύχουν, ο λογαριασμός υπολογιστή ενδέχεται να διατηρήσει τα ίδια πιθανώς επικίνδυνα, ανεπιθύμητα δικαιώματα για τον αρχικό κάτοχο, εκτός εάν εξεταστεί και καταργηθεί ρητά.
-
Μην προσθέσετε το κλειδί μητρώου NetJoinLegacyAccountReuse στις εικόνες λειτουργικού συστήματος βάσης, επειδή το κλειδί πρέπει να προστεθεί προσωρινά και, στη συνέχεια, να καταργηθεί αμέσως μόλις ολοκληρωθεί ο σύνδεσμος τομέα.
Νέα αρχεία καταγραφής συμβάντων
|
Αρχείο καταγραφής συμβάντων |
ΣΎΣΤΗΜΑ |
|
Προέλευση συμβάντος |
Netjoin |
|
Αναγνωριστικό συμβάντος |
4100 |
|
Τύπος συμβάντος |
Ενημερωτικό |
|
Κείμενο συμβάντος |
"Κατά τη συμμετοχή σε τομέα, ο ελεγκτής τομέα με τον οποίο επικοινωνήθηκε βρήκε έναν υπάρχοντα λογαριασμό υπολογιστή στην υπηρεσία καταλόγου Active Directory με το ίδιο όνομα. Επιτράπηκε μια προσπάθεια επανάληψης χρήσης αυτού του λογαριασμού. Domain controller searched: <όνομα ελεγκτή τομέα>Existing computer account DN: <DN path of computer account>. Ανατρέξτε στο θέμα https://go.microsoft.com/fwlink/?linkid=2202145 για περισσότερες πληροφορίες. |
|
Αρχείο καταγραφής συμβάντων |
ΣΎΣΤΗΜΑ |
|
Προέλευση συμβάντος |
Netjoin |
|
Αναγνωριστικό συμβάντος |
4101 |
|
Τύπος συμβάντος |
Σφάλμα |
|
Κείμενο συμβάντος |
Κατά τη συμμετοχή σε τομέα, ο ελεγκτής τομέα με τον οποίο επικοινωνήθηκε βρήκε έναν υπάρχοντα λογαριασμό υπολογιστή στην υπηρεσία καταλόγου Active Directory με το ίδιο όνομα. Μια προσπάθεια επανάληψης χρήσης αυτού του λογαριασμού αποτρέπεται για λόγους ασφαλείας. Έγινε αναζήτηση στον ελεγκτή τομέα: Υπάρχων λογαριασμός υπολογιστή DN: Ο κωδικός σφάλματος ήταν <κωδικός σφάλματος>. Ανατρέξτε στο θέμα https://go.microsoft.com/fwlink/?linkid=2202145 για περισσότερες πληροφορίες. |
Η καταγραφή σφαλμάτων είναι διαθέσιμη από προεπιλογή (δεν χρειάζεται να ενεργοποιήσετε οποιαδήποτε λεπτομερή καταγραφή) στη διαδρομή C:\Windows\Debug\netsetup.log σε όλους τους υπολογιστές-πελάτες.
Παράδειγμα καταγραφής σφαλμάτων που δημιουργείται όταν εμποδίζεται η επαναχρησιμοποίηση του λογαριασμού για λόγους ασφαλείας:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
Νέα συμβάντα που προστέθηκαν τον Μάρτιο του 2023
Αυτή η ενημέρωση προσθέτει τέσσερα (4) νέα συμβάντα στο αρχείο καταγραφής SYSTEM στον ελεγκτή τομέα ως εξής:
|
Επίπεδο συμβάντος |
Ενημερωτικό |
|
Αναγνωριστικό συμβάντος |
16995 |
|
Αρχείο καταγραφής |
ΣΎΣΤΗΜΑ |
|
Προέλευση συμβάντος |
Κατάλογος-Υπηρεσίες-SAM |
|
Κείμενο συμβάντος |
Ο διαχειριστής λογαριασμών ασφαλείας χρησιμοποιεί την καθορισμένη περιγραφή ασφαλείας για την επικύρωση προσπαθειών επαναχρησιμοποίησης λογαριασμού υπολογιστή κατά τη συμμετοχή σε τομέα. Τιμή SDDL: <> συμβολοσειράς SDDL Αυτή η λίστα αποδοχής ρυθμίζεται μέσω πολιτικής ομάδας στην υπηρεσία καταλόγου Active Directory. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Επίπεδο συμβάντος |
Σφάλμα |
|
Αναγνωριστικό συμβάντος |
16996 |
|
Αρχείο καταγραφής |
ΣΎΣΤΗΜΑ |
|
Προέλευση συμβάντος |
Κατάλογος-Υπηρεσίες-SAM |
|
Κείμενο συμβάντος |
Η περιγραφή ασφαλείας που περιέχει τη λίστα αποδοχής επαναχρησιμοποίηση του λογαριασμού υπολογιστή που χρησιμοποιείται για την επικύρωση αιτήσεων προγράμματος-πελάτη για συμμετοχή σε τομέα έχει εσφαλμένες μορφές. Τιμή SDDL: <> συμβολοσειράς SDDL Αυτή η λίστα αποδοχής ρυθμίζεται μέσω πολιτικής ομάδας στην υπηρεσία καταλόγου Active Directory. Για να διορθώσει αυτό το πρόβλημα, ένας διαχειριστής θα πρέπει να ενημερώσει την πολιτική για να ορίσει αυτήν την τιμή σε μια έγκυρη περιγραφή ασφαλείας ή να την απενεργοποιήσει. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Επίπεδο συμβάντος |
Σφάλμα |
|
Αναγνωριστικό συμβάντος |
16997 |
|
Αρχείο καταγραφής |
ΣΎΣΤΗΜΑ |
|
Προέλευση συμβάντος |
Κατάλογος-Υπηρεσίες-SAM |
|
Κείμενο συμβάντος |
Ο διαχειριστής λογαριασμού ασφαλείας βρήκε ένα λογαριασμό υπολογιστή που φαίνεται να είναι ορφανός και δεν έχει υπάρχοντα κάτοχο. Λογαριασμός υπολογιστή: S-1-5-xxx Κάτοχος λογαριασμού υπολογιστή: S-1-5-xxx Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Επίπεδο συμβάντος |
Προειδοποίηση |
|
Αναγνωριστικό συμβάντος |
16998 |
|
Αρχείο καταγραφής |
ΣΎΣΤΗΜΑ |
|
Προέλευση συμβάντος |
Κατάλογος-Υπηρεσίες-SAM |
|
Κείμενο συμβάντος |
Ο διαχειριστής λογαριασμών ασφαλείας απέρριψε ένα αίτημα πελάτη για επαναχρησιμ χρήση ενός λογαριασμού υπολογιστή κατά τη συμμετοχή σε τομέα. Ο λογαριασμός υπολογιστή και η ταυτότητα του υπολογιστή-πελάτη δεν πληρούν τους ελέγχους επικύρωσης ασφαλείας. Λογαριασμός πελάτη: S-1-5-xxx Λογαριασμός υπολογιστή: S-1-5-xxx Κάτοχος λογαριασμού υπολογιστή: S-1-5-xxx Ελέγξτε τα δεδομένα εγγραφής αυτού του συμβάντος για τον κωδικό σφάλματος NT. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα http://go.microsoft.com/fwlink/?LinkId=2202145. |
Εάν είναι απαραίτητο, το netsetup.log μπορεί να δώσει περισσότερες πληροφορίες. Δείτε το παρακάτω παράδειγμα από έναν υπολογιστή εργασίας.
NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=contoso,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2.
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: 0, NetStatus: 0
NetpDsValidateComputerAccountReuseAttempt: returning Result: TRUE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x0.
NetpCheckIfAccountShouldBeReused: Account re-use attempt was permitted by Active Directory Policy.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x0
Γνωστά προβλήματα
|
Πρόβλημα 1 |
Μετά την εγκατάσταση των ενημερώσεων της 12ης Σεπτεμβρίου 2023 ή μεταγενέστερων, η συμμετοχή σε τομέα ενδέχεται να αποτύχει σε περιβάλλοντα όπου έχει οριστεί η ακόλουθη πολιτική: Πρόσβαση στο δίκτυο - Περιορισμός των πελατών που επιτρέπεται να πραγματοποιούν απομακρυσμένες κλήσεις στη SAM - Ασφάλεια των Windows | Microsoft Learn. Αυτό συμβαίνει επειδή οι υπολογιστές-πελάτες πραγματοποιούν πλέον κλήσεις SAMRPC με έλεγχο ταυτότητας στον ελεγκτή τομέα για την εκτέλεση ελέγχων επικύρωσης ασφαλείας που σχετίζονται με την επαναχρησιοποίηση λογαριασμών υπολογιστή. Παράδειγμα από ένα netsetup.log όπου παρουσιάστηκε αυτό το πρόβλημα: |
|
Πρόβλημα 2 |
Εάν ο λογαριασμός κατόχου του υπολογιστή έχει διαγραφεί και παρουσιαστεί μια προσπάθεια επαναχρησιμοποίησης του λογαριασμού του υπολογιστή, το συμβάν 16997 θα καταγραφεί στο αρχείο καταγραφής συμβάντων συστήματος. Εάν συμβεί αυτό, μπορείτε να αναθέσετε εκ νέου την κατοχή σε άλλο λογαριασμό ή ομάδα. |
|
Πρόβλημα 3 |
Εάν μόνο ο πελάτης έχει την ενημέρωση της 14ης Μαρτίου 2023 ή νεότερη, ο έλεγχος πολιτικής της υπηρεσίας καταλόγου Active Directory θα επιστρέψει 0x32 STATUS_NOT_SUPPORTED. Οι προηγούμενοι έλεγχοι που εφαρμόστηκαν στις άμεσες επιδιορθώσεις του Νοεμβρίου θα εφαρμοστούν όπως φαίνεται παρακάτω: |
