KB5020276—Netjoin: การเปลี่ยนแปลงการขยายการเข้าร่วมโดเมน

บทสรุป

การอัปเดต Windows ที่เผยแพร่ในวันที่ 11 ตุลาคม 2022 และหลังจากนั้นจะมีการป้องกันเพิ่มเติมที่นําเสนอโดย CVE-2022-38042 การป้องกันเหล่านี้ป้องกันการดําเนินการเข้าร่วมโดเมนจากการใช้บัญชีคอมพิวเตอร์ที่มีอยู่ในโดเมนเป้าหมายอีกครั้งเว้นแต่ว่า:

ผู้ใช้ที่พยายามดําเนินการเป็นผู้สร้างบัญชีที่มีอยู่

หรือ
คอมพิวเตอร์ถูกสร้างขึ้นโดยสมาชิกของผู้ดูแลโดเมน

หรือ

เจ้าของบัญชีคอมพิวเตอร์ที่นํามาใช้ใหม่เป็นสมาชิกของ "ตัวควบคุมโดเมน: อนุญาตให้ใช้บัญชีคอมพิวเตอร์อีกครั้งระหว่างการเข้าร่วมโดเมน" การตั้งค่านโยบายกลุ่ม การตั้งค่านี้จําเป็นต้องติดตั้งการอัปเดต Windows ที่เผยแพร่ในวันที่ 14 มีนาคม 2023 หรือหลังจากนั้น บนคอมพิวเตอร์ที่เป็นสมาชิกทั้งหมดและตัวควบคุมโดเมน

Updates วางจําหน่ายในวันที่ 14 มีนาคม 2023 และวันที่ 12 กันยายน 2023 และหลังจากนั้น จะมอบตัวเลือกเพิ่มเติมสําหรับลูกค้าที่ได้รับผลกระทบบน Windows Server 2012 R2 และสูงกว่าและไคลเอ็นต์ที่สนับสนุนทั้งหมด สําหรับข้อมูลเพิ่มเติม โปรดดูที่ส่วนลักษณะการทํางานและการดําเนินการของวันที่ 11 ตุลาคม 2022

ลักษณะการทํางานก่อนวันที่ 11 ตุลาคม 2022

ก่อนที่คุณจะติดตั้งการอัปเดตแบบสะสมของวันที่ 11 ตุลาคม 2022 หรือใหม่กว่า คอมพิวเตอร์ไคลเอ็นต์จะคิวรี Active Directory สําหรับบัญชีที่มีอยู่ที่มีชื่อเดียวกัน คิวรีนี้เกิดขึ้นในระหว่างการเข้าร่วมโดเมนและการเตรียมใช้งานบัญชีคอมพิวเตอร์ หากมีบัญชีดังกล่าวอยู่ ลูกค้าจะพยายามนําบัญชีนั้นกลับมาใช้ใหม่โดยอัตโนมัติ

หมาย เหตุ ความพยายามนํากลับมาใช้ใหม่จะล้มเหลวถ้าผู้ใช้ที่พยายามดําเนินการเข้าร่วมโดเมนไม่มีสิทธิ์การเขียนที่เหมาะสม อย่างไรก็ตาม ถ้าผู้ใช้มีสิทธิ์เพียงพอการเข้าร่วมโดเมนจะสําเร็จ

มีสถานการณ์สมมติสองสถานการณ์สําหรับการเข้าร่วมโดเมนที่มีลักษณะการทํางานเริ่มต้นและค่าสถานะที่เกี่ยวข้องดังนี้:

การเข้าร่วมโดเมน (NetJoinDomain)
- ค่าเริ่มต้นสําหรับการนําบัญชีมาใช้ใหม่ (ยกเว้นมีการระบุค่าสถานะ NETSETUP_NO_ACCT_REUSE )
การเตรียมใช้งานบัญชี (NetProvisionComputerAccountNetCreateProvisioningPackage)
- ค่าเริ่มต้นเป็น ไม่มี การนํากลับมาใช้ใหม่ (ยกเว้นมีการระบุ NETSETUP_PROVISION_REUSE_ACCOUNT )

ลักษณะการทํางานของวันที่ 11 ตุลาคม 2022

เมื่อคุณติดตั้งการอัปเดตแบบสะสมของ Windows บนคอมพิวเตอร์ไคลเอ็นต์ในวันที่ 11 ตุลาคม 2022 หรือใหม่กว่า ระหว่างการเข้าร่วมโดเมน ไคลเอ็นต์จะดําเนินการตรวจสอบความปลอดภัยเพิ่มเติมก่อนที่จะพยายามนําบัญชีคอมพิวเตอร์ที่มีอยู่มาใช้ใหม่ อัล กอ ริ ทึม:

ความพยายามนําบัญชีกลับมาใช้ใหม่จะได้รับอนุญาตหากผู้ใช้ที่พยายามดําเนินการเป็นผู้สร้างบัญชีที่มีอยู่
ความพยายามนําบัญชีกลับมาใช้ใหม่จะได้รับอนุญาตหากบัญชีถูกสร้างขึ้นโดยสมาชิกของผู้ดูแลระบบโดเมน

การตรวจสอบความปลอดภัยเพิ่มเติมเหล่านี้จะเสร็จสิ้นก่อนพยายามเข้าร่วมคอมพิวเตอร์ ถ้าการตรวจสอบเสร็จสมบูรณ์ การดําเนินการเข้าร่วมที่เหลือจะอยู่ภายใต้สิทธิ์ Active Directory เหมือนก่อนหน้านี้

การเปลี่ยนแปลงนี้ไม่มีผลต่อบัญชีใหม่

หมายเหตุ หลังจากติดตั้งการอัปเดตแบบสะสมของ Windows ในวันที่ 11 ตุลาคม 2022 หรือใหม่กว่า โดเมนที่เข้าร่วมกับบัญชีคอมพิวเตอร์อาจนํามาใช้ใหม่โดยเจตนาอาจล้มเหลวโดยมีข้อผิดพลาดต่อไปนี้:

0xaac ข้อผิดพลาด (2732): NERR_AccountReuseBlockedByPolicy: "บัญชีที่มีชื่อเดียวกันมีอยู่ใน Active Directory การใช้บัญชีอีกครั้งถูกบล็อกโดยนโยบายความปลอดภัย"

หากเป็นเช่นนั้น บัญชีจะได้รับการป้องกันโดยตั้งใจโดยลักษณะการทํางานแบบใหม่

รหัสเหตุการณ์ 4101 จะถูกทริกเกอร์เมื่อเกิดข้อผิดพลาดข้างต้นและจะเข้าสู่ระบบใน c:\windows\debug\netsetup.log โปรดทําตามขั้นตอนด้านล่างใน ดําเนินการ เพื่อทําความเข้าใจความล้มเหลวและแก้ไขปัญหา

ลักษณะการทํางานวันที่ 14 มีนาคม 2566

ในการอัปเดต Windows ที่เผยแพร่ในวันที่ 14 มีนาคม 2023 หรือหลังจากนั้น เราทําการเปลี่ยนแปลงบางอย่างกับการเพิ่มความปลอดภัย การเปลี่ยนแปลงเหล่านี้รวมถึงการเปลี่ยนแปลงทั้งหมดที่เราทําในวันที่ 11 ตุลาคม 2022

ก่อนอื่นเราได้ขยายขอบเขตของกลุ่มที่ได้รับการยกเว้นจากการชุบแข็งนี้ นอกจากผู้ดูแลระบบโดเมนแล้ว ผู้ดูแลระบบขององค์กรและกลุ่มผู้ดูแลระบบที่มีอยู่แล้วภายในจะได้รับการยกเว้นจากการตรวจสอบความเป็นเจ้าของ

ประการที่สองเราได้นําการตั้งค่านโยบายกลุ่มใหม่มาใช้ ผู้ดูแลระบบสามารถใช้เพื่อระบุรายการที่อนุญาตของเจ้าของบัญชีคอมพิวเตอร์ที่เชื่อถือได้ บัญชีคอมพิวเตอร์จะข้ามการตรวจสอบความปลอดภัยถ้าอย่างใดอย่างหนึ่งต่อไปนี้เป็นจริง:

บัญชีเป็นของผู้ใช้ที่ระบุเป็นเจ้าของที่เชื่อถือได้ในนโยบายกลุ่ม "ตัวควบคุมโดเมน: อนุญาตให้ใช้บัญชีคอมพิวเตอร์อีกครั้งระหว่างการเข้าร่วมโดเมน"
บัญชีผู้ใช้เป็นของผู้ใช้ที่เป็นสมาชิกของกลุ่มที่ระบุเป็นเจ้าของที่เชื่อถือได้ในนโยบายกลุ่ม "ตัวควบคุมโดเมน: อนุญาตให้ใช้บัญชีคอมพิวเตอร์อีกครั้งระหว่างการเข้าร่วมโดเมน"

เมื่อต้องการใช้นโยบายกลุ่มใหม่นี้ ตัวควบคุมโดเมนและคอมพิวเตอร์สมาชิกต้องมีการติดตั้งการอัปเดตวันที่ 14 มีนาคม 2023 หรือใหม่กว่าอย่างสม่ําเสมอ บางคนอาจมีบัญชีที่คุณใช้ในการสร้างบัญชีคอมพิวเตอร์อัตโนมัติ หากบัญชีเหล่านั้นมีความปลอดภัยจากการใช้งานในทางที่ผิด และคุณไว้วางใจให้พวกเขาสร้างบัญชีคอมพิวเตอร์ คุณสามารถยกเว้นได้ คุณจะยังคงปลอดภัยจากช่องโหว่เดิมที่บรรเทาจากการอัปเดต Windows ในวันที่ 11 ตุลาคม 2022

^{ลักษณะการทํางานของวันที่ 12 กันยายน 2023}

ในการอัปเดต Windows ที่เผยแพร่ในวันที่ 12 กันยายน 2023 หรือหลังจากนั้น เราทําการเปลี่ยนแปลงเพิ่มเติมเล็กน้อยในการเพิ่มความปลอดภัย การเปลี่ยนแปลงเหล่านี้รวมถึงการเปลี่ยนแปลงทั้งหมดที่เราทําในวันที่ 11 ตุลาคม 2022 และการเปลี่ยนแปลงตั้งแต่วันที่ 14 มีนาคม 2023

เราได้แก้ไขปัญหาที่การเข้าร่วมโดเมนโดยใช้การรับรองความถูกต้องสมาร์ทการ์ดล้มเหลวโดยไม่คํานึงถึงการตั้งค่านโยบาย เมื่อต้องการแก้ไขปัญหานี้ เราได้ย้ายการตรวจสอบความปลอดภัยที่เหลือกลับไปยังตัวควบคุมโดเมน ดังนั้น หลังจากการอัปเดตความปลอดภัยเดือนกันยายน 2023 เครื่องไคลเอ็นต์จะเรียก SAMRPC ที่ได้รับการรับรองความถูกต้องไปยังตัวควบคุมโดเมนเพื่อทําการตรวจสอบความปลอดภัยที่เกี่ยวข้องกับการใช้บัญชีคอมพิวเตอร์อีกครั้ง

อย่างไรก็ตาม อาจทําให้การเข้าร่วมโดเมนล้มเหลวในสภาพแวดล้อมที่มีการตั้งค่านโยบายต่อไปนี้: การเข้าถึงเครือข่าย: จํากัดไคลเอ็นต์ที่อนุญาตให้โทรระยะไกลไปยัง SAM โปรดดูที่ส่วน "ปัญหาที่ทราบ" สําหรับข้อมูลเกี่ยวกับวิธีการแก้ไขปัญหานี้

เรายังวางแผนที่จะลบการตั้งค่ารีจิสทรี NetJoinLegacyAccountReuse เดิมออกในการอัปเดต Windows ในอนาคต [มกราคม 2024 - เริ่ม]การเอาออกนี้ได้รับการจัดกําหนดการอย่างไม่แน่นอนสําหรับการอัปเดตในวันที่ 13 สิงหาคม 2024 วันที่วางจําหน่ายอาจเปลี่ยนแปลงได้ [สิ้นสุด - มกราคม 2024]

หมาย เหตุ ถ้าคุณปรับใช้คีย์ NetJoinLegacyAccountReuse บนไคลเอ็นต์ของคุณและตั้งค่าเป็นค่า 1 คุณต้องลบคีย์นั้น (หรือตั้งค่าเป็น 0) เพื่อรับประโยชน์จากการเปลี่ยนแปลงล่าสุด

ดำเนิน

กําหนดค่านโยบายรายการอนุญาตใหม่โดยใช้นโยบายกลุ่มบนตัวควบคุมโดเมน และเอาวิธีแก้ไขปัญหาชั่วคราวฝั่งไคลเอ็นต์แบบดั้งเดิมออก จากนั้นให้ทําดังต่อไปนี้:

คุณต้องติดตั้งการอัปเดตวันที่ 12 กันยายน 2023 หรือใหม่กว่าในคอมพิวเตอร์ที่เป็นสมาชิกและตัวควบคุมโดเมนทั้งหมด
ในนโยบายกลุ่มใหม่หรือที่มีอยู่ที่นําไปใช้กับตัวควบคุมโดเมนทั้งหมด ให้กําหนดค่าการตั้งค่าในขั้นตอนด้านล่าง
ภายใต้ การกําหนดค่าคอมพิวเตอร์\นโยบาย\การตั้งค่า Windows\การตั้งค่าความปลอดภัย\นโยบายภายใน\ตัวเลือกความปลอดภัย ให้ดับเบิลคลิกที่ ตัวควบคุมโดเมน: อนุญาตให้ใช้บัญชีคอมพิวเตอร์อีกครั้งระหว่างการเข้าร่วมโดเมน
เลือก กําหนดการตั้งค่านโยบายนี้ และ <แก้ไขความปลอดภัย...>
ใช้ตัวเลือกวัตถุเพื่อเพิ่มผู้ใช้หรือกลุ่มของผู้สร้างบัญชีคอมพิวเตอร์ที่เชื่อถือได้และ เจ้าของไปยังอนุญาต สิทธิ์ (สําหรับแนวทางปฏิบัติที่ดีที่สุด เราขอแนะนําให้คุณใช้กลุ่มสําหรับสิทธิ์) อย่าเพิ่มบัญชีผู้ใช้ที่ทําการรวมโดเมน

คำเตือน: จํากัดการเป็นสมาชิกของนโยบายไว้ที่ผู้ใช้และบัญชีบริการที่เชื่อถือได้ อย่าเพิ่มผู้ใช้ที่ได้รับการรับรองความถูกต้อง ทุกคน หรือกลุ่มขนาดใหญ่อื่นๆ ลงในนโยบายนี้ แต่ให้เพิ่มผู้ใช้ที่เชื่อถือได้และบัญชีบริการเฉพาะลงในกลุ่มและเพิ่มกลุ่มเหล่านั้นลงในนโยบายแทน
รอนโยบายกลุ่มช่วงเวลารีเฟรชหรือเรียกใช้ gpupdate /force บนตัวควบคุมโดเมนทั้งหมด
ตรวจสอบว่ามีการเติมรีจิสทรีคีย์ HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" ด้วย SDDL ที่ต้องการ ห้ามแก้ไขรีจิสทรีด้วยตนเอง
พยายามเข้าร่วมคอมพิวเตอร์ที่มีการติดตั้งการอัปเดตวันที่ 12 กันยายน 2023 หรือใหม่กว่า ตรวจสอบให้แน่ใจว่าบัญชีใดบัญชีหนึ่งที่แสดงอยู่ในนโยบายเป็นเจ้าของบัญชีคอมพิวเตอร์ และตรวจสอบให้แน่ใจว่ารีจิสทรีไม่ได้เปิดใช้งานคีย์ NetJoinLegacyAccountReuse (ตั้งค่าเป็น 1) ถ้าการเข้าร่วมโดเมนล้มเหลว ให้ตรวจสอบ c:\windows\debug\netsetup.log

ถ้าคุณยังต้องการวิธีแก้ไขปัญหาชั่วคราวอื่น ให้ตรวจทานเวิร์กโฟลว์การเตรียมใช้งานบัญชีคอมพิวเตอร์ และทําความเข้าใจว่ามีการเปลี่ยนแปลงหรือไม่

ดําเนินการเข้าร่วมโดยใช้บัญชีเดียวกับที่สร้างบัญชีคอมพิวเตอร์ในโดเมนเป้าหมาย
ถ้าบัญชีที่มีอยู่เก่า (ไม่ได้ใช้งาน) ให้ลบออกก่อนที่จะพยายามเข้าร่วมโดเมนอีกครั้ง
เปลี่ยนชื่อคอมพิวเตอร์และเข้าร่วมโดยใช้บัญชีผู้ใช้อื่นที่ยังไม่มีอยู่
หากบัญชีที่มีอยู่เป็นของหลักด้านความปลอดภัยที่เชื่อถือได้และผู้ดูแลระบบต้องการนําบัญชีกลับมาใช้ใหม่ ให้ทําตามคําแนะนําในส่วน ดําเนินการ เพื่อติดตั้งการอัปเดต Windows ในเดือนกันยายน 2023 หรือใหม่กว่า และกําหนดค่ารายการที่อนุญาต

คําแนะนําที่สําคัญสําหรับการใช้รีจิสทรีคีย์ NetJoinLegacyAccountReuse

ข้อควรระวัง: ถ้าคุณเลือกที่จะตั้งค่าคีย์นี้เพื่อแก้ไขปัญหาการป้องกันเหล่านี้ คุณจะปล่อยให้สภาพแวดล้อมของคุณมีความเสี่ยงต่อ CVE-2022-38042 เว้นแต่ว่าสถานการณ์ของคุณจะถูกอ้างอิงด้านล่างตามความเหมาะสม อย่าใช้วิธีนี้โดยไม่ยืนยันว่าผู้สร้าง/เจ้าของวัตถุคอมพิวเตอร์ที่มีอยู่เป็นหลักในการรักษาความปลอดภัยและเชื่อถือได้

เนื่องจากนโยบายกลุ่มใหม่ คุณจึงไม่ควรใช้รีจิสทรีคีย์ NetJoinLegacyAccountReuse อีกต่อไป [มกราคม 2024 - เริ่ม]เราจะเก็บรักษาคีย์ดังกล่าวไว้เป็นเวลาหลายเดือนเผื่อในกรณีที่คุณจําเป็นต้องแก้ไขปัญหาชั่วคราว [สิ้นสุด - มกราคม 2024]หากคุณไม่สามารถกําหนดค่า GPO ใหม่ในสถานการณ์ของคุณได้ เราขอแนะนําให้คุณติดต่อฝ่ายสนับสนุนของ Microsoft

เส้น ทาง	HKLM\System\CurrentControlSet\Control\LSA
ชนิด	Reg_dword
ชื่อ	NetJoinLegacyAccountReuse
ค่า	1 ค่าอื่นๆ จะถูกละเว้น

หมาย เหตุMicrosoft จะ ลบการสนับสนุนสําหรับการตั้งค่ารีจิสทรี NetJoinLegacyAccountReuse ในการอัปเดต Windows ในอนาคต [มกราคม 2024 - เริ่ม]การเอาออกนี้ได้รับการจัดกําหนดการอย่างไม่แน่นอนสําหรับการอัปเดตในวันที่ 13 สิงหาคม 2024 วันที่วางจําหน่ายอาจเปลี่ยนแปลงได้ [สิ้นสุด - มกราคม 2024]

ไม่เป็นสารละลาย

หลังจากที่คุณติดตั้งการอัปเดตวันที่ 12 กันยายน 2023 หรือใหม่กว่าบน DC และไคลเอ็นต์ในสภาพแวดล้อม อย่าใช้รีจิสทรี NetJoinLegacyAccountReuse แต่ให้ทําตามขั้นตอนใน ดําเนินการ เพื่อกําหนดค่า GPO ใหม่แทน
อย่าเพิ่มบัญชีบริการหรือบัญชีการเตรียมใช้งานลงในกลุ่มความปลอดภัยของผู้ดูแลโดเมน
ห้ามแก้ไขตัวบอกเกี่ยวกับความปลอดภัยด้วยตนเองในบัญชีคอมพิวเตอร์โดยพยายามกําหนดความเป็นเจ้าของบัญชีดังกล่าวใหม่ เว้นแต่ว่าบัญชีเจ้าของเดิมถูกลบออก ในขณะที่การแก้ไขเจ้าของจะทําให้การตรวจสอบใหม่สําเร็จ แต่บัญชีคอมพิวเตอร์อาจเก็บสิทธิ์ที่อาจมีความเสี่ยงแบบเดียวกันที่ไม่ต้องการสําหรับเจ้าของเดิมไว้ เว้นแต่จะมีการตรวจทานและเอาออกอย่างชัดเจน
อย่าเพิ่มรีจิสทรีคีย์ NetJoinLegacyAccountReuse ไปยังอิมเมจของระบบปฏิบัติการพื้นฐาน เนื่องจากคีย์ควรถูกเพิ่มชั่วคราวเท่านั้น และจะถูกเอาออกโดยตรงหลังจากการเข้าร่วมโดเมนเสร็จสมบูรณ์

บันทึกเหตุการณ์ใหม่

บันทึกเหตุการณ์	ระบบ
แหล่งของเหตุการณ์	Netjoin
ID เหตุการณ์	4100
ชนิดเหตุการณ์	ข้อมูล
ข้อความเหตุการณ์	"ในระหว่างการเข้าร่วมโดเมน ตัวควบคุมโดเมนได้ติดต่อหาบัญชีคอมพิวเตอร์ที่มีอยู่ใน Active Directory ที่มีชื่อเดียวกัน อนุญาตให้พยายามใช้บัญชีนี้อีกครั้ง ตัวควบคุมโดเมนที่ค้นหา: <ชื่อตัวควบคุมโดเมน>บัญชีผู้ใช้คอมพิวเตอร์ที่มีอยู่ DN: <เส้นทาง DN ของบัญชีผู้ใช้คอมพิวเตอร์> ดูที่ https://go.microsoft.com/fwlink/?linkid=2202145 สําหรับข้อมูลเพิ่มเติม

บันทึกเหตุการณ์	ระบบ
แหล่งของเหตุการณ์	Netjoin
ID เหตุการณ์	4101
ชนิดเหตุการณ์	ข้อผิดพลาด
ข้อความเหตุการณ์	ในระหว่างการเข้าร่วมโดเมน ตัวควบคุมโดเมนได้ติดต่อหาบัญชีผู้ใช้คอมพิวเตอร์ที่มีอยู่ใน Active Directory ที่มีชื่อเดียวกัน ความพยายามนําบัญชีนี้กลับมาใช้ใหม่ถูกป้องกันด้วยเหตุผลด้านความปลอดภัย ตัวควบคุมโดเมนค้นหา: DN บัญชีคอมพิวเตอร์ที่มีอยู่: รหัสข้อผิดพลาดถูก <รหัสข้อผิดพลาด> ดูที่ https://go.microsoft.com/fwlink/?linkid=2202145 สําหรับข้อมูลเพิ่มเติม

การบันทึกแก้จุดบกพร่องจะพร้อมใช้งานตามค่าเริ่มต้น (ไม่จําเป็นต้องเปิดใช้งานการบันทึกแบบรายละเอียดใดๆ) ใน C:\Windows\Debug\netsetup.log บนคอมพิวเตอร์ไคลเอ็นต์ทั้งหมด

ตัวอย่างของการบันทึกการแก้ไขจุดบกพร่องที่สร้างขึ้นเมื่อป้องกันการใช้บัญชีซ้ําด้วยเหตุผลด้านความปลอดภัย:

NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac

เหตุการณ์ใหม่ที่เพิ่มในเดือนมีนาคม 2023

การอัปเดตนี้เพิ่มเหตุการณ์ใหม่สี่ (4) รายการในบันทึกของระบบบนตัวควบคุมโดเมนดังนี้:

ระดับเหตุการณ์	ข้อมูล
รหัสเหตุการณ์	16995
บันทึก	ระบบ
แหล่งของเหตุการณ์	Directory-Services-SAM
ข้อความเหตุการณ์	ตัวจัดการบัญชีความปลอดภัยกําลังใช้ตัวบอกเกี่ยวกับความปลอดภัยที่ระบุสําหรับการตรวจสอบความถูกต้องของบัญชีคอมพิวเตอร์ที่พยายามใช้ใหม่ระหว่างการเข้าร่วมโดเมน ค่า SDDL: <> สตริง SDDL รายการที่อนุญาตนี้ได้รับการกําหนดค่าผ่านนโยบายกลุ่มใน Active Directory สําหรับข้อมูลเพิ่มเติม โปรดดูที่ http://go.microsoft.com/fwlink/?LinkId=2202145

ระดับเหตุการณ์	ข้อผิดพลาด
รหัสเหตุการณ์	16996
บันทึก	ระบบ
แหล่งของเหตุการณ์	Directory-Services-SAM
ข้อความเหตุการณ์	ตัวบอกเกี่ยวกับความปลอดภัยที่มีบัญชีคอมพิวเตอร์นํารายการอนุญาตมาใช้ใหม่ซึ่งถูกใช้เพื่อตรวจสอบความถูกต้องของการเข้าร่วมโดเมนที่ไคลเอ็นต์ร้องขอมีรูปแบบไม่ถูกต้อง ค่า SDDL: <> สตริง SDDL รายการที่อนุญาตนี้ได้รับการกําหนดค่าผ่านนโยบายกลุ่มใน Active Directory เมื่อต้องการแก้ไขปัญหานี้ ผู้ดูแลระบบจะต้องปรับปรุงนโยบายเพื่อตั้งค่านี้ให้เป็นตัวบอกเกี่ยวกับความปลอดภัยที่ถูกต้องหรือปิดใช้งาน สําหรับข้อมูลเพิ่มเติม โปรดดูที่ http://go.microsoft.com/fwlink/?LinkId=2202145

ระดับเหตุการณ์	ข้อผิดพลาด
รหัสเหตุการณ์	16997
บันทึก	ระบบ
แหล่งของเหตุการณ์	Directory-Services-SAM
ข้อความเหตุการณ์	ผู้จัดการบัญชีความปลอดภัยพบบัญชีคอมพิวเตอร์ที่ดูเหมือนจะกําพร้าและไม่มีเจ้าของที่มีอยู่ บัญชีคอมพิวเตอร์: S-1-5-xxx เจ้าของบัญชีคอมพิวเตอร์: S-1-5-xxx สําหรับข้อมูลเพิ่มเติม โปรดดูที่ http://go.microsoft.com/fwlink/?LinkId=2202145

ระดับเหตุการณ์	คำเตือน
รหัสเหตุการณ์	16998
บันทึก	ระบบ
แหล่งของเหตุการณ์	Directory-Services-SAM
ข้อความเหตุการณ์	ตัวจัดการบัญชีความปลอดภัยปฏิเสธคําขอจากไคลเอ็นต์ให้ใช้บัญชีคอมพิวเตอร์อีกครั้งระหว่างการเข้าร่วมโดเมน บัญชีคอมพิวเตอร์และข้อมูลประจําตัวไคลเอ็นต์ไม่ตรงกับการตรวจสอบความปลอดภัย บัญชีลูกค้า: S-1-5-xxx บัญชีคอมพิวเตอร์: S-1-5-xxx เจ้าของบัญชีคอมพิวเตอร์: S-1-5-xxx ตรวจสอบข้อมูลบันทึกของเหตุการณ์นี้สําหรับรหัสข้อผิดพลาด NT สําหรับข้อมูลเพิ่มเติม โปรดดูที่ http://go.microsoft.com/fwlink/?LinkId=2202145

หากจําเป็น netsetup.log สามารถให้ข้อมูลเพิ่มเติม ดูตัวอย่างด้านล่างจากเครื่องที่ใช้งานได้

NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=contoso,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2. 
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: 0, NetStatus: 0
NetpDsValidateComputerAccountReuseAttempt: returning Result: TRUE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x0.
NetpCheckIfAccountShouldBeReused: Account re-use attempt was permitted by Active Directory Policy.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x0

ปัญหาที่ทราบแล้ว

ปัญหาที่ 1

หลังจากติดตั้งการอัปเดตวันที่ 12 กันยายน 2023 หรือใหม่กว่า การเข้าร่วมโดเมนอาจล้มเหลวในสภาพแวดล้อมที่มีการตั้งค่านโยบายต่อไปนี้: การเข้าถึงเครือข่าย - จํากัดไคลเอ็นต์ที่อนุญาตให้โทรระยะไกลไปยัง SAM - ความปลอดภัยของ Windows | Microsoft Learn เนื่องจากในตอนนี้เครื่องไคลเอ็นต์จะเรียกใช้ SAMRPC ที่ได้รับการรับรองความถูกต้องไปยังตัวควบคุมโดเมนเพื่อทําการตรวจสอบความปลอดภัยที่เกี่ยวข้องกับการใช้บัญชีคอมพิวเตอร์อีกครั้ง

นี่คือสิ่งที่คาดไว้ เพื่อรองรับการเปลี่ยนแปลงนี้ ผู้ดูแลระบบควรเก็บนโยบาย SAMRPC ของตัวควบคุมโดเมนไว้ที่การตั้งค่าเริ่มต้น หรือระบุกลุ่มผู้ใช้ที่เข้าร่วมโดเมนในการตั้งค่า SDDL เพื่อให้สิทธิ์แก่ผู้ดูแลระบบ

ตัวอย่างจาก netsetup.log ที่ปัญหานี้เกิดขึ้น:

09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c0000022, NetStatus: 5
09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused: Active Directory Policy check with SAM_DOMAIN_JOIN_POLICY_LEVEL_V2 returned NetStatus:0x5.
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
09/18/2023 13:37:15:379 NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
09/18/2023 13:37:15:379 NetpProvisionComputerAccount: LDAP creation failed: 0xaac

ปัญหาที่ 2

หากบัญชีเจ้าของคอมพิวเตอร์ถูกลบและพยายามนําบัญชีคอมพิวเตอร์กลับมาใช้ใหม่ เหตุการณ์ 16997 จะถูกบันทึกไว้ในบันทึกเหตุการณ์ของระบบ หากเกิดเหตุการณ์นี้ขึ้น คุณสามารถกําหนดความเป็นเจ้าของให้กับบัญชีหรือกลุ่มอื่นอีกครั้งได้

ปัญหาที่ 3

ถ้ามีเฉพาะไคลเอ็นต์ที่มีการอัปเดตวันที่ 14 มีนาคม 2023 หรือใหม่กว่า การตรวจสอบนโยบาย Active Directory จะส่งกลับ 0x32 STATUS_NOT_SUPPORTED การตรวจสอบก่อนหน้านี้ที่ถูกนําไปใช้ในการแก้ไขด่วนเดือนพฤศจิกายนจะนําไปใช้ตามที่แสดงด้านล่าง:

NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=LT-NIClientBA,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Ms-Ds-CreatorSid is empty.
NetpGetNCData: Reading NC data
NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=LT2k16dom,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2. 
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c00000bb, NetStatus: 32 
NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x32.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
NetpProvisionComputerAccount: LDAP creation failed: 0xaac