KB5020276—Netjoin: Miền tham gia các thay đổi cứng

Tóm tắt

Các bản cập nhật Windows được phát hành vào và sau ngày 11 tháng 10 năm 2022, chứa các tùy chọn bảo vệ bổ sung được giới thiệu trong CVE-2022-38042. Những biện pháp bảo vệ này cố ý ngăn các thao tác nối miền sử dụng lại tài khoản máy tính hiện có trong miền đích trừ khi:

Người dùng cố gắng thao tác là người tạo ra tài khoản hiện có.

Hoặc
Máy tính được tạo ra bởi một thành viên của người quản trị tên miền.

Hoặc

Chủ sở hữu của tài khoản máy tính đang được tái sử dụng là một thành viên của "Bộ kiểm soát miền: Cho phép tài khoản máy tính tái sử dụng trong khi tham gia miền." chính sách nhóm đặt này. Cài đặt này yêu cầu cài đặt các bản cập nhật Windows được phát hành vào hoặc sau ngày 14 tháng 3 năm 2023 trên TẤT CẢ các máy tính thành viên và bộ kiểm soát miền.

Cập nhật hành vào và sau ngày 14 tháng 3 năm 2023 và ngày 12 tháng 9 năm 2023, sẽ cung cấp các tùy chọn bổ sung cho khách hàng bị ảnh hưởng trên Windows Server 2012 R2 trở lên và tất cả các máy khách được hỗ trợ. Để biết thêm thông tin, hãy xem phần Hành vi ngày 11 tháng 10 năm 2022 và Thực hiện Hành động.

Hành vi trước ngày 11 tháng Mười năm 2022

Trước khi bạn cài đặt bản cập nhật tích lũy ngày 11 tháng 10 năm 2022 trở lên, truy vấn máy tính khách Active Directory cho tài khoản hiện có có cùng tên. Truy vấn này xảy ra trong quá trình cung cấp tài khoản máy tính và tham gia miền. Nếu tài khoản đó tồn tại, khách hàng sẽ tự động tìm cách sử dụng lại tài khoản đó.

Lưu ý Nỗ lực tái sử dụng sẽ không thành công nếu người dùng cố gắng thực hiện thao tác tham gia miền không có quyền ghi thích hợp. Tuy nhiên, nếu người dùng có đủ quyền tham gia miền sẽ thành công.

Có hai kịch bản cho tham gia miền với các hành vi mặc định tương ứng và cờ như sau:

Domain Join (NetJoinDomain)
- Mặc định để sử dụng lại tài khoản (trừ khi NETSETUP_NO_ACCT_REUSE được chỉ định)
Cung cấp tài khoản (NetProvisionComputerAccountNetCreateProvisioningPackage).
- Mặc định là KHÔNG sử dụng lại (trừ khi NETSETUP_PROVISION_REUSE_ACCOUNT xác định.)

Hành vi ngày 11 tháng 10 năm 2022

Sau khi bạn cài đặt bản cập nhật tích lũy Windows ngày 11 tháng 10 năm 2022 trở lên trên máy tính khách, trong quá trình tham gia miền, máy khách sẽ thực hiện kiểm tra bảo mật bổ sung trước khi tìm cách sử dụng lại tài khoản máy tính hiện có. Thuật toán:

Lần thử tái sử dụng tài khoản sẽ được cho phép nếu người dùng cố gắng thực hiện thao tác là người tạo tài khoản hiện có.
Cố gắng tái sử dụng tài khoản sẽ được cho phép nếu tài khoản được tạo bởi một thành viên của người quản trị miền.

Những kiểm tra bảo mật bổ sung được thực hiện trước khi cố gắng tham gia vào máy tính. Nếu việc kiểm tra thành công, phần còn lại của thao tác nối sẽ tuân theo quyền Active Directory như trước đây.

Thay đổi này không ảnh hưởng đến tài khoản mới.

Lưu ý Sau khi cài đặt bản cập nhật tích lũy Windows ngày 11 tháng 10 năm 2022 trở lên, việc tham gia miền bằng tài khoản máy tính tái sử dụng có thể không thành công do lỗi sau:

Lỗi 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Đã tồn tại một tài khoản có cùng tên trong Active Directory. Việc tái sử dụng tài khoản đã bị chính sách bảo mật chặn."

Nếu có, tài khoản đang cố tình được bảo vệ bởi hành vi mới.

ID Sự kiện 4101 sẽ được kích hoạt sau khi xảy ra lỗi ở trên và sự cố sẽ được ghi nhật ký vào c:\windows\debug\netsetup.log. Vui lòng làm theo các bước bên dưới trong Thực hiện Hành động để hiểu rõ sự cố và khắc phục sự cố.

Hành vi ngày 14 tháng 3 năm 2023

Trong các bản cập nhật Windows được phát hành vào hoặc sau ngày 14 tháng 3 năm 2023, chúng tôi đã thực hiện một số thay đổi đối với việc c cố định bảo mật. Những thay đổi này bao gồm tất cả những thay đổi mà chúng tôi đã thực hiện trong ngày 11 tháng 10 năm 2022.

Trước tiên, chúng tôi mở rộng phạm vi của các nhóm được miễn giảm cứng này. Ngoài Người quản trị Miền, người quản trị Doanh nghiệp và nhóm Người quản trị Tích hợp sẵn giờ đây được miễn kiểm tra quyền sở hữu.

Thứ hai, chúng tôi đã triển khai một thiết chính sách nhóm mới. Người quản trị có thể sử dụng danh sách này để chỉ định danh sách cho phép các chủ sở hữu tài khoản máy tính đáng tin cậy. Tài khoản máy tính sẽ bỏ qua kiểm tra bảo mật nếu một trong những điều sau là đúng:

Tài khoản thuộc sở hữu của người dùng được chỉ định là chủ sở hữu đáng tin cậy trong "Bộ kiểm soát miền: Cho phép sử dụng lại tài khoản máy tính trong khi tham gia miền" chính sách nhóm.
Tài khoản thuộc sở hữu của người dùng là thành viên của một nhóm được chỉ định là chủ sở hữu đáng tin cậy trong "Bộ kiểm soát miền: Cho phép sử dụng lại tài khoản máy tính trong khi tham gia miền" chính sách nhóm.

Để sử dụng bản cập nhật chính sách nhóm mới này, bộ điều khiển miền và máy tính thành viên phải nhất quán cài đặt bản cập nhật ngày 14 tháng 3 năm 2023 hoặc mới hơn. Một số bạn có thể có các tài khoản cụ thể mà bạn sử dụng trong việc tạo tài khoản máy tính tự động. Nếu các tài khoản đó an toàn khỏi bị lạm dụng và bạn tin tưởng chúng để tạo tài khoản máy tính, bạn có thể miễn trừ các tài khoản đó. Bạn vẫn sẽ được bảo mật chống lại lỗ hổng ban đầu được giảm thiểu bởi các bản cập nhật Windows ngày 11 tháng 10 năm 2022.

^{Hành vi ngày 12 tháng 9 năm 2023}

Trong các bản cập nhật Windows được phát hành vào hoặc sau ngày 12 tháng 9 năm 2023, chúng tôi đã thực hiện một số thay đổi bổ sung đối với việc cấu trúc bảo mật. Những thay đổi này bao gồm tất cả những thay đổi mà chúng tôi đã thực hiện trong ngày 11 tháng 10 năm 2022 và những thay đổi từ ngày 14 tháng 3 năm 2023.

Chúng tôi đã khắc phục sự cố trong đó việc tham gia miền bằng cách sử dụng xác thực thẻ thông minh không thành công bất kể cài đặt chính sách. Để khắc phục sự cố này, chúng tôi đã di chuyển các kiểm tra bảo mật còn lại về Bộ kiểm soát Miền. Vì vậy, sau bản cập nhật bảo mật tháng 9 năm 2023, máy khách thực hiện cuộc gọi SAMRPC xác thực cho bộ kiểm soát miền để thực hiện kiểm tra xác thực bảo mật liên quan đến tái sử dụng tài khoản máy tính.

Tuy nhiên, điều này có thể khiến không thể tham gia miền trong các môi trường có chính sách sau đây được đặt: Truy nhập mạng: Hạn chế máy khách được phép thực hiện cuộc gọi từ xa với SAM. Vui lòng xem mục "Sự cố Đã biết" để biết thông tin về cách giải quyết sự cố này.

Chúng tôi cũng dự định xóa cài đặt đăng ký NetJoinLegacyAccountReuse gốc trong bản cập nhật Windows trong tương lai. [Tháng 1 năm 2024 - Bắt đầu]Thao tác xóa này dự kiến sẽ phát hành cho bản cập nhật ngày 13 tháng 8 năm 2024. Ngày phát hành có thể thay đổi. [Kết thúc - tháng 1 năm 2024]

Lưu ý Nếu bạn đã triển khai khóa NetJoinLegacyAccountReuse trên máy khách của mình và đặt khóa thành giá trị 1, bạn phải loại bỏ khóa đó (hoặc đặt thành 0) để hưởng lợi từ những thay đổi mới nhất.

Thực hiện Hành động

Đặt cấu hình chính sách danh sách cho phép mới bằng chính sách nhóm trên bộ kiểm soát miền và loại bỏ mọi giải pháp thay thế phía máy khách kế thừa. Sau đó, hãy làm như sau:

Bạn phải cài đặt bản cập nhật ngày 12 tháng 9 năm 2023 trở lên trên tất cả các máy tính thành viên và bộ kiểm soát miền.
Trong chính sách nhóm mới hoặc hiện có áp dụng cho tất cả các bộ kiểm soát miền, hãy đặt cấu hình thiết đặt theo các bước dưới đây.
Trong Cấu hình Máy tính\Chính sách\Cài đặt Windows\ Cài đặt Bảo mật\Chính sách Cục bộ\Tùy chọn Bảo mật, bấm đúp vào Bộ điều khiển miền: Cho phép sử dụng lại tài khoản máy tính trong khi tham gia miền.
Chọn Xác định cài đặt chính sách này <Sửa Bảo mật...>.
Sử dụng bộ chọn đối tượng để thêm người dùng hoặc nhóm người tạo và chủ sở hữu tài khoản máy tính tin cậy vào quyền Cho phép. (Cách thực hành tốt nhất là chúng tôi khuyên bạn nên sử dụng nhóm cho quyền.) Không thêm tài khoản người dùng thực hiện gia nhập miền.

Cảnh báo: Giới hạn tư cách thành viên trong chính sách chỉ cho người dùng đáng tin cậy và tài khoản dịch vụ. Không thêm người dùng đã xác thực, mọi người hoặc các nhóm lớn khác vào chính sách này. Thay vào đó, hãy thêm người dùng và tài khoản dịch vụ tin cậy cụ thể vào các nhóm và thêm các nhóm đó vào chính sách.
Đợi khoảng thời gian chính sách nhóm hoặc chạy gpupdate /force trên tất cả các bộ kiểm soát miền.
Xác minh rằng khóa đăng ký HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" được điền với SDDL mong muốn. Không chỉnh sửa thủ công sổ đăng ký.
Thử gia nhập máy tính đã cài đặt bản cập nhật ngày 12 tháng 9 năm 2023 hoặc mới hơn. Đảm bảo rằng một trong các tài khoản được liệt kê trong chính sách sở hữu tài khoản máy tính. Ngoài ra, hãy đảm bảo rằng sổ đăng ký của mình không bật khóa NetJoinLegacyAccountReuse (đặt thành 1). Nếu nối miền không thành công, hãy kiểm tra c:\windows\debug\netsetup.log.

Nếu bạn vẫn cần một giải pháp thay thế, hãy xem lại dòng công việc cung cấp tài khoản máy tính và tìm hiểu xem có cần thay đổi hay không.

Thực hiện thao tác kết nối bằng chính tài khoản đã tạo tài khoản máy tính trong miền đích.
Nếu tài khoản hiện có là tài khoản đã qua sử dụng (không sử dụng), hãy xóa tài khoản đó trước khi tìm cách gia nhập lại miền.
Đổi tên máy tính và gia nhập bằng tài khoản khác chưa tồn tại.
Nếu tài khoản hiện có thuộc sở hữu của một tài khoản bảo mật đáng tin cậy và người quản trị muốn sử dụng lại tài khoản, hãy làm theo hướng dẫn trong phần Thực hiện Hành động để cài đặt các bản cập nhật Windows tháng 9 năm 2023 trở lên và đặt cấu hình danh sách cho phép.

Hướng dẫn quan trọng về cách sử dụng khóa đăng ký NetJoinLegacyAccountReuse

Thận trọng: Nếu bạn chọn đặt khóa này để khắc phục các biện pháp bảo vệ này, bạn sẽ khiến môi trường dễ bị tổn thương bởi CVE-2022-38042 trừ khi kịch bản của bạn được tham chiếu dưới đây là phù hợp. Không sử dụng phương pháp này mà không xác nhận rằng Creator/Chủ sở hữu của đối tượng máy tính hiện có là một bảo mật an toàn và đáng tin cậy chính.

Do phiên bản mới chính sách nhóm, bạn không nên sử dụng khóa đăng ký NetJoinLegacyAccountReuse nữa. [Tháng 1 năm 2024 - Bắt đầu]Chúng tôi sẽ lưu giữ chìa khóa trong vài tháng tiếp theo trong trường hợp bạn cần giải pháp thay thế. [Kết thúc - tháng 1 năm 2024]Nếu bạn không thể đặt cấu hình GPO mới trong kịch bản của mình, chúng tôi khuyến khích bạn liên hệ với bộ phận Hỗ trợ của Microsoft.

Con đường	HKLM\System\CurrentControlSet\Control\LSA
Loại	REG_DWORD
Tên	NetJoinLegacyAccountReuse
Giá trị	1 Các giá trị khác bị bỏ qua.

Lưu ýMicrosoft sẽ loại bỏ hỗ trợ cho cài đặt đăng ký NetJoinLegacyAccountReuse trong bản cập nhật Windows trong tương lai. [Tháng 1 năm 2024 - Bắt đầu]Thao tác xóa này dự kiến sẽ phát hành cho bản cập nhật ngày 13 tháng 8 năm 2024. Ngày phát hành có thể thay đổi. [Kết thúc - tháng 1 năm 2024]

Không giải quyết

Sau khi bạn cài đặt bản cập nhật ngày 12 tháng 9 năm 2023 trở lên trên CÁC PC và máy khách trong môi trường, không sử dụng đăng ký NetJoinLegacyAccountReuse . Thay vào đó, hãy làm theo các bước trong Thực hiện Hành động để đặt cấu hình GPO mới.
Không thêm tài khoản dịch vụ hoặc cung cấp tài khoản vào nhóm bảo mật Người quản trị Miền.
Không chỉnh sửa thủ công bộ mô tả bảo mật trên tài khoản máy tính trong nỗ lực xác định lại quyền sở hữu của những tài khoản đó, trừ khi tài khoản chủ sở hữu trước đó đã bị xóa. Trong khi việc chỉnh sửa chủ sở hữu sẽ cho phép kiểm tra mới thành công, tài khoản máy tính có thể vẫn giữ lại các quyền tiềm ẩn rủi ro, không mong muốn cho chủ sở hữu ban đầu trừ khi được xem xét và loại bỏ một cách rõ ràng.
Không thêm khóa đăng ký NetJoinLegacyAccountReuse để tạo hình ảnh HĐH cơ sở vì khóa chỉ nên được thêm tạm thời và sau đó bị loại bỏ trực tiếp sau khi hoàn tất tham gia miền.

Nhật ký sự kiện mới

Nhật ký sự kiện	HỆ THỐNG
Nguồn Sự kiện	Gia nhập Netjoin
ID Sự kiện	4100
Loại Sự kiện	Thông tin
Văn bản Sự kiện	"Trong khi tham gia miền, bộ kiểm soát miền đã liên hệ với bạn đã tìm thấy tài khoản máy tính hiện có trong Active Directory có cùng tên. Đã cho phép thử sử dụng lại tài khoản này. Bộ kiểm soát miền đã tìm kiếm: <tên bộ kiểm soát miền>DN tài khoản máy tính hiện có: DN <dẫn DN của tài khoản máy tính>. Hãy xem https://go.microsoft.com/fwlink/?linkid=2202145 để biết thêm thông tin.

Nhật ký sự kiện	HỆ THỐNG
Nguồn Sự kiện	Gia nhập Netjoin
ID Sự kiện	4101
Loại Sự kiện	Lỗi
Văn bản Sự kiện	Trong khi tham gia miền, bộ kiểm soát miền đã liên hệ với bạn đã tìm thấy tài khoản máy tính hiện có trong Active Directory có cùng tên. Đã không thể sử dụng lại tài khoản này vì lý do bảo mật. Bộ kiểm soát miền đã tìm kiếm: DN tài khoản máy tính hiện có: Mã lỗi đã <mã lỗi>. Hãy xem https://go.microsoft.com/fwlink/?linkid=2202145 để biết thêm thông tin.

Ghi nhật ký gỡ lỗi có sẵn theo mặc định (không cần phải bật bất kỳ ghi nhật ký chi tiết nào) trong C:\Windows\Debug\netsetup.log trên tất cả các máy tính khách.

Ví dụ về việc gỡ lỗi đăng nhập được tạo ra khi tái sử dụng tài khoản bị ngăn chặn vì lý do bảo mật:

NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac

Các sự kiện mới được thêm vào tháng 3 năm 2023

Bản cập nhật này thêm bốn (4) sự kiện mới trong nhật ký HỆ THỐNG trên bộ kiểm soát miền như sau:

Mức Sự kiện	Thông tin
Id Sự kiện	16995
Đăng nhập	HỆ THỐNG
Nguồn Sự kiện	Dịch vụ Thư mục-SAM
Văn bản Sự kiện	Người quản lý tài khoản bảo mật đang sử dụng bộ mô tả bảo mật được chỉ định để xác thực các lần thử tái sử dụng tài khoản máy tính trong khi tham gia miền. Giá trị SDDL: <chuỗi SDDL> Danh sách cho phép này được cấu hình thông qua chính sách nhóm trong Active Directory. Để biết thêm thông tin, vui lòng xem http://go.microsoft.com/fwlink/?LinkId=2202145.

Mức Sự kiện	Lỗi
Id Sự kiện	16996
Đăng nhập	HỆ THỐNG
Nguồn Sự kiện	Dịch vụ Thư mục-SAM
Văn bản Sự kiện	Bộ mô tả bảo mật có chứa danh sách cho phép sử dụng lại tài khoản máy tính đang được sử dụng để xác thực tham gia miền yêu cầu máy khách không đúng định dạng. Giá trị SDDL: <chuỗi SDDL> Danh sách cho phép này được cấu hình thông qua chính sách nhóm trong Active Directory. Để khắc phục sự cố này, người quản trị sẽ cần cập nhật chính sách để đặt giá trị này thành một bộ mô tả bảo mật hợp lệ hoặc tắt nó. Để biết thêm thông tin, vui lòng xem http://go.microsoft.com/fwlink/?LinkId=2202145.

Mức Sự kiện	Lỗi
Id Sự kiện	16997
Đăng nhập	HỆ THỐNG
Nguồn Sự kiện	Dịch vụ Thư mục-SAM
Văn bản Sự kiện	Người quản lý tài khoản bảo mật đã tìm thấy tài khoản máy tính có vẻ như đang mồ côi và không có chủ sở hữu hiện có. Tài khoản máy tính: S-1-5-xxx Chủ sở hữu tài khoản máy tính: S-1-5-xxx Để biết thêm thông tin, vui lòng xem http://go.microsoft.com/fwlink/?LinkId=2202145.

Mức Sự kiện	Cảnh báo
Id Sự kiện	16998
Đăng nhập	HỆ THỐNG
Nguồn Sự kiện	Dịch vụ Thư mục-SAM
Văn bản Sự kiện	Người quản lý tài khoản bảo mật đã từ chối yêu cầu máy khách sử dụng lại tài khoản máy tính trong khi tham gia miền. Tài khoản máy tính và danh tính khách hàng không đáp ứng kiểm tra xác thực bảo mật. Tài khoản khách hàng: S-1-5-xxx Tài khoản máy tính: S-1-5-xxx Chủ sở hữu tài khoản máy tính: S-1-5-xxx Kiểm tra dữ liệu bản ghi của sự kiện này cho mã lỗi NT. Để biết thêm thông tin, vui lòng xem http://go.microsoft.com/fwlink/?LinkId=2202145.

Nếu cần thiết, netsetup.log có thể cung cấp thêm thông tin. Xem ví dụ dưới đây từ máy làm việc.

NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=contoso,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2. 
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: 0, NetStatus: 0
NetpDsValidateComputerAccountReuseAttempt: returning Result: TRUE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x0.
NetpCheckIfAccountShouldBeReused: Account re-use attempt was permitted by Active Directory Policy.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x0

Sự cố đã biết

Sự cố 1

Sau khi cài đặt các bản cập nhật ngày 12 tháng 9 năm 2023 trở lên, việc tham gia miền có thể không thành công trong các môi trường mà chính sách sau đây được đặt: Truy nhập mạng - Hạn chế máy khách được phép thực hiện cuộc gọi từ xa với SAM - Bảo mật Windows | Microsoft Learn. Điều này là do máy khách bây giờ thực hiện cuộc gọi SAMRPC xác thực để bộ kiểm soát miền để thực hiện kiểm tra xác thực bảo mật liên quan đến tái sử dụng tài khoản máy tính.

Điều này là dự kiến. Để thích ứng với thay đổi này, người quản trị nên giữ chính sách SAMRPC của bộ kiểm soát miền tại thiết đặt mặc định HOẶC một cách rõ ràng bao gồm nhóm người dùng thực hiện tham gia miền trong thiết đặt SDDL để cấp cho họ quyền.

Ví dụ từ netsetup.log nơi xảy ra sự cố này:

09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c0000022, NetStatus: 5
09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused: Active Directory Policy check with SAM_DOMAIN_JOIN_POLICY_LEVEL_V2 returned NetStatus:0x5.
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
09/18/2023 13:37:15:379 NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
09/18/2023 13:37:15:379 NetpProvisionComputerAccount: LDAP creation failed: 0xaac

Sự cố 2

Nếu tài khoản chủ sở hữu máy tính đã bị xóa và nỗ lực sử dụng lại tài khoản máy tính xảy ra, Sự kiện 16997 sẽ được ghi nhật ký trong nhật ký sự kiện Hệ thống. Nếu điều này xảy ra, bạn có thể gán lại quyền sở hữu cho một tài khoản hoặc nhóm khác.

Sự cố 3

Nếu chỉ máy khách có bản cập nhật ngày 14 tháng 3 năm 2023 trở lên, việc kiểm tra chính sách Active Directory sẽ trả 0x32 STATUS_NOT_SUPPORTED. Các kiểm tra trước đó đã được thực hiện trong hotfixes tháng 11 sẽ áp dụng như sau:

NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=LT-NIClientBA,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Ms-Ds-CreatorSid is empty.
NetpGetNCData: Reading NC data
NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=LT2k16dom,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2. 
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c00000bb, NetStatus: 32 
NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x32.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
NetpProvisionComputerAccount: LDAP creation failed: 0xaac