Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU Windows Server 2012 Windows Embedded 8 Standard Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro Windows 10 Windows 10, version 1607, all editions Windows Server 2016, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10 Enterprise Multi-Session, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 on Surface Hub Windows 10, version 21H1, all editions Windows 10, version 21H2, all editions Windows 11 version 21H2, all editions Windows 11 version 22H2, all editions Windows Server 2022

Hinweis: Aktualisiert 13.08.2024; siehe Verhalten vom 13. August 2024

Zusammenfassung

Windows-Updates, die am und nach dem 11. Oktober 2022 veröffentlicht wurden, enthalten zusätzliche Schutzmaßnahmen, die von CVE-2022-38042 eingeführt wurden. Diese Schutzmaßnahmen verhindern absichtlich, dass Domänenbeitrittsvorgänge ein vorhandenes Computerkonto in der Zieldomäne wiederverwenden, es sei denn:

  • Der Benutzer, der den Vorgang versucht, ist der Ersteller des vorhandenen Kontos.

    Oder

  • Der Computer wurde von einem Mitglied der Domänenadministratoren erstellt.

    Oder

  • Der Besitzer des Computerkontos, das wiederverwendet wird, ist Mitglied von "Domänencontroller: Wiederverwendung des Computerkontos während des Domänenbeitritts zulassen". Gruppenrichtlinieneinstellung. Diese Einstellung erfordert die Installation von Windows-Updates, die am oder nach dem 14. März 2023 auf ALLEN Mitgliedscomputern und Domänencontrollern veröffentlicht wurden.

Updates, die am und nach dem 14. März 2023 und dem 12. September 2023 veröffentlicht werden, bieten zusätzliche Optionen für betroffene Kunden unter Windows Server 2012 R2 und höher und allen unterstützten Clients. Weitere Informationen finden Sie in den Abschnitten Verhalten vom 11. Oktober 2022 und Ergreifen von Maßnahmen .

Anmerkung In diesem Artikel wurde zuvor auf einen NetJoinLegacyAccountReuse-Registrierungsschlüssel verwiesen. Am 13. August 2024 wurden dieser Registrierungsschlüssel und seine Verweise in diesem Artikel entfernt. 

Verhalten vor dem 11. Oktober 2022

Bevor Sie die kumulativen Updates vom 11. Oktober 2022 oder höher installieren, fragt der Clientcomputer Active Directory nach einem vorhandenen Konto mit demselben Namen ab. Diese Abfrage tritt während der Domänenbeitritts- und Computerkontobereitstellung auf. Wenn ein solches Konto vorhanden ist, versucht der Client automatisch, es wiederzuverwenden.

Hinweis Der Wiederverwendungsversuch schlägt fehl, wenn der Benutzer, der den Domänenbeitritt versucht, nicht über die entsprechenden Schreibberechtigungen verfügt. Wenn der Benutzer jedoch über ausreichende Berechtigungen verfügt, ist der Domänenbeitritt erfolgreich.

Es gibt zwei Szenarien für den Domänenbeitritt mit den entsprechenden Standardverhalten und -flags wie folgt:

Verhalten vom 11. Oktober 2022 

Nachdem Sie die kumulativen Windows-Updates vom 11. Oktober 2022 oder höher auf einem Clientcomputer installiert haben, führt der Client während des Domänenbeitritts zusätzliche Sicherheitsüberprüfungen durch, bevor versucht wird, ein vorhandenes Computerkonto wiederzuverwenden. Algorithmus:

  1. Der Wiederverwendungsversuch für Konten ist zulässig, wenn der Benutzer, der den Vorgang versucht, der Ersteller des vorhandenen Kontos ist.

  2. Der Wiederverwendungsversuch für Konten ist zulässig, wenn das Konto von einem Mitglied von Domänenadministratoren erstellt wurde.

Diese zusätzlichen Sicherheitsüberprüfungen werden durchgeführt, bevor versucht wird, dem Computer beizutreten. Wenn die Überprüfungen erfolgreich sind, unterliegt der Rest des Joinvorgangs wie zuvor Active Directory-Berechtigungen.

Diese Änderung wirkt sich nicht auf neue Konten aus.

Hinweis Nach der Installation der kumulativen Windows-Updates vom 11. Oktober 2022 oder höher schlägt der Domänenbeitritt mit der Wiederverwendung von Computerkonten möglicherweise absichtlich mit dem folgenden Fehler fehl:

Fehler 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "In Active Directory ist ein Konto mit demselben Namen vorhanden. Die erneute Verwendung des Kontos wurde durch die Sicherheitsrichtlinie blockiert."

Wenn ja, wird das Konto absichtlich durch das neue Verhalten geschützt.

Die Ereignis-ID 4101 wird ausgelöst, sobald der obige Fehler auftritt, und das Problem wird in c:\windows\debug\netsetup.log protokolliert. Führen Sie die folgenden Schritte unter Ergreifen von Maßnahmen aus, um den Fehler zu verstehen und das Problem zu beheben.

Verhalten vom 14. März 2023

In den Windows-Updates, die am oder nach dem 14. März 2023 veröffentlicht wurden, haben wir einige Änderungen an der Sicherheitshärtung vorgenommen. Diese Änderungen umfassen alle Änderungen, die wir am 11. Oktober 2022 vorgenommen haben.

Zunächst haben wir den Bereich der Gruppen erweitert, die von dieser Härtung ausgenommen sind. Neben Domänenadministratoren sind jetzt auch Unternehmensadministratoren und integrierte Administratorengruppen von der Besitzprüfung ausgenommen.

Zweitens haben wir eine neue Gruppenrichtlinieneinstellung implementiert. Administratoren können damit eine Zulassungsliste von Besitzern vertrauenswürdiger Computerkonten angeben. Das Computerkonto umgeht die Sicherheitsüberprüfung, wenn eine der folgenden Aussagen zutrifft:

  • Das Konto gehört einem Benutzer, der in der Gruppenrichtlinie "Domänencontroller: Wiederverwendung des Computerkontos während des Domänenbeitritts zulassen" als vertrauenswürdiger Besitzer angegeben ist.

  • Das Konto gehört einem Benutzer, der Mitglied einer Gruppe ist, die in der Gruppenrichtlinie "Domänencontroller: Wiederverwendung von Computerkonten während des Domänenbeitritts zulassen" als vertrauenswürdiger Besitzer angegeben ist.

Um diese neue Gruppenrichtlinie verwenden zu können, muss auf dem Domänencontroller und dem Mitgliedscomputer immer das Update vom 14. März 2023 oder höher installiert sein. Einige von Ihnen verfügen möglicherweise über bestimmte Konten, die Sie bei der automatisierten Computerkontoerstellung verwenden. Wenn diese Konten vor Missbrauch sicher sind und Sie ihnen vertrauen, Computerkonten zu erstellen, können Sie sie ausschließen. Sie sind weiterhin vor der ursprünglichen Sicherheitsanfälligkeit geschützt, die durch die Windows-Updates vom 11. Oktober 2022 behoben wurde.

Verhalten vom 12. September 2023

In den Windows-Updates, die am oder nach dem 12. September 2023 veröffentlicht wurden, haben wir einige zusätzliche Änderungen an der Sicherheitshärtung vorgenommen. Diese Änderungen umfassen alle Änderungen, die wir am 11. Oktober 2022 vorgenommen haben, sowie die Änderungen ab dem 14. März 2023.

Es wurde ein Problem behoben, bei dem der Domänenbeitritt mithilfe der Smartcard-Authentifizierung unabhängig von der Richtlinieneinstellung fehlgeschlagen ist. Um dieses Problem zu beheben, haben wir die verbleibenden Sicherheitsüberprüfungen wieder auf den Domänencontroller verschoben. Daher führen Clientcomputer nach dem Sicherheitsupdate vom September 2023 authentifizierte SAMRPC-Aufrufe an den Domänencontroller aus, um Sicherheitsüberprüfungen im Zusammenhang mit der Wiederverwendung von Computerkonten durchzuführen.

Dies kann jedoch dazu führen, dass der Domänenbeitritt in Umgebungen fehlschlägt, in denen die folgende Richtlinie festgelegt ist: Netzwerkzugriff: Clients einschränken, die Remoteaufrufe an SAM durchführen dürfen.  Informationen zur Behebung dieses Problems finden Sie im Abschnitt "Bekannte Probleme".

Verhalten vom 13. August 2024

In den Windows-Updates, die am oder nach dem 13. August 2024 veröffentlicht wurden, wurden alle bekannten Kompatibilitätsprobleme mit der Richtlinie für die Zulassungsliste behoben. Außerdem wurde die Unterstützung für den Schlüssel NetJoinLegacyAccountReuse entfernt. Das Härtungsverhalten bleibt unabhängig von der Schlüsseleinstellung bestehen. Die geeigneten Methoden zum Hinzufügen von Ausnahmen sind unten im Abschnitt "Aktion ergreifen" aufgeführt. 

Handeln Sie

Konfigurieren Sie die neue Richtlinie für Zulassungslisten mithilfe der Gruppenrichtlinie auf einem Domänencontroller, und entfernen Sie alle clientseitigen Legacyumgehungen. Gehen Sie dann wie folgt vor:

  1. Sie müssen die Updates vom 12. September 2023 oder höher auf allen Mitgliedscomputern und Domänencontrollern installieren. 

  2. Konfigurieren Sie in einer neuen oder vorhandenen Gruppenrichtlinie, die für alle Domänencontroller gilt, die Einstellungen in den folgenden Schritten.

  3. Doppelklicken Sie unter Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen auf Domänencontroller: Wiederverwendung des Computerkontos während des Domänenbeitritts zulassen.

  4. Wählen Sie Diese Richtlinieneinstellung definieren und <Sicherheit bearbeiten...>aus.

  5. Verwenden Sie die Objektauswahl, um Benutzer oder Gruppen von Erstellern und Besitzern vertrauenswürdiger Computerkonten zur Berechtigung Zulassen hinzuzufügen. (Als bewährte Methode wird dringend empfohlen, Gruppen für Berechtigungen zu verwenden.) Fügen Sie nicht das Benutzerkonto hinzu, das den Domänenbeitritt durchführt.

    Warnung: Beschränken Sie die Mitgliedschaft auf die Richtlinie auf vertrauenswürdige Benutzer und Dienstkonten. Fügen Sie dieser Richtlinie keine authentifizierten Benutzer, alle benutzer oder andere große Gruppen hinzu. Fügen Sie stattdessen bestimmte vertrauenswürdige Benutzer und Dienstkonten zu Gruppen hinzu, und fügen Sie diese Gruppen der Richtlinie hinzu.

  6. Warten Sie auf das Aktualisierungsintervall der Gruppenrichtlinie, oder führen Sie gpupdate /force auf allen Domänencontrollern aus.

  7. Vergewissern Sie sich, dass der Registrierungsschlüssel HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" mit der gewünschten SDDL aufgefüllt ist. Bearbeiten Sie die Registrierung nicht manuell.

  8. Versuchen Sie, einen Computer zu verbinden, auf dem die Updates vom 12. September 2023 oder höher installiert sind. Stellen Sie sicher, dass eines der in der Richtlinie aufgeführten Konten das Computerkonto besitzt. Wenn der Domänenbeitritt fehlschlägt, überprüfen Sie die \netsetup.log c:\windows\debug.

Wenn Sie weiterhin eine alternative Problemumgehung benötigen, überprüfen Sie die Workflows zur Bereitstellung von Computerkonten, und ermitteln Sie, ob Änderungen erforderlich sind. 

  1. Führen Sie den Joinvorgang mit demselben Konto aus, das das Computerkonto in der Zieldomäne erstellt hat.

  2. Wenn das vorhandene Konto veraltet (nicht verwendet) ist, löschen Sie es, bevor Sie versuchen, der Domäne erneut beizutreten.

  3. Benennen Sie den Computer um, und schließen Sie sich mit einem anderen Konto an, das noch nicht vorhanden ist.

  4. Wenn sich das vorhandene Konto im Besitz eines vertrauenswürdigen Sicherheitsprinzipals befindet und ein Administrator das Konto wiederverwenden möchte, befolgen Sie die Anweisungen im Abschnitt Aktion ergreifen, um die Windows-Updates vom September 2023 oder höher zu installieren und eine Zulassungsliste zu konfigurieren.

Nicht-Lösungen

  • Fügen Sie der Sicherheitsgruppe Domänenadministratoren keine Dienstkonten oder Bereitstellungskonten hinzu.

  • Bearbeiten Sie die Sicherheitsbeschreibung für Computerkonten nicht manuell, um den Besitz solcher Konten neu zu definieren, es sei denn, das vorherige Besitzerkonto wurde gelöscht. Während die Bearbeitung des Besitzers ermöglicht, dass die neuen Überprüfungen erfolgreich sind, behält das Computerkonto möglicherweise die gleichen potenziell riskanten und unerwünschten Berechtigungen für den ursprünglichen Besitzer bei, es sei denn, es wurde explizit überprüft und entfernt.

Neue Ereignisprotokolle

Ereignisprotokoll

SYSTEM  

Ereignisquelle

Netjoin

Ereigniskennung

4100

Ereignistyp

Information

Ereignistext

"Während des Domänenbeitritts hat der kontaktierte Domänencontroller ein vorhandenes Computerkonto in Active Directory mit demselben Namen gefunden.

Es wurde versucht, dieses Konto erneut zu verwenden.

Domänencontroller durchsucht: <Domänencontrollername>Vorhandenes Computerkonto DN: <DN-Pfad des Computerkontos>. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2202145.

Ereignisprotokoll

SYSTEM

Ereignisquelle

Netjoin

Ereigniskennung

4101

Ereignistyp

Fehler

Ereignistext

Während des Domänenbeitritts hat der kontaktierte Domänencontroller ein vorhandenes Computerkonto in Active Directory mit demselben Namen gefunden. Ein Versuch, dieses Konto erneut zu verwenden, wurde aus Sicherheitsgründen verhindert. Domänencontroller durchsucht: Vorhandenes Computerkonto DN: Der Fehlercode wurde <Fehlercode>. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2202145.

Die Debugprotokollierung ist standardmäßig im C:\Windows\Debug-\netsetup.log auf allen Clientcomputern verfügbar (es ist keine ausführliche Protokollierung erforderlich).

Beispiel für die Debugprotokollierung, die generiert wird, wenn die Wiederverwendung des Kontos aus Sicherheitsgründen verhindert wird:

NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac

Neue Ereignisse im März 2023 hinzugefügt 

Dieses Update fügt vier (4) neue Ereignisse im SYSTEM-Protokoll auf dem Domänencontroller wie folgt hinzu:

Ereignisebene

Information

Ereignis-ID

16995

Protokoll

SYSTEM

Ereignisquelle

Directory-Services-SAM

Ereignistext

Der Sicherheitskonto-Manager verwendet den angegebenen Sicherheitsdeskriptor für die Überprüfung von Wiederverwendungsversuchen des Computerkontos während des Domänenbeitritts.

SDDL-Wert: <SDDL-Zeichenfolge>

Diese Zulassungsliste wird über eine Gruppenrichtlinie in Active Directory konfiguriert.

Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=2202145.

Ereignisebene

Fehler

Ereignis-ID

16996

Protokoll

SYSTEM

Ereignisquelle

Directory-Services-SAM

Ereignistext

Der Sicherheitsdeskriptor, der die Wiederverwendungsliste des Computerkontos enthält, die verwendet wird, um zu überprüfen, ob der Domänenbeitritt von Clientanforderungen falsch formatiert ist.

SDDL-Wert: <SDDL-Zeichenfolge>

Diese Zulassungsliste wird über eine Gruppenrichtlinie in Active Directory konfiguriert.

Um dieses Problem zu beheben, muss ein Administrator die Richtlinie aktualisieren, um diesen Wert auf einen gültigen Sicherheitsdeskriptor festzulegen oder ihn zu deaktivieren.

Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=2202145.

Ereignisebene

Fehler

Ereignis-ID

16997

Protokoll

SYSTEM

Ereignisquelle

Directory-Services-SAM

Ereignistext

Der Sicherheitskonto-Manager hat ein Computerkonto gefunden, das verwaist zu sein scheint und nicht über einen vorhandenen Besitzer verfügt.

Computerkonto: S-1-5-xxx

Computerkontobesitzer: S-1-5-xxx

Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=2202145.

Ereignisebene

Warnung

Ereignis-ID

16998

Protokoll

SYSTEM

Ereignisquelle

Directory-Services-SAM

Ereignistext

Der Sicherheitskonto-Manager hat eine Clientanforderung zur Wiederverwendung eines Computerkontos während des Domänenbeitritts abgelehnt.

Das Computerkonto und die Clientidentität haben die Sicherheitsüberprüfungen nicht erfüllt.

Benutzerkonto: S-1-5-xxx

Computerkonto: S-1-5-xxx

Computerkontobesitzer: S-1-5-xxx

Überprüfen Sie die Datensatzdaten dieses Ereignisses auf den NT-Fehlercode.

Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=2202145.

Bei Bedarf kann der netsetup.log weitere Informationen bereitstellen.

Bekannte Probleme

Problem 1

Nach der Installation der Updates vom 12. September 2023 oder höher kann der Domänenbeitritt in Umgebungen, in denen die folgende Richtlinie festgelegt ist, fehlschlagen: Netzwerkzugriff – Einschränken von Clients, die Remoteaufrufe an SAM durchführen dürfen – Windows-Sicherheit | Microsoft Learn. Dies liegt daran, dass Clientcomputer jetzt authentifizierte SAMRPC-Aufrufe an den Domänencontroller senden, um Sicherheitsüberprüfungen im Zusammenhang mit der Wiederverwendung von Computerkonten durchzuführen.     Dies wird erwartet. Um dieser Änderung Rechnung zu tragen, sollten Administratoren entweder die SAMRPC-Richtlinie des Domänencontrollers bei den Standardeinstellungen beibehalten oder die Benutzergruppe, die den Domänenbeitritt durchführt, explizit in die SDDL-Einstellungen einschließen, um ihnen die Berechtigung zu erteilen. 

Beispiel aus einem netsetup.log, bei dem dieses Problem aufgetreten ist:

09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c0000022, NetStatus: 5
09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused: Active Directory Policy check with SAM_DOMAIN_JOIN_POLICY_LEVEL_V2 returned NetStatus:0x5.
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
09/18/2023 13:37:15:379 NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
09/18/2023 13:37:15:379 NetpProvisionComputerAccount: LDAP creation failed: 0xaac

Problem 2

Wenn das Konto des Computerbesitzers gelöscht wurde und versucht wird, das Computerkonto wiederzuverwenden, wird Ereignis 16997 im Systemereignisprotokoll protokolliert. In diesem Fall ist es in Ordnung, den Besitz einem anderen Konto oder einer anderen Gruppe erneut zuzuweisen.

Problem 3

Wenn nur der Client über das Update vom 14. März 2023 oder höher verfügt, gibt die Active Directory-Richtlinienüberprüfung 0x32 STATUS_NOT_SUPPORTED zurück. Vorherige Überprüfungen, die in den November-Hotfixes implementiert wurden, gelten wie unten gezeigt:

NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c00000bb, NetStatus: 32 
NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x32.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
NetpProvisionComputerAccount: LDAP creation failed: 0xaac

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

In den Communities können Sie Fragen stellen und beantworten, Feedback geben und von Experten mit umfassendem Wissen hören.