« Les processus de jonction de domaine peuvent échouer avec l'erreur « 0xaac (2732) » Comment résoudre le problème de jonction de domaine ?

Microsoft, Windows Il publie régulièrement des mises à jour de sécurité et des améliorations pour le système d'exploitation. KB5020276 La mise à jour inclut certaines améliorations de sécurité apportées au cours du processus de connexion réseau.

KB5020276 La mise à jour inclut des améliorations de sécurité apportées au cours du processus de connexion réseau pour le système d'exploitation Windows. Netjoin est le processus qui consiste à joindre un ordinateur à un domaine, permettant aux utilisateurs d'accéder aux ressources du réseau et d'être soumis aux politiques de domaine.

Microsoft KB5020276 Modifications de renforcement des jointures de domaine Netjoin – Cengiz YILMAZ

Cette mise à jour garantit que des mesures de sécurité plus strictes sont mises en œuvre pendant le processus de jointure de domaine. Ceci est conçu pour garantir que les ordinateurs restent sécurisés et protégés contre tout accès non autorisé. Les modifications suivantes en matière de sécurité de jointure de domaine sont apportées avec la mise à jour KB5020276 :

Exigence de mot de passe fort : La mise à jour KB5020276 active des algorithmes de hachage plus puissants pour les mots de passe utilisés lors de la jonction de domaine. Cela rend les mots de passe plus sécurisés et plus résistants aux attaques.

Politiques de sécurité mises à jour : La mise à jour garantit que des politiques de sécurité plus strictes sont appliquées pour la jonction de domaine. Cela garantit que les ordinateurs répondent à certaines exigences de sécurité lorsqu’ils rejoignent le domaine et rend difficile l’exploitation des vulnérabilités.

Précautions de verrouillage de compte : La mise à jour KB5020276 renforce les mesures de verrouillage de compte pendant le processus de jointure de domaine. Ceci est conçu pour détecter et bloquer les attaques potentielles et les tentatives de connexion.

Octobre 11 2022

Qu’est-ce que CVE-2022-38042 ?

"Le tiering Active Directory La vulnérabilité, définie comme « Vulnérabilité d'élévation de privilèges des services de domaine », permet une élévation de privilèges sur AD. Pour cette raison, Microsoft a renforcé ses procédures de réintégration de domaine. Notons cette information de côté et poursuivons notre route.

Les mises à jour Windows publiées à partir du 11 octobre 2022 incluent des protections supplémentaires pour CVE-2022-38042. Ces protections empêchent les jointures de domaine de réutiliser intentionnellement un compte d'ordinateur existant dans le domaine cible. Toutefois, sauf dans les cas suivants :

  • L'utilisateur effectuant la transaction doit être celui qui a créé en premier le compte existant.
  • L'ordinateur doit avoir été créé par les administrateurs de domaine.
  • Le propriétaire du compte informatique réutilisé est «Contrôleur de domaine : autoriser la réutilisation du compte d'ordinateur lors de la jonction d'un domaineIl doit être membre d'un paramètre de stratégie de groupe nommé ". Ce paramètre nécessite que les mises à jour Windows publiées à compter du 14 mars 2023 soient installées sur TOUS les ordinateurs et contrôleurs de domaine membres.
  • Mises à jour disponibles à partir du 14 mars 2023 pour les clients concernés Windows Server Il fournira des options supplémentaires pour tous les clients pris en charge avec 2012 R2 et versions ultérieures.

Pas

Après l'installation des mises à jour cumulatives Windows du 11 octobre 2022 ou version ultérieure, la jonction de domaine avec la réutilisation du compte d'ordinateur peut échouer intentionnellement avec l'erreur suivante et vous pouvez rencontrer l'erreur suivante.

"Erreur 0xaac (2732) : NERR_AccountReuseBlockedByPolicy : « Un compte du même nom existe dans Active Directory. "La réutilisation du compte a été bloquée par la politique de sécurité."

"L'ID d'événement 4101 sera déclenché lorsque l'erreur ci-dessus se produit et que le problème se trouve dans c:windowsdebugnetsetup.log sera enregistré.

Mars 14 2023

  • Dans les mises à jour Windows publiées à compter du 14 mars 2023, certaines modifications ont été apportées au renforcement de la sécurité. Ces modifications incluent toutes les modifications que nous avons apportées le 11 octobre 2022.
  • Premièrement, le champ des groupes exemptés de ce durcissement a été élargi. Les groupes d'administrateurs de domaine, d'administrateurs d'entreprise et d'administrateurs intégrés sont désormais également exemptés des contrôles de propriété.
  • Deuxièmement, un nouveau paramètre de stratégie de groupe a été implémenté. Les administrateurs peuvent l'utiliser pour définir une liste d'autorisations de propriétaires de comptes d'ordinateurs de confiance. Le compte d'ordinateur contournera le contrôle de sécurité si l'une des conditions suivantes est remplie :
  • Un utilisateur a déclaré : «Contrôleur de domaine : autoriser la réutilisation du compte d'ordinateur lors de la jonction d'un domaine" est spécifié comme propriétaire approuvé dans la stratégie de groupe.
  • Un utilisateur a déclaré : «Contrôleur de domaine : autoriser la réutilisation du compte d'ordinateur lors de la jonction d'un domaine» est membre d'un groupe spécifié comme propriétaire approuvé dans la stratégie de groupe.
  • Pour utiliser cette nouvelle stratégie de groupe, le contrôleur de domaine et l'ordinateur membre doivent avoir systématiquement installé la mise à jour du 14 mars 2023 ou ultérieure. Dans certains cas, vous pouvez disposer de comptes spécifiques que vous utilisez pour créer des comptes informatiques automatiques. Si ces comptes sont à l’abri des abus et que vous faites confiance à la création de comptes informatiques, vous pouvez les exempter.

Non: Vous serez toujours à l'abri des vulnérabilités d'origine atténuées par les mises à jour Windows du 11 octobre 2022.

Microsoft prévoit également de supprimer l'enregistrement NetJoinLegacyAccountReuse dans une future mise à jour de Windows. Cette suppression est actuellement provisoirement prévue pour la mise à jour du 9 septembre 2023. Les dates de sortie sont susceptibles de changer.

Mesures à prendre

Dès que possible avant septembre 2023, configurez la nouvelle stratégie de liste d'autorisations dans la stratégie de groupe sur le contrôleur de domaine et supprimez toutes les anciennes solutions de contournement côté client.

Image 20

Effectuez ensuite les étapes suivantes :

  • Vous devez installer les mises à jour du 14 mars 2023 sur tous les ordinateurs et contrôleurs de domaine membres.
  • Dans une stratégie de groupe nouvelle ou existante qui s'applique à tous les contrôleurs de domaine, configurez les paramètres spécifiés dans les étapes suivantes.
  • "Configuration de l'ordinateurPolitiquesParamètres WindowsParamètres de sécuritéPolitiques localesOption de sécuritéOptions « sous ».Contrôleur de domaine : autoriser la réutilisation du compte d'ordinateur lors de la jonction d'un domaine" double-cliquez.
  • "Définissez ce paramètre de stratégie et" sélectionner.
  • À l'aide du sélecteur d'objet, ajoutez l'autorisation Autoriser aux utilisateurs et aux groupes que vous souhaitez accorder. (En tant que bonne pratique, nous vous recommandons fortement d'utiliser des groupes pour les autorisations.) N'ajoutez pas le compte d'utilisateur qui effectue la jointure de domaine.
  • Uyarı: Limitez les abonnements à la stratégie aux utilisateurs de confiance et aux comptes de service. N'ajoutez pas d'utilisateurs authentifiés, tout le monde ou d'autres grands groupes à cette stratégie. Au lieu de cela, ajoutez des utilisateurs de confiance et des comptes de service spécifiques aux groupes et ajoutez ces groupes à la stratégie.
  • Attendez l'intervalle d'actualisation de la stratégie de groupe ou exécutez gpupdate /force sur tous les contrôleurs de domaine.
  • Vérifiez que l'enregistrement « ComputerAccountReuseAllowList » dans le chemin HKLMSystemCCSControlSAM est renseigné avec le SDDL souhaité. Ne modifiez pas l'enregistrement manuellement.
  • Essayez de rejoindre un ordinateur sur lequel la mise à jour du 14 mars 2023 ou ultérieure est installée sur le domaine. Assurez-vous que l'un des comptes de la stratégie concernée possède le compte d'ordinateur et que la clé NetJoinLegacyAccountReuse du registre n'est pas activée (définie sur 1). Si la connexion au domaine échoue, vérifiez c:windowsdebugnetsetup.log.

Si vous avez encore besoin d'une autre solution de contournement, vérifiez attentivement toutes les étapes et suivez les étapes ci-dessous

  • Rejoignez-nous en utilisant le même compte qui a créé le compte d'ordinateur dans le domaine cible.
  • Si le compte existant n'est pas utilisé, supprimez-le avant de rejoindre à nouveau le domaine.
  • Renommez l'ordinateur et rejoignez-le sans utiliser de compte existant.
  • Si le compte existant appartient à un principal de sécurité approuvé et qu'un compte d'administrateur souhaite réutiliser le compte, suivez les instructions de la section Prendre des mesures pour installer la mise à jour Windows de mars 2023 et configurer une liste d'autorisations.
  • Conseils importants sur l’utilisation de l’enregistrement NetJoinLegacyAccountReuse

    Attention : Si vous choisissez de définir cette clé pour contourner ces protections, vous vous exposez à la vulnérabilité CVE-2022-38042.

En raison de la nouvelle stratégie de groupe, vous ne devez plus utiliser l'enregistrement NetJoinLegacyAccountReuse. Si vous ne parvenez pas à configurer le nouveau GPO dans votre scénario,

Vous pouvez utiliser le registre ci-dessous.

CheminHKLMSystemCurrentControlSetControlLSA
TypeREG_DWORD
NomNetJoinLegacyAccountReuse
Valeur1 Les autres valeurs sont ignorées.

Microsoft supprimera la prise en charge de l'enregistrement NetJoinLegacyAccountReuse dans une future mise à jour de Windows. Cette suppression est actuellement provisoirement prévue pour la mise à jour du 9 septembre 2023. Les dates de publication sont susceptibles de changer.

Ce qu'il ne faut pas faire !!

N'utilisez pas l'enregistrement NetJoinLegacyAccountReuse après l'installation des mises à jour du 14 mars 2023 ou ultérieures sur les contrôleurs de domaine et les clients de l'environnement. Plutôt, "Mesures à prendreSuivez les étapes de la section « ».

  • N'ajoutez pas de comptes de service ou de comptes de provisionnement au groupe Administrateurs de domaine.
  • Ne modifiez pas manuellement le descripteur de sécurité pour redéfinir la propriété des comptes d'ordinateur. La modification du propriétaire peut garantir la réussite des nouvelles vérifications, mais le compte d'ordinateur peut avoir les mêmes autorisations potentiellement risquées et indésirables que le propriétaire d'origine, à moins qu'il ne soit explicitement examiné et supprimé.
  • N'ajoutez pas l'enregistrement NetJoinLegacyAccountReuse aux images du système d'exploitation (OS) de base, car cet enregistrement ne doit être ajouté que temporairement, puis directement supprimé immédiatement une fois la jointure de domaine terminée.

Nouveaux identifiants d'événements et alertes

journal des événementsSYSTÈME
 
Source de l'événementrejoindre le réseau
ID d'événement4100
Type d'événementD'information
Texte de l'événement« Lors de l'adhésion au domaine, le contrôleur de domaine contacté a trouvé un compte d'ordinateur existant dans Active Directory portant le même nom. Une tentative de réutilisation de ce compte a été autorisée. Le contrôleur de domaine a recherché : DN du compte d'ordinateur existant : . Voir https://go.microsoft.com/fwlink/?linkid=2202145 pour plus d'informations.
journal des événementsSYSTÈME
Source de l'événementrejoindre le réseau
ID d'événement4101
Type d'événementErreur
Texte de l'événement« Lors de la jonction du domaine, le contrôleur de domaine contacté a trouvé un compte d'ordinateur existant dans Active Directory portant le même nom. Une tentative de réutilisation de ce compte a été empêchée pour des raisons de sécurité. Contrôleur de domaine recherché : DN du compte d'ordinateur existant : le code d'erreur était . Voir https://go.microsoft.com/fwlink/?linkid=2202145 pour plus d'informations.

La journalisation du débogage est disponible par défaut (pas besoin d'activer une journalisation détaillée) dans C:WindowsDebugnetsetup.log sur tous les ordinateurs clients.

Exemple de journalisation de débogage générée lorsque la réutilisation du compte est empêchée pour des raisons de sécurité :NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account. NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0 NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac NetpProvisionComputerAccount: LDAP creation failed: 0xaac ldap_unbind status: 0x0 NetpJoinCreatePackagePart: status:0xaac. NetpJoinDomainOnDs: Function exits with status of: 0xaac NetpJoinDomainOnDs: status of disconnecting from 'DC1.contoso.com': 0x0 NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0 NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0 NetpDoDomainJoin: status: 0xaac

Cette mise à jour ajoute quatre (4) nouveaux événements dans le journal SYSTEM sur le contrôleur de domaine comme suit :

Niveau d'événementD'information
Identifiant de l'événement16995
HistoriqueSYSTÈME
Source de l'événementServices d'annuaire-SAM
Texte de l'événementLe gestionnaire de compte de sécurité utilise le descripteur de sécurité spécifié pour valider les tentatives de réutilisation du compte d'ordinateur lors de la jointure au domaine. Valeur SDDL : Cette liste verte est configurée via la stratégie de groupe dans Active Directory. Pour plus d'informations, veuillez consulter http://go.microsoft.com/fwlink/?LinkId=2202145.
Niveau d'événementErreur
Identifiant de l'événement16996
HistoriqueSYSTÈME
Source de l'événementServices d'annuaire-SAM
Texte de l'événementLe descripteur de sécurité qui contient la liste autorisée de réutilisation du compte d'ordinateur utilisé pour valider l'adhésion au domaine des demandes des clients est mal formé. Valeur SDDL : Cette liste verte est configurée via la stratégie de groupe dans Active Directory. Pour corriger ce problème, un administrateur devra mettre à jour la stratégie pour définir cette valeur sur un descripteur de sécurité valide ou la désactiver. Pour plus d'informations, veuillez consulter. http://go.microsoft.com/fwlink/?LinkId=2202145.
Niveau d'événementErreur
Identifiant de l'événement16997
HistoriqueSYSTÈME
Source de l'événementServices d'annuaire-SAM
Texte de l'événementLe responsable du compte de sécurité a trouvé un compte d'ordinateur qui semble orphelin et n'a pas de propriétaire existant.Compte d'ordinateur : S-1-5-xxxPropriétaire du compte d'ordinateur : S-1-5-xxxPour plus d'informations, veuillez consulter http://go.microsoft.com/fwlink/?LinkId=2202145.
Niveau d'événementAvertissement
Identifiant de l'événement16998
HistoriqueSYSTÈME
Source de l'événementServices d'annuaire-SAM
Texte de l'événementLe responsable du compte de sécurité a rejeté la demande d'un client visant à réutiliser un compte d'ordinateur lors de l'adhésion au domaine. Le compte d'ordinateur et l'identité du client n'ont pas satisfait aux contrôles de validation de sécurité. Compte client : S-1-5-xxxCompte d'ordinateur : S-1- 5-xxxPropriétaire du compte d'ordinateur : S-1-5-xxxVérifiez les données d'enregistrement de cet événement pour le code d'erreur NT. Pour plus d'informations, veuillez consulter http://go.microsoft.com/fwlink/?LinkId=2202145

Si nécessaire, le netsetup.log peut donner plus d'informations. Voir l'exemple ci-dessous à partir d'une machine en état de marche.NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=contoso,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'. NetpReadAccountReuseModeFromAD: Got 0 Entries. Returning NetStatus: 0, ADReuseMode: 0 IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2. IsLegacyAccountReuseSetInRegistry returning: 'FALSE''. NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: 0, NetStatus: 0 NetpDsValidateComputerAccountReuseAttempt: returning Result: TRUE NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x0. NetpCheckIfAccountShouldBeReused: Account re-use attempt was permitted by Active Directory Policy. NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x0

Si seul le client dispose de la mise à jour du 14 mars 2023 ou ultérieure, la vérification de la stratégie Active Directory renverra 0x32 STATUS_NOT_SUPPORTED. Les vérifications précédentes mises en œuvre dans les correctifs de novembre s'appliqueront comme indiqué ci-dessous.NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=LT-NIClientBA,CN=Computers,DC=contoso,DC=com NetpGetADObjectOwnerAttributes: Ms-Ds-CreatorSid is empty. NetpGetNCData: Reading NC data NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=LT2k16dom,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'. NetpReadAccountReuseModeFromAD: Got 0 Entries. Returning NetStatus: 0, ADReuseMode: 0 IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2. IsLegacyAccountReuseSetInRegistry returning: 'FALSE''. NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c00000bb, NetStatus: 32 NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x32. NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0 NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac NetpProvisionComputerAccount: LDAP creation failed: 0xaac


Articles similaires – « Les processus de jonction de domaine peuvent échouer avec l'erreur « 0xaac (2732) » Comment résoudre le problème de jonction de domaine ?

Commenter