Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel wordt het probleem opgelost dat een computer niet kan worden toegevoegd aan een domein wanneer er al een bestaand computeraccount met dezelfde naam bestaat.
Symptomen
Wanneer u probeert een bestaande computeraccountnaam te gebruiken om een computer aan een domein toe te voegen, mislukt de bewerking en ontvangt u de volgende foutberichten:
Op de pagina Werk of school toegang :
Kan niet deelnemen aan dit domein. Neem contact op met uw IT-beheerder voor meer informatie.
In systeemeigenschappen:
De volgende fout is opgetreden bij het toevoegen van het domein '<domain_name>':
Er bestaat een account met dezelfde naam in Active Directory.
Het opnieuw gebruiken van het account is geblokkeerd door beveiligingsbeleid.
Netsetup.log
Bekijk het volgende voorbeeld van het Netsetup.log-bestand op een volledig bijgewerkt systeem.
NetpProvisionComputerAccount:
lpDomain: contoso.com
lpHostName: host1
lpMachineAccountOU: (NULL)
lpDcName: ContosoDC1.contoso.com
lpMachinePassword: (null)
lpAccount: contoso\nonadminuser2
lpPassword: (non-null)
dwJoinOptions: 0x403
dwOptions: 0x40000003
NetpLdapBind: Verified minimum encryption strength on ContosoDC1.contoso.com: 0x0
NetpLdapGetLsaPrimaryDomain: reading domain data
NetpGetNCData: Reading NC data
NetpGetDomainData: Lookup domain data for: DC=contoso,DC=com
NetpGetDomainData: Lookup crossref data for: CN=Partitions,CN=Configuration,DC=contoso,DC=com
NetpLdapGetLsaPrimaryDomain: result of retrieving domain data: 0x0
NetpCheckForDomainSIDCollision: returning 0x0(0).
NetpGetComputerObjectDn: Cracking DNS domain name contoso.com/ into Netbios on \\ContosoDC1.contoso.com
NetpGetComputerObjectDn: Crack results: name = CONTOSO\
NetpGetComputerObjectDn: Cracking account name CONTOSO\HOST1$ on \\ContosoDC1.contoso.com
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=HOST1,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=HOST1,CN=Computers,DC=contoso,DC=com
NetpGetNCData: Reading NC data
NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=contoso,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2.
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: 0, NetStatus: 0
NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check with SAM_DOMAIN_JOIN_POLICY_LEVEL_V2 returned NetStatus:0x0.
NetpCheckIfAccountShouldBeReused: Account re-use attempt was Denied by Active Directory Policy.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
NetpProvisionComputerAccount: Retrying downlevel per options
NetpManageMachineAccountWithSid: NetUserAdd on 'ContosoDC1.contoso.com' for 'HOST1$' failed: 0x8b0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2.
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpManageMachineAccountWithSid: The computer account already exists in Active Directory.Re-using the account was blocked by security policy.
NetpProvisionComputerAccount: retry status of creating account: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\ContosoDC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
Foutdetail
| Hexadecimale fout | Decimale fout | Symbolische fouttekenreeks | Foutbeschrijving | Koptekst |
|---|---|---|---|---|
| 0x8b0 | 2224 | NERR_UserExists (Gebruiker bestaat al) | Het account bestaat al. | lmerr.h |
| 0xaac | 2732 | NERR_AccountReuseBlockedByPolicy | Er bestaat een account met dezelfde naam in Active Directory. Het opnieuw gebruiken van het account is geblokkeerd door beveiligingsbeleid. | lmerr.h |
Oorzaak
Windows heeft extra beveiliging geïntroduceerd met updates die zijn uitgebracht op en na 11 oktober 2022. Deze beveiliging voorkomt opzettelijk dat domeindeelnamebewerkingen een bestaand computeraccount in het doeldomein hergebruiken, tenzij aan een van de volgende voorwaarden wordt voldaan:
- de gebruiker die de bewerking probeert uit te voeren, is de maker van het bestaande account.
- De computer wordt gemaakt door een lid van domeinbeheerders, ondernemingsbeheerders of ingebouwde beheerdersgroepen.
- De eigenaar van het computeraccountobject dat opnieuw wordt gebruikt, is lid van de domeincontroller: toestaan dat het computeraccount opnieuw wordt gebruikt tijdens de groepsbeleidsinstelling voor domeindeelname. Voor deze instelling is de installatie van Windows-updates vereist die zijn uitgebracht op of na 14 maart 2023 op alle lidcomputers en domeincontrollers.
Resolutie / Besluit
Volg deze stappen om het probleem op te lossen:
- Voer de joinbewerking uit met hetzelfde account dat het computeraccount in het doeldomein heeft gemaakt.
- Als het bestaande account verouderd is (ongebruikt), verwijdert u het voordat u opnieuw probeert lid te worden van het domein.
- Wijzig de naam van de computer en voeg het domein toe met een ander account dat niet bestaat.
- Als een vertrouwde beveiligingsprincipaal eigenaar is van het bestaande account en een beheerder het account opnieuw wil gebruiken, gebruikt u de domeincontroller: Computeraccount opnieuw gebruiken tijdens groepsbeleid voor domeindeelname .
Referentie
Zie voor meer informatie over wijzigingen in domeindeelnamebeveiliging KB5020276— Netjoin: wijzigingen in domeindeelnamebeveiliging.