Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье рассматривается проблема, связанная с ошибкой присоединения компьютера к домену, когда существующая учетная запись компьютера с тем же именем уже существует.
Симптомы
При попытке использовать существующее имя учетной записи компьютера для присоединения компьютера к домену операция завершается ошибкой, и вы получите следующие сообщения об ошибках:
На рабочей или учебной странице Access :
Не удается присоединиться к этому домену. Для получения дополнительных сведений обратитесь к ИТ-администратору.
В системных свойствах:
При попытке присоединиться к домену "<domain_name>" произошла следующая ошибка:
Учетная запись с тем же именем существует в Active Directory.
Повторное использование учетной записи было заблокировано политикой безопасности.
Netsetup.log
Просмотрите следующий пример файла Netsetup.log в полностью обновленной системе.
NetpProvisionComputerAccount:
lpDomain: contoso.com
lpHostName: host1
lpMachineAccountOU: (NULL)
lpDcName: ContosoDC1.contoso.com
lpMachinePassword: (null)
lpAccount: contoso\nonadminuser2
lpPassword: (non-null)
dwJoinOptions: 0x403
dwOptions: 0x40000003
NetpLdapBind: Verified minimum encryption strength on ContosoDC1.contoso.com: 0x0
NetpLdapGetLsaPrimaryDomain: reading domain data
NetpGetNCData: Reading NC data
NetpGetDomainData: Lookup domain data for: DC=contoso,DC=com
NetpGetDomainData: Lookup crossref data for: CN=Partitions,CN=Configuration,DC=contoso,DC=com
NetpLdapGetLsaPrimaryDomain: result of retrieving domain data: 0x0
NetpCheckForDomainSIDCollision: returning 0x0(0).
NetpGetComputerObjectDn: Cracking DNS domain name contoso.com/ into Netbios on \\ContosoDC1.contoso.com
NetpGetComputerObjectDn: Crack results: name = CONTOSO\
NetpGetComputerObjectDn: Cracking account name CONTOSO\HOST1$ on \\ContosoDC1.contoso.com
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=HOST1,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=HOST1,CN=Computers,DC=contoso,DC=com
NetpGetNCData: Reading NC data
NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=contoso,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2.
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: 0, NetStatus: 0
NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check with SAM_DOMAIN_JOIN_POLICY_LEVEL_V2 returned NetStatus:0x0.
NetpCheckIfAccountShouldBeReused: Account re-use attempt was Denied by Active Directory Policy.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
NetpProvisionComputerAccount: Retrying downlevel per options
NetpManageMachineAccountWithSid: NetUserAdd on 'ContosoDC1.contoso.com' for 'HOST1$' failed: 0x8b0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2.
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpManageMachineAccountWithSid: The computer account already exists in Active Directory.Re-using the account was blocked by security policy.
NetpProvisionComputerAccount: retry status of creating account: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\ContosoDC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
Сведения об ошибке
| Шестнадцатеричная ошибка | Десятичный код ошибки | Символьная строка ошибки | Описание ошибки | Заголовок |
|---|---|---|---|---|
| 0x8b0 | 2224 | NERR_UserExists | Учетная запись уже существует. | lmerr.h |
| 0xaac | 2732 | NERR_AccountReuseBlockedByPolicy | Учетная запись с тем же именем существует в Active Directory. Повторное использование учетной записи было заблокировано политикой безопасности. | lmerr.h |
Причина
Windows представила дополнительные защиты с обновлениями, выпущенными 11 октября 2022 г. Эти защиты намеренно предотвращают повторное использование существующей учетной записи компьютера в целевом домене, если не выполнены какие-либо из следующих условий:
- Пользователь, выполняющий операцию, является создателем существующей учетной записи.
- Компьютер создается членом администраторов домена, корпоративных администраторов или встроенных групп администраторов.
- Владелец объекта учетной записи компьютера, который повторно используется, является членом параметра групповой политики Контроллер домена: разрешить повторное использование учетной записи компьютера при присоединении домена. Для этого параметра требуется установка обновлений Windows, выпущенных 14 марта 2023 г. на всех компьютерах-членах и контроллерах домена.
Резолюция
Для устранения данной проблемы выполните следующие действия:
- Выполните операцию соединения с помощью той же учетной записи, которая создала учетную запись компьютера в целевом домене.
- Если существующая учетная запись устарела (неиспользуемая), удалите ее перед попыткой присоединиться к домену снова.
- Переименуйте компьютер и присоединитесь к домену с помощью другой учетной записи, которая не существует.
- Если доверенный субъект безопасности владеет существующей учетной записью, а администратор хочет повторно использовать учетную запись, используйте "Контроллер домена: разрешить повторное использование учетной записи компьютера во время присоединения к домену" Групповой Политики.
Справка
Дополнительные сведения об изменениях, связанных с усилением безопасности при присоединении к домену, см. в документе KB5020276—Netjoin: усиление безопасности при присоединении к домену.