Oktober 2022-Update: Error 0xaac (2732) bei Domain-Verbindungen durch Netjoin-Fix für CVE-2022-38042 bestätigt

Publiziert am 28. Oktober 2022 von Günter Born

Windows[English]Ein Update im Oktober für CVE-2022-38042 und eine lange Geschichte, die nun durch Microsoft bestätigt wurde. Mit dem Sicherheitsupdate vom 11. Oktober 2022 wurde auch ein Domain Join Hardening zum Schließen der Schwachstelle (CVE-2022-38042) durchgeführt. Diese Änderungen hatten aber mächtige Kollateralschäden. Nun hat Microsoft einen Supportbeitrag veröffentlicht, der den Fehler 0xaac (2732) bei Verbindungen zwischen Windows Domänen-Servern durch dieses Update bestätigt. Bei der Nachschau habe ich festgestellt, dass ich diese Kollateralschäden zum 12. Oktober 2022 hier im Blog berichtet hatte. Daher greife ich das Ganze nochmals kurz auf.

Anzeige

Probleme nach Fix für CVE-2022-38042

In den kumulativen Updates vom 11. Oktober 2022 (siehe Links am Artikelende) hatte Microsoft auch Änderungen zum "Domain-Join-Hardening" durchgeführt. Microsoft beschreibt im Supportbeitrag KB5020276—Netjoin: Domain join hardening changes (Artikel wurde zum 12. Oktober 2022 überarbeitet) die Änderungen, die wegen der Schwachstelle CVE-2022-38042 in den kumulativen Update-Paketen vom 11. Oktober 2022 für alle unterstützten Betriebssysteme eingeführt wurden.

Kurz danach meldete sich Blog-Leser Martin bei mir und berichtete, dass die mit den Updates durchgeführten Domain Join Hardening-Änderungen zum Schließen der Schwachstelle (CVE-2022-38042) mächtige Kollateralschäden verursachen. Mit diesem Update ist u.U. kein AD-Join der Windows-Clients mehr möglich, wenn bestimmte Bedingungen nicht erfüllt werden können – das betrifft alle Windows-Versionen. Ich hatte die Details im Blog-Beitrag Windows Oktober 2022-Patchday: Fix für Domain Join Hardening (CVE-2022-38042) verhindert ggf. Domain-Join aufgegriffen.

Gab eine mächtige Diskussion der Art "kann ich nicht nachvollziehen" – aber Blog-Leser JS beschrieb in diesem Kommentar die Probleme, die sich ergeben. Und im englischsprachigen Blog meldeten sich einige Leute, denen der Beitrag die Fehlersuche verkürzte.

Supportbeitrag zum 27. Oktober 2022

Zum 27. Oktober 2022 hat Microsoft einen neuen Eintrag Domain join processes may fail with error "0xaac (2732)" auf der Windows Release Health Status-Seite von Windows Server 2022 (und anderen Windows-Versionen) veröffentlicht. Microsoft schreibt:

Domänenverbindungsoperationen schlagen möglicherweise absichtlich mit dem Fehler "0xaac (2732): NERR_AccountReuseBlockedByPolicy" und dem Text "Ein Konto mit demselben Namen existiert in Active Directory. Die Wiederverwendung des Kontos wurde durch die Sicherheitsrichtlinie blockiert."

Dieses Problem hat seinen Ursprung in den Sicherheitsupdates vom Oktober 2022 (z.B. KB5018421), mit denen einige Härtungsänderungen eingeführt wurden, die standardmäßig für den Domänenbeitritt aktiviert sind. Betrifft nachfolgende Windows-Versionen, die in Unternehmensumgebungen in Domains eingesetzt werden:

  • Client: Windows 11, Version 22H2; Windows 10, Version 22H2; Windows 11, Version 21H2; Windows 10, Version 21H2; Windows 10, Version 21H1; Windows 10, Version 20H2; Windows 10, Version 1809; Windows 10 Enterprise LTSC 2019; Windows 10 Enterprise LTSC 2016; Windows 10, Version 1607; Windows 10 Enterprise 2015 LTSB; Windows 8.1; Windows 7 SP1.
  • Server: Windows Server 2022; Windows Server, Version 20H2; Windows Server, Version 1809; Windows Server 2019; Windows Server 2016; Windows Server 2012 R2; Windows Server 2012; Windows Server 2008 R2 SP1; Windows Server 2008 SP2

Microsoft schreibt im Beitrag: Bitte lesen Sie KB5020276 – Netjoin: Domain join hardening changes, um das neu gestaltete Verhalten zu verstehen. Den Kollegen hier war der neue Eintrag aufgefallen, beim Verfolgen des Links auf KB5020276 durfte ich aber feststellen, dass dies bereits in meinem Blog-Beitrag Windows Oktober 2022-Patchday: Fix für Domain Join Hardening (CVE-2022-38042) verhindert ggf. Domain-Join vom 12. Oktober 2022 thematisiert und verlinkt worden ist. Microsoft hat also das Problem bestätigt und schlägt in seinem Supportbeitrag KB5020276 – Netjoin: Domain join hardening changes verschiedene Workarounds für Betroffene vor. An der prinzipiellen Diskussion in den Kommentaren wie hier ändert das aber wohl nichts. Oder wie seht ihr das so?

Ähnliche Artikel:
Patchday: Windows 10-Updates (11. Oktober 2022)
Patchday: Windows 11/Server 2022-Updates (11. Oktober 2022)
Windows 7/Server 2008 R2; Windows 8.1/Server 2012 R2: Updates (11. Oktober 2022)
Windows Oktober 2022-Patchday: Fix für Domain Join Hardening (CVE-2022-38042) verhindert ggf. Domain-Join

Anzeige
Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Update, Windows Server abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Oktober 2022-Update: Error 0xaac (2732) bei Domain-Verbindungen durch Netjoin-Fix für CVE-2022-38042 bestätigt

  1. js sagt:
    29. Oktober 2022 um 12:21 Uhr

    Tja, leider ist der lästige Windhaken immernoch an der Außenseite der Tür angebracht, amüsiert die Einbrecher und nervt die Lieferanten.
    Immerhin hat das Verbotsschild jetzt einen Pfeil zur unvergitterten Badluke daneben.
    Wir warten weiter auf den Mann von der Sicherheitsfirma…

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.