Вопрос или проблема
Я не могу подключить компьютеры к домену. Это сообщение появляется, когда я пытаюсь подключить мой компьютер к домену (Windows Server 2016 – Windows 10):
Этот пользователь не может войти из-за ограничений учетной записи
Я пробовал на 2 компьютерах и двух учетных записях администратора с AD.
Fehler beim Beitritt des Computers “” zur Domäne “”. Fehlercode: “1327”.
1327 052F Вход не выполнен: Ограничение аккаунта. Возможные
Причины: пустые пароли не допускаются,
Ограничения времени входа или наложено ограничение политики
Где именно искать источник проблем, с чего начать?
Мы столкнулись с такими же ошибками при попытке вступить в домен как члены группы безопасности ‘Protected Users’, использующие альтернативный UPN суффикс. Проверяя журналы событий контроллера домена, мы могли увидеть, что вход был заблокирован, потому что это был не вход через Kerberos, а NTLM, который блокируется для защищенных пользователей.
Чтобы разрешить Kerberos работать в процессе вступления в домен для учетной записи защищенных пользователей с альтернативным UPN-суффиксом, введите ваше имя пользователя, используя полностью квалифицированное доменное имя для вашей учетной записи – даже если вы обычно используете “сокращенный” альтернативный UPN-суффикс. Таким образом, если имя пользователя для вашей учетной записи — user.name@contoso.com, но учетная запись на самом деле находится в домене ad.contoso.com, войдите, используя либо:
[email protected]
или
ad.contoso.com\user.name
Чтобы помочь другим, ищущим решение в будущем, ошибка, которую мы получили, была следующей:
Ограничения учетной записи не позволяют этому пользователю войти в систему. Например, не разрешаются пустые пароли, ограничено время входа в систему или применено ограничение политики.
С ошибкой в журнале событий системы:
Log Name: System
Source: NetJoin
Date: <DATE> <TIME>
Event ID: 4097
Task Category: None
Level: Error
Keywords:
User: <COMPUTERNAME>\<USERNAME>
Computer: <COMPUTERNAME>
Description:
The machine <COMPUTERNAME> attempted to join the domain <DOMAINNAME> but failed. The error code was 1327.
И ошибка ‘NetpDoDomainJoin: status: 0x52f‘ в C:\Windows\Debug\netsetup.log:
01/17/2025 16:15:45:751 -----------------------------------------------------------------
01/17/2025 16:15:45:751 NetpDoDomainJoin
01/17/2025 16:15:45:751 NetpDoDomainJoin: using current computer names
01/17/2025 16:15:45:751 NetpDoDomainJoin: NetpGetComputerNameEx(NetBios) returned 0x0
01/17/2025 16:15:45:751 NetpDoDomainJoin: NetpGetComputerNameEx(DnsHostName) returned 0x0
01/17/2025 16:15:45:751 NetpMachineValidToJoin: '<COMPUTERNAME>'
01/17/2025 16:15:45:751 OS Version: 10.0
01/17/2025 16:15:45:751 Build number: 20348 (20348.fe_release_svc_prod1.241101-1732)
01/17/2025 16:15:45:751 SKU: Windows Server 2022 Standard
01/17/2025 16:15:45:751 Architecture: 64-bit (AMD64)
01/17/2025 16:15:45:813 NetpMachineValidToJoin: status: 0x0
01/17/2025 16:15:45:813 NetpJoinDomain
01/17/2025 16:15:45:813 HostName: <COMPUTERNAME>
01/17/2025 16:15:45:813 NetbiosName: <COMPUTERNAME>
01/17/2025 16:15:45:813 Domain: <DOMAINNAME>
01/17/2025 16:15:45:813 MachineAccountOU: (NULL)
01/17/2025 16:15:45:813 Account: <USERNAME>
01/17/2025 16:15:45:813 Options: 0x3
01/17/2025 16:15:45:813 NetpValidateName: checking to see if '<DOMAINNAME>' is valid as type 3 name
01/17/2025 16:15:45:876 NetpCheckDomainNameIsValid [ Exists ] for '<DOMAINNAME>' returned 0x0
01/17/2025 16:15:45:876 NetpValidateName: name '<DOMAINNAME>' is valid for type 3
01/17/2025 16:15:45:876 NetpDsGetDcName: trying to find DC in domain '<DOMAINNAME>', flags: 0x40001010
01/17/2025 16:16:00:899 NetpDsGetDcName: failed to find a DC having account '<COMPUTERNAME>$': 0x525, last error is 0x0
01/17/2025 16:16:00:915 NetpDsGetDcName: status of verifying DNS A record name resolution for '<DC>.<DOMAINNAME>': 0x0
01/17/2025 16:16:00:915 NetpDsGetDcName: found DC '\\<DC>.<DOMAINNAME>' in the specified domain
01/17/2025 16:16:00:915 NetpJoinDomainOnDs: NetpDsGetDcName returned: 0x0
01/17/2025 16:16:00:915 NetpDisableIDNEncoding: using FQDN <DOMAINNAME> from dcinfo
01/17/2025 16:16:00:930 NetpDisableIDNEncoding: DnsDisableIdnEncoding(UNTILREBOOT) on '<DOMAINNAME>' succeeded
01/17/2025 16:16:00:930 NetpJoinDomainOnDs: NetpDisableIDNEncoding returned: 0x0
01/17/2025 16:16:01:086 NetUseAdd to \\<DC>.<DOMAINNAME>\IPC$ returned 1327
01/17/2025 16:16:01:086 NetpJoinDomainOnDs: status of connecting to dc '\\<DC>.<DOMAINNAME>': 0x52f
01/17/2025 16:16:01:086 NetpJoinDomainOnDs: Function exits with status of: 0x52f
01/17/2025 16:16:01:086 NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on '<DOMAINNAME>' returned 0x0
01/17/2025 16:16:01:086 NetpJoinDomainOnDs: NetpResetIDNEncoding on '<DOMAINNAME>': 0x0
01/17/2025 16:16:01:086 NetpDoDomainJoin: status: 0x52f
Удаление из группы “защищенные пользователи” помогло решить мою проблему. Теперь я могу подключиться к домену.
Ответ или решение
Ваша проблема с подключением компьютеров к домену связана с ошибками, связанными с ограничениями учетной записи пользователя и требованиями к безопасности, которые могут возникать при подключении к домену через аккаунты с определенными особыми настройками безопасности.
Теоретическая часть
Проблемы с добавлением компьютера в домен могут быть вызваны разнообразными факторами. В вашем случае, как указывает код ошибки 1327, проблема связана с ограничениями учетной записи пользователя. Это может означать несколько факторов: например, учетные записи, которые используются для добавления компьютера в домен, могут принадлежать к группе «Защищенных пользователей» (Protected Users), где применение NTLM-аутентификации запрещено в силу более строгих требования к безопасности. Другой возможной причиной может быть использование альтернативного UPN-суффикса, который не соответствует фактическому домену обслуживания.
Windows Server 2016 и Windows 10 версии 22H2 имеют повышенные требования к безопасности, которые могут включать в себя запрет на использование устаревших методов аутентификации, таких как NTLM, в пользу Kerberos. Kerberos является более безопасным протоколом, который применяется для управления доступом и аутентификации в современных сетевых инфраструктурах.
Пример
Как описано в вашем случае, ошибка возникла при попытке присоединения к домену с использованием учетной записи, входящей в группу «Защищенные пользователи» и с другим UPN-суффиксом. В этом случае, процесс подключения к домену пытался использовать NTLM-аутентификацию, которая была заблокирована для данной группы. Для решения проблемы было предложено использовать полное доменное имя (FQDN) пользователя, что позволяет обеспечить успешную аутентификацию через Kerberos. Например, если ваше основное доменное имя было ad.contoso.com, а альтернативные обозначения, такие как contoso.com, могли привести к ошибке NTLM авторизации, что и произошло в данном случае.
Применение
Для успешного подключения к домену в вашем случае необходимо удостовериться, что учетные записи, используемые для присоединения, не подвергаются ограничениям, связанным с политиками безопасности, такими как логин без паролей, временные ограничения на вход или запрет на использование NTLM. Если ваши пользователи входят в группу «Защищенные пользователи», их необходимо временно убрать из этой группы или обеспечить, чтобы необходимое программное обеспечение поддерживало Kerberos-аутентификацию с их учетными данными.
Проверьте следующие шаги для устранения проблемы:
-
Удалите пользователя из группы "Защищенных пользователей", чтобы временно снять строгие ограничения безопасности для добавления устройства в домен.
-
Проверьте и скорректируйте UPN-суффикс, чтобы он соответствовал настоящему домену вашей Active Directory.
-
Используйте полное доменное имя (FQDN) для учетной записи, когда выполняете добавление в домен, например
ad.contoso.com\user.name, а не простоuser.name. -
Убедитесь, что ваш сервер контроллера домена доступен и правильно настроен для поддержки Kerberos-аутентификации. Для этого проверьте настройки DNS и активно ли доменное имя контроллера домена.
-
Проанализируйте логи событий, чтобы понять фоновую природу проблем, возникающих при аутентификации и присоединении к домену.
-
Обновите политику групп для устройств в вашей сети, чтобы согласовать ее с требуемыми параметрами безопасности и аутентификации, что может устранить потенциальные ограничения подключения.
-
Проводите аудит событий входа/выхода, чтобы выявить другие возможные причины отказа аутентификации, которые могут не быть сразу очевидными.
-
Рассмотрите возможность перехода к использованию современных методов аутентификации, таких как Kerberos, с интеграцией изменений в конфигурации вашей инфраструктуры, чтобы избежать дальнейших проблем с аутентификацией.
Путем применения данных мер вы сможете лучше управлять процессами безопасности и аутентификации в сети, обеспечивая успешное добавление компьютеров в домен.