Lösung für "Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden"

Der Hintergrund für dieses Problem ist ein ungültiges Passwort für den Machine Account im AD, unter dem sich der Rechner anmeldet. Anders als Benutzer­passwörter muss man diese nicht selbst ändern, vielmehr erzeugt der Rechner per Voreinstellung alle 30 Tage selbst ein neues Kennwort.

Meldet man sich an einem PC über eine sehr lange Zeit nicht an, dann kann er auch kein neues Passwort generieren. Im Gegensatz zu den Benutzer­pass­wörtern laufen jene für Computer-Konten jedoch nicht ab und werden dann einfach bei der nächsten Gelegenheit erneuert. Die Vertrauens­stellung wird hier also nicht beeinträchtigt.

Zurücksetzen von VMs auf Snapshots als Auslöser

Das Problem mit Vertrauens­stellung tritt vielmehr dann auf, wenn das lokal auf dem Rechner gespeicherte Kennwort und jenes im AD nicht überein­stimmen. Das passiert, wenn man den PC auf einen früheren Zustand bringt, etwa durch ein Bare-Metal-Restore von einem Backup, und dadurch ein veraltetes Passwort wiederherstellt. Bei virtuellen Maschinen erzielt man diesen Effekt meistens durch Zurück­setzen auf einen Snapshot.

Die Lösung besteht mithin darin, das Passwort für das Computer-Konto zu ändern. Nachdem man sich als Domänen-Benutzer nicht mehr anmelden kann, benötigt man dafür ein lokales Konto mit administrativen Rechten. Wenn man dafür das Kennwort vergessen hat, kann man das eingebaute Administratorkonto offline aktivieren.

Zwei Cmdlets für Password Reset

Nach der Anmeldung mit dem lokalen Account (am einfachsten gibt man diesen beim Logon in der Notation .\Administrator an) öffnet man PowerShell und führt einen Befehl nach diesem Muster aus:

Reset-ComputerMachinePassword -Server MyDC -Credential contoso\admin

Der Parameter Server erwartet den Namen eines Domain Controllers und über Credentials gibt man ein Domänenkonto an, das zum Zurücksetzen des Passworts berechtigt ist.

Anschließend zeigt PowerShell den Anmeldedialog für das verwendete Benutzerkonto und schließt den Vorgang ab.

Alternativ kann man folgenden Aufruf verwenden:

Test-ComputerSecureChannel -Repair -Server MyDC -Credential contoso\admin

Anders als beim oberen Kommando erhält man hier $true als Ergebnis, wenn die Operation gelungen ist. Ruft man Test-ComputerSecureChannel ohne den Schalter Repair auf, dann kann man auch nach der Verwendung von Reset-ComputerMachinePassword damit prüfen, ob eine sichere Verbindung zum AD besteht.

Nun kann man sich abmelden und mit einem Domänen-Konto einloggen. Ein Neustart des Rechners ist nicht erforderlich.

Alternative mit netdom.exe

Beide Cmdlets existieren seit PowerShell 2.0 und sind somit in allen derzeit unter­stützten Versionen von Windows enthalten. Das alternative Verfahren mit Hilfe von netdom.exe funktioniert indes nur unter Windows Server oder auf Clients, auf denen man die RSAT installiert hat. Ein Aufruf würde so aussehen:

netdom.exe resetpwd /s:MyDC /ud:contoso\admin /pd:*

Der Parameter /s erwartet den Namen eines Domänen-Controllers, /ud einen zum Password-Reset autorisierten Domänen-User und /pd das Passwort. Gibt man hier '*' an, dann wird es von netdom abgefragt.

Einstellungen für Kennwortänderung anpassen

Möchte man das automatische Ändern der Passwörter für Machine Accounts unterbinden oder die Intervalle verlängern, dann kann man das über Gruppenrichtlinien tun.

Die entsprechenden Einstellungen finden sich unter Computer­konfiguration => Richtlinien => Windows-Einstellungen => Sicherheits­einstellungen => Lokale Richtlinien => Sicherheits­optionen.