Lösung für "Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden"

    Lokal oder an einer Domäne anmelden unter Windows 7Das Anmelden an einem Rechner, der Mit­glied in einer Domäne ist, scheitert manch­mal mit der Fehler­meldung, wonach eine Vertrauens­stellung mit der pri­mären Domäne nicht herge­stellt werden konnte. Die Ursache dafür liegt in einem ungültigen Pass­wort für das Computer-Konto, das man zurück­setzen muss.

    Die genannte Meldung (auf Englisch lautet sie "The trust relationship between this workstation and the primary domain failed") zeigt sich am Anmelde­bildschirm, eine Erklärung dazu gibt es nicht. Auch das entsprechende Support-Dokument von Microsoft schweigt sich über mögliche Ursachen aus und empfiehlt lapidar, den Rechner aus der Domäne zu nehmen und ihr anschließend erneut beizutreten.

    Computer erneuert Passwort automatisch

    Der Hintergrund für dieses Problem ist ein ungültiges Passwort für den Machine Account im AD, unter dem sich der Rechner anmeldet. Anders als Benutzer­passwörter muss man diese nicht selbst ändern, vielmehr erzeugt der Rechner per Voreinstellung alle 30 Tage selbst ein neues Kennwort.

    Meldet man sich an einem PC über eine sehr lange Zeit nicht an, dann kann er auch kein neues Passwort generieren. Im Gegensatz zu den Benutzer­pass­wörtern laufen jene für Computer-Konten jedoch nicht ab und werden dann einfach bei der nächsten Gelegenheit erneuert. Die Vertrauens­stellung wird hier also nicht beeinträchtigt.

    Zurücksetzen von VMs auf Snapshots als Auslöser

    Das Problem mit Vertrauens­stellung tritt vielmehr dann auf, wenn das lokal auf dem Rechner gespeicherte Kennwort und jenes im AD nicht überein­stimmen. Das passiert, wenn man den PC auf einen früheren Zustand bringt, etwa durch ein Bare-Metal-Restore von einem Backup, und dadurch ein veraltetes Passwort wiederherstellt. Bei virtuellen Maschinen erzielt man diesen Effekt meistens durch Zurück­setzen auf einen Snapshot.

    Fehler: Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden

    Die Lösung besteht mithin darin, das Passwort für das Computer-Konto zu ändern. Nachdem man sich als Domänen-Benutzer nicht mehr anmelden kann, benötigt man dafür ein lokales Konto mit administrativen Rechten. Wenn man dafür das Kennwort vergessen hat, kann man das eingebaute Administratorkonto offline aktivieren.

    Anmelden als lokaler Administrator

    Zwei Cmdlets für Password Reset

    Nach der Anmeldung mit dem lokalen Account (am einfachsten gibt man diesen beim Logon in der Notation .\Administrator an) öffnet man PowerShell und führt einen Befehl nach diesem Muster aus:

    Reset-ComputerMachinePassword -Server MyDC -Credential contoso\admin

    Der Parameter Server erwartet den Namen eines Domain Controllers und über Credentials gibt man ein Domänenkonto an, das zum Zurücksetzen des Passworts berechtigt ist.

    Zurücksetzen des Passworts für das Computer-Konto mit Reset-ComputerMachinePassword

    Anschließend zeigt PowerShell den Anmeldedialog für das verwendete Benutzerkonto und schließt den Vorgang ab.

    Alternativ kann man folgenden Aufruf verwenden:

    Test-ComputerSecureChannel -Repair -Server MyDC -Credential contoso\admin

    Anders als beim oberen Kommando erhält man hier $true als Ergebnis, wenn die Operation gelungen ist. Ruft man Test-ComputerSecureChannel ohne den Schalter Repair auf, dann kann man auch nach der Verwendung von Reset-ComputerMachinePassword damit prüfen, ob eine sichere Verbindung zum AD besteht.

    Zurücksetzen des Passworts für das Computer-Konto mit Test-ComputerSecureChannel

    Nun kann man sich abmelden und mit einem Domänen-Konto einloggen. Ein Neustart des Rechners ist nicht erforderlich.

    Alternative mit netdom.exe

    Beide Cmdlets existieren seit PowerShell 2.0 und sind somit in allen derzeit unter­stützten Versionen von Windows enthalten. Das alternative Verfahren mit Hilfe von netdom.exe funktioniert indes nur unter Windows Server oder auf Clients, auf denen man die RSAT installiert hat. Ein Aufruf würde so aussehen:

    netdom.exe resetpwd /s:MyDC /ud:contoso\admin /pd:*

    Der Parameter /s erwartet den Namen eines Domänen-Controllers, /ud einen zum Password-Reset autorisierten Domänen-User und /pd das Passwort. Gibt man hier '*' an, dann wird es von netdom abgefragt.

    Einstellungen für Kennwortänderung anpassen

    Möchte man das automatische Ändern der Passwörter für Machine Accounts unterbinden oder die Intervalle verlängern, dann kann man das über Gruppenrichtlinien tun.

    Automatische Änderung der Kennwörter für Computer-Konten über GPO anpassen.

    Die entsprechenden Einstellungen finden sich unter Computer­konfiguration => Richtlinien => Windows-Einstellungen => Sicherheits­einstellungen => Lokale Richtlinien => Sicherheits­optionen.

    Keine Kommentare