Tags: Active Directory, Troubleshooting, Authentifizierung
Das Anmelden an einem Rechner, der Mitglied in einer Domäne ist, scheitert manchmal mit der Fehlermeldung, wonach eine Vertrauensstellung mit der primären Domäne nicht hergestellt werden konnte. Die Ursache dafür liegt in einem ungültigen Passwort für das Computer-Konto, das man zurücksetzen muss.
Die genannte Meldung (auf Englisch lautet sie "The trust relationship between this workstation and the primary domain failed") zeigt sich am Anmeldebildschirm, eine Erklärung dazu gibt es nicht. Auch das entsprechende Support-Dokument von Microsoft schweigt sich über mögliche Ursachen aus und empfiehlt lapidar, den Rechner aus der Domäne zu nehmen und ihr anschließend erneut beizutreten.
Computer erneuert Passwort automatisch
Der Hintergrund für dieses Problem ist ein ungültiges Passwort für den Machine Account im AD, unter dem sich der Rechner anmeldet. Anders als Benutzerpasswörter muss man diese nicht selbst ändern, vielmehr erzeugt der Rechner per Voreinstellung alle 30 Tage selbst ein neues Kennwort.
Meldet man sich an einem PC über eine sehr lange Zeit nicht an, dann kann er auch kein neues Passwort generieren. Im Gegensatz zu den Benutzerpasswörtern laufen jene für Computer-Konten jedoch nicht ab und werden dann einfach bei der nächsten Gelegenheit erneuert. Die Vertrauensstellung wird hier also nicht beeinträchtigt.
Zurücksetzen von VMs auf Snapshots als Auslöser
Das Problem mit Vertrauensstellung tritt vielmehr dann auf, wenn das lokal auf dem Rechner gespeicherte Kennwort und jenes im AD nicht übereinstimmen. Das passiert, wenn man den PC auf einen früheren Zustand bringt, etwa durch ein Bare-Metal-Restore von einem Backup, und dadurch ein veraltetes Passwort wiederherstellt. Bei virtuellen Maschinen erzielt man diesen Effekt meistens durch Zurücksetzen auf einen Snapshot.
Die Lösung besteht mithin darin, das Passwort für das Computer-Konto zu ändern. Nachdem man sich als Domänen-Benutzer nicht mehr anmelden kann, benötigt man dafür ein lokales Konto mit administrativen Rechten. Wenn man dafür das Kennwort vergessen hat, kann man das eingebaute Administratorkonto offline aktivieren.
Zwei Cmdlets für Password Reset
Nach der Anmeldung mit dem lokalen Account (am einfachsten gibt man diesen beim Logon in der Notation .\Administrator an) öffnet man PowerShell und führt einen Befehl nach diesem Muster aus:
Reset-ComputerMachinePassword -Server MyDC -Credential contoso\admin
Der Parameter Server erwartet den Namen eines Domain Controllers und über Credentials gibt man ein Domänenkonto an, das zum Zurücksetzen des Passworts berechtigt ist.
Anschließend zeigt PowerShell den Anmeldedialog für das verwendete Benutzerkonto und schließt den Vorgang ab.
Alternativ kann man folgenden Aufruf verwenden:
Test-ComputerSecureChannel -Repair -Server MyDC -Credential contoso\admin
Anders als beim oberen Kommando erhält man hier $true als Ergebnis, wenn die Operation gelungen ist. Ruft man Test-ComputerSecureChannel ohne den Schalter Repair auf, dann kann man auch nach der Verwendung von Reset-ComputerMachinePassword damit prüfen, ob eine sichere Verbindung zum AD besteht.
Nun kann man sich abmelden und mit einem Domänen-Konto einloggen. Ein Neustart des Rechners ist nicht erforderlich.
Alternative mit netdom.exe
Beide Cmdlets existieren seit PowerShell 2.0 und sind somit in allen derzeit unterstützten Versionen von Windows enthalten. Das alternative Verfahren mit Hilfe von netdom.exe funktioniert indes nur unter Windows Server oder auf Clients, auf denen man die RSAT installiert hat. Ein Aufruf würde so aussehen:
netdom.exe resetpwd /s:MyDC /ud:contoso\admin /pd:*
Der Parameter /s erwartet den Namen eines Domänen-Controllers, /ud einen zum Password-Reset autorisierten Domänen-User und /pd das Passwort. Gibt man hier '*' an, dann wird es von netdom abgefragt.
Einstellungen für Kennwortänderung anpassen
Möchte man das automatische Ändern der Passwörter für Machine Accounts unterbinden oder die Intervalle verlängern, dann kann man das über Gruppenrichtlinien tun.
Die entsprechenden Einstellungen finden sich unter Computerkonfiguration => Richtlinien => Windows-Einstellungen => Sicherheitseinstellungen => Lokale Richtlinien => Sicherheitsoptionen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Event-ID 14,4771: Benutzer können sich nach November-Update nicht anmelden
- Authentifizierung am Active Directory mittels Zertifikat scheitert nach Mai-Update
- Microsoft fasst alle Authentifizierungsmethoden des Azure AD in einer Policy zusammen
- ManageEngine ADSelfService Plus: Passwort-Reset als Self-Service, MFA für Active Directory
- Azure AD: Bevorzugte Methode für Multi-Faktor-Authentifizierung festlegen
Weitere Links
5 Kommentare
Vielen Dank!
Ein sehr hilfreicher Artikel!
Meine Situation: ich habe vor einem halben Jahr einen W7pro-PC in einer W2k8R2-Domäne zusätzlich mit einer SSD ausgestattet und darauf die Windowspartition geklont. Im Bootmanager wird standardmäßig die SSD-Version von Win7 gestartet. Die Original-HD ist quasi als Rückfall-System im PC verblieben und kann im Bootmenü ausgewählt werden.
Allerdings ist aufgrund der langen "Pause" die Vertrauensstellung der HD-Version verloren gegangen.
Frage: Ist es möglich, eine entsprechende Zertifikatsdatei o. ä. aus der SSD-Version in die HD-Version zu kopieren?
PS: ich habe vor, die Computerpasswortablauffrist komplett abzuschalten.
Die Commandlets 'Reset-ComputerMachinePassword' und 'Test-ComputerSecureChannel' haben es auf meiner (*räusper* veralteten) W2K12-Installation dann wieder gebracht. Vertrauensstellung konnte wiederhergestellt werden. Vielen Dank für den Tip.
leisefuxX
Danke für den Tipp!
Ich habe das Problem folgendermaßen gelöst / umgangen:
- ich habe den Netzwerknamen des PCs in der HD-Version geändert und dann aus Sicht der Domäne diesen "neuen" PC regulär der Domäne hinzugefügt.
Beispiel:
- PC-Name der SSD-Version: PC02
- PC-Name der HD-Version: PC02-HD
Man muss nur aufpassen, dass man den alten "PC" in der Domänenverwaltung wieder aktiviert, nachdem man in der HD-Version die Domäne vorübergehend verlassen hat, um den PC umzubenennen.
Bei dieser Lösung hat jede PC-Instanz seine eigene Vertrauensstellung.
Funktioniert seither wunderbar.
Moin, unser Laden hat sich einen Ransom Trojaner eingefangen und den Server verschlüsselt bzw. /users /programdata /Programme und /programme (x86)
Um obiges zu umgehen habe ich ganz pervers genannte Verzeichnisse in der bereitgestellten vhd umbenannt und aus einer älteren Sicherung reinkopiert.
Bootmanager auch. Das funktionierte tatsächlich und er bootet mit AD und allem. Wollte ich nur mal kurz schreiben. Richtig rund läuft er aber nicht und deshalb werde ich demnächst doch die Sicherung aktivieren und deshalb finde ich diesen Beitrag super! Mal sehen ob das so geht. LG
Super, tausend Dank!