Lösung für "Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden"


    Tags: , ,

    Lokal oder an einer Domäne anmelden unter Windows 7Das Anmelden an einem Rechner, der Mit­glied in einer Domäne ist, scheitert manch­mal mit der Fehler­meldung, wonach eine Vertrauens­stellung mit der pri­mären Domäne nicht herge­stellt werden konnte. Die Ursache dafür liegt in einem ungültigen Pass­wort für das Computer-Konto, das man zurück­setzen muss.

    Die genannte Meldung (auf Englisch lautet sie "The trust relationship between this workstation and the primary domain failed") zeigt sich am Anmelde­bildschirm, eine Erklärung dazu gibt es nicht. Auch das entsprechende Support-Dokument von Microsoft schweigt sich über mögliche Ursachen aus und empfiehlt lapidar, den Rechner aus der Domäne zu nehmen und ihr anschließend erneut beizutreten.

    Computer erneuert Passwort automatisch

    Der Hintergrund für dieses Problem ist ein ungültiges Passwort für den Machine Account im AD, unter dem sich der Rechner anmeldet. Anders als Benutzer­passwörter muss man diese nicht selbst ändern, vielmehr erzeugt der Rechner per Voreinstellung alle 30 Tage selbst ein neues Kennwort.

    Meldet man sich an einem PC über eine sehr lange Zeit nicht an, dann kann er auch kein neues Passwort generieren. Im Gegensatz zu den Benutzer­pass­wörtern laufen jene für Computer-Konten jedoch nicht ab und werden dann einfach bei der nächsten Gelegenheit erneuert. Die Vertrauens­stellung wird hier also nicht beeinträchtigt.

    Zurücksetzen von VMs auf Snapshots als Auslöser

    Das Problem mit Vertrauens­stellung tritt vielmehr dann auf, wenn das lokal auf dem Rechner gespeicherte Kennwort und jenes im AD nicht überein­stimmen. Das passiert, wenn man den PC auf einen früheren Zustand bringt, etwa durch ein Bare-Metal-Restore von einem Backup, und dadurch ein veraltetes Passwort wiederherstellt. Bei virtuellen Maschinen erzielt man diesen Effekt meistens durch Zurück­setzen auf einen Snapshot.

    Fehler: Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden

    Die Lösung besteht mithin darin, das Passwort für das Computer-Konto zu ändern. Nachdem man sich als Domänen-Benutzer nicht mehr anmelden kann, benötigt man dafür ein lokales Konto mit administrativen Rechten. Wenn man dafür das Kennwort vergessen hat, kann man das eingebaute Administratorkonto offline aktivieren.

    Anmelden als lokaler Administrator

    Zwei Cmdlets für Password Reset

    Nach der Anmeldung mit dem lokalen Account (am einfachsten gibt man diesen beim Logon in der Notation .\Administrator an) öffnet man PowerShell und führt einen Befehl nach diesem Muster aus:

    Reset-ComputerMachinePassword -Server MyDC -Credential contoso\admin

    Der Parameter Server erwartet den Namen eines Domain Controllers und über Credentials gibt man ein Domänenkonto an, das zum Zurücksetzen des Passworts berechtigt ist.

    Zurücksetzen des Passworts für das Computer-Konto mit Reset-ComputerMachinePassword

    Anschließend zeigt PowerShell den Anmeldedialog für das verwendete Benutzerkonto und schließt den Vorgang ab.

    Alternativ kann man folgenden Aufruf verwenden:

    Test-ComputerSecureChannel -Repair -Server MyDC -Credential contoso\admin

    Anders als beim oberen Kommando erhält man hier $true als Ergebnis, wenn die Operation gelungen ist. Ruft man Test-ComputerSecureChannel ohne den Schalter Repair auf, dann kann man auch nach der Verwendung von Reset-ComputerMachinePassword damit prüfen, ob eine sichere Verbindung zum AD besteht.

    Zurücksetzen des Passworts für das Computer-Konto mit Test-ComputerSecureChannel

    Nun kann man sich abmelden und mit einem Domänen-Konto einloggen. Ein Neustart des Rechners ist nicht erforderlich.

    Alternative mit netdom.exe

    Beide Cmdlets existieren seit PowerShell 2.0 und sind somit in allen derzeit unter­stützten Versionen von Windows enthalten. Das alternative Verfahren mit Hilfe von netdom.exe funktioniert indes nur unter Windows Server oder auf Clients, auf denen man die RSAT installiert hat. Ein Aufruf würde so aussehen:

    netdom.exe resetpwd /s:MyDC /ud:contoso\admin /pd:*

    Der Parameter /s erwartet den Namen eines Domänen-Controllers, /ud einen zum Password-Reset autorisierten Domänen-User und /pd das Passwort. Gibt man hier '*' an, dann wird es von netdom abgefragt.

    Einstellungen für Kennwortänderung anpassen

    Möchte man das automatische Ändern der Passwörter für Machine Accounts unterbinden oder die Intervalle verlängern, dann kann man das über Gruppenrichtlinien tun.

    Automatische Änderung der Kennwörter für Computer-Konten über GPO anpassen.

    Die entsprechenden Einstellungen finden sich unter Computer­konfiguration => Richtlinien => Windows-Einstellungen => Sicherheits­einstellungen => Lokale Richtlinien => Sicherheits­optionen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links

    5 Kommentare

    Vielen Dank!
    Ein sehr hilfreicher Artikel!
    Meine Situation: ich habe vor einem halben Jahr einen W7pro-PC in einer W2k8R2-Domäne zusätzlich mit einer SSD ausgestattet und darauf die Windowspartition geklont. Im Bootmanager wird standardmäßig die SSD-Version von Win7 gestartet. Die Original-HD ist quasi als Rückfall-System im PC verblieben und kann im Bootmenü ausgewählt werden.
    Allerdings ist aufgrund der langen "Pause" die Vertrauensstellung der HD-Version verloren gegangen.
    Frage: Ist es möglich, eine entsprechende Zertifikatsdatei o. ä. aus der SSD-Version in die HD-Version zu kopieren?
    PS: ich habe vor, die Computerpasswortablauffrist komplett abzuschalten.

    Die Commandlets 'Reset-ComputerMachinePassword' und 'Test-ComputerSecureChannel' haben es auf meiner (*räusper* veralteten) W2K12-Installation dann wieder gebracht. Vertrauensstellung konnte wiederhergestellt werden. Vielen Dank für den Tip.

    leisefuxX

    Danke für den Tipp!
    Ich habe das Problem folgendermaßen gelöst / umgangen:
    - ich habe den Netzwerknamen des PCs in der HD-Version geändert und dann aus Sicht der Domäne diesen "neuen" PC regulär der Domäne hinzugefügt.

    Beispiel:
    - PC-Name der SSD-Version: PC02
    - PC-Name der HD-Version: PC02-HD

    Man muss nur aufpassen, dass man den alten "PC" in der Domänenverwaltung wieder aktiviert, nachdem man in der HD-Version die Domäne vorübergehend verlassen hat, um den PC umzubenennen.

    Bei dieser Lösung hat jede PC-Instanz seine eigene Vertrauensstellung.

    Funktioniert seither wunderbar.

    Moin, unser Laden hat sich einen Ransom Trojaner eingefangen und den Server verschlüsselt bzw. /users /programdata /Programme und /programme (x86)
    Um obiges zu umgehen habe ich ganz pervers genannte Verzeichnisse in der bereitgestellten vhd umbenannt und aus einer älteren Sicherung reinkopiert.
    Bootmanager auch. Das funktionierte tatsächlich und er bootet mit AD und allem. Wollte ich nur mal kurz schreiben. Richtig rund läuft er aber nicht und deshalb werde ich demnächst doch die Sicherung aktivieren und deshalb finde ich diesen Beitrag super! Mal sehen ob das so geht. LG

    Super, tausend Dank!