Beheben Sie ‚Vertrauensbeziehung zwischen Arbeitsstation und primärem Domänencontroller fehlgeschlagen‘

Eines der häufigsten Probleme, mit denen Windows-Systemadministratoren konfrontiert sind, besteht darin, dass vertrauenswürdige Active Directory-Computer scheinbar aus der Domäne verschwinden. Der berüchtigte Fehler „Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne ist fehlgeschlagen“ ist allzu bekannt.

In dieser Anleitung lernen Sie alle Tricks kennen, auf die ich in meinen über 20 Jahren als Active Directory-Administrator gestoßen bin, und wie Sie diese mit PowerShell automatisieren können.

Die Fehlermeldung „Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne ist fehlgeschlagen“ (The trust relationship between this workstation and the primary domain failed)

tritt auf, wenn eine AD-Domäne einem Computer nicht mehr vertraut, höchstwahrscheinlich weil das lokale Kennwort des Computers nicht mit dem in Active Directory gespeicherten Kennwort übereinstimmt.

Die beiden Kennwörter müssen synchronisiert sein, damit AD einem Computer vertraut. Wenn sie nicht synchron sind, erhalten Sie die berüchtigte Fehlermeldung „Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne ist fehlgeschlagen“.

Leider gibt es keine einzige Lösung, die von mir und anderen Systemadministratoren gefunden wurde und immer zu 100% funktioniert. Deshalb habe ich diese Anleitung geschrieben.

Diese Anleitung soll eine einzige Quelle für jede einzelne Methode sein, um dieses Problem endgültig zu beheben und den Prozess mit PowerShell zu automatisieren.

Active Directory-Kennwörter für Computerkonten

Wenn ein neuer Computer zur Active Directory hinzugefügt wird, wird ein Computerkonto mit einem Passwort erstellt. Standardmäßig ist dieses Passwort 30 Tage lang gültig. Nach Ablauf dieser 30 Tage ändert es sich automatisch. Wenn sich das Passwort ändert, das des Clients aber nicht, erhalten Sie die Fehlermeldung „Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne ist fehlgeschlagen“.

Anzeigen vorhandener Richtlinien

Sie können die domänenweite Richtlinie anzeigen, indem Sie die Verwaltungskonsole Gruppenrichtlinien (GPMC) öffnen. Klicken Sie in der GPMC auf die Standarddomänenrichtlinie und navigieren Sie zu Computerkonfiguration –> Windows-Einstellungen –> Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen.

Einmal in Sicherheitsoptionen suchen Sie nach der Richtlinie „Domänenmitglied: Maximales Alter des Computerkontokennworts“.

Auf einem AD-beigetretenen Computer öffnen Sie den Registrierungseditor (regedit) und navigieren zum Registrierungsschlüssel HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters. Dort finden Sie den Wert „MaximumPasswordAge“, wie unten gezeigt.

Während Sie dort sind, können Sie den lokalen Computer vollständig davon abhalten, das Passwort zu ändern, indem Sie den Wert „DisablePasswordChange“ auf 1 setzen.

Wenn das Computerkonto geändert wird, sollten sowohl der lokale Computer als auch das AD-Computerkonto ihre Passwörter synchron ändern. AD kennt das aktuelle und das vorherige Passwort, falls sie kurzzeitig nicht synchron sind.

Der Vorgang zum Ändern des Computerkontokennworts

Wenn alles normal funktioniert, initiiert der Computer mithilfe des Netlogon-Windows-Dienstes automatisch eine Passwortänderung. Dies geschieht während des Neustarts des Computers oder wenn das Computerobjekt eine Authentifizierung bei AD durchführen muss.

Mithilfe des Netlogon-Windows-Dienstes initiiert der lokale Computer eine Passwortänderungssequenz. Der Computer initiiert zunächst eine Passwortänderung auf einem Domänencontroller. Wenn dies erfolgreich ist, versucht er anschließend, das lokale Passwort mit dem HKLM\SECURITY\Policy\Secrets<hostname>.ACC-Registrierungsschlüssel abzugleichen.

Normalerweise funktioniert dieser Prozess auch dann einwandfrei, wenn der Computer länger als 30 Tage ausgeschaltet oder offline ist, da der lokale Computer eine Passwortänderung initiiert.

Ein Problem tritt jedoch auf, wenn:

• der Computer das AD-Computerkonto ändert, aber das lokale Passwort nicht ändern kann
• der Computer ohne Ausführen von Sysprep neu erstellt wird
• das Betriebssystem neu installiert wird und versucht, sich mit dem alten, aktivierten AD-Computerkonto zu authentifizieren
• …und mehr?

Wenn eine der oben genannten Situationen eintritt, wird die Fehlermeldung „Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne wurde aufgehoben“ angezeigt.

Überprüfung des Problems

Wenn Sie wissen, dass das Problem besteht, wie können Sie es replizieren oder zumindest eine Methode haben, um festzustellen, welche Computer das Problem haben? Sie könnten versuchen, sich interaktiv bei jedem Computer anzumelden, aber das ist nicht skalierbar und ich möchte nicht von meinem Schreibtisch aufstehen!

Lassen Sie uns ein Skript erstellen, das sowohl lokal als auch remote ausgeführt werden kann, um festzustellen, welche Computer in der Domäne dieses Problem haben und die Fehlermeldung „Vertrauensstellung zwischen Arbeitsstation und primärer Domäne ist fehlgeschlagen“ endgültig zu beseitigen.

Zunächst einmal, da Sie davon ausgehen, dass die Domänenauthentifizierung nicht funktioniert, müssen Sie ein lokales Benutzerkonto in der Administratorengruppe kennen. Ich hoffe, Sie kennen das Passwort Ihres lokalen Administrators!

nltest (Befehlszeilentool)

nltest ist ein altmodisches Befehlszeilentool, mit dem eine Vertrauensstellung für einen Computer getestet werden kann. Dieses Tool wird installiert, wenn Sie RSAT installieren, oder es ist direkt auf einem Domänencontroller verfügbar.

Sie können eine Vertrauensstellung auf einem Computer überprüfen, wenn Sie auf dem Computer angemeldet sind, indem Sie Folgendes ausführen:

> nltest /sc_verify:<your domain FQDN>

WARNUNG: Diese Methode wird nicht empfohlen, da nltest nur im Benutzerkontext funktioniert, in dem es gestartet wurde. Wenn der Computer eine fehlerhafte Vertrauensstellung hat und Sie als lokaler Benutzer angemeldet sind, wird versucht, sich mit den Anmeldeinformationen des lokalen Benutzers bei der Domäne anzumelden. Dies führt zu einem Zugriffsverweigerungsfehler.

netdom (Befehlszeilentool)

Netdom ist ein weiteres Befehlszeilentool, das Sie zur Überprüfung einer Vertrauensbeziehung verwenden können. Dieses Tool ist ebenfalls installiert, wenn Sie RSAT installieren, oder es ist direkt auf einem Domänencontroller verfügbar.

Verwandt:Wie man das PowerShell Active Directory Modul installiert und importiert

Sie können mit netdom verify eine Vertrauensbeziehung überprüfen, indem Sie Folgendes angeben:

• den Computernamen, der überprüft werden soll
• den FQDN der Domäne
• den Benutzernamen zur Authentifizierung der Anforderung
• das Passwort des Benutzerkontos

Nachfolgend finden Sie ein Beispiel:

> netdom verify MYCOMPUTER /Domain:domain.local /UserO:abertram /PasswordO:*

Wenn Sie den Wert * für den Parameter PasswordO angeben, fordert netdom Sie zur Eingabe des Passworts auf.

Test-ComputerSecureChannel (PowerShell)

Eine der besten Möglichkeiten, das Problem „Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne ist fehlgeschlagen“ zu lösen, besteht darin, das Cmdlet Test-ComputerSecureChannel zu verwenden. Dieses PowerShell-Cmdlet wird mit Windows 10 geliefert und ist einfacher zu verwenden.

Das Test-ComputerSecureChannel-Cmdlet funktioniert lokal auf einem Windows 10 Computer. Wenn Sie sich interaktiv auf dem Computer anmelden, öffnen Sie eine PowerShell-Konsole und führen Sie Test-ComputerSecureChannel ohne Parameter aus. Es gibt entweder True oder False zurück, abhängig davon, ob das Vertrauen gültig ist.

PS51> Test-ComputerSecureChannel
True

Sie können auch einen bestimmten Domänencontroller angeben, um zu bestätigen, dass die Passwörter synchronisiert sind, indem Sie den Server-Parameter verwenden.

PS51> Test-ComputerSecureChannel -Server 'DC.domain.local'
False

Dieses Cmdlet ist einfach zu verwenden und hat eine Repair-Option, aber wir werden eine Demonstration davon für den Fixing-Abschnitt aufsparen.

Wenn Sie das lokale Administratorpasswort dieser Computer kennen, die Sie überprüfen möchten, und die PowerShell Remoting darauf aktiviert ist, können Sie auch das Invoke-Command-Cmdlet verwenden. Mit dem Invoke-Command-Cmdlet können Sie Test-ComputerSecureChannel remote auf einem oder vielen Computern gleichzeitig ausführen.

PS51> Invoke-Command -ComputerName PC1, PC2, PC3 -ScriptBlock { Test-ComputerSecureChannel }

Überprüfung von Vertrauensbeziehungen in der Masse

Jetzt, da Sie wissen, wie Sie eine Vertrauensbeziehung remote überprüfen können, hier ist ein Code-Schnipsel, den Sie verwenden können, um alle Ihrer AD-Computer zu überprüfen! In diesem Skript teste ich zuerst, ob der Computer online ist. Wenn nicht, gibt es Offline zurück. Wenn ja, wird es Test-ComputerSecureChannel auf jedem Computer ausführen und entweder True oder False zurückgeben.

Testing trust relationships in bulk
$localCredential = Get-Credential
 
@(Get-AdComputer -Filter *).foreach({
 
   $output = @{ ComputerName = $_.Name }
 
   if (-not (Test-Connection -ComputerName $_.Name -Quiet -Count 1)) { $output.Status = 'Offline'
   } else {
       $trustStatus = Invoke-Command -ComputerName $_.Name -ScriptBlock { Test-ComputerSecureChannel } -Credential $localCredential
       $output.Status = $trustStatus
   }
 
   [pscustomobject]$output
 
})

Das Wissen und das Verständnis des Problems ist der erste Schritt, aber wie beheben Sie es? Sie wissen jetzt, dass Sie das Computerkonto auf dem lokalen Computer so erhalten müssen, wie das Computerkonto in AD gespeichert ist.

Es gibt viele verschiedene „Lösungen“ für das Problem „Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne ist fehlgeschlagen“. Diese Lösungen können über die GUI, über PowerShell oder über altmodische Befehlszeilentools durchgeführt werden.

1. Zurücksetzen des Computerkontopassworts in AD
2. Zurücksetzen des lokalen Computerkontopassworts
3. Trennen und erneutes Verbinden des Windows-Computers
4. Entfernen des Computerkontos vollständig und erneutes Verbinden des Windows-Computers

Das sind viele Optionen! In dieser Anleitung konzentrieren wir uns darauf, dieses Problem mit PowerShell und Befehlszeilentools (für Vollständigkeit) zu beheben. Wenn Sie PowerShell noch nicht verwenden, sollten Sie das tun!

Problembehebung: Zurücksetzen von Computerpasswörtern

netdom (Befehlszeilentool)

A trust can be repaired and the “the trust relationship between this workstation and the primary domain failed” error message can be eliminated by using the old-school netdom command-line tool. If you’re logged into the computer locally as an administrative user, you can run netdom resetpwd to initiate the password reset sequence as shown below.

In diesem Beispiel:

• DC ist der Name des Domänencontrollers
• abertram ist der Name des Active Directory-Benutzerkontos mit Berechtigungen zum Zurücksetzen des Computerkontos
• * ist ein Platzhalter für das Benutzerkontopasswort, für das das Passwort abgefragt wird.

> netdom resetpwd /s:DC /ud:abertram /pd:*

Reset-ComputerMachinePassword (PowerShell)

Eine der besten Möglichkeiten, eine Vertrauensstellung zu reparieren, besteht darin, das Cmdlet Reset-ComputerMachinePassword zu verwenden. Dieses Cmdlet wird auf dem lokalen Computer ausgeführt und startet eine Passwortzurücksetzungssequenz. Die Syntax könnte nicht einfacher sein.

PS51> Reset-ComputerMachinePassword

Wenn Sie einen bestimmten DC zum Zurücksetzen angeben möchten, können Sie ihn mit dem Parameter Server zusammen mit einer optionalen Anmeldeinformation angeben (standardmäßig wird der lokale Benutzer verwendet).

Das unten stehende Beispiel fordert nach einem AD-Benutzernamen und Passwort und versucht, das Passwort auf dem lokalen Computer und dem DC Domänencontroller zurückzusetzen.

PS51> Reset-ComputerMachinePassword -Server DC -Credential (Get-Credential)

Dies kann auch remote ausgeführt werden, indem Invoke-Command verwendet wird, sofern PowerShell Remoting auf dem Computer verfügbar ist. Im Folgenden erhalte ich den Benutzernamen und das Passwort für das lokale Administrator-Konto auf dem Computer. Ich erhalte auch die Berechtigung, das AD-Konto dieses Computers zurückzusetzen. Anschließend übergebe ich $domainCredential in die Remote-Sitzung mit Hilfe des $using-Konstrukts.

$localAdminCredential = Get-Credential
$domainCredential = Get-Credential

PS51> Invoke-Command -Computername MYCOMPUTER -Credential $localAdminCredential -ScriptBlock { Reset-ComputerMachinePassword -Server DC -Credential $using:domainCredential }

Beachten Sie, dass dies auch funktioniert, wenn das Computerkonto aus Active Directory entfernt wurde. Erstellen Sie ein Computerkonto mit demselben Namen und Reset-ComputerMachinePassword stellt sicher, dass das Passwort synchronisiert wird.

Zurücksetzen von Kennwörtern für lokale Computerkonten in Stapelverarbeitung

Möchten Sie den Fehler „Die Vertrauensstellung zwischen Arbeitsstation und Primärdomäne ist fehlgeschlagen“ auf vielen Computern gleichzeitig beheben? Kein Problem. Mit einer praktischen foreach-Schleife können wir Reset-ComputerMachinePassword ebenfalls stapelweise ausführen.

Resetting computer account passwords in bulk
$localAdminCredential = Get-Credential
$domainCredential = Get-Credential
 
@(Get-AdComputer -Filter *).foreach({
 
   $output = @{ ComputerName = $_.Name }
 
   if (-not (Test-Connection -ComputerName $_.Name -Quiet -Count 1)) { $output.Status = 'Offline'
   } else {
       $pwChangeOutput = Invoke-Command -Computername $_.Name -Credential $localAdminCredential -ScriptBlock { Reset-ComputerMachinePassword -Server DC -Credential $using:domainCredential }
       $output.PasswordChangeOutput = $pwChangeOutput
   }
 
   [pscustomobject]$output
 
})

Test-ComputerSecureChannel -Repair (PowerShell)

Eine weitere Möglichkeit, den Passwortänderungsprozess zu starten, besteht darin, Test-ComputerSecureChannel auszuführen, diesmal jedoch mit der Option Repair. Soweit ich sehe, ist dieser Prozess identisch mit der Verwendung von Reset-ComputerMachinePassword. Verwenden Sie auf der Computeroberfläche den Parameter Repair und den Parameter Credential.

PS51> Test-ComputerSecureChannel -Repair -Credential (Get-Credential)

Stellen Sie sicher, dass Sie hier immer den Parameter Credential verwenden. Andernfalls, ähnlich wie bei der nltest-Dienstprogramm, wird versucht, das lokale Konto zu verwenden, was nicht funktioniert.

Beheben von Massenvertrauensstellungen

Fügen Sie diesen Befehl in die praktische foreach-Schleife ein, die wir verwendet haben, und schon haben Sie es geschafft!

Resetting computer account passwords in bulk
$localAdminCredential = Get-Credential
$domainCredential = Get-Credential
 
@(Get-AdComputer -Filter *).foreach({
 
   $output = @{ ComputerName = $_.Name }
 
   if (-not (Test-Connection -ComputerName $_.Name -Quiet -Count 1)) { $output.Status = 'Offline'
   } else {
       $repairOutput = Invoke-Command -Computername $_.Name -Credential $localAdminCredential -ScriptBlock { Test-ComputerSecureChannel -Repair -Credential $using:domainCredential }
       $output.RepairOutput = $repairOutput
   }
 
   [pscustomobject]$output
 
})

Problembehebung: Erneutes Beitreten der Domäne

Wenn das Zurücksetzen der Computerkontokennwörter nicht funktioniert, gibt es immer die „nukleare“ Option. Sie können einen Computer erneut der Active Directory-Domäne beitreten. Obwohl dies nicht immer erforderlich ist, gab es Zeiten, in denen ich diesen Ansatz verwenden musste.

Beachten Sie, dass ich gehört habe, dass ein Austritt nicht notwendig ist. Möglicherweise können Sie nur eine erzwungene neue Verbindung verwenden. YMMV.

Sie könnten:

• sich über ein lokales Administratorkonto am Computer anmelden
• zu Systemeigenschaften gehen
• auf Ändern klicken
• es auf eine Arbeitsgruppe setzen
• neu starten
• es wieder zur Domäne machen

Beachten Sie, wie ich erwähne, dass Sie es könnten. Tun Sie dies nicht. Es ist Zeitverschwendung, wenn Sie es mit PowerShell automatisieren können.

Es gibt zwei Möglichkeiten, wie Sie PowerShell verwenden können, um eine Domäne zu trennen und PowerShell verwenden können, um einer Domäne beizutreten.

Verwendung von CIM

Sie können eine Domäne mit PowerShell beitreten (und sie trennen), indem Sie die CIM-Klasse Win32_ComputerSystem verwenden. Diese Klasse verfügt über zwei Methoden, mit denen Sie einen Computer von einer Domäne trennen und einer Domäne beitreten können. Diese Methoden werden UnJoinDomainOrWorkgroup() und JoinDomainOrWorkGroup() genannt..

Zugehöriges:Nutzen Sie PowerShell WMI-Befehle, um jeden Windows-Computer zu erkunden

Da es sich um CIM handelt, können Sie dies genauso einfach remote ausführen wie lokal. Da ich davon ausgehe, dass Sie dies lieber bequem von Ihrem Schreibtisch aus remote ausführen möchten, finden Sie hier ein Code-Snippet, das genau das tut.

„Der Vertrauensstellungsstatus zwischen dieser Arbeitsstation und der primären Domäne ist fehlgeschlagen“ Fehler, verschwinde!

$computername = 'PITA'

$instance = Get-CimInstance -ComputerName $computername -ClassName 'Win32_ComputerSystem'

$invCimParams = @{
    MethodName = 'UnjoinDomainOrWorkGroup'
    Arguments = @{ FUnjoinOptions=0;Username="Administrator";Password="mypassword" }
}
$instance | Invoke-CimMethod @invCimParams

Beachten Sie den oben genannten Parameter FUnjoinOptions. Hier habe ich 4 angegeben. Dadurch wird das Standardverhalten beim manuellen Trennen eines Computers ausgeführt. Diese Option deaktiviert das Computerkonto im Active Directory (sofern es gefunden werden kann). Wenn Sie dieses Verhalten nicht wünschen, können Sie hier die Option 0 verwenden.

Sobald der Computer getrennt ist, können Sie sich mit der Methode JoinDomainOrWorkGroup() erneut der Domäne anschließen.

$computername = 'PITA'

$instance = Get-CimInstance -ComputerName $computername -ClassName 'Win32_ComputerSystem'

$invCimParams = @{
    MethodName = 'JoinDomainOrWorkGroup'
    Arguments = @{ FJoinOptions=3;Name=mydomain.local;Username="mydomain\domainuser";Password="mypassword" }
}
$instance | Invoke-CimMethod @invCimParams

Beachten Sie den FJoinOptions-Parameter oben. Ich habe hier 3 ausgewählt. Dies führt das Standardverhalten beim manuellen Beitritt eines Computers aus. Diese Option erstellt ein AD-Computerkonto. Sie können einige andere Optionen wie das Hinzufügen zu einer bestimmten OU in der JoinDomainOrWorkgroup-Dokumentation finden.

TIPP: Sie können auch mehrere Computer auf einmal mit dieser Methode verlassen und erneut beitreten, indem Sie mehrere Computer über den ComputerName-Parameter auf Get-CimInstance angeben.

Verwenden der Cmdlets Remove-Computer und Add-Computer

Sie können auch die integrierten PowerShell-Cmdlets verwenden, um einen Computer mit PowerShell aus der Domäne zu trennen und ihm beizutreten. Sie können die Cmdlets Remove-Computer und Add-Computer verwenden.

Um einen Computer mit PowerShell zu trennen, melden Sie sich an der Computerkonsole an und verwenden Sie das Cmdlet Remove-Computer. Geben Sie die Domänenanmeldeinformationen mit Berechtigungen zum Trennen des Computers an. Sie können auch den Parameter Restart angeben, um einen Neustart nach dem Trennen zu erzwingen, und Force, um keine Bestätigungsaufforderung anzuzeigen.

PS51> Remove-Computer -UnjoinDomaincredential (Get-Credential) -Restart -Force

Nachdem der Computer neu gestartet wurde, können Sie das Cmdlet Add-Computer verwenden, um den Computer mit PowerShell der Domäne beizutreten. Sie können das Cmdlet Add-Computer remote verwenden, indem Sie den Parameter ComputerName angeben. Sie verwenden auch lokale Benutzeranmeldeinformationen, um die Verbindung herzustellen, und die Domänenanmeldeinformationen zur Authentifizierung in der Domäne.

Wenn der Computer wieder hochgefahren ist, hoffentlich erhalten Sie nicht mehr die Fehlermeldung „Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne ist fehlgeschlagen“.

$localCredential = Get-Credential
$domainCredential = Get-Credential

Add-Computer -ComputerName PITA -LocalCredential $localCredential -DomainName domain.local -Credential $domainCredential -Restart -Force

Automatische Domänen-Trennung und -Beitritt

Weil ich diesen Vorgang viel zu oft durchführen musste, habe ich ein PowerShell-Skript erstellt, das alles für Sie erledigt. Wenn Sie ihm den Namen des Computers geben, wird es folgende Schritte ausführen:

• Den Computer trennen
• Neustarten und warten bis er wieder hochgefahren ist
• Den Computer beitreten
• Neustarten und warten bis er wieder hochgefahren ist

Sie können dieses Skript über GitHub ausprobieren.

Zusammenfassung

Sie sollten nun ein vollständiges Verständnis für das Problem und mehrere Lösungen für die berüchtigte Fehlermeldung „Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne ist fehlgeschlagen“ haben. Ich hoffe, dieser Leitfaden hat Ihnen einige Einblicke gegeben und Ihnen ermöglicht, eigene Lösungen für das Problem von Computern, die aus der Domäne fallen, zu finden!

Weiterführende Informationen

Schauen Sie sich unbedingt einige andere verwandte Beiträge an!

• Active Directory-Skripte im Überfluss: Greifen Sie zu!
• Get-AdUser: Active Directory-Benutzer mit PowerShell finden
• Wie man AD mit PowerShell und einer CSV-Datei synchronisiert