Der Fehler „Das Vertrauensverhältnis zwischen dieser Arbeitsstation und der primären Domäne ist fehlgeschlagen“ bedeutet, dass der Computer möglicherweise keine Netzwerkverbindung herstellen kann, da er offline ist oder die Mitgliedschaft in der Active Directory (AD)-Domäne verloren hat. Dieser Leitfaden wird Ihnen helfen zu verstehen, was hinter den Kulissen passiert, wenn dieser Fehler auftritt, und wir werden verschiedene Methoden durchgehen, um dieses Problem zu beheben.
Wie Sie sehen werden, gibt es ziemlich viele mögliche Lösungen, um das Vertrauensverhältnis zwischen dieser Arbeitsstation und der primären Domäne wiederherzustellen. Insbesondere gibt es eine, die schneller ist als die traditionelle Methode – ‚Auszutreten aus der Domäne, neu starten, der Domäne wieder beizutreten, neu starten…‘. Lassen Sie uns beginnen!
Verständnis des Fehlers „Das Vertrauensverhältnis zwischen dieser Arbeitsstation und der primären Domäne ist fehlgeschlagen“
Die Fehlermeldung „Das Vertrauensverhältnis zwischen dieser Arbeitsstation und der primären Domäne ist fehlgeschlagen“ ist definitiv einer der ärgerlichsten Fehler, mit denen IT-Profis konfrontiert sind, wenn sie mit Geräten arbeiten, die an die Active Directory angebunden sind. Es scheint aus dem Nichts aufzutauchen, nur um Ihnen bei der Erledigung Ihrer täglichen Aufgaben Steine in den Weg zu legen.
Wie kann es zu diesem Fehler kommen?
Wenn Sie einen Arbeitsplatz in eine Active Directory-Domäne einbinden, wird ein Computerkonto in AD erstellt. Und genauso wie bei einem Benutzerkonto hat dieses Computerkonto ein Passwort, das 30 Tage lang gültig ist, bevor es aktualisiert wird.
Hinweis – Sie haben die Möglichkeit, das Registrierung zu ändern, um das Attribut ‚maximales Maschinenkontopasswortalter‘ zu ändern. Wenn Sie dies wünschen, öffnen Sie Regedit.exe und ändern Sie den folgenden Schlüssel:
hklm-SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge
Jedes Mal, wenn sich ein Computer bei Active Directory ‚anmeldet‘ (während eines Neustarts und bevor sich ein Benutzer anmeldet), überprüft er sein Computerkontopasswort beim nächsten Domänencontroller (DC):
- Wenn sie synchron sind, authentifiziert sich der Computer erfolgreich bei AD und das Leben geht weiter.
- Wenn das Gerät keine Netzwerkverbindung zu AD hat, wird eine Gnadenfrist von bis zu 30 Tagen gewährt.
Im Szenario, in dem Sie den Fehler „Vertrauensbeziehung zwischen diesem Arbeitsplatzrechner und dem primären Domäne ist fehlgeschlagen“ erleben, versucht ein Domänenbenutzer, sich auf dem Arbeitsplatzrechner (und in der Domäne) anzumelden. Wenn der Benutzer zuvor angemeldet hat und ihr AD-Passwort auf dem Gerät zwischengespeichert ist, können sie während dieser Gnadenfrist sich anmelden. Wenn jedoch ein Benutzer, der zuvor nicht auf dem Gerät angemeldet hat, versucht, sich anzumelden, und das Vertrauen zwischen dem Gerät und AD unzugänglich ist, erhalten Sie genau diesen Fehler.
Warum tritt dieser Fehler auf?
Dieser „Vertrauensbeziehung zwischen diesem Arbeitsplatzrechner und der primären Domäne ist fehlgeschlagen“ Fehler tritt auf, wenn der Computer in der Domäne nicht mehr vertraut wird. Der sichere Kanal zwischen dem Arbeitsplatzrechner und Active Directory fehlt. Das lokale Computersystem Passwort stimmt nicht mit dem Computersystem Passwort in Ihrer Active Directory überein.
Es gibt einige häufige Szenarien, in denen dieser Fehler auftreten kann, hier sind einige Beispiele:
- Wenn Sie Windows neu installieren.
- Wenn Sie Windows zurücksetzen.
- Wenn Sie den Zustand einer virtuellen Maschine wiederherstellen.
- Wenn Sie prominentere Hardwarekomponenten in einem Gerät austauschen, usw.
- Wenn Sie ein Gerät klonen, ohne zuerst Sysprep zu verwenden.
Es gibt noch einige andere zugrunde liegende Gründe, die zu diesem Fehler führen könnten. Netzwerkverbindungsprobleme, ein Problem mit Ihrer AD oder DNS-Infrastruktur und sogar Probleme mit dem Netzwerkkabel Ihres Geräts! Die Idee ist, es langsam angehen zu lassen, KEINE Annahmen zu machen und diesen Leitfaden zu verwenden, um jeden Schritt dieses Troubleshooting-Flussdiagramms zu befolgen, um Ihr Problem zu lösen.
So beheben Sie den Fehler „Das Vertrauensverhältnis zwischen diesem Arbeitsplatz und der primären Domäne wurde nicht hergestellt“
Es gibt einige Methoden, mit denen Sie den Fehler „Die Vertrauensstellung zwischen diesem Computer und der primären Domäne ist fehlgeschlagen“ beheben können. Hier müssen Sie die Vertrauensbeziehung zwischen Ihrem Gerät und Active Directory lösen. Schauen wir uns erst einmal einige Grundlagen an, die Sie gelegentlich wegen Zeitdrucks übersehen können.
Überprüfung der Vertrauensstellung mit dem Befehl Test-ComputerSecureChannel
Schauen Sie mal, was wir hier haben! Ein praktisches PowerShell-Tool, mit dem Sie die Vertrauensstellung Ihres Geräts mit Active Directory reparieren können. Ich habe einen Windows 11-Virtualen Computer in meinem Windows Server 2022-Active Directory-Hyper-V-Testumgebung. Wir verwenden das Test-ComputerSecureChannel-Cmdlet, um die Verbindung mit AD zu überprüfen.
Test-ComputerSecureChannel -verbose
Hier bedeutet „True“ in der Ausgabe, dass alles in Ordnung ist.
Überprüfung der DHCP-Einstellungen
Sie werden wollen ipconfig an einem Befehlsfenster ausführen, um sicherzustellen, dass die IP-Adresse, die Ihr Arbeitsplatz hat, entweder im selben Subnetz wie Ihr Domänencontroller (DC) liegt oder eine Route zu diesen Subnetzen hat. Sie können auch versuchen, einen Ihrer DCs per Name oder vollständig qualifizierten Domänennamen (FQDN) anzupingen.
Wenn das nicht funktioniert oder sich nicht auflöst, haben Sie ein grundlegendes Netzwerkverbindungsproblem. Sie werden zuerst grundlegende Fehlerbehebung in diesem Bereich durchführen wollen, bevor Sie fortfahren.
Sie können auch die Befehle ipconfig /release und ipconfig /renew ausführen, um Ihre zugewiesene DHCP IP-Adresse freizugeben und entweder zu erneuern oder eine neue zu erhalten. Manchmal lösen diese Schritte ziemlich seltsame Netzwerkverbindungsprobleme. Probieren Sie es einfach aus.
Zurücksetzen eines Rechnerkontokennworts
Lassen Sie uns direkt in die effizienteren und zeitsparenderen Methoden eintauchen, um unser Problem zu lösen. Das Ziel hier ist es, ein Computerkontokennwort zurückzusetzen. Ich zeige Ihnen später die Schritte zur Verwendung der grafischen Benutzeroberfläche in Windows zum Austragen, Wiederverbinden, Neustarten usw.
Aber wäre es nicht schön, all diese Neustarts zu vermeiden? Nun, ja, ich bin mir sicher, das wäre es. Besonders wenn Sie einen langsameren Computer verwenden.
Mit dem Befehlszeilentool netdom resetpwd
Das erste Befehlszeilentool, das wir verwenden werden, heißt netdom. Sie können es auf einem Arbeitsplatzrechner durch die Installation der Remote-Verwaltungstools des Servers (RSAT) installieren, speziell die Option „Aktive Verzeichnisdienste und Lightweight Directory Services Tools„. Die Grundlagen zur Installation von RSAT-Tools können Sie lesen, indem Sie meinen vorherigen Beitrag zu diesem Thema durchgehen.
Öffnen Sie eine administrative Eingabeaufforderung und verwenden Sie den folgenden netdom resetpwd Befehl:
netdom resetpwd /Server:WS16-DC1 /UserD:administrator /passwordD:<em>password</em>
Erfolg! Das Maschinenkontokennworte für den lokalen Rechner wurde erfolgreich zurückgesetzt, und Sie müssen nicht einmal neu starten. Sie können sich einfach abmelden und sich dann mit einem Domänenbenutzerkonto wieder anmelden, dann sollten Sie in Ordnung sein.
Verwendung des Cmdlets Reset-ComputerMachinePassword
Ein weiteres Werkzeug in Ihrem PowerShell-Toolset ist das Reset-ComputerMachinePassword-Cmdlet. Ähnlich wie netdom ändert/aktualisiert dieser Befehl das Computerkontokennworte bei Active Directory.
Gehen Sie voran und öffnen Sie eine PowerShell-Konsole. Die grundlegende Befehlsstruktur ist wie folgt:
Reset-ComputerMachinePassword -Server DomainController -Credential DomainAdmin
Also werde ich in unserem Fall diesen Befehl ausführen:
Reset-ComputerMachinePassword -Server WS16-DC1 -Credential Administrator
Keine Nachrichten sind gute Nachrichten, oder?
Verwendung des Active Directory-Benutzer- und Computertools
Es gibt einen sehr einfachen Schritt, den Sie mit Active Directory-Benutzer und Computer (ADUC) durchführen können, um die gleiche Funktion wie bei den beiden zuvor genannten Befehlszeilenmethoden auszuführen. Suchen Sie einfach die Computerarbeitsstation in Ihrem Verzeichnis, klicken Sie mit der rechten Maustaste auf das Computerobjekt und klicken Sie auf „Konto zurücksetzen“.Und da haben Sie es, das Computerkonto wurde zurückgesetzt.
Schließen Sie Ihr Gerät wieder an die Active Directory-Domäne an
In Ordnung, ich speichere die traditionelle, etwas ‚unrobuste‘ Methode zum Beheben des Fehlers „Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne ist fehlgeschlagen“ für den Schluss auf – meine Empfehlung ist es, die Befehlszeilentools zu verwenden, da sie effizienter, schneller und einfach zuverlässiger die Arbeit erledigen. Sie müssen sich keine Gedanken über potenzielle Probleme mit lokalen Profilen, Netzwerkverbindungsprobleme auf der Arbeitsstationsseite und andere Probleme in Windows im Allgemeinen machen.
Wie auch immer, der Vollständigkeit halber zeigen wir Ihnen nun diese andere Methode, um Ihren Rechner zur Active Directory-Domäne zurückzuführen.
Verwenden der Cmdlets Remove-Computer und Add-Computer
Es scheint, als würde ich aus einem Grund die ältere GUI-Methode zurückhalten. ? Im letzten Moment aus dem Warp kommen, um uns den taktischen Vorteil zu verschaffen. Wir können erneut PowerShell verwenden, um unser Ziel zu erreichen. Wir können die Remove-Computer und Add-Computer Cmdlets verwenden.
Hinweis – Stellen Sie sicher, dass Sie die Anmeldeinformationen für ein lokales Administratorkonto des Geräts kennen, das Sie verwenden. Sie werden diese benötigen, um sich nach dem Austritt der Arbeitsstation und dem Neustart anzumelden.
Hier ist das Remove-Computer-Cmdlet, das Sie verwenden müssen, um den Computer aus der Domäne zu entfernen und neu zu starten.
Remove-Computer -UnJoinDomaincredential reinders.local\mreinders -PassThru -Verbose -Restart
Okay. Nach nur wenigen Sekunden wurde der Neustart durchgeführt. Nun, nachdem ich mich mit einem lokalen Administrator angemeldet habe, kann ich das ‚Add-Computer‚ Cmdlet verwenden, um mich wieder in die Domäne einzufügen.
Add-Computer -DomainName reinders.local -Passthru -Verbose -Restart
Eine weitere SEHR schnelle Operation und ein Neustart! Und wir sind wieder im Geschäft.
Mit der grafischen Benutzeroberfläche und einem Domänenadministrator-Konto verwenden
Nun, ich denke, ich kann Ihnen die traditionelle, aber effektive Methode zeigen, um diesen Fehler zu beheben. Wir werden den Vorgang durchgehen und die Windows-GUI auf dem Arbeitsplatzrechner verwenden, um unser Gerät aus der Active Directory-Domäne zu trennen und in den Arbeitsgruppenmodus zu wechseln, neu zu starten, dann unser Gerät wieder in die AD einbinden, erneut neu starten, und dann sollte die Mission abgeschlossen sein.
Klicken Sie zunächst auf Start -> Einstellungen -> Konten -> Zugriff auf Arbeit oder Schule. Klicken Sie auf den Dropdown-Pfeil rechts neben dem AD-DNS-Domänennamen und klicken Sie auf Trennen. Klicken Sie auf Ja.
Klicken Sie auf die Schaltfläche Trennen im folgenden Popup-Fenster.
Bestätigen Sie hier die Anmeldedaten eines lokalen Kontos, mit dem Sie sich nach dem Entfernen Ihres Arbeitsplatzrechners aus der Domäne anmelden können.
Dieser Schritt ist wichtig – wenn Sie keinen Zugriff auf ein lokales Konto und Passwort haben, müssen Sie Windows neu installieren oder Ihr Gerät neu aufsetzen.
Sobald Sie fertig sind, klicken Sie auf Jetzt neu starten , um Ihren Rechner neu zu starten.
An dieser Stelle habe ich mich mit meinem lokalen Konto ‚Michael‘ angemeldet. Anschließend bin ich zum selben Ort gegangen: Start -> Einstellungen -> Konten -> Zugriff auf Arbeit oder Schule.
Klicken Sie hier auf die Schaltfläche Verbinden neben ‚Eine Arbeits- oder Schuladresse hinzufügen.‘
Wählen Sie den letzten Link unten: Dieses Gerät in eine lokale Active Directory-Domäne einbinden.
Geben Sie den vollständig qualifizierten Domänennamen (FQDN) Ihrer Active Directory-Domäne ein und klicken Sie auf Weiter.
Vorausgesetzt, dass es in der Lage ist, Ihre Domäne richtig zu kontaktieren (falls nicht, können Sie meinen Beitrag lesen, um Ihnen bei der Fehlerbehebung zu helfen), werden Sie aufgefordert, ein Domänenkonto mit Berechtigungen für Domänenadministratoren oder gleichwertigen Berechtigungen anzugeben.
Hier gehe ich den nicht alltäglichen Schritt und füge mein ‚mreinders‘ AD-Konto der lokalen Administratorgruppe hinzu. Dies geschieht zu Laborzwecken und entspricht nicht den Best Practices in Bezug auf Sicherheit.
Klicken Sie auf Jetzt neu starten, melden Sie sich mit Ihrem Benutzerkonto in der Domäne an, und wir sind fertig!
Fazit
I hope this post helps you in troubleshooting the root cause of the dreaded “trust relationship between this workstation and the primary domain failed” error message. Like I said, this seems to just crop up at the worst possible time. But, that’s IT. There are many ways to resolve issues in Windows and general Systems Engineering. Thankfully, you have a respectable number here to get your job back on track!
Source:
https://petri.com/trust-relationship-between-this-workstation-and-the-primary-domain-failed-error/