Verlorene Vertrauensstellung wiederherstellen

Es ist ein unangenehmes Gefühl, von seinem Rechner ausgesperrt zu werden. Leider eines, welches Benutzer in Windows-Domänen gelegentlich erleben. In der Regel gibt der Anwender tatsächlich einen falschen Benutzernamen oder ein falsches oder abgelaufenes Kennwort ein, aber manchmal sieht er sich auch mit der folgenden Meldung konfrontiert:

Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden.

Oder auf Englisch:

The trust relationship between this workstation and the primary domain failed.

Im Gegensatz zu vielen anderen Fehlermeldungen in diesen seltener werdenden Momenten, in denen welche ausgegeben werden, drückt sich Windows hier klar und präzise aus – leider meist nicht für den Anwender, der sie liest.

Administratoren reagieren auf diese Meldung gerne routinemäßig mit der Entfernung und der anschließenden Wiederaufnahme des Computers in die Domäne. Wenn diese Methode auch funktioniert, ist sie sehr rabiat und verursacht mit den zwei benötigten Neustarts unverhältnismäßig viel Aufwand – gerade in Situationen, in denen man Anwendern an Remote-Standorten aus der Misere helfen muss. Es hilft natürlich nicht, dass Microsoft diese Vorgehensweise auf einer seiner zahlreichen Support-Websites selber empfiehlt.

Es hilft stattdessen, zu verstehen, woher der Anmeldefehler tatsächlich rührt: Wenn der Rechner mit der Domäne verbunden ist (direkt oder per VPN mit der Netzwerkanmeldung im Windows-Anmeldebildschirm) wird der Anwender nach Eingabe von Benutzername und Kennwort gegen den Domain Controller authentifiziert. Zu diesem Zweck muss der Rechner eine Verbindung zum Domain Controller aufbauen. Der Rechner selber ist ebenfalls Mitglied der Domäne und im Active Directory durch ein Computerobjekt repräsentiert. Genau wie der Benutzer hat auch der Computer ein eigenes Kennwort. Anwender müssen sich um dieses Kennwort nicht kümmern, wissen in der Regel nicht einmal von seiner Existenz. Wenn nicht anders von Domänenadministratoren konfiguriert, aktualisiert ein Computer, der Mitglied der Domäne ist, sein Kennwort,falls möglich, gemäß der standardmäßigen Richtlinie alle 30 Tage. Der Computer speichert eine verschlüsselte Form des alten und des neuen Kennworts in der Registry unter HKLM\SECURITY\Policy\Secrets\$machine.ACC. Auch das Active Directory speichert diese Kennwörter im entsprechenden Computerobjekt in den Attributen lmpwdHistory und unicodepwd.

Das Kennwort auf dem Rechner und das im Computerobjekt im Active Directory gespeicherte Kennwort sind also normalerweise synchron. Wenn das Betriebssystem allerdings aus irgendeinem Grund mithilfe eines Wiederherstellungspunkts, eines Backup-Images, eines Snapshots der virtuellen Maschine oder anderer Methoden auf einen früheren Stand mit einem älteren lokal gespeicherten Computerkennwort zurückgesetzt wird, stimmen das lokale Computerkennwort und das am Active Directory für dieses Computerobjekt gespeicherte Kennwort nicht mehr überein, weshalb die sichere Verbindung zum Domain Controller und damit zur Benutzerauthentifizierung nicht hergestellt werden kann.

Testen lässt sich der Secure Channel mit folgendem PowerShell-Befehl auf dem betroffenen Rechner:

Test-ComputerSecureChannel

Lautet das Ergebnis „False“ ist der Secure Channel beschädigt. Mit folgendem Befehl, der als lokaler Administrator und mit den Anmeldedaten eines Domänenadministrators ausgeführt wird, kann er repariert werden:

Test-ComputerSecureChannel -Repair -Credential DOMÄNE\Domänen-Administrator-Konto

Wird „True“ ausgegeben, war der Befehl erfolgreich, und die Vertrauensstellung wurde wiederhergestellt. Es findet also kein Rauswurf aus und keine Wiederaufnahme in die Domäne statt, und der Computer muss nicht mehrmals neugestartet werden.