In der Praxis kommt es immer mal wieder vor, dass ein Benutzer bei der Anmeldung an der Domäne die Meldung „Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden“ angezeigt bekommt. Über die möglichen Ursachen und die Lösung des Problems „Vertrauensstellung konnte nicht hergestellt werden“ geht es in diesem Artikel.

Vertrauensstellung konnte nicht hergestellt werden

Die Ursache dieser Meldung ist schnell erklärt: Jedes Computerkonto besitzt ein eigenes Kennwort, mit welchem sich der Machine Account im Active Directory authentifiziert. Per Standard wird dieses Kennwort alle 30 Tage automatisch erneuert – der Benutzer und der Administrator bekommen davon nichts mit.

Wird ein Computer längere Zeit nicht eingeschaltet, kann die Zeit von 30 Tagen überschritten werden und man erhält die Meldung „Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden„. Gleiches passiert auch, wenn beispielsweise eine virtuelle Maschine auf einen früheren Zeitpunkt zurückgesetzt wird – per Snapshot oder Recovery.

Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden
Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden. Die Anmeldung ist nicht möglich.

Wie lösen wir also das Problem, wenn die Vertrauensstellung nicht hergestellt werden kann?

Das Problem kann nur über ein lokales Administratorkonto auf dem Computer oder Server gelöst werden. Microsoft empfiehlt die Anmeldung als lokaler Administrator, um dann den Computer aus der Domäne zu entfernen und neu hinzuzufügen. Es gibt für alle Versionen nach Windows 7 aber einen schnelleren und eleganteren Weg:

Vertrauensstellung wieder herstellen – per PowerShell

Über die Windows PowerShell lässt sich das Kennwort des Computerkontos in ein paar Sekunden zurücksetzen. Erhält man also die Meldung „Vertrauensstellung konnte nicht hergestellt werden„, braucht man lediglich die folgenden Schritte befolgen:

  1. Anmeldung am betroffenen Computer oder Server mit einem lokalen Administratorkonto.
  2. PowerShell mit administrativen Rechten öffnen.
  3. Befehl: „Reset-ComputerMachinePassword -Server <<Domaincontroller>> -Credential domain\administrator“ eingeben.
PowerShell ResetMachinePassword
Zurücksetzen des Kennwortes für das Computerkonto um die Vertrauensstellung zwischen Arbeitsstation und Domäne wieder herzustellen.

4. Eingabe des Kennworts für den Domänenadministrator

Anmeldung als Domänenadministrator
Authentifizierung als Domänenadministrator.

Fertig – bei der nächsten Anmeldung funktioniert der Login als Domänenbenutzer wieder

Wie Du siehst, ist die Lösung für dieses Problem sehr einfach. Das Herausnehmen und neu hinzufügen des Computers zur Windows Domäne würde sehr viel mehr Zeit in Anspruch nehmen.

Weiterer PowerShell Befehl

Neben dem oben genannten Befehl, kann die Rücksetzung des Kennwortes auch über eine Reparatur erfolgen. Die Schritte hierfür sind exakt die gleichen, nur der PowerShell Befehl unterscheidet sich:

Test-ComputerSecureChannel -Repair -Server <<Domaincontroller>> -Credential domain\administrator
PowerShell - TestComputerSecureChannel
Vertrauensstellung konnte nicht hergestellt werden – Bei der „Reparatur“ wird das Kennwort des Computerkontos ebenfalls wieder zurückgesetzt.

Nachdem dieser Schritt ausgeführt wurde – auch hier muss natürlich das Kennwort des Domänenadministators eingegeben werden – erhält man das Ergebnis „True„. Das bedeutet, dass das Computerkonto wieder uneingeschränkt genutzt werden kann. Der Benutzer darf sich wieder anmelden.

Ebenfalls interessant:

Support vom Experten