In der Praxis kommt es immer mal wieder vor, dass ein Benutzer bei der Anmeldung an der Domäne die Meldung „Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden“ angezeigt bekommt. Über die möglichen Ursachen und die Lösung dieses Problems geht es in diesem Artikel.



Vertrauensstellung konnte nicht hergestellt werden

Die Ursache dieser Meldung ist schnell erklärt: Jedes Computerkonto besitzt ein eigenes Kennwort, mit welchem sich der Machine Account im Active Directory authentifiziert. Per Standard wird dieses Kennwort alle 30 Tage automatisch erneuert – der Benutzer und der Administrator bekommen davon nichts mit.

Wird ein Computer längere Zeit nicht eingeschaltet, kann die Zeit von 30 Tagen überschritten werden und man erhält die Meldung „Die Vertrauensstellung […] konnte nicht hergestellt werden„. Gleiches passiert auch, wenn beispielsweise eine virtuelle Maschine auf einen früheren Zeitpunkt zurückgesetzt wird – per Snapshot oder Recovery.

Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden

Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden. Die Anmeldung ist nicht möglich.

Wie lösen wir also das Problem, wenn die Vertrauensstellung nicht hergestellt werden kann?

Das Problem kann nur über ein lokales Administratorkonto auf dem Computer oder Server gelöst werden. Microsoft empfiehlt die Anmeldung als lokaler Administrator, um dann den Computer aus der Domäne zu entfernen und neu hinzuzufügen. Es gibt für alle Versionen nach Windows 7 aber einen schnelleren und eleganteren Weg:

Vertrauensstellung wieder herstellen – per PowerShell

Über die Windows PowerShell lässt sich das Kennwort des Computerkontos in ein paar Sekunden zurücksetzen. Erhält man also die Meldung „Vertrauensstellung konnte nicht hergestellt werden„, braucht man lediglich die folgenden Schritte befolgen:

  1. Anmeldung am betroffenen Computer oder Server mit einem lokalen Administratorkonto
  2. PowerShell mit administrativen Rechten öffnen
  3. Reset-ComputerMachinePassword -Server <<Domaincontroller>> -Credential domain\administrator

    PowerShell ResetMachinePassword

    Zurücksetzen des Kennwortes für das Computerkonto um die Vertrauensstellung zwischen Arbeitsstation und Domäne wieder herzustellen.

  4. Eingabe des Kennworts für den Domänenadministrator

    Anmeldung als Domänenadministrator

    Authentifizierung als Domänenadministrator.

  5. Fertig – bei der nächsten Anmeldung funktioniert der Login als Domänenbenutzer wieder.

Wie Du siehst, ist die Lösung für dieses Problem sehr einfach. Das Herausnehmen und neu hinzufügen des Computers zur Windows Domäne würde sehr viel mehr Zeit in Anspruch nehmen.

Weiterer PowerShell Befehl

Neben dem oben genannten Befehl, kann die Rücksetzung des Kennwortes auch über eine Reparatur erfolgen. Die Schritte hierfür sind exakt die gleichen, nur der PowerShell Befehl unterscheidet sich:

Test-ComputerSecureChannel -Repair -Server <<Domaincontroller>> -Credential domain\administrator

PowerShell - TestComputerSecureChannel

Vertrauensstellung konnte nicht hergestellt werden – Bei der „Reparatur“ wird das Kennwort des Computerkontos ebenfalls wieder zurückgesetzt.

Nachdem dieser Schritt ausgeführt wurde – auch hier muss natürlich das Kennwort des Domänenadministators eingegeben werden – erhält man das Ergebnis „True„. Das bedeutet, dass das Computerkonto wieder uneingeschränkt genutzt werden kann. Der Benutzer darf sich wieder anmelden.

Ebenfalls interessant:

Es freut mich, wenn ich Dir mit diesem Artikel helfen konnte.
Wer möchte, kann diesem Blog eine kleine Aufmerksamkeit in Form einer kleinen Spende (PayPal) oder über die Amazon Wunschliste zukommen lassen.

René Albarus

Ich heiße René Albarus und bin seit 2002 beruflich im Bereich der Systemadministration tätig. Da auch ich einen Teil meines Wissens IT-Blogs im Internet verdanke, ist es für mich selbstverständlich, dass ich Lösungsansätze und Anleitungen in diesem Blog weitergebe.
René Albarus
0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.