Het oplossen van een verbroken vertrouwensrelatie in Windows kan soms behoorlijk frustrerend zijn. Meestal treedt dit op wanneer een computer die lid is van een domein niet goed kan communiceren met de domeincontroller, en je krijgt dan die beruchte foutmelding: The trust relationship between this workstation and the primary domain failed.. Als je die melding hebt gezien en niet het hele domein opnieuw wilt toevoegen (wat een herstart en het opnieuw instellen van alles betekent), is er een snellere manier om dit met PowerShell op te lossen. Maar let op: hiervoor heb je lokale beheerdersrechten nodig, dus als je geen toegang hebt, moet je mogelijk eerst het beheerderswachtwoord opnieuw instellen of opstarten in de veilige modus.
Dit proces is een beetje vreemd, maar het bespaart enorm veel tijd. In principe reset het het beveiligde kanaal met uw domein zonder de computer uit Active Directory te verwijderen. Het dwingt de machine om het vertrouwen opnieuw te vestigen door het wachtwoord in Active Directory bij te werken, allemaal rechtstreeks vanuit PowerShell. Ter informatie: het is geen garantie dat het in alle gevallen werkt, vooral niet als het machineaccount is uitgeschakeld of beschadigd in Active Directory, maar in de meeste gevallen is het sneller dan de computer helemaal opnieuw aan het domein te verwijderen en toe te voegen.
Hoe los je een vertrouwensrelatieprobleem op met PowerShell?
Controleren of het beveiligde kanaal is verbroken
- Controleer allereerst of u lokaal bent aangemeld als beheerder. Als u vastloopt op het aanmeldingsscherm, probeer dan in te loggen
.\Administratormet het lokale gebruikersaccount waarvan u weet dat het nog werkt. Windows slaat recente aanmeldingen op, dus als u onlangs bent aangemeld als domeingebruiker en vervolgens de netwerkverbinding hebt verbroken, kunt u mogelijk nog steeds lokaal inloggen. - Open een PowerShell-venster met beheerdersrechten (klik met de rechtermuisknop en kies ‘Uitvoeren als beheerder’ ).Dit kunt u doen door met de rechtermuisknop op het Startmenu te klikken en vervolgens ‘Windows PowerShell (beheerder)’ te selecteren.
- Voer dit commando uit om het vertrouwen te testen:
Test-ComputerSecureChannel –Verbose
Als er ‘False’ staat, betekent dit dat uw computer de vertrouwensrelatie met het domein niet kan bevestigen.
Het vertrouwen herstellen met PowerShell
- Om het probleem op te lossen, voer je het volgende commando uit:
Test-ComputerSecureChannel -Repair -Credential domain\admin_user -Verbose
Vervang dit domain\admin_userdoor uw daadwerkelijke domein en beheerdersgebruikersnaam. Deze opdracht probeert het beveiligde kanaal te resetten door uw domeinreferenties te gebruiken om het wachtwoord van de machine in Active Directory bij te werken. In sommige configuraties kan deze opdracht fouten veroorzaken als de machtigingen niet zijn ingeschakeld of als het machineaccount is uitgeschakeld. Controleer in die gevallen in Active Directory-gebruikers en -computers of uw machineaccount nog steeds bestaat en is ingeschakeld.
Als het nog steeds niet lukt, probeer dan het wachtwoord van de computer direct opnieuw in te stellen.
- Dit is handig als de standaardreparatie niet werkt, of als het vertrouwensprobleem steeds terugkomt. Uitvoeren:
Reset-ComputerMachinePassword -Server domain-controller.woshub.com -Credential domain\admin_user
Vervang dit domain-controller.woshub.comdoor de hostnaam van uw dichtstbijzijnde domeincontroller. Hiermee wordt het wachtwoord van de machine in Active Directory geforceerd gereset. Soms is dit op zich al voldoende om het vertrouwensprobleem op te lossen, zonder dat de machine opnieuw aan het domein hoeft te worden toegevoegd.
Tip: Als je niet zeker weet wat de hostnaam van je domeincontroller is, kun je die vinden met nslookupof navragen bij je netwerkbeheerder. Meestal is het de hostnaam van je hoofd-DNS-server (zoals dc1.yourdomain.com).Controleer ook je machtigingen, want zonder de juiste machtigingen zullen al deze commando’s weinig effect hebben.
Inzicht in waarom vertrouwen kan falen
Het zit zo: elke pc die lid is van een domein heeft een geheim wachtwoord (een machineaccountwachtwoord) dat automatisch elke 30 dagen wordt bijgewerkt. Als het wachtwoord op uw pc niet overeenkomt met het wachtwoord dat in Active Directory is opgeslagen – bijvoorbeeld omdat u een back-up hebt teruggezet, de machine hebt gekloond zonder Sysprep of het AD-account handmatig hebt gereset – wordt het vertrouwen verbroken. Windows weigert dan nog langer veilig met het domein te communiceren, omdat het in feite zegt: “Ik vertrouw je niet meer.”
Andere oorzaken zijn problemen met de tijdsynchronisatie (als de klokken sterk afwijken) of het uitschakelen of verwijderen van het machineaccount in Active Directory. Soms kan een machine die lange tijd offline is geweest (langer dan de 30 dagen na de wachtwoordwijziging) ook problemen ondervinden als de synchronisatie niet goed verloopt bij het opnieuw online komen.
In dergelijke gevallen kan het opnieuw inschakelen van het machineaccount in Active Directory of het handmatig opnieuw instellen van het wachtwoord helpen om het vertrouwen te herstellen. En als u virtuele machines herstelt of test in labomgevingen, kunt u overwegen het beleid voor automatische wachtwoordwijziging uit te schakelen om dit probleem te voorkomen.
Hopelijk besparen deze trucs je wat kopzorgen de volgende keer dat er zich vertrouwensproblemen voordoen terwijl je haast hebt.