Fehlerhafte Vertrauensstellung zwischen einem in die Domäne eingebundenen Gerät und seiner Domäne aufgrund von Problemen mit sicherem Kanal

Dieser Artikel enthält Anleitungen zur Behandlung häufiger Probleme mit sicherem Kanal, die auf Clientcomputern oder Mitgliedsservern innerhalb einer Domäne während der Anmeldeversuche aufgetreten sind.

Symptome

Wenn Probleme mit sicherem Kanal zu einer fehlerhaften Vertrauensstellung zwischen einem in die Domäne eingebundenen Gerät und seiner Domäne führen, beobachten Sie die folgenden Symptome auf dem Computer:

• Sie können sich nicht mit Active Directory- oder Domänenanmeldeinformationen beim Computer anmelden. Die folgende Fehlermeldung tritt auf:

  Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne ist fehlgeschlagen.

  Sie können sich mit einem lokalen Benutzer oder zwischengespeicherten Anmeldeinformationen anmelden.

• Im System-Ereignisanzeige-Protokoll wird ein Ereignis 3210 aus der NETLOGON-Quelle angezeigt:

  

  Log name: System  
  Source: NETLOGON  
  Level: Error  
  Description: This computer could not authenticate with \\DCName.contoso.com, a Windows domain controller for domain CONTOSO, and therefore this computer might deny logon requests. This inability to authenticate might be caused by another computer on the same network using the same name or the password for this computer account is not recognized. If this message appears again, contact your system administrator.
  

• Wenn die Netlogon-Protokollierung aktiviert ist, wird ein ähnliches Beispiel angezeigt:

  Date Time [CRITICAL] CORP: NlSessionSetup: Session setup: cannot I_NetServerAuthenticate 0xc0000022
  Date Time [CRITICAL] CORP: NlSessionSetup: new password is bad, try old one
  Date Time [CRITICAL] NlPrintRpcDebug: Couldn't get EEInfo for I_NetServerAuthenticate3: 1761 (may be legitimate for 0xc0000022)
  Date Time [SESSION] CORP: NlSessionSetup: Negotiated flags with server are 0x612fffff
  Date Time [CRITICAL] CORP: NlSessionSetup: Session setup: cannot I_NetServerAuthenticate 0xc0000022
  Date Time [MISC] Eventlog: 3210 (1) "CORP" "\\DCName.Contoso.com" 2f8270f1 5bc8d5e7 34c3e164 6665df64   .p./...[d..4d.ef
  Date Time [SESSION] CORP: NlSetStatusClientSession: Set connection status to c0000022
  Date Time [SESSION] CORP: NlSetStatusClientSession: Unbind from server \\DCName.Contoso.com (TCP) 0.
  Date Time [SESSION] CORP: NlSessionSetup: Session setup Failed
  

• Wenn Sie versuchen, den Status des sicheren Kanals zu testen, erhalten Sie den Fehler "Zugriff verweigert":

  C:\>nltest /sc_query:contoso.com
  
  Flags: 0
  Trusted DC Name
  Trusted DC Connection Status Status = 5 0x5 ERROR_ACCESS_DENIED
  The command completed successfully
  

Gängige Szenarios

Dies sind die am häufigsten verwendeten Szenarien und deren Ursachen:

• Der Clientcomputer oder Memberserver verfügt über ein älteres Kennwort als die Active Directory-Datenbank.
• Die Active Directory-Datenbank verfügt über ein älteres Kennwort als der Clientcomputer oder Mitgliedsserver. (Der Domänencontroller wird in einem vorherigen Zustand wiederhergestellt, oder Active Directory-Replikationsprobleme.)

Lösung

Um das Problem zu beheben, führen Sie die folgenden Schritte aus:

1. Sammeln Sie die Daten, um die Ursache des Problems zu ermitteln.

2. Basierend auf dem Szenario, das Sie treffen, finden Sie den entsprechenden Artikel für Lösungen:

   • Active Directory verfügt über einen neueren Kennwortwert als das Clientgerät.
   • Clientgerät hat einen neueren Kennwortwert als Active Directory

Andere Aspekte

Stellen Sie sicher, dass die folgenden Registrierungsschlüssel den tatsächlichen Namen des Computers enthalten (nicht den vollqualifizierten Domänennamen (FQDN)):

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName\ComputerName
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\hostname

Sie können diese Schlüssel abfragen, indem Sie die folgenden Befehle ausführen:

Reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName /v ComputerName
Reg query HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters /v hostname

Notiz

Einige IT-Techniker oder Administratoren treten dem Computer erneut bei der Domäne bei, um das fehlerhafte Problem des sicheren Kanals zu lösen, bei dem es sich um eine gültige Lösung handelt. Wenn Sie jedoch die Ursache von konstanten oder sich wiederholenden Problemen finden müssen, hilft Ihnen dieser Artikel, die Ursache in der Umgebung zu ermitteln.

Weitere Informationen

• PsExec
• Nltest
• Aktivieren der Debugprotokollierung für netlogon-Dienst
• Zwischengespeicherte Anmeldeinformationen und Validierung

Terminologie

• Geheimer LSA-Schlüssel (Local Security Authority): ein spezieller geschützter Speicher, der von der lokalen Sicherheitsbehörde in Windows zum Speichern wichtiger Daten verwendet wird. In dieser Artikelreihe bezieht sich der geheime LSA-Schlüssel auf das Computerkennwort für ein in die Domäne eingebundenes Gerät.
• Cupdtime: bezieht sich auf die letzte Aktualisierungszeit für LSA Secret, in dieser Artikelreihe, das Computerkennwort. Diese Informationen werden in der Windows-Registrierung unter HKEY_LOCAL_MACHINE/Security/Policy/Secrets$MACHINE.ACC/cupdtime.
• pwdLastSet (PasswordLastSet): ein in Active Directory gespeichertes Computerobjekt-Attribut.