Kan geen vertrouwensrelatie tot stand brengen tussen dit werkstation en het primaire domein

December 17th, 2009 by Dave de Rijder

Vandaag weer eens ervaren hoe bijzonder software zich ook kan gedragen… Voor een nieuwe Windows 7 werkstation voegde ik een computer account toe op Windows Server 2008 . Daarna sloot ik het werkstation aan op het netwerk .Het Werkstation werd opnieuw opgestart. Nu kwam het scherm: “Druk op CTRL + ALT + DEL om u aan te melden.”. Dus Username en Password en meteen kwam er de melding:

“Kan geen vertrouwensrelatie tot stand brengen tussen dit werkstation en het primaire domein.”
Vreemd. Klikte ik bij het aanmeldscherm op de link “Hoe kan ik mij bij een ander domein aanmelden?” dan gaf hij aan “Typ ‘gebruiker-pc\Lokale gebruikersnaam’ als u zich bij uw computer (en niet bij een domein) wilt aanmelden.”. De Computernaam was dus correct gewijzigd. Ging ik echter in de Active Directory kijken was tot mijn grote verbazing de door mij aangemaakte computernaam “Gebruiker-pc” vervangen door “WS0104″. Dit stond in de omschrijving van de PC. Op een of andere manier was dus bij het aanmelden in het domein de omschrijving van de PC in Active Directory terecht gekomen terwijl mijn PC wel “Gebruiker-PC” als naam had! Geen wonder dat Active Directory het dan niet vertrouwde.

Daarop logde ik in op de PC met een lokaal account. Indien je geen lokaal account hebt waarmee je kunt inloggen dan is dat het eerste probleem. Het is dan niet 1-2-3 mogelijk om op de Windows 7 PC in te loggen en de PC weer uit het domein te halen. Daarom zal ik als eerste de stappen beschrijven om dit voor elkaar te krijgen en daarna hoe we het probleem van de vertrouwensrelatie oplossen.

1) Inloggen met een lokaal administrator account op een Windows Vista domein PC.

  • Allereerst kun je natuurlijk wat voor de hand liggende logins proberen. Je dient daarvoor de huidige naam van de machine te gebruiken. Deze kun je vinden door zoals hierboven beschreven op het aanlog scherm te kiezen voor “Andere gebruiker” en bij de link “Hoe kan ik mij bij een ander domein aanmelden?” wordt aangegeven “Type [UW COMPUTERNAAM]\Gebruiker”. Je kunt dus proberen om met [computernaam]\[naam] wat verschillende namen te proberen die je wellicht hebt opgegeven om in te loggen. Let op dat het “Administrator” account in Windows Vista is uitgeschakeld en dat zal dus niet werken. Indien je een andere PC ter beschikking hebt met Internet toegang kun je ook van www.password-changer.com een gratis demo versie van het Active@ Password Changer programma te downloaden en de PC daarmee op te starten. Dit programma laat dan de namen van alle lokale gebruikers zien. In de demo versie kun je niet het wachtwoord wijzigen, in de betaalde ($ 59,99) kan dit wel (ook Windows Vista).
  • Indien dit niet lukt kun je bij het opnieuw opstarten van de PC een aantal keer op F8 drukken. Op een gegeven moment kom je dan in het Windows Vista Geavanceerd boot menu waar je kunt kiezen voor “Veilige modus”. Nu zou je wel kunnen proberen in te loggen als Administrator en een nieuw Administrator account aan maken:
    • Klik op Start | Rechtermuisknop op Deze Computer | Beheren
    • Aan de linkerkant klik je op “Lokale gebruikers en groepen” en dan op “Gebruikers”.
    • Klik met de rechtermuisknop op “Gebruikers” en kies “Nieuwe gebruiker”
    • Geef een gebruikersnaam op “Admin2″ en vul een wachtwoord in (Bijv.P@ssw0rd)
    • Verwijder het vinktekentje bij “Gebruiker moet het wachtwoord bij de volgende aanmelding wijzigen” en vink “Wachtwoord verloopt nooit” aan.
    • Klik op Maken en dan Sluiten.
    • Dubbelklik op de nieuwe Admin2 gebruiker.
    • Klik op het tabblad “Lid van” en daar de knop “Toevoegen”.
    • In het kader onderin “Geef de objectnamen op” vul je in ADMINISTRATORS en klikt op Namen controleren. Indien Administrators niet wordt gevonden probeer dan BEHEERDERS. Klik op OK en nogmaals OK.
    • We hebben nu een nieuwe gebruiker Admin2 die een beheerder is van de PC. Nu kunnen we verder.

2) Haal je de Computer uit het domein.

  • We starten de PC opnieuw op en loggen in met het Admin2 account (of ander account met administratieve rechten)
  • Klik op Start | Rechtermuisknop op Deze Computer | Eigenschappen
  • Ga naar het tabblad “Computernaam”. Schrijf de computernaam die de PC nu heeft even op.
  • Pas de “Beschrijving van de PC” aan naar een nieuwe naam (In mijn voorbeeld nam ik nu Laptop9420)
  • Klik op de knop “Wijzigen”
  • Geef dezelfde naam voor de PC op als je zojuist in “Beschrijving” hebt opgegeven
  • Kies bij de optie voor “Lid van” de optie “Werkgroep” en geef als naam “Werkgroep” op.
  • Klik op Ok, en nogmaals OK tot de PC opnieuw opstart kan worden. Klik dan op “Nu opnieuw opstarten”.

3) Computer object uit Active Directory verwijderen

  • Terwijl de PC opnieuw opstart loggen we in op de Windows Server 2008
  • Start Serverbeheer en klik aan de linkerkant op “Clientcomputers”.
  • Klik de naam van de PC aan die we uit het domein hebben gehaald (Opgeschreven in stap 2).
  • Klik links bij de taken op “Computer uit het netwerk verwijderen”.
  • Klik daarna op “Vernieuwen” en controleer dat de computer weg is.
  • Klik daarna op “Clientcomputers installeren” en volg de stappen in de Wizard.
  • Let op dat je bij “Computernaam van client” NIET de OUDE NAAM opgeeft maar dezelfde naam als je in stap 2 aan de omschrijving en PC hebt gegeven. (Laptop9420 in mijn voorbeeld).

4) PC opnieuw in het netwerk hangen

  • De laptop/PC is ondertussen opnieuw opgestart en we kunnen inloggen met het Admin2 account (of een ander account wat het deed).
  • Start de Internet Explorer en type in de adresbalkhttp://server/connectcomputer (Indien je Small Business Server niet “SERVER” heet maar een andere onmogelijke naam moet je dat uiteraard invoeren.)
  • Geef de gebruikersnaam en wachtwoord met rechten om een PC aan het netwerk toe te voegen.
  • Kies uit de lijst van beschikbare computernamen de nieuwe naam voor deze PC.
  • Volg de stappen en laat de PC opnieuw opstarten.
  • Nadat de PC een aantal keer automatisch is opgestart druk op CTRL + ALT + DEL om je aan te melden op het domein.
  • De melding moet nu niet meer voorkomen, in de Active Directory kun je ook zien dat er nu een computer staat met dezelfde naam als die van jouw PC.

BRON: Tony Krijnen