Wenn Sie Deep Freeze auf Domänen-verbundenen Rechnern bereitgestellt haben und die Meldung „Die Vertrauensstellung zwischen dieser Arbeitsstation und dem primären Domänencontroller ist fehlgeschlagen“ erhalten, sind Sie nicht allein. Dies ist eine der häufigsten Fragen, die wir von IT-Administratoren erhalten, die Active Directory-Umgebungen verwalten.
Die gute Nachricht vorweg: Dieses Problem ist durch eine ordnungsgemäße Konfiguration vollständig vermeidbar, und moderne Versionen von Deep Freeze beheben es in den meisten Fällen automatisch. Aber wenn Sie verstehen, warum es passiert, können Sie die Dinge von Anfang an richtig konfigurieren – und bei der Fehlerbehebung helfen, wenn Sie eine ältere Bereitstellung übernehmen.
Lassen Sie uns genau aufschlüsseln, was Domänen-Vertrauensprobleme bei gefrorenen Rechnern verursacht, wie Deep Freeze dies intern handhabt und was Sie tun müssen, um sicherzustellen, dass Ihre Domänen-verbundenen PCs einwandfrei funktionieren.
Was tatsächlich zu einem Verlust der Domänen-Vertrauensstellung führt
Um das Problem zu verstehen, müssen Sie verstehen, wie die Authentifizierung von Computerkonten in Active Directory funktioniert.
Wenn ein Computer einer Active Directory-Domäne beitritt, geschehen zwei Dinge: Ein Computerkonto wird in AD erstellt und ein gemeinsames Geheimnis (Passwort) wird zwischen diesem Computer und der Domäne etabliert. Dieses Passwort wird sowohl in Active Directory als auch lokal auf dem Rechner an einer geschützten Registrierungsstelle gespeichert.
Jedes Mal, wenn der Computer startet und sich mit dem Netzwerk verbindet, authentifiziert er sich bei AD anhand dieses Passworts – bevor sich ein Benutzer anmeldet. Wenn die Passwörter übereinstimmen, wird der sichere Kanal aufgebaut und alles funktioniert normal.
Hier ist der entscheidende Punkt: Standardmäßig ändert Windows das Passwort des Computerkontos alle 30 Tage automatisch. Der Rechner initiiert die Änderung, aktualisiert sowohl die lokale Kopie als auch die AD-Kopie, und das Leben geht weiter.
Auf einem gefrorenen Rechner bricht dieser Prozess zusammen.
Wenn ein gefrorener Computer eine Passwortänderung initiiert, aktualisiert er erfolgreich Active Directory. AD erwartet nun das neue Passwort. Aber wenn der Rechner neu startet, löscht Deep Freeze alle Änderungen – einschließlich des neu gespeicherten Passworts lokal. Der Rechner kehrt zu seiner Baseline zurück, die das alte Passwort enthält.
Jetzt haben Sie eine Diskrepanz: AD hat das neue Passwort, der lokale Rechner hat das alte Passwort, und sie können sich nicht authentifizieren. Die Domänenanmeldung schlägt fehl. Sie sehen die gefürchtete Fehlermeldung zur Vertrauensstellung.
Das passiert nicht sofort. AD speichert sowohl das aktuelle Passwort als auch das vorherige Passwort (um kurze Synchronisationslücken zu überbrücken), sodass Rechner typischerweise mindestens einen Passwortänderungszyklus überstehen. Aber wenn ein gefrorener Rechner mit einer veralteten Baseline versucht, sich zu authentifizieren, nachdem AD zwei Passwortänderungen durchlaufen hat, bricht die Vertrauensstellung zusammen.
Wie Deep Freeze damit umgeht (seit Version 7.6)
Wir haben dieses Problem vor Jahren erkannt, und Deep Freeze enthält seit Version 7.6 (veröffentlicht 2013) eine automatische Handhabung. So funktioniert es:
Unterdrückung von Passwortänderungen im gefrorenen Zustand. Wenn sich ein Rechner im gefrorenen Zustand befindet, unterdrückt Deep Freeze Änderungen des Computerkonto-Passworts. Der Rechner initiiert keine Passwortänderungsanforderung an AD, sodass keine Diskrepanz auftreten kann. Das aktuelle Passwort in der gefrorenen Baseline bleibt gültig.
Passwortsynchronisation im aufgetauten Zustand. Wenn der Rechner in einen aufgetauten Zustand wechselt (während Wartungsfenstern), erlaubt Deep Freeze das normale Verhalten bei Passwortänderungen. Wenn eine Passwortänderung fällig ist, geschieht dies im aufgetauten Zustand, wird sowohl in AD als auch auf dem lokalen Rechner gespeichert, und wenn Sie ihn wieder einfrieren, wird das neue Passwort in der aktualisierten Baseline erfasst.
Diese automatische Handhabung bedeutet, dass Domänen-Vertrauensprobleme nicht auftreten sollten, solange Sie eine einigermaßen aktuelle Version von Deep Freeze verwenden und regelmäßige Wartungsfenster planen. Das System verwaltet sich selbst.
Wichtiger Hinweis: Dies funktioniert nur, wenn Sie regelmäßige Auftauperioden haben. Wenn ein Rechner monatelang kontinuierlich gefroren bleibt, ohne jemals aufzutauen, erhält das unterdrückte Passwort keine Chance, sich zu aktualisieren, und schließlich kann die Diskrepanz zwischen dem, was AD erwartet, und dem, was die Baseline enthält, Probleme verursachen, wenn der Rechner schließlich die Vertrauensstellung wiederherstellen muss.
Wie man Vertrauensprobleme vollständig vermeidet
Die Prävention ist unkompliziert. Hier sind Ihre Optionen, ungefähr in der Reihenfolge der Präferenz:
Option 1: Regelmäßige Wartungsfenster planen (empfohlen). Dies ist der einfachste und beste Ansatz. Wenn Sie Rechner mindestens monatlich zum Auftauen für Windows-Updates verwenden – was Sie ohnehin tun sollten –, werden die Passwörter der Computerkonten während dieser Auftauperioden synchronisiert. Deep Freeze kümmert sich automatisch um den Rest.
Die meisten Organisationen planen wöchentliche oder zweiwöchentliche Wartungen. Das ist mehr als ausreichend. Der 30-tägige Passwortänderungszyklus hat genügend Gelegenheit, erfolgreich abgeschlossen zu werden.
Option 2: Deaktivieren Sie die Änderungen des Computerkonto-Passworts über Gruppenrichtlinien. Wenn Sie Rechner haben, die selten oder nie auftauen – z. B. Kioske –, können Sie automatische Passwortänderungen vollständig deaktivieren. Legen Sie die folgende Gruppenrichtlinie fest:
Computerkonfiguration → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Sicherheitsoptionen → Domänenmitglied: Kennwortänderungen des Computerkontos deaktivieren → Aktiviert
Mit dieser Richtlinie versucht der Computer niemals, sein Passwort zu ändern, sodass keine Diskrepanz auftreten kann. Das ursprüngliche Passwort aus dem Domänenbeitritt bleibt auf unbestimmte Zeit gültig.
Sicherheitsüberlegung: Einige Sicherheitsframeworks empfehlen eine regelmäßige Passwortrotation. Das Deaktivieren von Passwortänderungen von Computerkonten schwächt dies technisch ab. Für gemeinsam genutzte Rechner in Umgebungen mit geringer Sicherheit (Schullabore, Bibliothekscomputer) ist dies normalerweise akzeptabel. Für Rechner, die sensible Daten verarbeiten, sind regelmäßige Wartungsfenster vorzuziehen.
Option 3: Erweitern Sie das Intervall für Passwortänderungen. Anstatt Passwortänderungen vollständig zu deaktivieren, können Sie das Intervall erweitern. Standardmäßig sind es 30 Tage; Sie können es über Gruppenrichtlinien auf 90, 180 oder 365 Tage einstellen:
Computerkonfiguration → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Sicherheitsoptionen → Domänenmitglied: Maximale Alter für Computerkonto-Passwort → [Tage]
Dies gibt Ihnen mehr Spielraum, wenn Wartungsfenster selten sind, während die Passwortrotation beibehalten wird.
Option 4: Nehmen Sie die Richtlinie in Ihre gefrorene Baseline auf. Sie können die Deaktivierung der Passwortänderung auch vor dem Einfrieren über die Registrierung festlegen. Fügen Sie dies Ihrem Baseline-Image hinzu:
HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange = 1
Dies erzielt das gleiche Ergebnis wie der Gruppenrichtlinienansatz, ist aber in das Image integriert, anstatt dynamisch angewendet zu werden.
Best Practices für langfristige Stabilität
Über das spezifische Passwortproblem hinaus finden Sie hier allgemeine Empfehlungen für den reibungslosen Betrieb von Deep Freeze in Active Directory-Umgebungen:
Stellen Sie sicher, dass Sie eine aktuelle Version von Deep Freeze verwenden. Die automatische Passwortverwaltung, die wir beschrieben haben, ist seit Version 7.6 im Produkt enthalten, und nachfolgende Versionen haben das Verhalten verfeinert. Wenn Sie etwas Veraltetes verwenden, aktualisieren Sie es. Aktuelle Versionen integrieren die Domäne wesentlich reibungsloser.
Planen Sie Wartungsfenster konsistent. Wöchentliche oder zweiwöchentliche Wartungen für Windows-Updates bieten natürlich die Auftauperioden, die für die Passwortsynchronisation erforderlich sind. Lassen Sie Rechner nicht monatelang gefroren, ohne aufzutauen.
Aktualisieren Sie Ihre Baseline nach der Wartung. Wenn Rechner auftauen und sich aktualisieren, sollten sie mit dem neuen Zustand wieder eingefroren werden – einschließlich aller Passwortänderungen. Wenn Sie Baselines manuell verwalten, stellen Sie sicher, dass der Zustand nach der Wartung zur neuen Baseline wird.
Überwachen Sie Rechner, die die Wartung verpassen. Deep Freeze Cloud bietet Berichte über den Abschluss von Wartungsaufgaben. Rechner, die während der geplanten Wartung ausgeschaltet sind, verpassen ihr Auftaufeld. Identifizieren Sie diese und stellen Sie sicher, dass sie aufholen.
Dokumentieren Sie Ihre Domänenkonfiguration. Halten Sie fest, ob Sie die Standard-Passwortrotation, deaktivierte Passwörter oder erweiterte Intervalle verwenden. Der nächste Administrator wird es Ihnen danken.
Testen Sie mit einer Pilotgruppe. Führen Sie vor der Massenbereitstellung eine kleine Pilotierung über 60-90 Tage durch – genug Zeit, um mehrere Passwortänderungszyklen zu durchlaufen. Überprüfen Sie, ob die Vertrauensstellungen einwandfrei bleiben, bevor Sie breit ausrollen.
Behebung von Vertrauensproblemen, wenn sie auftreten
Wenn Sie bereits einen Fehler in der Vertrauensstellung festgestellt haben, erfahren Sie hier, wie Sie ihn beheben können:
Schritt 1: Tauen Sie den betroffenen Rechner auf. Sie müssen sich mit einem lokalen Administratorkonto anmelden (nicht mit einem Domänenkonto, da die Domänenauthentifizierung fehlerhaft ist). Tauen Sie den Rechner auf, damit Änderungen bestehen bleiben.
Schritt 2: Setzen Sie das Passwort des Computerkontos zurück. Sie haben mehrere Optionen:
PowerShell (empfohlen): Öffnen Sie eine erhöhte PowerShell-Eingabeaufforderung und führen Sie aus:
Reset-ComputerMachinePassword -Server IhrDomänencontroller -Credential Domäne\Admin
Oder verwenden Sie:
Test-ComputerSecureChannel -Repair -Credential Domäne\Admin
Jeder Befehl setzt das Computerkonto-Passwort zurück und synchronisiert es mit AD. Wenn erfolgreich, sollte die Domänenauthentifizierung sofort funktionieren.
Active Directory-Benutzer und -Computer: Alternativ können Sie von einem Domänencontroller oder einer Verwaltungsarbeitsstation aus ADUC öffnen, das Computerkontoobjekt suchen, mit der rechten Maustaste darauf klicken und „Konto zurücksetzen“ auswählen. Fügen Sie dann den Rechner von der Client-Seite erneut hinzu.
Schritt 3: Frieren Sie den korrigierten Zustand wieder ein. Sobald die Vertrauensstellung wiederhergestellt ist, frieren Sie den Rechner wieder ein. Das neue, korrekte Passwort ist nun Teil der gefrorenen Baseline.
Schritt 4: Wiederholung verhindern. Implementieren Sie eine der oben beschriebenen Präventionsstrategien – regelmäßige Wartungsfenster, deaktivierte Passwortänderungen oder erweiterte Intervalle –, damit dies nicht wieder vorkommt.
Häufig gestellte Fragen
Wie oft passiert das tatsächlich?
Mit aktuellen Versionen von Deep Freeze und regelmäßigen Wartungsfenstern ist es selten. Wir sehen es hauptsächlich in zwei Szenarien: Legacy-Bereitstellungen, die sehr alte Deep Freeze-Versionen ohne automatische Passwortverwaltung verwenden, oder Rechner, die über längere Zeiträume (Monate) nicht aufgetaut wurden. Korrekt konfigurierte moderne Bereitstellungen erleben dieses Problem nicht.
Ist das ein Deep Freeze-Fehler?
Nein, es ist eine natürliche Folge davon, wie die Reboots-to-Restore-Technologie mit dem Passwortrotationsmechanismus von Active Directory interagiert. Jedes System, das den Zustand beim Neustart wiederherstellt, würde vor der gleichen Herausforderung stehen. Deep Freeze behebt dies, indem es Passwortänderungen im gefrorenen Zustand unterdrückt und sie während der Auftauperioden zulässt – was nahtlos funktioniert, wenn die Wartung regelmäßig geplant ist.
Können Vertrauensprobleme vollständig verhindert werden?
Ja. Planen Sie entweder regelmäßige Wartungsfenster (empfohlen) oder deaktivieren Sie die Änderungen des Computerkonto-Passworts über Gruppenrichtlinien. Beide Ansätze eliminieren die Möglichkeit einer Passwortdiskrepanz. Tausende von Organisationen betreiben Deep Freeze auf Domänen-verbundenen Rechnern ohne Vertrauensprobleme, da sie einen dieser Ansätze konfiguriert haben.
Betrifft dies Azure AD-verbundene Rechner?
Azure AD (jetzt Entra ID) verwendet andere Authentifizierungsmechanismen als herkömmliches Active Directory. Das spezifische Verhalten der Passwortrotation von Computerkonten, das hier besprochen wird, gilt für lokale AD-Domänenbeitritte. Azure AD-verbundene und Hybrid-verbundene Rechner haben ihre eigenen Besonderheiten. Kontaktieren Sie uns, wenn Sie in Azure AD-Umgebungen bereitstellen, und wir können Ihnen spezifische Anleitungen geben.
Was ist, wenn ich das lokale Administratorkennwort nicht kenne?
Dies ist eine häufige Komplikation. Wenn die Vertrauensstellung unterbrochen ist und Sie keine lokalen Administratoranmeldeinformationen haben, können Sie versuchen, sich mit zwischengespeicherten Domänenanmeldeinformationen anzumelden, während Sie vom Netzwerk getrennt sind. Alternativ müssen Sie Kennwortwiederherstellungstools verwenden oder neu imagem. Dies ist ein gutes Argument dafür, sicherzustellen, dass lokale Administratoranmeldeinformationen dokumentiert und zugänglich sind – oder LAPS (Local Administrator Password Solution) zu verwenden, um sie zu verwalten.
Sollte ich die Passwortänderungen auf allen gefrorenen Rechnern deaktivieren?
Es ist der einfachste Ansatz, aber nicht immer notwendig. Wenn Sie bereits regelmäßige Wartungen (wöchentlich oder zweiwöchentlich) planen, synchronisieren sich Passwörter während der Auftauperioden natürlich und eine Deaktivierung ist nicht erforderlich. Die Deaktivierung ist am sinnvollsten für Rechner, die selten auftauen – z. B. dedizierte Kioske – oder in Umgebungen, in denen Einfachheit die Anforderungen an die strenge Passwortrotation übertrifft.
Das Fazit: Ein gelöstes Problem
Domänen-Vertrauensprobleme mit Deep Freeze sind gut verstanden und vollständig vermeidbar. Moderne Versionen von Deep Freeze handhaben die Komplexität automatisch – solange Sie regelmäßige Wartungsfenster planen, erfolgt die Passwortsynchronisation nahtlos im Hintergrund.
Für Rechner, die selten auftauen, eliminiert die Deaktivierung von Computerkonto-Passwortänderungen über Gruppenrichtlinien das Problem vollständig.
Wenn Sie eine Bereitstellung mit Vertrauensproblemen übernommen haben, ist die Behebung unkompliziert: Auftauen, Passwort zurücksetzen, wieder einfrieren und zukünftig eine ordnungsgemäße Prävention implementieren.
Tausende von Organisationen betreiben Deep Freeze auf Domänen-verbundenen Rechnern in Schulen, Unternehmen und Behörden ohne Vertrauensprobleme. Mit der richtigen Konfiguration werden Sie das auch tun.
Hilfe bei Ihrer Domänenbereitstellung benötigt?
Unser Support-Team verfügt über umfassende Erfahrung mit Active Directory-Umgebungen. Kontaktieren Sie uns, wenn Sie Anleitungen zur Bereitstellung benötigen.
