Máquina Virtual creada desde máquina real: Error en la relación de confianza entre la estación de trabajo y el dominio principal

Con una máquina virtual, obtenida desde una máquina conectada a un dominio (con cualquiera de los métodos existente para convertir máquina física a máquina virtual, physical to virtual) puede «suplantarse» el equipo físico original (conectando la máquina virtual a la red directamente o bien por VPN).

Sin embargo, si en algún momento hay algún cambio en el dominio (por ejemplo un cambio de contraseña del usuario), la máquina virtual ya no podrá iniciar sesión con la nueva contraseña en el dominio y aparecerá el siguiente error:

Error en la relación de confianza entre la estación de trabajo y el dominio principal

The trust relationship between this workstation and the primary domain failed

Puede iniciarse la sesión en la máquina virtual con la contraseña antigua, pero los servicios pedirán constantemente la nueva contraseña.

Suplantar la contraseña del equipo para solucionarlo

Tras varias búsquedas en la web, existen muchas soluciones a este error de confianza entre el equipo y el dominio, pero en escenarios diferentes, sin máquina virtuales de por medio. Las soluciones para estos casos pasan por tocar configuraciones en el Controlador de Dominio (DC), o bien en el propio equipo.

Pero este no es el caso, no queremos ni podemos tocar nada que afecte al dominio ni al equipo físico de partida.

Algunos enlaces con información sobre el error y los mecanismos que ocurren en la autenticación del equipo frente al dominio (DC):

https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/machine-account-password-process/ba-p/396026

https://security.stackexchange.com/questions/116133/impersonating-a-computer-in-a-windows-domain

Parece que al cambiar la contraseña de usuario, también se cambia la del equipo, «machine account password», que se almacena también en el dominio (DC) y que nuestra máquina virtual no tiene y por tanto ocurre el error de confianza.

La clave de registro que almacena ese valor de «machine account password» es:

HKLM\SECURITY\Policy\Secrets\$machine.ACC

Queda por tanto la opción de poder copiar esa rama (hive) del registro de nuestro equipo físico a la máquina virtual, haciendo así una suplantación en ella del «machine account password», y efectivamente, el resultado es exitoso. Tras un reinicio de la máquina virtual, el error de confianza se evita.

Obtener esta rama del registro HKLM

Con acceso completo al equipo físico y acceso administrador, la rama del registro en cuestión sólo puede obtenerse bajo el usuario nt authority\system

Con las utilidades de Sysinternals (Psexec.exe https://docs.microsoft.com/en-us/sysinternals/downloads/psexec) podemos lanzar una ventana de comandos con privilegios elevados

PsExec64.exe -i -s cmd.exe

Desde esa ventana de comandos podemos ejecutar ya regedit y exportar esa rama del registro a un archivo.

Podemos acceder a ramas del registro inaccesible para otros usuarios (incluso administradores)

Ahora podemos exportar la rama en cuestión

Rama a exportar del registro de la máquina física para importar en la máquina virtual

Importar la rama del registro a la máquina virtual

Se repite exactamente el mismo proceso anterior en la máquina virtual y se importa el archivo de registro que exportamos antes.

Reiniciamos la máquina virtual. Accedemos con la contraseña antigua, y ya se avisará de que es necesario cambiar la contraseña (bloquear el equipo y desbloquear con la nueva contraseña), y esta vez, todo acontecerá de la manera habitual, sin ningún tipo de error de confianza.

Para comprobarlo, se puede usar desde poweshell:

Test-ComputerSecureChannel -Verbose
Relación de confianza correcta

1 Comment

  1. Jaime · viernes, 13 agosto, 2021 Reply

    Excelente!Esto resolvio un problema que tenia con VMWare Workstation hace muuuuchos años!Gracias!

Leave a Reply

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.