Con una máquina virtual, obtenida desde una máquina conectada a un dominio (con cualquiera de los métodos existente para convertir máquina física a máquina virtual, physical to virtual) puede «suplantarse» el equipo físico original (conectando la máquina virtual a la red directamente o bien por VPN).
Sin embargo, si en algún momento hay algún cambio en el dominio (por ejemplo un cambio de contraseña del usuario), la máquina virtual ya no podrá iniciar sesión con la nueva contraseña en el dominio y aparecerá el siguiente error:
Error en la relación de confianza entre la estación de trabajo y el dominio principal The trust relationship between this workstation and the primary domain failed
Puede iniciarse la sesión en la máquina virtual con la contraseña antigua, pero los servicios pedirán constantemente la nueva contraseña.
Suplantar la contraseña del equipo para solucionarlo
Tras varias búsquedas en la web, existen muchas soluciones a este error de confianza entre el equipo y el dominio, pero en escenarios diferentes, sin máquina virtuales de por medio. Las soluciones para estos casos pasan por tocar configuraciones en el Controlador de Dominio (DC), o bien en el propio equipo.
Pero este no es el caso, no queremos ni podemos tocar nada que afecte al dominio ni al equipo físico de partida.
Algunos enlaces con información sobre el error y los mecanismos que ocurren en la autenticación del equipo frente al dominio (DC):
https://security.stackexchange.com/questions/116133/impersonating-a-computer-in-a-windows-domain
Parece que al cambiar la contraseña de usuario, también se cambia la del equipo, «machine account password», que se almacena también en el dominio (DC) y que nuestra máquina virtual no tiene y por tanto ocurre el error de confianza.
La clave de registro que almacena ese valor de «machine account password» es:
HKLM\SECURITY\Policy\Secrets\$machine.ACC
Queda por tanto la opción de poder copiar esa rama (hive) del registro de nuestro equipo físico a la máquina virtual, haciendo así una suplantación en ella del «machine account password», y efectivamente, el resultado es exitoso. Tras un reinicio de la máquina virtual, el error de confianza se evita.
Obtener esta rama del registro HKLM
Con acceso completo al equipo físico y acceso administrador, la rama del registro en cuestión sólo puede obtenerse bajo el usuario nt authority\system
Con las utilidades de Sysinternals (Psexec.exe https://docs.microsoft.com/en-us/sysinternals/downloads/psexec) podemos lanzar una ventana de comandos con privilegios elevados
PsExec64.exe -i -s cmd.exe
Desde esa ventana de comandos podemos ejecutar ya regedit y exportar esa rama del registro a un archivo.
Ahora podemos exportar la rama en cuestión
Importar la rama del registro a la máquina virtual
Se repite exactamente el mismo proceso anterior en la máquina virtual y se importa el archivo de registro que exportamos antes.
Reiniciamos la máquina virtual. Accedemos con la contraseña antigua, y ya se avisará de que es necesario cambiar la contraseña (bloquear el equipo y desbloquear con la nueva contraseña), y esta vez, todo acontecerá de la manera habitual, sin ningún tipo de error de confianza.
Para comprobarlo, se puede usar desde poweshell:
Test-ComputerSecureChannel -Verbose
Excelente!Esto resolvio un problema que tenia con VMWare Workstation hace muuuuchos años!Gracias!