域控安装深信服云插件后不能登陆

1. 虚拟机如果是第一次加域,请将虚拟机重启后重新登录尝试,这个是要确保虚拟机是属于域里面的 不然你再怎么认证也没有用

2. 检查当前虚拟机填写的域名和域控管理员帐号密码是否正确 有时候手误或者键盘的原因都容易输入

解决用户在远程域控制器上更改密码后无法登录到域的问题。

适用于： Windows 2000

原始 KB 编号： 318364

症状

在保留主域控制器 (PDC) 灵活单主机操作 (FSMO) 角色的远程域控制器上更改用户帐户密码后，用户可能无法通过输入新密码登录到本地域控制器。 但是，用户仍可使用其以前的密码登录到域。

原因

如果存在以下情况，则可能会发生此行为：

远程域控制器尚未与本地域控制器一起复制。

Kerberos 配置为使用用户数据报协议 (UDP) 协议 (默认配置) 。

用户的安全令牌太大，无法容纳 UDP Kerberos 消息。

备注

如果该用户是许多组的成员，则用户的安全令牌可能很大。

此问题是由本地域控制器上的 Kerberos 身份验证的反重播功能引起的。 以下步骤说明了此行为：

在远程域控制器上更改用户帐户密码，但该更改尚未复制到本地域控制器。

用户尝试使用新密码登录到域。 Kerberos 身份验证服务交换消息 (KRB_AS_REQ) 使用 UDP 发送到本地域控制器。

本地域控制器无法进行身份验证，因为它还没有新的密码信息。

本地域控制器将请求转发到远程 PDC (KDCSVC!FailedLogon) 。

在函数中 FailedLogon ，请求的条目将输入到重播检测表中，KRB_AS_REQ消息将发送到远程 PDC。

远程 PDC 成功对请求进行身份验证，然后返回对本地域控制器的正面答复。

本地域控制器检测到回复对于 UDP 数据包来说太大，这就是为什么使用传输控制协议 (TCP) 向客户端计算机发送请求以重新发送请求的原因。

客户端计算机使用 TCP 重新提交身份验证请求。

本地域控制器无法进行身份验证，因为它还没有新的密码信息 (步骤 3) 。

本地域控制器将请求转发到远程 PDC 域控制器 () (KDCSVC!FailedLogon 步骤 4) 。

函数中的 FailedLogon 重播检测检查返回KRB_AP_ERR_REPEAT消息，因为重播检测表中已存在此请求的条目。 这是在步骤 5 中创建的条目。

身份验证尝试失败。

解决方案

若要解决此问题，请获取 Windows 2000 的最新服务包。

此修补程序的英文版本具有下表中列出的文件属性 (或更高版本) 。 这些文件的日期和时间在协调的通用时间 (UTC) 中列出。 查看文件信息时，会将其转换为本地时间。 若要查找 UTC 与本地时间之间的差异，请在控制面板中的“日期和时间”工具中使用时区选项卡。

控制台

复制

Date Time Version Size File name

-----------------------------------------------------------

22-Mar-2002 23:55 5.0.2195.4959 123,664 Adsldp.dll

30-Jan-2002 00:52 5.0.2195.4851 130,832 Adsldpc.dll

30-Jan-2002 00:52 5.0.2195.4016 62,736 Adsmsext.dll

22-Mar-2002 23:55 5.0.2195.5201 356,624 Advapi32.dll

22-Mar-2002 23:55 5.0.2195.4985 135,952 Dnsapi.dll

22-Mar-2002 23:55 5.0.2195.4985 95,504 Dnsrslvr.dll

22-Mar-2002 23:56 5.0.2195.5013 521,488 Instlsa5.dll

22-Mar-2002 23:55 5.0.2195.5246 145,680 Kdcsvc.dll

22-Mar-2002 23:50 5.0.2195.5246 199,952 Kerberos.dll

07-Feb-2002 19:35 5.0.2195.4914 71,024 Ksecdd.sys

02-Mar-2002 21:32 5.0.2195.5013 503,568 Lsasrv.dll

02-Mar-2002 21:32 5.0.2195.5013 33,552 Lsass.exe

08-Dec-2001 00:05 5.0.2195.4745 107,280 Msv1_0.dll

22-Mar-2002 23:55 5.0.2195.4917 306,960 Netapi32.dll

22-Mar-2002 23:55 5.0.2195.4979 360,208 Netlogon.dll

22-Mar-2002 23:55 5.0.2195.5221 917,264 Ntdsa.dll

22-Mar-2002 23:55 5.0.2195.5201 386,832 Samsrv.dll

30-Jan-2002 00:52 5.0.2195.4874 128,784 Scecli.dll

22-Mar-2002 23:55 5.0.2195.4968 299,792 Scesrv.dll

30-Jan-2002 00:52 5.0.2195.4600 48,400 W32time.dll

06-Nov-2001 19:43 5.0.2195.4600 56,592 W32tm.exe

22-Mar-2002 23:55 5.0.2195.5011 125,712 Wldap32.dll

解决方法

若要解决此问题，请在本地域控制器上进行用户帐户密码更改，或强制 Kerberos 使用 TCP (传输控制协议) 而不是 UDP (用户数据报协议) 。

有关详细信息，请参阅 如何强制 Kerberos 在 Windows 中使用 TCP 而不是 UDP。

状态

Microsoft 已确认这是本文开头列出的 Microsoft 产品中的问题。 此问题在 Windows 2000 Service Pack 3 中首次得到更正。

更多信息

Kerberos 反重播功能可防止身份验证服务器接收同一数据包两次。 重播攻击是一种攻击，其中有效数据传输由发起人或截获数据并重新传输数据的对应者进行恶意或欺诈性重复。 攻击者可能会尝试“重播”有效用户的用户名和密码，以尝试使用该用户的凭据进行身份验证。

没有设置，设置一下就可以登录到其它域了。

因为你的电脑没有加入到其它域，其它域会有一层跟防火墙一样类似的东西阻止你去访问，这完全是为了隐私安全而设定的。

登域提示域无法使用的一般原因是你这台笔记本跟公司的域控制器连接有问题 如果只有你一个人是这样的话那就是你笔记本的问题 一般这种问题可以喊你们网管带你弄下你本机可以先ping下域控制器能通不通 其次看下DNS设置是否正确 可以ping域控制器的机器名来检测。

---