Mensaje de error "No hay suficiente almacenamiento disponible para completar esta operación" cuando se usa un controlador de dominio para unir un equipo a un dominio

En este artículo se proporciona una resolución del error "No hay suficiente almacenamiento disponible para completar esta operación", cuando se usa un controlador de dominio para unir un equipo a un dominio.

Se aplica a: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Número de KB original: 935744

Síntomas

Cuando se usa un controlador de dominio de Microsoft Windows Server 2003 o una versión posterior para unir un equipo cliente de Microsoft Windows XP o una versión posterior a un dominio, es posible que reciba un mensaje de error similar al siguiente en el equipo cliente:

Se produjo el siguiente error al intentar unirse al dominio "domain_name.com": No hay suficiente almacenamiento disponible para completar esta operación.

Además, se puede registrar el siguiente mensaje de advertencia en el registro del sistema en el equipo cliente:

Causa

Este problema se produce porque el token de Kerberos que se genera durante la autenticación es mayor que el tamaño máximo fijo. En la versión original de Microsoft Windows 2000, el valor predeterminado de la entrada del Registro MaxTokenSize era de 8000 bytes. En Windows 2000 con Service Pack 2 (SP2) y en versiones posteriores de Windows, el valor predeterminado de la entrada del Registro MaxTokenSize es de 12 000 bytes.

Por ejemplo, si un usuario es miembro de un grupo directamente o por pertenencia a otro grupo, el identificador de seguridad (SID) de ese grupo se agrega al token del usuario. Para que un SID se agregue al token del usuario, la información del SID debe comunicarse mediante el token de Kerberos. Si la información de SID necesaria supera el tamaño del token, la autenticación no se realiza correctamente.

Solución

Para resolver este problema, aumente el tamaño del token kerberos. Siga estos pasos en el equipo cliente que registra el evento Kerberos.

1. Haga clic en Inicio y en Ejecutar, escriba regedit y, luego, haga clic en Aceptar.

2. Busque la siguiente subclave del Registro y haga clic en ella: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

   Nota:

   Si la clave Parameters no está presente, cree la clave. Para ello, siga estos pasos:

   1. Busque la siguiente subclave del Registro y haga clic en ella: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos
   2. En el menú Edición, seleccione Nueva y, a continuación, haga clic en Clave.
   3. Escriba Parámetros y, a continuación, presione ENTRAR.

3. En el menú Edición, seleccione Nuevo y haga clic en Valor DWORD.

4. Escriba MaxTokenSize y presione ENTRAR.

5. En el menú Editar, haga clic en Modificar.

6. En el área Base , haga clic en Decimal, escriba 65535 en el cuadro Datos de valor y, a continuación, haga clic en Aceptar.

   Nota:

   El valor predeterminado de la entrada del Registro MaxTokenSize es un valor decimal de 12 000. Se recomienda establecer este valor de entrada del Registro en un valor decimal de 65 535. Si establece incorrectamente este valor de entrada del Registro en un valor hexadecimal de 65 535, es posible que se produzcan errores en las operaciones de autenticación Kerberos. Además, los programas pueden devolver errores.

7. Salga del Editor del Registro.

8. Reinicie el equipo.

Más información

Para obtener más información, haga clic en los números de artículo siguientes para ver los artículos de Microsoft Knowledge Base:

327825 Nueva resolución de problemas con la autenticación Kerberos cuando los usuarios pertenecen a muchos grupos