当您使用的基于 Windows Server 2003 的域控制器将基于 Windows XP 的客户端计算机加入到域时出现错误消息:"没有足够的存储是可用于完成此操作

文章翻译 文章翻译
文章编号: 935744 - 查看本文应用于的产品
展开全部 | 关闭全部

症状

当您使用基于 Microsoft Windows Server 2003 的域控制器将基于 Microsoft Windows XP 的客户端计算机加入到域时,您可能会收到类似于在客户端计算机上的以下内容的错误消息:
尝试联接域"domain_name.com"时出现以下错误: 没有足够的存储是可用于完成此操作。
此外,在客户端计算机上的系统日志中可能会记录以下警告消息:

事件类型: 警告
事件源: Kerberos
事件类别: 无
事件 ID: 6
日期: Date
时间: Time
用户: 不适用
计算机: Computer_Name
说明:
kerberos SSPI 包生成一个输出的标记的大小 36E7 字节为单位,这是太大而无法全部放入 36 D 提供的进程 id 为 0 的 3 个缓冲区。 如果问题仍然存在,请与您的系统管理员联系。

原因

出现此问题的原因是 Kerberos 令牌身份验证过程中生成的是多个固定的最大大小。在 Microsoft Windows 2000 在原始发行版 MaxTokenSize 注册表项的默认值为 8,000 个字节。在 Service Pack 2 (SP2) 与 Windows 2000 和更高版本的 Windows 中,MaxTokenSize 注册表项的默认值将为 12,000 个字节。

例如对于如果用户是一组的成员可以直接或通过另一个组中的成员资格,安全 ID (SID) 为该组添加用户的令牌中。要添加到用户的令牌的 SID 的 SID 信息必须进行通信通过使用 Kerberos 令牌。如果所需的 SID 信息超过了该标记的大小,身份验证将失败。

解决方案

重要此分区、 方法,或任务包含告诉您如何修改注册表的步骤。但是,如果注册表修改不当可能会出现严重问题。因此,请确保您仔细按照这些步骤。附加的保护注册表之前先备份您对其进行修改。然后,您可以在出现问题时还原注册表。有关如何备份和还原注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756如何备份和还原在 Windows 注册表


若要解决此问题,增大 Kerberos 令牌。为此请按照下列步骤操作 Kerberos 事件记录在客户端计算机上。
  1. 单击 开始、 单击 运行,键入 regedit,然后单击 确定
  2. 找到并单击以下注册表子项:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    注意如果不存在 参数 密钥创建项。若要这样做,请按照下列步骤操作:
    1. 找到并单击以下注册表子项:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos
    2. 编辑 菜单上指向 新建,然后单击
    3. 键入 参数,然后按 ENTER 键。
  3. 编辑 菜单上指向 新建,然后单击 DWORD 值
  4. 键入 MaxTokenSize,然后按 ENTER 键。
  5. 编辑 菜单上单击 修改
  6. 基数 区域中单击 十进制,在 数值数据 框中键入 65535,然后单击 确定

    注意默认值为 MaxTokenSize 注册表项是十进制值为 12,000。我们建议您将此注册表项值设置为十进制值为 65,535。如果错误地将此注册表项值设置为十六进制值为 65,535,Kerberos 身份验证操作可能会失败。此外,程序可能会返回错误。有关详细的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    297869SMS 管理员问题后,修改 Kerberos MaxTokenSize 注册表值
  7. 退出注册表编辑器。
  8. 重新启动计算机。

更多信息

有关如何使用 Tokensz 工具,用于计算最大令牌的大小的详细信息请访问下面的 Microsoft 网站:
http://www.microsoft.com/downloads/details.aspx?familyid=4A303FA5-CF20-43FB-9483-0F0B0DAE265C&displaylang=en
有关如何解决由于访问令牌的限制而发生的问题的详细信息请访问下面的 Microsoft 网站:
http://www.microsoft.com/downloads/details.aspx?FamilyID=22dd9251-0781-42e6-9346-89d577a3e74a&DisplayLang=en
有关详细的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
327825新的问题时用户属于多个组的 Kerberos 身份验证的分辨率
263693组策略可能不会应用到属于许多组的用户

属性

文章编号: 935744 - 最后修改: 2008年2月4日 - 修订: 2.1
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows XP Professional Edition
关键字:?
kbmt kbexpertiseadvanced kbtshoot KB935744 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 935744
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com