Při připojení počítače klienta se systémem Windows XP k doméně pomocí řadiče domény se systémem Windows Server 2003 zobrazí chybová zpráva: "není dostatek úložiště je k dokončení této operace"

Příznaky

Při připojení počítače klienta se systémem Microsoft Windows XP k doméně pomocí řadiče domény se systémem Microsoft Windows Server 2003, může se zobrazit chybová zpráva podobná následující v klientském počítači:
Došlo k následující chybě při pokusu o připojení doméně "domain_name.com": není dostatek úložiště je k dokončení této operace.
Navíc může být zaznamenána následující chybová zpráva v systémovém protokolu v klientském počítači:

Příčina

K tomuto problému dochází, protože token Kerberos, který je generován během ověřování je více než pevnou maximální velikostí. V původní vydané verzi systému Microsoft Windows 2000 výchozí hodnota položky registru MaxTokenSize byla 8 000 bajtů. V systému Windows 2000 s aktualizací Service Pack 2 (SP2) a novějších verzích systému Windows výchozí hodnota položky registru MaxTokenSize je 12 000 bajtů.

Například pokud je uživatel členem skupiny buď přímo nebo prostřednictvím členství v jiné skupině, ID zabezpečení (SID) pro skupinu je přidán do tokenu uživatele. Pro SID mají být přidány do tokenu uživatele musí být sděleny informace SID pomocí tokenu protokolu Kerberos. Pokud požadované informace SID přesahuje velikost tokenu, je ověřování neúspěšné.

Řešení

Důležité: Tento oddíl, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Při nesprávné úpravě registru mohou nastat závažné problémy Proto se ujistěte, že budete opatrně postupovat podle těchto kroků Pro zvýšení ochrany před úpravou zálohujte registr. Pokud dojde k potížím, pak můžete registr obnovit ze zálohy. Pro další informace o zálohování a obnovení registru klepněte na následující číslo článku databáze Microsoft Knowledge Base:
322756 postup zálohování a obnovení registru v systému Windows


Chcete-li tento problém vyřešit, zvyšte velikost tokenu protokolu Kerberos. Chcete-li to provést, postupujte v klientském počítači protokolování událostí protokolu Kerberos.
  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz regedita klepněte na tlačítko OK.
  2. Vyhledejte a vyberte následující podklíč registru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    Poznámka: Pokud Parametry klíč neexistuje, vytvořte tento klíč. Chcete-li to provést, postupujte takto:
    1. Vyhledejte a vyberte následující podklíč registru:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos
    2. V nabídce Úpravy přejděte na příkaz Nový a potom klepněte na příkaz klíč.
    3. Zadejte Parametrya stiskněte klávesu ENTER.
  3. V nabídce Úpravy přejděte na příkaz Nový a klepněte na příkaz Hodnota DWORD.
  4. Zadejte MaxTokenSizea stiskněte klávesu ENTER.
  5. V nabídce Úpravy klepněte na příkaz změnit.
  6. V oblasti Base klepněte na přepínač Desítková, zadejte do pole Údaj hodnoty hodnotu 65535 .

    Poznámka: Výchozí hodnota pro položku registru MaxTokenSize je desítková hodnota 12 000. Doporučujeme nastavit tuto hodnotu položky registru na desítkovou hodnotu 65 535. Pokud je nesprávně nastavena hodnota položky registru na šestnáctkovou hodnotu 65 535, operace ověřování Kerberos mohou selhat. Navíc aplikace může vrátit chyby. Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:

    297869 problémech správce serveru SMS po úpravě Kerberos MaxTokenSize hodnotu registru

  7. Ukončete Editor registru.
  8. Restartujte počítač.

Další informace

Další informace o použití nástroje Tokensz pro výpočet maximální velikost tokenu naleznete na následujícím webu společnosti Microsoft:Další informace o tom, jak řešit problémy, ke kterým dochází z důvodu omezení tokenu přístupu naleznete na následujícím webu společnosti Microsoft:Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

327825 nové řešení potíží s ověřováním pomocí protokolu Kerberos, pokud uživatelé náleží do více skupin

263693 Zásady skupiny nemusí být použita k uživatelé patřící mnoho skupin

Vlastnosti

ID článku: 935744 - Poslední kontrola: 14. 1. 2017 - Revize: 1

Váš názor