Mensaje de error "no hay suficiente almacenamiento disponible para completar esta operación" cuando usa un controlador de dominio de Windows Server para unir un equipo cliente de Windows a un dominio

Se aplica a: Microsoft Windows ServerWindows Server 2016Windows Server 2012 R2

Síntomas


Al usar un controlador de dominio de Microsoft Windows Server 2003 o una versión posterior para unirse a un equipo cliente con Microsoft Windows XP o posterior a un dominio, puede recibir un mensaje de error similar al siguiente en el equipo cliente:
Se produjo el siguiente error al intentar unirse al dominio "domain_name. com": no hay suficiente almacenamiento disponible para completar esta operación.
Además, el siguiente mensaje de advertencia puede grabarse en el registro del sistema del equipo cliente:

Causa


Este problema se produce porque el token Kerberos que se genera durante la autenticación supera el tamaño máximo fijo. En la versión original de Microsoft Windows 2000, el valor predeterminado de la entrada de registro MaxTokenSize era de 8.000 bytes. En Windows 2000 con Service Pack 2 (SP2) y en versiones posteriores de Windows, el valor predeterminado de la entrada de registro MaxTokenSize es de 12.000 bytes. Por ejemplo, si un usuario es miembro de un grupo, ya sea directamente o mediante la pertenencia a otro grupo, el identificador de seguridad (SID) de ese grupo se agrega al token del usuario. Para que un SID se agregue al token del usuario, la información del SID debe comunicarse mediante el token Kerberos. Si la información de SID necesaria supera el tamaño del token, la autenticación no se efectúa correctamente.

Resolución


Importante En esta sección, método o tarea se incluyen pasos que le permitirán modificar el Registro. Sin embargo, se pueden producir problemas graves si modifica el Registro incorrectamente. Por tanto, asegúrese de que sigue estos pasos cuidadosamente. Para mayor protección, realice una copia de seguridad del Registro antes de modificarlo. De esta manera podrá restaurar el Registro en caso de que se produzca un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 Hacer una copia de seguridad del Registro y restaurarlo en Windows
Para resolver este problema, aumente el tamaño del token de Kerberos. Para ello, siga estos pasos en el equipo cliente que registra el evento Kerberos.
  1. Haga clic en Inicio y en Ejecutar, escriba regedit y haga clic en Aceptar.
  2. Busque la siguiente subclave del Registro y haga clic en ella:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    Nota Si la clave Parameters no está presente, créela. Para ello, siga estos pasos:
    1. Busque la siguiente subclave del Registro y haga clic en ella:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos
    2. En el menú Edición, seleccione Nuevo y haga clic en Clave.
    3. Escriba parámetrosy, a continuación, presione Entrar.
  3. En el menú Edición, seleccione Nuevo y haga clic en Valor DWORD.
  4. Escriba MaxTokenSizey presione Entrar.
  5. En el menú Edición, haga clic en Modificar.
  6. En el área base , haga clic en Decimal, escriba 65535 en el cuadro datos del valor y, a continuación, haga clic en Aceptar. Nota El valor predeterminado de la entrada MaxTokenSize del registro es un valor decimal de 12.000. Le recomendamos que establezca este valor de entrada del registro en un valor decimal de 65.535. Si establece incorrectamente este valor de entrada del registro en un valor hexadecimal de 65.535, es posible que se produzcan errores en las operaciones de autenticación Kerberos. Además, los programas pueden devolver errores.  
  7. Salga del Editor del Registro.
  8. Reinicie el equipo.

Más información


Si desea obtener más información, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base: 

327825 Nueva resolución de problemas con la autenticación Kerberos cuando los usuarios pertenecen a muchos grupos
263693 Es posible que no se aplique la Directiva de grupo a los usuarios que pertenecen a muchos grupos