Message d’erreur lorsque vous utilisez un contrôleur de domaine Windows Server 2003 à joindre un ordinateur client Windows XP à un domaine : « mémoire insuffisante est disponible pour effectuer cette opération. »

Symptômes

Lorsque vous utilisez un contrôleur de domaine Microsoft Windows Server 2003 à joindre un ordinateur client Microsoft Windows XP à un domaine, vous pouvez recevoir un message d’erreur semblable au suivant sur l’ordinateur client :
L’erreur suivante s’est produite lors de la tentative de jonction au domaine «domain_name.com» : mémoire insuffisante est disponible pour effectuer cette opération.
En outre, le message d’avertissement suivant peut être enregistré dans le journal système sur l’ordinateur client :

Cause

Ce problème se produit car le jeton Kerberos qui est généré lors de l’authentification est supérieur à la taille maximale fixe. Dans la version d’origine de Microsoft Windows 2000, la valeur par défaut de l’entrée de Registre MaxTokenSize a été de 8 000 octets. Dans Windows 2000 avec Service Pack 2 (SP2) et dans les versions ultérieures de Windows, la valeur par défaut de l’entrée de Registre MaxTokenSize est 12 000 octets.

Par exemple, si un utilisateur n’est membre d’un groupe soit directement ou par l’appartenance à un autre groupe, l’identificateur de sécurité (SID) pour ce groupe est ajouté au jeton de l’utilisateur. Pour un SID à ajouter au jeton de l’utilisateur, les informations SID doivent être communiquées à l’aide du jeton Kerberos. Si les informations SID requises dépassent la taille du jeton, l’authentification peut échoue.

Résolution

Important Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent survenir si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le Registre avant de le modifier. Vous pourriez alors restaurer le Registre si un problème survient. Pour plus d’informations sur la façon de sauvegarder et de restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
322756 comment sauvegarder et restaurer le Registre dans Windows


Pour résoudre ce problème, augmentez la taille de jeton Kerberos. Pour ce faire, procédez comme suit sur l’ordinateur client qui consigne les événements Kerberos.
  1. Cliquez sur Démarrer, sur exécuter, tapez regedit, puis cliquez sur OK.
  2. Recherchez et cliquez sur la sous-clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    Remarque Si la clé de paramètres n’est pas présente, créez la clé. Pour ce faire, procédez comme suit :
    1. Recherchez et cliquez sur la sous-clé de Registre suivante :
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos
    2. Dans le menu Edition, pointez sur Nouveau, puis cliquez sur clé.
    3. Tapez Parameters et appuyez sur ENTRÉE.
  3. Dans le menu Edition , pointez sur Nouveau, puis cliquez sur Valeur DWORD.
  4. Tapez MaxTokenSizeet appuyez sur ENTRÉE.
  5. Dans le menu Edition, cliquez sur Modifier.
  6. Dans la zone Base , cliquez sur décimaleet tapez 65535 dans la zone données de la valeur puis cliquez sur OK.

    Remarque La valeur par défaut pour l’entrée de Registre MaxTokenSize est une valeur décimale de 12 000. Nous vous conseillons de définir cette valeur de l’entrée du Registre une valeur décimale de 65 535. Si vous définissez pas correctement cette valeur d’entrée à une valeur hexadécimale de 65 535, les opérations de l’authentification Kerberos peuvent échouer. En outre, les programmes peuvent renvoyer des erreurs. Pour plus d’informations, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

    297869 problèmes d’administrateur SMS après avoir modifié la valeur de Registre Kerberos MaxTokenSize

  7. Quittez l'Éditeur du Registre.
  8. Redémarrez l'ordinateur.

Plus d'informations

Pour plus d’informations sur l’utilisation de l’outil Tokensz pour calculer la taille de jeton maximale, visitez le site Web de Microsoft à l’adresse suivante :Pour plus d’informations sur la façon de résoudre les problèmes qui se produisent en raison des limites de jeton d’accès, visitez le site Web de Microsoft à l’adresse suivante :Pour plus d’informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :

327825 de nouvelle résolution des problèmes liés à l’authentification Kerberos lorsque les utilisateurs appartiennent à de nombreux groupes

263693 le stratégie de groupe ne peuvent pas être appliquée aux utilisateurs appartenant à de nombreux groupes

Propriétés

ID d'article : 935744 - Dernière mise à jour : 17 janv. 2017 - Révision : 1

Commentaires