Повідомлення про помилку "бракує сховища для виконання цієї операції" під час використання контролера домену Windows Server для підключення клієнтського комп'ютера Windows до домену

Застосовується до: Microsoft Windows ServerWindows Server 2016Windows Server 2012 R2

Ознаки


Під час використання контролера домену Microsoft Windows Server 2003 або пізнішу версію, щоб приєднатися до домену Microsoft Windows XP або пізнішу версію клієнтського комп'ютера, може з'явитися повідомлення про помилку приблизно такого, як на клієнтському комп'ютері.
Під час спроби приєднання до домену "domain_name. com" сталася така помилка: недостатньо пам'яті для виконання цієї операції.
Крім того, у системному журналі на клієнтському комп'ютері може бути записано таке повідомлення про помилку:

Причина


Ця проблема виникає через те, що під час автентифікації ключ Kerberos, який генерується, перевищує розмір фіксованого максимального розміру. У вихідній версії Microsoft Windows 2000 стандартне значення параметра MaxTokenSize було 8 000 байтів. У Windows 2000 із пакетом оновлень 2 (SP2) і в подальших версіях Windows значення за замовчуванням для параметра MaxTokenSize – 12 000 байтів. Наприклад, якщо користувач входить до групи безпосередньо або за участю в іншій групі, ІДЕНТИФІКАТОР безпеки (SID) для цієї групи буде додано до маркера користувача. Щоб додати ідентифікатор SID до маркера користувача, відомості про SID мають бути повідомлені за допомогою маркера Kerberos. Якщо потрібні відомості про SID перевищують розмір маркера, автентифікація не вдасться.

Спосіб вирішення


Важливо! У цьому розділі, способі або завданні описано процедуру змінення реєстру. Неправильне змінення реєстру може призвести до серйозних проблем. Будьте уважні, виконуючи ці кроки. Перш ніж вносити зміни, обов’язково створіть резервну копію реєстру. Якщо виникне проблема, можна відновити попередній стан реєстру. Щоб отримати додаткові відомості про створення резервної копії та відновлення реєстру, див. статтю бази знань Microsoft Knowledge Base:
322756 Створення резервної копії та відновлення реєстру у Windows
Щоб вирішити цю проблему, збільште розмір маркера Kerberos. Для цього виконайте наведені нижче дії на клієнтському комп'ютері, який реєструє подію Kerberos.
  1. Натисніть кнопку Пуск, виберіть команду Виконати, введіть regedit і натисніть кнопку ОК.
  2. Знайдіть і клацніть такий підрозділ реєстру:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    Примітка. Якщо ключ параметрів не присутній, створіть ключ. Для цього виконайте описані нижче дії.
    1. Знайдіть і клацніть такий підрозділ реєстру:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos
    2. У меню Редагування послідовно виберіть елементи Створити і Розділ.
    3. Введіть Параметри, а потім натисніть клавішу ВВІД.
  3. У меню Редагування наведіть вказівник миші на пункт Створити і виберіть пункт Значення DWORD.
  4. Введіть Maxtokensize, а потім натисніть клавішу ВВІД.
  5. У меню Редагування виберіть Змінити.
  6. У базовій області натисніть кнопку десятковий, введіть 65535 у полі значення даних , а потім натисніть кнопку OK. Примітка. Значення за замовчуванням для запису "MaxTokenSize" – це десяткове значення 12 000. Радимо встановити значення цього параметра реєстру до десяткового значення 65 535. Якщо ви неправильно налаштуєте цей параметр реєстру на шістнадцяткове значення 65 535, дії з автентифікації Kerberos можуть не відповідно. Крім того, програми можуть повертати помилки.  
  7. Закрийте редактор реєстру.
  8. Перезавантажте комп’ютер.

Додаткові відомості


Щоб отримати докладні відомості, клацніть наведені нижче номери статей, щоб переглянути статті в базі знань Microsoft Knowledge Base:

327825 Нова роздільна здатність проблем із автентифікацією Kerberos, коли користувачі можуть належати до багатьох груп
263693 Не можна застосувати групову політику до користувачів, які належать до багатьох груп.