當您使用 Windows Server 網網域控制站將 Windows 用戶端電腦加入網域時,出現「沒有足夠的儲存空間可供完成這個作業」錯誤訊息

適用於: Microsoft Windows ServerWindows Server 2016Windows Server 2012 R2

徵狀


當您使用 Microsoft Windows Server 2003 或更新版本的網網域控制站將 Microsoft Windows XP 或更新版本的用戶端電腦加入網域時,您可能會收到類似下列用戶端電腦上的錯誤訊息:
在試圖加入網域 "domain_name .com" 時發生下列錯誤:沒有足夠的儲存空間可供完成這個作業。
此外,用戶端電腦上的系統記錄可能會記錄下列警告訊息:

原因


發生這個問題的原因是,在驗證期間產生的 Kerberos 權杖超過固定的最大大小。 在 Microsoft Windows 2000 的原始發行版本本中,MaxTokenSize registry 專案的預設值是8000個位元組。 在 Windows 2000 Service Pack 2 (SP2)及更新版本的 Windows 中,MaxTokenSize registry 專案的預設值為12000個位元組。例如,如果使用者是直接或由另一個群組中的成員資格組成群組的成員,該群組的安全識別碼(SID)就會新增至使用者的權杖。 若要將 SID 新增至使用者的權杖,必須使用 Kerberos 權杖來傳達 SID 資訊。 如果所需的 SID 資訊超出權杖大小,則驗證失敗。

解決方案


重要:此章節、方法或工作包含有關如何修改登錄的步驟。 然而,不當修改登錄可能會發生嚴重的問題。 因此,請務必謹慎地依照這些步驟執行。 為加強保護,請先備份登錄再進行修改。 這樣一來,如果發生問題,您就可以還原登錄。 如需有關如何備份和還原登錄的詳細資訊,請按下列文件編號,檢視「Microsoft 知識庫」中的文章:
322756 如何在 Windows 中備份及還原登錄
若要解決此問題,請增加 Kerberos 標記大小。 若要這樣做,請在記錄 Kerberos 事件的用戶端電腦上按照下列步驟進行。
  1. 按一下 [開始],按一下 [執行],輸入 regedit,然後按一下 [確定]
  2. 找出並按一下下列登錄子機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    注意: 如果參數鍵不存在,請建立索引鍵。 若要執行這項操作,請依照下列步驟執行:
    1. 找出並按一下下列登錄子機碼:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos
    2. [編輯] 功能表中,指向 [新增],然後按一下 [機碼]
    3. 輸入參數,然後按 enter。
  3. [編輯] 功能表中,指向 [新增],然後按一下 [DWORD 值]
  4. 輸入MaxTokenSize,然後按 enter。
  5. [編輯] 功能表中,按一下 [修改]
  6. 在 [基本區域] 中,按一下 [十進位],在 [值資料] 方塊中輸入65535 ,然後按一下[確定]注意: MaxTokenSize 登錄機碼目的預設值是12000的十進位值。 我們建議您將此登錄專案的值設為65535的十進位值。 如果您不正確地將此登錄專案的值設為65535的十六進位,Kerberos 驗證作業可能會失敗。 此外,程式可能會傳回錯誤。  
  7. 關閉登錄編輯程式。
  8. 重新啟動電腦。

其他相關資訊


如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:

327825 當使用者屬於多個群組時,Kerberos 驗證問題的新解析度
263693 群組原則可能無法套用至屬於多個群組的使用者