安全ID结构无效。

Question

我正在试图在服务器上安装crm，但是得到了这个错误..动作Microsoft.Crm.Setup.Server.GrantAspNetServiceAccountAccessAction失败。System.Exception。-> System.Runtime.InteropServices.COMException:安全ID结构无效。有什么帮助吗？

尝试:重新安装我的服务器，用sql关闭服务器

Answer 1

这个问题已经找到并解决了。

问题在于管理员是许多AD组的成员。

解决办法：

1. 开放regedit
2. 浏览到"HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters“
3. 创建名为MaxTokenSize的新DWORD
4. 将值数据设置为65535 (十进制)
5. 关闭regedit和重新启动服务器

原因：

用户无法进行身份验证，因为在尝试身份验证过程中生成的Kerberos令牌具有固定的最大大小。远程过程调用(RPC)和HTTP等传输在为身份验证分配缓冲区时依赖于MaxTokenSize值。在Windows2000(最初的发行版)中，MaxTokenSize值为8,000个字节。在Windows2000ServicePack 2 (SP2)和Windows 2003中，MaxTokenSize值为12,000字节。

Kerberos使用Kerberos数据包的特权属性证书(PAC)字段来传输Active组成员资格。从Windows 2012开始，这也适用于Active索赔信息(动态访问控制)字段。如果用户有许多组成员身份，并且对于用户或正在使用的设备有许多声明，则这些字段可以占用数据包中的大量空间。

如果用户是超过120个组的成员，则由MaxTokenSize值确定的缓冲区不够大。因此，用户无法进行身份验证，他们可能会收到“内存不足”错误消息。在应用本文中描述的修补程序之前，添加到用户帐户的每个组都会将此缓冲区增加40个字节。

Answer 2

听起来，您正试图将其安装在登录为没有所需权限的用户的服务器上。取自Technet上的MS Dynamic

安装Dynamics 2011所需

• 域管理员

如果您不能成为域管理员，则需要下列特权：

• 域用户成员
• 在Active中创建安全组的权限(您可以要求管理员预先创建所需的安全组；然后必须从指定配置文件的命令行安装Microsoft 2011 )。
• 安装CRM的计算机上的Administrators组的成员。
• 该计算机上“程序文件”文件夹的读写权限
• 安装Server的计算机上的Administrators组的成员
• SQL Server系统管理员。
• 报告服务：
  • 内容管理器根级
  • 站点范围内SSRS的系统管理员

​

提示：

要了解登录用户属于哪些安全组来打开命令提示符并运行以下命令：

gpresult /V