Dynamics crm 2011 安全ID结构无效

我试图在服务器上安装crm，但出现此错误。。 系统.异常：操作Microsoft.Crm.Setup.Server.GrantAspNetServiceAccountAccessAction失败。-->System.Runtime.InteropServices.COMException:安全ID结构无效。 有什么帮助吗

尝试： 重新安装我的服务器

---

用my sql关闭服务器听起来像是您试图在一个以用户身份登录但没有所需权限的服务器上安装此程序。摘自：

需要安装Dynamics CRM 2011

• 域管理员

如果您不能成为域管理员，则需要以下权限：

• Active Directory域用户的成员
• 在Active Directory中创建安全组的权限（您可以要求管理员预先创建所需的安全组；然后必须从指定配置文件的命令行安装Microsoft Dynamics CRM 2011）
• 安装CRM的计算机上Administrators组的成员
• 对该计算机上文件夹“Program Files”的读写权限
• 安装SQL Server的计算机上Administrators组的成员
• SQL Server系统管理员
• 报告服务：
  • 内容管理器根级别
  • 站点范围SSR的系统管理员

提示：

要了解登录用户所属的安全组，请打开命令提示符并运行以下命令：

gpresult /V

---

问题已经找到并解决了

问题在于管理员是许多广告组的成员

解决方案：

打开regedit

浏览至“HKEY\U LOCAL\U MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters”

创建名为MaxTokenSize的新DWORD

将值数据设置为65535（十进制）

关闭regedit并重新启动服务器

原因：

用户无法进行身份验证，因为身份验证尝试期间生成的Kerberos令牌具有固定的最大大小。远程过程调用（RPC）和HTTP等传输在分配用于身份验证的缓冲区时依赖于MaxTokenSize值。在Windows 2000（原始版本）中，MaxTokenSize值为8000字节。在Windows 2000 Service Pack 2（SP2）和Windows Server 2003中，MaxTokenSize值为12000字节

Kerberos使用Kerberos数据包的特权属性证书（PAC）字段来传输Active Directory组成员身份。从Windows Server 2012开始，这也适用于Active Directory声明信息（动态访问控制）字段。如果用户有许多组成员身份，并且如果用户或正在使用的设备有许多声明，则这些字段可能会占用数据包中的大量空间

---

如果用户是120多个组的成员，则由MaxTokenSize值确定的缓冲区不够大。因此，用户无法进行身份验证，他们可能会收到“内存不足”错误消息。在应用本文描述的修补程序之前，添加到用户帐户的每个组都会将缓冲区增加40字节

当你说你使用管理员用户时，你是说域管理员吗？它是域管理员（或者至少拥有上述权限）非常重要，因为您需要更改Active Directory和其他类似内容的权限。其他管理员（如本地管理员）不一定拥有这些权限。我使用的是域管理员“管理计算机/域的内置帐户”，这通常是您在计算机上的本地管理员上看到的描述，因此不一定意味着它是“域管理员”。要获得清晰的图片，请打开命令提示符并运行以下命令：

gpresult/V

，然后检查显示“用户是以下安全组的一部分”的部分。如果该列表包含“域管理员”，那么是的，您确实在使用域管理员。我希望您看到的唯一管理员组是“BUILTIN\Administrators”，它通常没有足够的权限安装CRM。我在运行它时获得此信息：信息：用户“xxxx\administrator”没有RSOP数据。