SCECLI 1202 イベントのトラブルシューティング

文書翻訳 文書翻訳
文書番号: 324383 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

この資料では、SCECLI 1202 イベントのトラブルシューティング方法および解決方法を説明します。

詳細

これらのイベントのトラブルシューティングを行うには、まず、Win32 エラー コードを確認します。このエラー コードにより、SCECLI 1202 イベントの原因となったエラーの種類を識別できます。以下は SCECLI 1202 イベントの例です。エラー コードは "説明" フィールドに表示されます。この例の場合、エラー コードは 0x534 です。エラー コードの後のテキストはエラーの説明です。

種類 : 警告
ソース :SceCli
分類 : なし
イベント ID : 1202
日付 : MM/DD/YYYY
時刻 : HH:MM:SS AM|PM
ユーザー : N/A
コンピュータ : %ComputerName%
説明 : セキュリティ ポリシーは伝達されましたが、警告があります。0x534:アカウント名とセキュリティ ID の間のマッピングは実行されませんでした。詳細はセキュリティのヘルプのトラブルシューティングを参照してください。

エラー コードを特定したら、この資料でそのエラー コードについて記載されている箇所を参照し、記載されているトラブルシューティングの手順を実行します。

0x534: アカウント名とセキュリティ ID の間のマッピングは実行されませんでした。
または
0x6fc: プライマリ ドメインと信頼される側のドメインとの信頼関係に失敗しました。

これらのエラー コードは、セキュリティ アカウントをセキュリティ識別子 (SID) に解決する際にエラーがあったことを意味します。このエラーが発生するのは通常、アカウント名の入力に誤りがあるか、アカウントがセキュリティ ポリシー設定に追加された後で削除された場合で、セキュリティ ポリシー設定の "制限されたグループ" セクションか "ユーザー権利" セクションで発生します。また、アカウントが存在しているドメインとの信頼関係が壊れた場合にも、発生することがあります。

この問題のトラブルシューティングを行うには、次の手順を実行します。
  1. エラーの原因となっているアカウントを特定します。これを行うには、以下の手順を実行して、セキュリティ構成のクライアント側拡張機能のデバッグ ログ出力を有効にします。
    1. レジストリ エディタ (regedt32.exe) を起動します。
    2. 次のレジストリ サブキーを見つけて、クリックします。
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
    3. [編集] メニューの [値の追加] をクリックし、次のレジストリ値を追加します。
      値の名前 : ExtensionDebugLevel
      データ型 : DWORD
      値のデータ : 2
    4. レジストリ エディタを終了します。
  2. ポリシー設定を更新して問題を再現します。ポリシー設定を更新するには、コマンド プロンプトで次の行を入力し、Enter キーを押します。
    secedit /refreshpolicy machine_policy /enforce
    %SYSTEMROOT%\Security\Logs フォルダに Winlogon.log という名前のファイルが生成されます。
  3. 問題の発生するアカウントを見つけます。これを行うには、コマンド プロンプトで次の行を入力し、Enter キーを押します。
    find /i "見つかりません" %SYSTEMROOT%\security\logs\winlogon.log
    Find の出力で、問題の発生しているアカウントの名前がわかります。たとえば "MichaelAlexander ... が見つかりません" と出力された場合、MichaelAlexander というユーザー アカウントがドメインに存在しないか、MichelleAlexander など他のスペルであると考えられます。

    このアカウントが解決されない原因を特定します。入力に誤りがないか、アカウントが削除されていないか、誤ったポリシー設定をコンピュータに適用していないか、または信頼関係に問題がないかなどを調べます。
  4. アカウントをポリシーから削除する必要があると判断した場合、問題のあるポリシーおよび設定を見つけます。解決できないアカウントが含まれている設定を特定するには、SCECLI 1202 イベントが発生しているコンピュータで、コマンド プロンプトで次の行を入力して Enter キーを押します。
    c:\>find /i “account name” %SYSTEMROOT%\security\templates\policies\gpt*.*
    この例の構文と結果は次のとおりです。
    c:\>find /i "MichaelAlexander" %SYSTEMROOT%\security\templates\policies\gpt*.*
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
    SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,MichaelAlexander,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
    この情報により、問題の設定が含まれているグループ ポリシー オブジェクト (GPO) のキャッシュされたセキュリティ テンプレートが GPT00002.inf であることがわかります。また、問題の設定は SeInteractiveLogonRight であることがわかります。SeInteractiveLogonRight の表示名は "Logon locally" です。

    定数 (SeInteractiveLogonRight など) と表示名 (Logon locally など) の対応については、Microsoft Windows 2000 Server リソース キットの「分散システムガイド」を参照してください。対応表は下巻「付録 D ユーザー権利」に掲載されています。
  5. 問題の設定が含まれている GPO を特定します。手順 4. で特定した、キャッシュされたセキュリティ テンプレートで文字列 "GPOPath=" を検索します。この例では、次の行が見つかります。
    GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
    "GPOPath=" と "\MACHINE" の間は GPO の GUID です。
  6. GPO のフレンドリ名を見つけるには、リソース キットのユーティリティ Gpotool.exe を使用します。コマンド プロンプトで次の行を入力し、Enter キーを押します。
    gpotool /verbose
    手順 5. で特定した GUID に関する出力を検索します。GUID の後の 4 行に、ポリシーのフレンドリ名が含まれています。以下に例を示します。
    Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
    Policy OK
    Details:
    ------------------------------------------------------------
    DC: domcntlr1.wingtiptoys.com
    Friendly name: Default Domain Controllers Policy
    
これで、問題のアカウント、設定、および GPO が特定できました。問題を解決するには、これらのエントリを削除するか置き換えます。

0x2: 指定されたファイルが見つかりません。

このエラーは、解決できないアカウント名が原因で発生するという点で 0x534 や 0x6fc と似ています。0x2 エラーが発生する場合、一般的に、解決できないアカウント名がポリシー設定の "制限されたグループ" で指定されています。

この問題を解決するには、次の手順を実行します。
  1. 問題の発生するサービスまたはオブジェクトを特定します。これを行うには、以下の手順を実行して、セキュリティ構成のクライアント側拡張機能のデバッグ ログ出力を有効にします。
    1. レジストリ エディタ (regedt32.exe) を起動します。
    2. 次のレジストリ サブキーを見つけて、クリックします。
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
    3. [編集] メニューの [値の追加] をクリックし、次のレジストリ値を追加します。
      値の名前 : ExtensionDebugLevel
      データ型 : DWORD
      値のデータ : 2
    4. レジストリ エディタを終了します。
  2. ポリシー設定を更新して問題を再現します。ポリシー設定を更新するには、コマンド プロンプトで次の行を入力し、Enter キーを押します。
    secedit /refreshpolicy machine_policy /enforce
    %SYSTEMROOT%\Security\Logs フォルダに Winlogon.log という名前のファイルが生成されます。
  3. コマンド プロンプトで次の行を入力し、Enter キーを押します。
    find /i "見つかりません" %SYSTEMROOT%\security\logs\winlogon.log
    Find の出力で、問題の発生しているアカウントの名前がわかります。たとえば "MichaelAlexander... が見つかりません。" と出力された場合、MichaelAlexander というユーザー アカウントがドメインに存在しないか、MichelleAlexander など他のスペルであると考えられます。

    このアカウントが解決できない原因を特定します。入力に誤りがないか、アカウントが削除されていないか、誤ったポリシー設定をコンピュータに適用していないか、または信頼関係に問題がないかなどを調べます。
  4. アカウントをポリシーから削除する必要があると判断した場合、問題のあるポリシーおよび設定を見つけます。どの設定に解決できないアカウントが含まれているのかを判断するには、SCECLI 1202 イベントが発生しているコンピュータで、コマンド プロンプトで次の行を入力して Enter キーを押します。
    c:\>find /i “account name” %SYSTEMROOT%\security\templates\policies\gpt*.*
    この例の構文と結果は次のとおりです。
    c:\>find /i "MichaelAlexander" %SYSTEMROOT%\security\templates\policies\gpt*.*
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
    SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,JohnDough,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
    この情報により、問題の設定が含まれている GPO のキャッシュされたセキュリティ テンプレートが GPT00002.inf であることがわかります。また、問題の設定は SeInteractiveLogonRight であることがわかります。SeInteractiveLogonRight の表示名は "Logon locally" です。

    定数 (SeInteractiveLogonRight など) と表示名 (Logon locally など) の対応については、Microsoft Windows 2000 Server リソース キットの「分散システムガイド」を参照してください。対応表は下巻「付録 D ユーザー権利」に掲載されています。
  5. 問題の設定が含まれている GPO を特定します。手順 4. で特定した、キャッシュされたセキュリティ テンプレートで文字列 "GPOPath=" を検索します。この例では、次の行が見つかります。
    GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
    "GPOPath=" と "\MACHINE" の間は GPO の GUID です。
  6. GPO のフレンドリ名を見つけるには、リソース キットのユーティリティ Gpotool.exe を使用します。コマンド プロンプトで次の行を入力し、Enter キーを押します。
    gpotool /verbose
    手順 5. で特定した GUID に関する出力を検索します。GUID の後の 4 行に、ポリシーのフレンドリ名が含まれています。以下に例を示します。
    Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
    Policy OK
    Details:
    ------------------------------------------------------------
    DC: domcntlr1.wingtiptoys.com
    Friendly name: Default Domain Controllers Policy
    

これで、問題のアカウント、設定、および GPO が特定できました。問題を解決するには、問題のアカウント (この例では "MichaelAlexander") のインスタンスに対するセキュリティ ポリシーの "制限されたグループ" を検索し、問題のエントリを削除するか置き換えます。

0x5: アクセスが拒否されました。

このエラーは通常、サービスのアクセス制御リストを更新するために必要なアクセス許可がシステムに与えられていない場合に発生します。管理者がサービスに対するアクセス許可をポリシーで定義していて、SYSTEM アカウントにフル コントロールのアクセス許可を付与していない場合に、この問題が発生することがあります。

この問題を解決するには、次の手順を実行します。
  1. 問題の発生するサービスまたはオブジェクトを特定します。これを行うには、以下の手順を実行して、セキュリティ構成のクライアント側拡張機能のデバッグ ログ出力を有効にします。
    1. レジストリ エディタ (regedt32.exe) を起動します。
    2. 次のレジストリ サブキーを見つけて、クリックします。
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
    3. [編集] メニューの [値の追加] をクリックし、次のレジストリ値を追加します。
      値の名前 : ExtensionDebugLevel
      データ型 : DWORD
      値のデータ : 2
    4. レジストリ エディタを終了します。
  2. ポリシー設定を更新して問題を再現します。ポリシー設定を更新するには、コマンド プロンプトで次の行を入力し、Enter キーを押します。
    secedit /refreshpolicy machine_policy /enforce
    %SYSTEMROOT%\Security\Logs フォルダに Winlogon.log という名前のファイルが生成されます。
  3. コマンド プロンプトで次の行を入力し、Enter キーを押します。
    find /i "開くときのエラー" %SYSTEMROOT%\security\logs\winlogon.log
    Find の出力で、アクセス許可が正しく構成されていないサービスがわかります。たとえば "Dnscache を開くときのエラーです。" のように表示されます。Dnscache は、DNS クライアント サービスの短い形式の名前です。
  4. サービスのアクセス許可を変更するポリシーを見つけます。見つけるには、コマンド プロンプトで次の行を入力し、Enter キーを押します。
    find /i "service" %SYSTEMROOT%\security\templates\policies\gpt*.*".
    以下はコマンドの例とその出力です。
    d:\>find /i "dnscache" %windir%\security\templates\policies\gpt*.*
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
    Dnscache,3,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;LA)"
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
    
  5. 問題の設定が含まれている GPO を特定します。手順 4. で特定した、キャッシュされたセキュリティ テンプレートで文字列 "GPOPath=" を検索します。この例では、次の行が見つかります。
    GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
    "GPOPath=" と "\MACHINE" の間は GPO の GUID です。
  6. GPO のフレンドリ名を見つけるには、リソース キットのユーティリティ Gpotool.exe を使用します。コマンド プロンプトで次の行を入力し、Enter キーを押します。
    gpotool /verbose
    手順 5. で特定した GUID に関する出力を検索します。GUID の後の 4 行に、ポリシーのフレンドリ名が含まれています。以下に例を示します。
    Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
    Policy OK
    Details:
    ------------------------------------------------------------
    DC: domcntlr1.wingtiptoys.com
    Friendly name: Default Domain Controllers Policy
    
これで、アクセス許可が正しく構成されていないサービス、および問題のある GPO が特定できました。問題を解決するには、アクセス許可が正しく構成されていないサービスのインスタンスに対するセキュリティ ポリシーのシステム サービスを検索し、サービスに対するフル コントロールのアクセス許可を SYSTEM アカウントに付与します。

0x4b8: 拡張エラーが発生しました。

0x4b8 エラーは一般エラーであり、さまざまな種類の問題が原因で発生することがあります。このエラーのトラブルシューティングを行うには、以下の手順を実行します。
  1. セキュリティ構成のクライアント側拡張機能のデバッグ ログ出力を有効にします。これを行うには、以下の手順を実行します。
    1. レジストリ エディタ (regedt32.exe) を起動します。
    2. 次のレジストリ サブキーに移動して、クリックします。
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
    3. [編集] メニューの [値の追加] をクリックし、次のレジストリの値を追加します。
      値の名前 : ExtensionDebugLevel
      データ型 : DWORD
      値のデータ : 2
    4. レジストリ エディタを終了します。
  2. ポリシー設定を更新して問題を再現します。ポリシー設定を更新するには、コマンド プロンプトで次の行を入力し、Enter キーを押します。
    secedit /refreshpolicy machine_policy /enforce
    %SYSTEMROOT%\Security\Logs フォルダに Winlogon.log という名前のファイルが生成されます。
  3. 以下の「サポート技術情報」 (Microsoft Knowledge Base) の資料を参照してください。これらの資料には、0x4b8 エラーが発生する既知の原因について記載されています。参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    260715 Event ID 1000 and 1202 After Configuring Policies
    260715 ポリシーの構成後にイベント ID 1000 および 1202 が発生する
    278316 ESENT Event IDs 1000, 1202, 412, and 454 Are Logged Repeatedly in the Application Event Log
    278316 アプリケーション イベント ログに ESENT イベント ID 1000、1202、412、および 454 が繰り返し記録される

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 324383 (最終更新日 2003-07-15) を基に作成したものです。

プロパティ

文書番号: 324383 - 最終更新日: 2006年3月24日 - リビジョン: 1.3
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
キーワード:?
kbhotfixserver kbhowto KB324383
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com