この資料では、SCECLI 1202 イベントのトラブルシューティング方法および解決方法を説明します。
これらのイベントのトラブルシューティングを行うには、まず、Win32 エラー コードを確認します。このエラー コードにより、SCECLI 1202 イベントの原因となったエラーの種類を識別できます。以下は SCECLI 1202 イベントの例です。エラー コードは "説明" フィールドに表示されます。この例の場合、エラー コードは 0x534 です。エラー コードの後のテキストはエラーの説明です。
種類 : 警告
ソース :SceCli
分類 : なし
イベント ID : 1202
日付 : MM/DD/YYYY
時刻 : HH:MM:SS AM|PM
ユーザー : N/A
コンピュータ : %ComputerName%
説明 : セキュリティ ポリシーは伝達されましたが、警告があります。0x534:アカウント名とセキュリティ ID の間のマッピングは実行されませんでした。詳細はセキュリティのヘルプのトラブルシューティングを参照してください。
エラー コードを特定したら、この資料でそのエラー コードについて記載されている箇所を参照し、記載されているトラブルシューティングの手順を実行します。
0x534: アカウント名とセキュリティ ID の間のマッピングは実行されませんでした。
または
0x6fc: プライマリ ドメインと信頼される側のドメインとの信頼関係に失敗しました。
これらのエラー コードは、セキュリティ アカウントをセキュリティ識別子 (SID) に解決する際にエラーがあったことを意味します。このエラーが発生するのは通常、アカウント名の入力に誤りがあるか、アカウントがセキュリティ ポリシー設定に追加された後で削除された場合で、セキュリティ ポリシー設定の "制限されたグループ" セクションか "ユーザー権利" セクションで発生します。また、アカウントが存在しているドメインとの信頼関係が壊れた場合にも、発生することがあります。
この問題のトラブルシューティングを行うには、次の手順を実行します。
-
エラーの原因となっているアカウントを特定します。これを行うには、以下の手順を実行して、セキュリティ構成のクライアント側拡張機能のデバッグ ログ出力を有効にします。
-
レジストリ エディタ (regedt32.exe) を起動します。
-
次のレジストリ サブキーを見つけて、クリックします。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
-
[編集] メニューの [値の追加] をクリックし、次のレジストリ値を追加します。
値の名前 : ExtensionDebugLevel
データ型 : DWORD
値のデータ : 2
-
レジストリ エディタを終了します。
-
ポリシー設定を更新して問題を再現します。ポリシー設定を更新するには、コマンド プロンプトで次の行を入力し、Enter キーを押します。
secedit /refreshpolicy machine_policy /enforce
%SYSTEMROOT%\Security\Logs フォルダに Winlogon.log という名前のファイルが生成されます。
-
問題の発生するアカウントを見つけます。これを行うには、コマンド プロンプトで次の行を入力し、Enter キーを押します。
find /i "見つかりません" %SYSTEMROOT%\security\logs\winlogon.log
Find の出力で、問題の発生しているアカウントの名前がわかります。たとえば "MichaelAlexander ... が見つかりません" と出力された場合、MichaelAlexander というユーザー アカウントがドメインに存在しないか、MichelleAlexander など他のスペルであると考えられます。
このアカウントが解決されない原因を特定します。入力に誤りがないか、アカウントが削除されていないか、誤ったポリシー設定をコンピュータに適用していないか、または信頼関係に問題がないかなどを調べます。
-
アカウントをポリシーから削除する必要があると判断した場合、問題のあるポリシーおよび設定を見つけます。解決できないアカウントが含まれている設定を特定するには、SCECLI 1202 イベントが発生しているコンピュータで、コマンド プロンプトで次の行を入力して Enter キーを押します。
c:\>find /i “account name” %SYSTEMROOT%\security\templates\policies\gpt*.*
この例の構文と結果は次のとおりです。
c:\>find /i "MichaelAlexander" %SYSTEMROOT%\security\templates\policies\gpt*.*
---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,MichaelAlexander,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548
---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
定数 (SeInteractiveLogonRight など) と表示名 (Logon locally など) の対応については、Microsoft Windows 2000 Server リソース キットの「分散システムガイド」を参照してください。対応表は下巻「付録 D ユーザー権利」に掲載されています。
-
問題の設定が含まれている GPO を特定します。手順 4. で特定した、キャッシュされたセキュリティ テンプレートで文字列 "GPOPath=" を検索します。この例では、次の行が見つかります。
GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
"GPOPath=" と "\MACHINE" の間は GPO の GUID です。
-
GPO のフレンドリ名を見つけるには、リソース キットのユーティリティ Gpotool.exe を使用します。コマンド プロンプトで次の行を入力し、Enter キーを押します。
gpotool /verbose
手順 5. で特定した GUID に関する出力を検索します。GUID の後の 4 行に、ポリシーのフレンドリ名が含まれています。以下に例を示します。
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
Policy OK
Details:
------------------------------------------------------------
DC: domcntlr1.wingtiptoys.com
Friendly name: Default Domain Controllers Policy
これで、問題のアカウント、設定、および GPO が特定できました。問題を解決するには、これらのエントリを削除するか置き換えます。
0x2: 指定されたファイルが見つかりません。
このエラーは、解決できないアカウント名が原因で発生するという点で 0x534 や 0x6fc と似ています。0x2 エラーが発生する場合、一般的に、解決できないアカウント名がポリシー設定の "制限されたグループ" で指定されています。
この問題を解決するには、次の手順を実行します。
-
問題の発生するサービスまたはオブジェクトを特定します。これを行うには、以下の手順を実行して、セキュリティ構成のクライアント側拡張機能のデバッグ ログ出力を有効にします。
-
レジストリ エディタ (regedt32.exe) を起動します。
-
次のレジストリ サブキーを見つけて、クリックします。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
-
[編集] メニューの [値の追加] をクリックし、次のレジストリ値を追加します。
値の名前 : ExtensionDebugLevel
データ型 : DWORD
値のデータ : 2
-
レジストリ エディタを終了します。
-
ポリシー設定を更新して問題を再現します。ポリシー設定を更新するには、コマンド プロンプトで次の行を入力し、Enter キーを押します。
secedit /refreshpolicy machine_policy /enforce
%SYSTEMROOT%\Security\Logs フォルダに Winlogon.log という名前のファイルが生成されます。
-
コマンド プロンプトで次の行を入力し、Enter キーを押します。
find /i "見つかりません" %SYSTEMROOT%\security\logs\winlogon.log
Find の出力で、問題の発生しているアカウントの名前がわかります。たとえば "MichaelAlexander... が見つかりません。" と出力された場合、MichaelAlexander というユーザー アカウントがドメインに存在しないか、MichelleAlexander など他のスペルであると考えられます。
このアカウントが解決できない原因を特定します。入力に誤りがないか、アカウントが削除されていないか、誤ったポリシー設定をコンピュータに適用していないか、または信頼関係に問題がないかなどを調べます。
-
アカウントをポリシーから削除する必要があると判断した場合、問題のあるポリシーおよび設定を見つけます。どの設定に解決できないアカウントが含まれているのかを判断するには、SCECLI 1202 イベントが発生しているコンピュータで、コマンド プロンプトで次の行を入力して Enter キーを押します。
c:\>find /i “account name” %SYSTEMROOT%\security\templates\policies\gpt*.*
この例の構文と結果は次のとおりです。
c:\>find /i "MichaelAlexander" %SYSTEMROOT%\security\templates\policies\gpt*.*
---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,JohnDough,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548
---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
定数 (SeInteractiveLogonRight など) と表示名 (Logon locally など) の対応については、Microsoft Windows 2000 Server リソース キットの「分散システムガイド」を参照してください。対応表は下巻「付録 D ユーザー権利」に掲載されています。
-
問題の設定が含まれている GPO を特定します。手順 4. で特定した、キャッシュされたセキュリティ テンプレートで文字列 "GPOPath=" を検索します。この例では、次の行が見つかります。
GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
"GPOPath=" と "\MACHINE" の間は GPO の GUID です。
-
GPO のフレンドリ名を見つけるには、リソース キットのユーティリティ Gpotool.exe を使用します。コマンド プロンプトで次の行を入力し、Enter キーを押します。
gpotool /verbose
手順 5. で特定した GUID に関する出力を検索します。GUID の後の 4 行に、ポリシーのフレンドリ名が含まれています。以下に例を示します。
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
Policy OK
Details:
------------------------------------------------------------
DC: domcntlr1.wingtiptoys.com
Friendly name: Default Domain Controllers Policy
これで、問題のアカウント、設定、および GPO が特定できました。問題を解決するには、問題のアカウント (この例では "MichaelAlexander") のインスタンスに対するセキュリティ ポリシーの "制限されたグループ" を検索し、問題のエントリを削除するか置き換えます。
0x5: アクセスが拒否されました。
このエラーは通常、サービスのアクセス制御リストを更新するために必要なアクセス許可がシステムに与えられていない場合に発生します。管理者がサービスに対するアクセス許可をポリシーで定義していて、SYSTEM アカウントにフル コントロールのアクセス許可を付与していない場合に、この問題が発生することがあります。
この問題を解決するには、次の手順を実行します。
-
問題の発生するサービスまたはオブジェクトを特定します。これを行うには、以下の手順を実行して、セキュリティ構成のクライアント側拡張機能のデバッグ ログ出力を有効にします。
-
レジストリ エディタ (regedt32.exe) を起動します。
-
次のレジストリ サブキーを見つけて、クリックします。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
-
[編集] メニューの [値の追加] をクリックし、次のレジストリ値を追加します。
値の名前 : ExtensionDebugLevel
データ型 : DWORD
値のデータ : 2
-
レジストリ エディタを終了します。
-
ポリシー設定を更新して問題を再現します。ポリシー設定を更新するには、コマンド プロンプトで次の行を入力し、Enter キーを押します。
secedit /refreshpolicy machine_policy /enforce
%SYSTEMROOT%\Security\Logs フォルダに Winlogon.log という名前のファイルが生成されます。
-
コマンド プロンプトで次の行を入力し、Enter キーを押します。
find /i "開くときのエラー" %SYSTEMROOT%\security\logs\winlogon.log
Find の出力で、アクセス許可が正しく構成されていないサービスがわかります。たとえば "Dnscache を開くときのエラーです。" のように表示されます。Dnscache は、DNS クライアント サービスの短い形式の名前です。
-
サービスのアクセス許可を変更するポリシーを見つけます。見つけるには、コマンド プロンプトで次の行を入力し、Enter キーを押します。
find /i "service" %SYSTEMROOT%\security\templates\policies\gpt*.*".
以下はコマンドの例とその出力です。
d:\>find /i "dnscache" %windir%\security\templates\policies\gpt*.*
---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
Dnscache,3,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;LA)"
---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
-
問題の設定が含まれている GPO を特定します。手順 4. で特定した、キャッシュされたセキュリティ テンプレートで文字列 "GPOPath=" を検索します。この例では、次の行が見つかります。
GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
"GPOPath=" と "\MACHINE" の間は GPO の GUID です。
-
GPO のフレンドリ名を見つけるには、リソース キットのユーティリティ Gpotool.exe を使用します。コマンド プロンプトで次の行を入力し、Enter キーを押します。
gpotool /verbose
手順 5. で特定した GUID に関する出力を検索します。GUID の後の 4 行に、ポリシーのフレンドリ名が含まれています。以下に例を示します。
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
Policy OK
Details:
------------------------------------------------------------
DC: domcntlr1.wingtiptoys.com
Friendly name: Default Domain Controllers Policy
これで、アクセス許可が正しく構成されていないサービス、および問題のある GPO が特定できました。問題を解決するには、アクセス許可が正しく構成されていないサービスのインスタンスに対するセキュリティ ポリシーのシステム サービスを検索し、サービスに対するフル コントロールのアクセス許可を SYSTEM アカウントに付与します。
0x4b8: 拡張エラーが発生しました。
0x4b8 エラーは一般エラーであり、さまざまな種類の問題が原因で発生することがあります。このエラーのトラブルシューティングを行うには、以下の手順を実行します。
-
セキュリティ構成のクライアント側拡張機能のデバッグ ログ出力を有効にします。これを行うには、以下の手順を実行します。
-
レジストリ エディタ (regedt32.exe) を起動します。
-
次のレジストリ サブキーに移動して、クリックします。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
-
[編集] メニューの [値の追加] をクリックし、次のレジストリの値を追加します。
値の名前 : ExtensionDebugLevel
データ型 : DWORD
値のデータ : 2
-
レジストリ エディタを終了します。
-
ポリシー設定を更新して問題を再現します。ポリシー設定を更新するには、コマンド プロンプトで次の行を入力し、Enter キーを押します。
secedit /refreshpolicy machine_policy /enforce
%SYSTEMROOT%\Security\Logs フォルダに Winlogon.log という名前のファイルが生成されます。
-
以下の「サポート技術情報」 (Microsoft Knowledge Base) の資料を参照してください。これらの資料には、0x4b8 エラーが発生する既知の原因について記載されています。参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
260715?
(http://support.microsoft.com/kb/260715/EN-US/
)
Event ID 1000 and 1202 After Configuring Policies
260715?
(http://support.microsoft.com/kb/260715/JA/
)
ポリシーの構成後にイベント ID 1000 および 1202 が発生する
278316?
(http://support.microsoft.com/kb/278316/
)
ESENT Event IDs 1000, 1202, 412, and 454 Are Logged Repeatedly in the Application Event Log
278316?
(http://support.microsoft.com/kb/278316/JA/
)
アプリケーション イベント ログに ESENT イベント ID 1000、1202、412、および 454 が繰り返し記録される
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID
324383?
(http://support.microsoft.com/kb/324383/EN-US/
)
(最終更新日 2003-07-15) を基に作成したものです。
先頭へ戻る
