SCECLI 1202 이벤트 문제 해결
이 문서에서는 문제를 해결하고 SCECLI 1202 이벤트를 resolve 방법을 설명합니다.
적용 대상: 지원되는 Windows Server 및 Windows 클라이언트 버전
원래 KB 번호: 324383
요약
이러한 이벤트 문제를 해결하는 첫 번째 단계는 Win32 오류 코드를 식별하는 것입니다. 이 오류 코드는 SCECLI 1202 이벤트를 발생시키는 오류 유형을 구분합니다. 다음은 SCECLI 1202 이벤트의 예입니다. 오류 코드는 설명 필드에 표시됩니다. 이 예제에서는 오류 코드가 0x534. 오류 코드 뒤의 텍스트는 오류 설명입니다. 오류 코드를 확인한 후 이 문서에서 해당 오류 코드 섹션을 찾은 다음 해당 섹션의 문제 해결 단계를 따릅니다.
0x534: 계정 이름과 보안 ID 간의 매핑이 수행되지 않았습니다.
또는
0x6fc: 주 도메인과 신뢰할 수 있는 도메인 간의 트러스트 관계가 실패했습니다.
오류 코드 0x534: 계정 이름과 보안 ID 간의 매핑이 수행되지 않았습니다.
이러한 오류 코드는 보안 계정을 SID(보안 식별자)에 resolve 못했습니다. 이 오류는 일반적으로 계정 이름이 잘못 입력되었거나 보안 정책 설정에 추가된 후 계정이 삭제되었기 때문에 발생합니다. 일반적으로 보안 정책 설정의 사용자 권한 섹션 또는 제한된 그룹 섹션에서 발생합니다. 트러스트 간에 계정이 존재하고 트러스트 관계가 끊어진 경우에도 발생할 수 있습니다.
이 문제를 해결하려면 다음 단계를 수행합니다.
오류를 일으키는 계정을 확인합니다. 이렇게 하려면 보안 구성 클라이언트 쪽 확장에 대해 디버그 로깅을 사용하도록 설정합니다.
레지스트리 편집기를 시작합니다.
다음 레지스트리 하위 키를 찾아 선택합니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}편집 메뉴에서 값 추가를 선택한 다음, 다음 레지스트리 값을 추가합니다.
- 값 이름: ExtensionDebugLevel
- 데이터 유형: DWORD
- 값 데이터: 2
레지스트리 편집기를 종료하십시오.
정책 설정을 새로 고쳐 오류를 재현합니다. 정책 설정을 새로 고치려면 명령 프롬프트에 다음 명령을 입력한 다음 Enter 키를 누릅니다.
gpupdate /target:computer /force이 명령은 폴더에 Winlogon.log
%SYSTEMROOT%\Security\Logs이라는 파일을 만듭니다.문제 계정을 찾습니다. 이렇게 하려면 명령 프롬프트에 다음 명령을 입력한 다음 Enter 키를 누릅니다.
find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log찾기 출력은 문제 계정 이름을 식별합니다(예: MichaelPeltier를 찾을 수 없음). 이 예제에서는 사용자 계정 MichaelPeltier가 도메인에 없습니다. 또는 MichellePeltier와 같은 다른 맞춤법이 있습니다.
이 계정을 확인할 수 없는 이유를 확인합니다. 예를 들어 입력 오류, 삭제된 계정, 이 컴퓨터에 적용되는 잘못된 정책 또는 신뢰 문제를 찾습니다.
정책에서 계정을 제거해야 한다고 판단하는 경우 문제 정책 및 문제 설정을 찾습니다. 해결되지 않은 계정이 포함된 설정을 확인하려면 SCECLI 1202 이벤트를 생성하는 컴퓨터의 명령 프롬프트에 다음 명령을 입력한 다음 Enter 키를 누릅니다.
c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*이 예제의 경우 구문과 결과는 다음과 같습니다.
c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,MichaelPeltier,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548 ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOMGPT00002.inf를 문제 설정이 포함된 GPO(문제 그룹 정책 개체)의 캐시된 보안 템플릿으로 식별합니다. 또한 문제 설정을 SeInteractiveLogonRight로 식별합니다. SeInteractiveLogonRight의 표시 이름은 로컬로 로그온됩니다.
표시 이름(예: 로컬로 로그온)에 대한 상수(예: SeInteractiveLogonRight)의 맵은 사용자 권한 할당을 참조하세요.
문제 설정이 포함된 GPO를 확인합니다. 텍스트
GPOPath=에 대해 4단계에서 식별한 캐시된 보안 템플릿을 Search. 이 예제에서는 다음을 확인할 수 있습니다.GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE{6AC1786C-016F-11D2-945F-00C04FB984F9}는 GPO의 GUID입니다.
GPO의 이름을 찾으려면 DC(도메인 컨트롤러) 또는 AD(Active Directory) RSAT(원격 서버 관리자 도구) 도구가 설치된 서버에서 PowerShell cmdlet Get-GPO -Guid 를 사용합니다.
GPO의 식별 이름은 필드 옆에
DisplayName표시됩니다.Get-GPO -Guid 6AC1786C-016F-11D2-945F-00C04FB984F9 DisplayName : Default Domain Controllers Policy DomainName : contoso.com Owner : CONTOSO\Domain Admins
이제 문제 계정, 문제 설정 및 문제 GPO를 확인했습니다. 문제를 resolve 문제 항목을 제거하거나 교체합니다.
오류 코드 0x2: 시스템에서 지정된 파일을 찾을 수 없습니다.
이 오류는 0x534 및 0x6fc 유사합니다. 이는 해결할 수 없는 계정 이름으로 인해 발생합니다. 0x2 오류가 발생하면 일반적으로 해결할 수 없는 계정 이름이 제한된 그룹 정책 설정에 지정되었음을 나타냅니다.
이 문제를 해결하려면 다음 단계를 수행합니다.
오류가 발생한 서비스 또는 개체를 확인합니다. 이렇게 하려면 보안 구성 클라이언트 쪽 확장에 대해 디버그 로깅을 사용하도록 설정합니다.
레지스트리 편집기를 시작합니다.
다음 레지스트리 하위 키를 찾아 선택합니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}편집 메뉴에서 값 추가를 선택한 다음, 다음 레지스트리 값을 추가합니다.
- 값 이름: ExtensionDebugLevel
- 데이터 유형: DWORD
- 값 데이터: 2
레지스트리 편집기를 종료하십시오.
정책 설정을 새로 고쳐 오류를 재현합니다. 정책 설정을 새로 고치려면 명령 프롬프트에 다음 명령을 입력한 다음 Enter 키를 누릅니다.
gpupdate /target:computer /force이 명령은 폴더에 Winlogon.log
%SYSTEMROOT%\Security\Logs이라는 파일을 만듭니다.명령 프롬프트에서 다음 명령을 입력하고 Enter 키를 누릅니다.
find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log찾기 출력은 문제 계정 이름을 식별합니다(예: MichaelPeltier를 찾을 수 없음). 이 예제에서는 사용자 계정 MichaelPeltier가 도메인에 없습니다. 또는 다른 맞춤법(예: MichellePeltier)이 있습니다.
이 계정을 확인할 수 없는 이유를 확인합니다. 예를 들어 입력 오류, 삭제된 계정, 이 컴퓨터에 적용되는 잘못된 정책 또는 신뢰 문제를 찾습니다.
정책에서 계정을 제거해야 한다고 판단하는 경우 문제 정책 및 문제 설정을 찾습니다. 해결되지 않은 계정이 포함된 설정을 찾으려면 SCECLI 1202 이벤트를 생성하는 컴퓨터의 명령 프롬프트에 다음 명령을 입력한 다음 Enter 키를 누릅니다.
c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*이 예제의 경우 구문과 결과는 다음과 같습니다.
c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,JohnDough,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548 ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOMGPT00002.inf를 문제 설정이 포함된 문제 GPO의 캐시된 보안 템플릿으로 식별합니다. 또한 문제 설정을 SeInteractiveLogonRight로 식별합니다. SeInteractiveLogonRight의 표시 이름은 로컬로 로그온됩니다.
표시 이름(예: 로컬로 로그온)에 대한 상수(예: SeInteractiveLogonRight)의 맵은 사용자 권한 할당을 참조하세요.
문제 설정이 포함된 GPO를 확인합니다. 텍스트
GPOPath=에 대해 4단계에서 식별한 캐시된 보안 템플릿을 Search. 이 예제에서는 다음을 확인할 수 있습니다.GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE{6AC1786C-016F-11D2-945F-00C04FB984F9}는 GPO의 GUID입니다.
GPO의 이름을 찾으려면 DC 또는 AD RSAT 도구가 설치된 서버에서 PowerShell cmdlet Get-GPO -Guid 를 사용합니다.
GPO의 식별 이름은 필드 옆에
DisplayName표시됩니다.Get-GPO -Guid 6AC1786C-016F-11D2-945F-00C04FB984F9 DisplayName : Default Domain Controllers Policy DomainName : contoso.com Owner : CONTOSO\Domain Admins
이제 문제 계정, 문제 설정 및 문제 GPO를 확인했습니다. 문제를 resolve 위해 보안 정책의 제한된 그룹 섹션에서 문제 계정 인스턴스(이 예제에서는 MichaelPeltier)를 검색한 다음 문제 항목을 제거하거나 바꿉니다.
오류 코드 0x5: 액세스가 거부됨
이 오류는 일반적으로 시스템에 서비스의 액세스 제어 목록을 업데이트할 수 있는 올바른 권한이 부여되지 않은 경우에 발생합니다. 관리자가 정책에서 서비스에 대한 권한을 정의하지만 시스템 계정에 모든 권한 권한을 부여하지 않는 경우 발생할 수 있습니다.
이 문제를 해결하려면 다음 단계를 수행합니다.
오류가 발생한 서비스 또는 개체를 확인합니다. 이렇게 하려면 보안 구성 클라이언트 쪽 확장에 대해 디버그 로깅을 사용하도록 설정합니다.
레지스트리 편집기를 시작합니다.
다음 레지스트리 하위 키를 찾아 선택합니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}편집 메뉴에서 값 추가를 선택한 다음, 다음 레지스트리 값을 추가합니다.
- 값 이름: ExtensionDebugLevel
- 데이터 유형: DWORD
- 값 데이터: 2
레지스트리 편집기를 종료하십시오.
정책 설정을 새로 고쳐 오류를 재현합니다. 정책 설정을 새로 고치려면 명령 프롬프트에 다음 명령을 입력한 다음 Enter 키를 누릅니다.
gpupdate /target:computer /force이 명령은 폴더에 Winlogon.log
%SYSTEMROOT%\Security\Logs이라는 파일을 만듭니다.명령 프롬프트에서 다음을 입력한 다음 Enter 키를 누릅니다.
find /i "error opening" %SYSTEMROOT%\security\logs\winlogon.log찾기 출력은 잘못 구성된 권한(예: Dnscache 열기 오류)을 사용하여 서비스를 식별합니다. Dnscache 는 DNS 클라이언트 서비스의 짧은 이름입니다.
서비스 권한을 수정하려는 정책 또는 정책을 알아보세요. 이렇게 하려면 명령 프롬프트에 다음 명령을 입력한 다음 Enter 키를 누릅니다.
find /i "service" %SYSTEMROOT%\security\templates\policies\gpt*.*다음은 샘플 명령 및 해당 출력입니다.
d:\>find /i "dnscache" %windir%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF Dnscache,3,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;LA)" ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM문제 설정이 포함된 GPO를 확인합니다. 텍스트
GPOPath=에 대해 4단계에서 식별한 캐시된 보안 템플릿을 Search. 이 예제에서는 다음을 확인할 수 있습니다.GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE{6AC1786C-016F-11D2-945F-00C04FB984F9}는 GPO의 GUID입니다.
GPO의 이름을 찾으려면 DC 또는 AD RSAT 도구가 설치된 서버에서 PowerShell cmdlet Get-GPO -Guid 를 사용합니다.
GPO의 식별 이름은 필드 옆에
DisplayName표시됩니다.Get-GPO -Guid 6AC1786C-016F-11D2-945F-00C04FB984F9 DisplayName : Default Domain Controllers Policy DomainName : contoso.com Owner : CONTOSO\Domain Admins
이제 잘못 구성된 권한 및 문제 GPO를 사용하여 서비스를 식별했습니다. 문제를 resolve 위해 보안 정책의 System Services 섹션에서 잘못 구성된 권한이 있는 서비스 인스턴스를 검색합니다. 그런 다음, 정정 작업을 수행하여 시스템 계정에 서비스에 대한 모든 권한 권한을 부여합니다.
오류 코드 0x4b8: 확장된 오류가 발생했습니다.
0x4b8 오류는 일반적이며 다양한 문제로 인해 발생할 수 있습니다. 이러한 오류를 해결하려면 다음 단계를 수행합니다.
보안 구성 클라이언트 쪽 확장에 대해 디버그 로깅을 사용하도록 설정합니다.
레지스트리 편집기를 시작합니다.
다음 레지스트리 하위 키를 찾아 선택합니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}편집 메뉴에서 값 추가를 선택한 다음, 다음 레지스트리 값을 추가합니다.
- 값 이름: ExtensionDebugLevel
- 데이터 유형: DWORD
- 값 데이터: 2
레지스트리 편집기를 종료하십시오.
정책 설정을 새로 고쳐 오류를 재현합니다. 정책 설정을 새로 고치려면 명령 프롬프트에 다음 명령을 입력한 다음 Enter 키를 누릅니다.
gpupdate /target:computer /force이 명령은 폴더에 Winlogon.log
%SYSTEMROOT%\Security\Logs이라는 파일을 만듭니다.ESENT 이벤트 ID 1000, 1202, 412 및 454가 애플리케이션 로그에 반복적으로 기록됨을 참조하세요. 이 문서에서는 0x4b8 오류를 일으키는 알려진 문제에 대해 설명합니다.
데이터 수집
Microsoft 지원의 지원이 필요한 경우 그룹 정책 문제에 대해 TSS를 사용하여 정보 수집에 설명된 단계에 따라 정보를 수집하는 것이 좋습니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기