Устранение неполадок с событиями SCECLI 1202
В этой статье описаны способы устранения неполадок и устранения событий SCECLI 1202.
Применимо к: Поддерживаемые версии Windows Server и клиента Windows
Исходный номер базы знаний: 324383
Сводка
Первым шагом в устранении этих событий является определение кода ошибки Win32. Этот код ошибки различает тип сбоя, который вызывает событие SCECLI 1202. Ниже приведен пример события SCECLI 1202. Код ошибки отображается в поле Описание . В этом примере код ошибки 0x534. Текст после кода ошибки — это описание ошибки. После определения кода ошибки найдите этот раздел кода ошибки в этой статье, а затем выполните действия по устранению неполадок, описанные в этом разделе.
0x534. Сопоставление имен учетных записей и идентификаторов безопасности не выполнялось.
или
0x6fc. Отношение доверия между основным и доверенным доменами завершилось сбоем.
Код ошибки 0x534: не было выполнено сопоставление между именами учетных записей и идентификаторами безопасности
Эти коды ошибок означают, что произошел сбой при разрешении учетной записи безопасности в идентификатор безопасности (SID). Эта ошибка обычно возникает из-за неправильного впечатывающего имени учетной записи или из-за удаления учетной записи после добавления в параметр политики безопасности. Обычно это происходит в разделе Права пользователя или ограниченном Группы параметра политики безопасности. Это также может произойти, если учетная запись существует в доверии, а отношения доверия нарушены.
Для устранения данной проблемы выполните действия, указанные ниже.
Определите учетную запись, которая вызывает сбой. Для этого включите ведение журнала отладки для расширения конфигурации безопасности на стороне клиента:
Откройте редактор реестра.
Найдите и выделите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}В меню Правка выберите Добавить значение, а затем добавьте следующее значение реестра:
- Имя значения: ExtensionDebugLevel
- Тип данных: DWORD
- Данные значения: 2
Закройте редактор реестра.
Обновите параметры политики, чтобы воспроизвести сбой. Чтобы обновить параметры политики, введите следующую команду в командной строке и нажмите клавишу ВВОД:
gpupdate /target:computer /forceЭта команда создает файл с именем Winlogon.log в папке
%SYSTEMROOT%\Security\Logs.Найдите проблемную учетную запись. Для этого введите следующую команду в командной строке и нажмите клавишу ВВОД:
find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.logВыходные данные Поиска определяют имена проблемных учетных записей, например Не удается найти MichaelPeltier. В этом примере учетная запись пользователя MichaelPeltier не существует в домене. Или имеет другое правописание, например Мишель Пелтье.
Определите причину, по которой не удается разрешить эту учетную запись. Например, найдите опечатки, удаленную учетную запись, неправильную политику, применяемую к этому компьютеру, или проблему с доверием.
Если вы определили, что учетная запись должна быть удалена из политики, найдите политику проблемы и параметр проблемы. Чтобы определить, какой параметр содержит неразрешенную учетную запись, введите следующую команду в командной строке на компьютере, который создает событие SCECLI 1202, и нажмите клавишу ВВОД:
c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*В этом примере синтаксис и результаты:
c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,MichaelPeltier,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548 ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOMОн определяет GPT00002.inf как кэшированный шаблон безопасности из объекта групповая политика проблемы ( GPO), который содержит параметр проблемы. Он также определяет параметр проблемы как SeInteractiveLogonRight. Отображаемое имя для SeInteractiveLogonRight — Logon locally.
Сопоставление констант (например, SeInteractiveLogonRight) с их отображаемыми именами (например, Вход в систему локально) см. в разделе Назначение прав пользователя.
Определите, какой объект групповой политики содержит параметр проблемы. Поиск кэшированный шаблон безопасности, указанный на шаге 4 для текста
GPOPath=. В этом примере вы увидите следующее:GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE{6AC1786C-016F-11D2-945F-00C04FB984F9} — это GUID объекта групповой политики.
Чтобы найти понятное имя объекта групповой политики, используйте командлет PowerShell Get-GPO -Guid на контроллере домена (DC) или сервере с установленными средствами удаленного администратора сервера Active Directory (AD) (RSAT).
Понятное имя объекта групповой политики отображается рядом с полем
DisplayName:Get-GPO -Guid 6AC1786C-016F-11D2-945F-00C04FB984F9 DisplayName : Default Domain Controllers Policy DomainName : contoso.com Owner : CONTOSO\Domain Admins
Теперь вы определили учетную запись проблемы, параметр проблемы и объект групповой политики проблемы. Чтобы устранить проблему, удалите или замените ее.
Код ошибки 0x2: системе не удается найти указанный файл
Эта ошибка аналогична 0x534 и 0x6fc. Это вызвано неустранимым именем учетной записи. При возникновении ошибки 0x2 обычно указывается, что имя неустранимой учетной записи указано в параметре политики ограниченного Группы.
Для устранения данной проблемы выполните действия, указанные ниже.
Определите, в какой службе или в каком объекте происходит сбой. Для этого включите ведение журнала отладки для расширения конфигурации безопасности на стороне клиента:
Откройте редактор реестра.
Найдите и выделите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}В меню Правка выберите Добавить значение, а затем добавьте следующее значение реестра:
- Имя значения: ExtensionDebugLevel
- Тип данных: DWORD
- Данные значения: 2
Закройте редактор реестра.
Обновите параметры политики, чтобы воспроизвести сбой. Чтобы обновить параметры политики, введите следующую команду в командной строке и нажмите клавишу ВВОД:
gpupdate /target:computer /forceЭта команда создает файл с именем Winlogon.log в папке
%SYSTEMROOT%\Security\Logs.В командной строке введите следующую команду, а затем нажмите клавишу ВВОД:
find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.logВыходные данные Поиска определяют имена проблемных учетных записей, например Не удается найти MichaelPeltier. В этом примере учетная запись пользователя MichaelPeltier не существует в домене. Или имеет другое правописание, например Мишель Пельтье.
Определите причину, по которой не удается разрешить эту учетную запись. Например, найдите опечатки, удаленную учетную запись, неправильную политику, применяемую к этому компьютеру, или проблему с доверием.
Если вы определили, что учетная запись должна быть удалена из политики, найдите политику проблем и параметр проблемы. Чтобы узнать, какой параметр содержит неразрешенную учетную запись, введите следующую команду в командной строке на компьютере, который создает событие SCECLI 1202, и нажмите клавишу ВВОД:
c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*В этом примере синтаксис и результаты:
c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,JohnDough,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548 ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOMОн определяет GPT00002.inf в качестве кэшированного шаблона безопасности из объекта групповой политики проблемы, содержащего параметр проблемы. Он также определяет параметр проблемы как SeInteractiveLogonRight. Отображаемое имя для SeInteractiveLogonRight — Logon locally.
Сопоставление констант (например, SeInteractiveLogonRight) с их отображаемыми именами (например, Вход в систему локально) см. в разделе Назначение прав пользователя.
Определите, какой объект групповой политики содержит параметр проблемы. Поиск кэшированный шаблон безопасности, указанный на шаге 4 для текста
GPOPath=. В этом примере вы увидите следующее:GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE{6AC1786C-016F-11D2-945F-00C04FB984F9} — это GUID объекта групповой политики.
Чтобы найти понятное имя объекта групповой политики, используйте командлет PowerShell Get-GPO -Guid на контроллере домена или сервере с установленными средствами AD RSAT.
Понятное имя объекта групповой политики отображается рядом с полем
DisplayName:Get-GPO -Guid 6AC1786C-016F-11D2-945F-00C04FB984F9 DisplayName : Default Domain Controllers Policy DomainName : contoso.com Owner : CONTOSO\Domain Admins
Теперь вы определили учетную запись проблемы, параметр проблемы и объект групповой политики проблемы. Чтобы устранить эту проблему, выполните поиск экземпляров проблемной учетной записи (в этом примере MichaelPeltier) в разделе Ограниченный Группы политики безопасности, а затем удалите или замените запись о проблеме.
Код ошибки 0x5: доступ запрещен
Эта ошибка обычно возникает, если системе не предоставлены правильные разрешения на обновление списка управления доступом службы. Это может произойти, если администратор определяет разрешения для службы в политике, но не предоставляет системной учетной записи разрешения на полный доступ.
Для устранения данной проблемы выполните действия, указанные ниже.
Определите, в какой службе или в каком объекте происходит сбой. Для этого включите ведение журнала отладки для расширения конфигурации безопасности на стороне клиента:
Откройте редактор реестра.
Найдите и выделите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}В меню Правка выберите Добавить значение, а затем добавьте следующее значение реестра:
- Имя значения: ExtensionDebugLevel
- Тип данных: DWORD
- Данные значения: 2
Закройте редактор реестра.
Обновите параметры политики, чтобы воспроизвести сбой. Чтобы обновить параметры политики, введите следующую команду в командной строке и нажмите клавишу ВВОД:
gpupdate /target:computer /forceЭта команда создает файл с именем Winlogon.log в папке
%SYSTEMROOT%\Security\Logs.В командной строке введите следующее и нажмите клавишу ВВОД:
find /i "error opening" %SYSTEMROOT%\security\logs\winlogon.logВыходные данные Поиска идентифицируют службу с неправильно настроенными разрешениями, например ошибка при открытии Dnscache. Dnscache — это краткое имя службы DNS-клиента.
Узнайте, какая политика или какие политики пытаются изменить разрешения службы. Для этого введите следующую команду в командной строке и нажмите клавишу ВВОД:
find /i "service" %SYSTEMROOT%\security\templates\policies\gpt*.*Ниже приведен пример команды и ее выходные данные:
d:\>find /i "dnscache" %windir%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF Dnscache,3,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;LA)" ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOMОпределите, какой объект групповой политики содержит параметр проблемы. Поиск кэшированный шаблон безопасности, указанный на шаге 4 для текста
GPOPath=. В этом примере вы увидите следующее:GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE{6AC1786C-016F-11D2-945F-00C04FB984F9} — это GUID объекта групповой политики.
Чтобы найти понятное имя объекта групповой политики, используйте командлет PowerShell Get-GPO -Guid на контроллере домена или сервере с установленными средствами AD RSAT.
Понятное имя объекта групповой политики отображается рядом с полем
DisplayName:Get-GPO -Guid 6AC1786C-016F-11D2-945F-00C04FB984F9 DisplayName : Default Domain Controllers Policy DomainName : contoso.com Owner : CONTOSO\Domain Admins
Теперь вы определили службу с неправильно настроенными разрешениями и проблемным объектом групповой политики. Чтобы устранить эту проблему, выполните поиск экземпляров службы с неправильно настроенными разрешениями в разделе System Services политики безопасности. Затем выполните корректирующие действия, чтобы предоставить системной учетной записи разрешения на полный доступ к службе.
Код ошибки 0x4b8: произошла расширенная ошибка
Ошибка 0x4b8 является универсальной и может быть вызвана множеством различных проблем. Чтобы устранить эти ошибки, выполните следующие действия.
Включите ведение журнала отладки для расширения конфигурации безопасности на стороне клиента:
Откройте редактор реестра.
Найдите и выделите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}В меню Правка выберите Добавить значение, а затем добавьте следующее значение реестра:
- Имя значения: ExtensionDebugLevel
- Тип данных: DWORD
- Данные значения: 2
Закройте редактор реестра.
Обновите параметры политики, чтобы воспроизвести сбой. Чтобы обновить параметры политики, введите следующую команду в командной строке и нажмите клавишу ВВОД:
gpupdate /target:computer /forceЭта команда создает файл с именем Winlogon.log в папке
%SYSTEMROOT%\Security\Logs.См. статью Идентификаторы событий ESENT 1000, 1202, 412 и 454 многократно регистрируются в журнале приложений. В этой статье описаны известные проблемы, которые вызывают ошибку 0x4b8.
Сбор данных
Если вам нужна помощь со стороны службы поддержки Майкрософт, мы рекомендуем собирать сведения, выполнив действия, описанные в разделе Сбор информации с помощью TSS для групповая политика проблем.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по