Устранение неполадок, которые приводят к регистрации событий с кодом 1202 (SCECLI)

Переводы статьи Переводы статьи
Код статьи: 324383 - Vizualiza?i produsele pentru care se aplic? acest articol.
Внимание
Сведения в этой статье относятся к системе Windows 2000. Поддержка Windows 2000 завершается 13 июля 2010 г.Центр решений после прекращения поддержки для Windows 2000 — отправная точка при планировании стратегии миграции с системы Windows 2000. Дополнительную информацию можно посмотреть в статье Правила по срокам поддержки продуктов Майкрософт.
Развернуть все | Свернуть все

В этой статье

Аннотация

Статья содержит описание процесса устранения неполадок, которые приводят к регистрации событий с кодом 1202 (SCECLI).

Дополнительная информация

В первую очередь следует определить код ошибки Win32. Этот код указывает на тип ошибки, которая вызвала регистрацию события с кодом 1202 (SCECLI). Ниже приведен пример события SCECLI с кодом 1202. Код ошибки указан в поле "Описание". В данном примере — 0x534. После кода следует описание ошибки.

Тип события: Предупреждение
Источник события: SceCli
Категория события: отсутствует
Код события: 1202
Дата: ДД/ММ/ГГГГ
Время: ЧЧ:ММ:СС
Пользователь: Н/Д
Компьютер: %ComputerName%
Описание: Выполнено распространение политик безопасности с предупреждением. 0x534: Имена пользователей не сопоставлены с идентификаторами безопасности. Дополнительные сведения см. в разделе "Устранение неполадок" справки по безопасности.

После определения кода ошибки необходимо выполнить инструкции соответствующего раздела данной статьи.

0x534: Имена пользователей не сопоставлены с идентификаторами безопасности.
-или-
0x6fc: Не удалось установить отношения доверия между основным доменом и доверенным доменом.

Наличие ошибки с таким кодом свидетельствует о неудачной попытке разрешить учетную запись безопасности в идентификатор защиты (SID). Как правило, такое поведение наблюдается в случае неправильного ввода имени учетной записи, а также если учетная запись была удалена после добавления в параметр политики безопасности. Обычно это происходит в разделе Права пользователей или Группы с ограниченным доступом параметра политики безопасности. Кроме того, ошибка с таким кодом возникает, если учетная запись использовалась по доверительному отношению, а затем это отношение было разорвано.

Для решения проблемы необходимо выполнить следующие действия.
  1. Определите учетную запись, которая вызывает возникновение ошибки. Для этого следует включить регистрацию в журнале отладки для клиентского расширения настроек безопасности. Для этого выполните указанные ниже действия.
    1. Откройте редактор реестра.
    2. Найдите и выберите следующий подраздел реестра:
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
    3. В меню Правка выберите команду Создать параметр для создания параметра с перечисленными ниже характеристиками.
      Имя параметра: ExtensionDebugLevel
      Тип данных: DWORD
      Значение: 2
    4. Закройте редактор реестра.
  2. Чтобы воспроизвести ошибку, обновите параметры политики. Чтобы обновить параметры политики, в командной строке введите следующую команду и нажмите клавишу ВВОД:
    secedit /refreshpolicy machine_policy /enforce
    В папке %SYSTEMROOT%\Security\Logs будет создан файл Winlogon.log.
  3. Найдите проблемную учетную запись. Для этого в командной строке введите следующую команду и нажмите клавишу ВВОД:
    find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log
    В результате выполнения команды будут отображены имена проблемных учетных записей в формате "Cannot find MichaelAlexander". В данном примере это означает, что учетная запись MichaelAlexander в домене отсутствует или пишется по-другому, например MichelleAlexander.

    Определите причину, по которой не удается разрешить учетную запись. Обратите внимание на возможные опечатки. Возможно, учетная запись была удалена, на компьютере используется неправильная политика или возникли проблемы с установкой доверительного отношения.
  4. В случае если учетную запись необходимо удалить из состава политики, определите соответствующую политику и ее параметр. Для определения параметра, который содержит неразрешенную учетную запись, на компьютере, зарегистрировавшем событие SCECLI 1202, введите в командной строке указанную ниже команду и нажмите клавишу ВВОД:
    c:\>find /i "имя учетной записи" %SYSTEMROOT%\security\templates\policies\gpt*.*
    Для данного примера команда и результат ее выполнения выглядят следующим образом:
    c:\>find /i "MichaelAlexander" %SYSTEMROOT%\security\templates\policies\gpt*.*
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
    SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,MichaelAlexander,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
    Таким образом, искомый параметр находится в кэшированном шаблоне безопасности GPT00002.inf из соответствующего объекта групповой политики (GPO). Проблемы возникают с параметром SeInteractiveLogonRight (отображаемое имя "Logon locally").

    Таблицу соответствия констант (например SeInteractiveLogonRight) и отображаемых имен (например Logon locally) см. в документе "Руководство по распределенным системам" из набора Microsoft Windows 2000 Server Resource Kit, раздел приложения "Права пользователей".
  5. Определите объект групповой политики, в котором хранится найденный параметр. Найдите в определенном на этапе 4 кэшированном шаблоне безопасности текст "GPOPath=". В данном примере строка выглядит следующим образом:
    GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
    Между GPOPath= и \MACHINE расположен идентификатор GUID объекта групповой политики.
  6. Чтобы найти понятное имя объекта групповой политики, воспользуйтесь служебной программой Gpotool.exe из состава Resource Kit. В командной строке введите указанную ниже команду и нажмите клавишу ВВОД:
    gpotool /verbose
    Найдите определенный на этапе 5 идентификатор GUID. Понятное имя находится в одной из четырех следующих строк. Например:
    Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
    Policy OK
    Details:
    ------------------------------------------------------------
    DC: domcntlr1.wingtiptoys.com
    Friendly name: Default Domain Controllers Policy
    
Теперь учетная запись, параметр и объект групповой политики, которые приводят к возникновению проблемы, определены. Для устранения проблемы соответствующую запись необходимо удалить или заменить.

0x2: Не удается найти указанный файл.

Подобно ошибкам с кодом 0x534 и 0x6fc, причина возникновения данной ошибки заключается в наличии неразрешимого имени учетной записи. Как правило, ошибка с кодом 0x2 указывает на неразрешимое имя учетной записи в параметре политики Группы с ограниченным доступом.

Для решения проблемы необходимо выполнить следующие действия.
  1. Определите службу или объект, в котором произошел сбой. Для этого следует включить регистрацию в журнале отладки для клиентского расширения настроек безопасности. Для этого выполните указанные ниже действия.
    1. Откройте редактор реестра.
    2. Найдите и выберите следующий подраздел реестра:
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
    3. В меню Правка выберите команду Создать параметр для создания параметра с перечисленными ниже характеристиками.
      Имя параметра: ExtensionDebugLevel
      Тип данных: DWORD
      Значение: 2
    4. Закройте редактор реестра.
  2. Чтобы воспроизвести ошибку, обновите параметры политики. Чтобы обновить параметры политики, в командной строке введите следующую команду и нажмите клавишу ВВОД:
    secedit /refreshpolicy machine_policy /enforce
    В папке %SYSTEMROOT%\Security\Logs будет создан файл Winlogon.log.
  3. В командной строке введите следующую команду и нажмите клавишу ВВОД:
    find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log
    В результате выполнения команды будут отображены имена проблемных учетных записей в формате "Cannot find MichaelAlexander". В данном примере это означает, что учетная запись MichaelAlexander в домене отсутствует или пишется по-другому, например MichelleAlexander.

    Определите причину, по которой не удается разрешить учетную запись. Обратите внимание на возможные опечатки. Возможно, учетная запись была удалена, на компьютере используется неправильная политика или возникли проблемы с установкой доверительного отношения.
  4. В случае если учетную запись необходимо удалить из состава политики, определите соответствующую политику и ее параметр. Чтобы найти параметр, который содержит неразрешенную учетную запись, на компьютере, зарегистрировавшем событие SCECLI 1202, введите в командной строке указанную ниже команду и нажмите клавишу ВВОД:
    c:\>find /i "имя учетной записи" %SYSTEMROOT%\security\templates\policies\gpt*.*
    Для данного примера команда и результат ее выполнения выглядят следующим образом:
    c:\>find /i "MichaelAlexander" %SYSTEMROOT%\security\templates\policies\gpt*.*
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
    SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,JohnDough,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
    Таким образом, искомый параметр находится в кэшированном шаблоне безопасности GPT00002.inf из соответствующего объекта групповой политики. Проблемы возникают с параметром SeInteractiveLogonRight. (отображаемое имя "Logon locally").

    Таблицу соответствия констант (например SeInteractiveLogonRight) и отображаемых имен (например Logon locally) см. в документе "Руководство по распределенным системам" из набора Microsoft Windows 2000 Server Resource Kit, раздел приложения "Права пользователей".
  5. Определите объект групповой политики, в котором хранится найденный параметр. Найдите в определенном на этапе 4 кэшированном шаблоне безопасности текст "GPOPath=". В данном примере строка выглядит следующим образом:
    GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
    Между GPOPath= и \MACHINE расположен идентификатор GUID объекта групповой политики.
  6. Чтобы найти понятное имя объекта групповой политики, воспользуйтесь служебной программой Gpotool.exe из состава Resource Kit. Введите в командной строке указанную ниже команду и нажмите клавишу ВВОД:
    gpotool /verbose
    Найдите определенный на этапе 5 идентификатор GUID; понятное имя находится в одной из четырех следующих строк. Например:
    Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
    Policy OK
    Details:
    ------------------------------------------------------------
    DC: domcntlr1.wingtiptoys.com
    Friendly name: Default Domain Controllers Policy
    

Теперь учетная запись, параметр и объект групповой политики, которые приводят к возникновению проблемы, определены. Для устранения проблемы найдите в разделе "Группы с ограниченным доступом" политики безопасности экземпляры конфликтующей учетной записи (в данном примере — MichaelAlexander) и удалите или замените соответствующую запись.

0x5: Отказано в доступе.

Как правило, эта ошибка возникает, если система не имеет соответствующих разрешений на обновление списка управления доступом для определенной службы. Такое поведение наблюдается, когда после определения в составе политики разрешений для службы администратор не предоставляет права полного доступа системной учетной записи.

Для решения проблемы необходимо выполнить следующие действия.
  1. Определите службу или объект, в котором произошел сбой. Для этого следует включить регистрацию в журнале отладки для клиентского расширения настроек безопасности. Для этого выполните указанные ниже действия.
    1. Откройте редактор реестра.
    2. Найдите и выберите следующий подраздел реестра:
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
    3. В меню Правка выберите команду Создать параметр для создания параметра с перечисленными ниже характеристиками.
      Имя параметра: ExtensionDebugLevel
      Тип данных: DWORD
      Значение: 2
    4. Закройте редактор реестра.
  2. Чтобы воспроизвести ошибку, обновите параметры политики. Чтобы обновить параметры политики, в командной строке введите следующую команду и нажмите клавишу ВВОД:
    secedit /refreshpolicy machine_policy /enforce
    В папке %SYSTEMROOT%\Security\Logs будет создан файл Winlogon.log.
  3. В командной строке введите следующую команду и нажмите клавишу ВВОД:
    find /i "error opening" %SYSTEMROOT%\security\logs\winlogon.log
    В результате выполнения команды будет отображена служба с несоответствующими разрешениями, например "Error opening Dnscache". Dnscache — это сокращенное название службы клиента DNS.
  4. Определите политики, которые пытаются изменить разрешения для службы. Для этого в командной строке введите следующую команду и нажмите клавишу ВВОД:
    find /i "служба" %SYSTEMROOT%\security\templates\policies\gpt*.*".
    Ниже приведен пример команды и результаты ее выполнения.
    d:\>find /i "dnscache" %windir%\security\templates\policies\gpt*.*
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
    Dnscache,3,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;LA)"
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
    
  5. Определите объект групповой политики, в котором хранится найденный параметр. Найдите в определенном на этапе 4 кэшированном шаблоне безопасности текст "GPOPath=". В данном примере строка выглядит следующим образом:
    GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
    Между GPOPath= и \MACHINE расположен идентификатор GUID объекта групповой политики.
  6. Чтобы найти понятное имя объекта групповой политики, воспользуйтесь служебной программой Gpotool.exe из состава Resource Kit. В командной строке введите указанную ниже команду и нажмите клавишу ВВОД:
    gpotool /verbose
    Найдите определенный на этапе 5 идентификатор GUID. Понятное имя находится в одной из четырех следующих строк. Например:
    Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
    Policy OK
    Details:
    ------------------------------------------------------------
    DC: domcntlr1.wingtiptoys.com
    Friendly name: Default Domain Controllers Policy
    
Служба с неправильными разрешениями и конфликтующий объект GPO определены. Для устранения проблемы найдите в разделе "Системные службы" политики безопасности экземпляры службы с неправильным разрешениями и предоставьте системной учетной записи право полного доступа к данной службе.

0x4b8: Ошибка расширенного типа.

Ошибка с кодом 0x4b8 может возникнуть по ряду причин. Чтобы устранить такую проблему, выполните следующие действия.
  1. Включите регистрацию в журнале отладки для клиентского расширения настроек безопасности. Для этого выполните указанные ниже действия.
    1. Откройте редактор реестра.
    2. Найдите и выберите следующий подраздел реестра:
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
    3. В меню Правка выберите команду Создать параметр для создания параметра с перечисленными ниже характеристиками.
      Имя параметра: ExtensionDebugLevel
      Тип данных: DWORD
      Значение: 2
    4. Закройте редактор реестра.
  2. Чтобы воспроизвести ошибку, обновите параметры политики. Чтобы обновить параметры политики, в командной строке введите следующую команду и нажмите клавишу ВВОД:
    secedit /refreshpolicy machine_policy /enforce
    В папке %SYSTEMROOT%\Security\Logs будет создан файл Winlogon.log.
  3. Обратитесь к указанным ниже статьям базы знаний Майкрософт, в которых рассмотрены известные причины возникновения ошибки с кодом 0x4b8. Щелкните следующие номера статей базы знаний Майкрософт, чтобы открыть их:
    260715 После настройки политик появляются записи о событиях с кодами 1000 и 1202
    278316 В журнале событий приложений несколько раз регистрируются события ESENT с кодами 1000, 1202, 412 и 454
Примечание. Это ЭКСПРЕСС-ПУБЛИКАЦИЯ, подготовленная непосредственно службой технической поддержки Майкрософт . Сведения, содержащиеся в данном документе, предоставлены в качестве отклика на возникшие проблемы. Из-за срочности в материалах могут быть опечатки, и в любое время и без уведомления в них могут быть внесены изменения. Чтобы получить дополнительные сведения, см. Условия использования.

Свойства

Код статьи: 324383 - Последний отзыв: 26 февраля 2014 г. - Revision: 1.0
Информация в данной статье относится к следующим продуктам.
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Ключевые слова: 
kbhotfixserver kbqfe kbhowto KB324383

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com