排查 SCECLI 1202 事件

文章翻译 文章翻译
文章编号: 324383 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

本文介绍了排查和解决 SCECLI 1202 事件的方法。

更多信息

排查这些事件的第一步是识别 Win32 错误代码。该错误代码用于区分导致 SCECLI 1202 事件的故障的类型。下面是一个 SCECLI 1202 事件的示例。错误代码显示在“Description”字段中。在本例中,错误代码是 0x534。此错误代码后面的文本是错误说明。

Event Type:Warning
Event Source:SceCli
Event Category:None
Event ID:1202
Date:MM/DD/YYYY
Time:HH:MM:SS AM|PM
User:N/A
Computer:%ComputerName%
Description:Security policies are propagated with warning.0x534:No mapping between account names and security IDs was done.Please look for more details in TroubleShooting section in Security Help.

在您确定了错误代码之后,请在本文中查找此错误代码的相应部分,然后按照这一部分中的疑难解答步骤进行操作。

0x534:No mapping between account names and security IDs was done.(0x534:帐户名称和安全标识符之间没有进行映射。)
- 或者 -
0x6fc:The trust relationship between the primary domain and the trusted domain failed.(0x6fc:主域和受信任域之间的信任关系失败。)

这些错误代码意味着在将安全帐户解析为安全标识符 (SID) 时失败。出现这种问题的原因通常在于错误地键入了帐户名称或者帐户在被添加到安全策略设置之后被删除。这通常发生在安全策略设置的用户权限部分或受限制的组部分。如果信任关系中的帐户存在,然后此信任关系中断,也可能发生此错误。

要解决此问题,请按照下列步骤操作:
  1. 确定导致故障的帐户。为此,请启用安全配置客户端扩展的调试日志记录。为此,您需要:
    1. 启动注册表编辑器。
    2. 找到并单击下面的注册表子项:
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
    3. 在“编辑”菜单上,单击“添加数值”,然后添加以下注册表值:
      数值名称:ExtensionDebugLevel
      数据类型:DWORD
      数值数据:2
    4. 退出注册表编辑器。
  2. 刷新策略设置以重现此故障。要刷新这些策略设置,请在命令提示符处键入以下内容,然后按 Enter 键:
    secedit /refreshpolicy machine_policy /enforce
    这会在 %SYSTEMROOT%\Security\Logs 文件夹中创建一个名为 Winlogon.log 的文件。
  3. 查找问题帐户。为此,请在命令提示符处键入以下内容,然后按 Enter 键:
    find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log (或者 find /i "找不到" %SYSTEMROOT%\security\logs\winlogon.log)
    查找操作的输出将标识问题帐户的名称,例如“Cannot find MichaelAlexander”(找不到 MichaelAlexander)。在本例中,用户帐户 MichaelAlexander 不在此域中,或者它有不同的拼写,例如,MichelleAlexander。

    确定无法解析此帐户的原因。例如,查找录入错误、被删除的帐户、应用到此计算机的错误策略或信任问题。
  4. 如果您确定此帐户已经被从策略中删除,请查找问题策略和问题设置。要确定哪个设置包含无法解析的帐户,请在产生 SCECLI 1202 事件的计算机上的命令提示符处键入以下内容,然后按 Enter 键:
    c:\>find /i “帐户名” %SYSTEMROOT%\security\templates\policies\gpt*.*
    对于本例,相应的语法和结果是:
    c:\>find /i "MichaelAlexander" %SYSTEMROOT%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,MichaelAlexander,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
    这会将 GPT00002.inf 标识为包含问题设置的问题组策略对象 (GPO) 中的缓存安全模板。它还将问题设置标识为 SeInteractiveLogonRight。SeInteractiveLogonRight 的显示名称是“Logon locally”。

    有关常数(例如,SeInteractiveLogonRight)到其显示名称(例如,Logon locally)的映射,请参见 Microsoft Windows 2000 Server Resource Kit 中的“Distributed Systems Guide”(分布式系统指南)。此映射包含在“附录”的“用户权限”一节中。
  5. 确定包含问题设置的 GPO。在您在步骤 4 中标识的缓存安全模板中搜索文本“GPOPath=”。在本例中,您将看到以下内容:
    GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
    “GPOPath=”和“\MACHINE”之间是 GPO 的 GUID。
  6. 要查找 GPO 的易记名称,请使用 Resource Kit 实用工具 Gpotool.exe。在命令提示符处键入以下内容,然后按 Enter 键:
    gpotool /verbose
    在输出中搜索您在步骤 5 中标识的 GUID。GUID 后面的四行包含策略的易记名称。例如:
    Policy {6AC1786C-016F-11D2-945F-00C04FB984F9} Policy OK Details:------------------------------------------------------------ DC:domcntlr1.wingtiptoys.com Friendly name:Default Domain Controllers Policy
    
现在您已经标识了问题帐户、问题设置和问题 GPO。要解决此问题,请删除或替换问题项。

0x2:The system cannot find the file specified.(0x2:系统找不到指定的文件。)

此错误与 0x534 和 0x6fc 类似,都是由无法解析的帐户名称导致的。当 0x2 错误发生时,通常表明在受限制的组策略设置中指定了无法解析的帐户名称。

要解决此问题,请按照下列步骤操作:
  1. 确定导致故障的服务或对象。为此,请启用安全配置客户端扩展的调试日志记录。为此,您需要:
    1. 启动注册表编辑器。
    2. 找到并单击下面的注册表子项:
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
    3. 在“编辑”菜单上,单击“添加数值”,然后添加下面的注册表值:
      数值名称:ExtensionDebugLevel
      数据类型:DWORD
      数值数据:2
    4. 退出注册表编辑器。
  2. 刷新策略设置以重现此故障。要刷新这些策略设置,请在命令提示符处键入以下内容,然后按 Enter 键:
    secedit /refreshpolicy machine_policy /enforce
    这会在 %SYSTEMROOT%\Security\Logs 文件夹中创建一个名为 Winlogon.log 的文件。
  3. 在命令提示符处键入以下命令,然后按 Enter 键:
    find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log
    查找操作的输出将标识问题帐户的名称,例如,“Cannot find MichaelAlexander”(找不到 MichaelAlexander)。在本例中,用户帐户 MichaelAlexander 不在此域中,或者它有不同的拼写,例如,MichelleAlexander。

    确定无法解析此帐户的原因。例如,查找录入错误、被删除的帐户、应用到此计算机的错误策略或信任问题。
  4. 如果您确定此帐户已经被从策略中删除,请查找有问题的策略和有问题的设置。要确定哪个设置包含无法解析的帐户,请在产生 SCECLI 1202 事件的计算机上的命令提示符处键入以下内容,然后按 Enter 键:
    c:\>find /i “帐户名” %SYSTEMROOT%\security\templates\policies\gpt*.*
    对于本例,相应的语法和结果是:
    c:\>find /i "MichaelAlexander" %SYSTEMROOT%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,JohnDough,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
    这会将 GPT00002.inf 标识为包含问题设置的问题 GPO 中的缓存安全模板。它还将问题设置标识为 SeInteractiveLogonRight。SeInteractiveLogonRight 的显示名称是“Logon locally”。

    有关常数(例如,SeInteractiveLogonRight)到其显示名称(例如,Logon locally)的映射,请参见 Microsoft Windows 2000 Server Resource Kit 中的“Distributed Systems Guide”(分布式系统指南)。此映射包含在“附录”的“用户权限”一节中。
  5. 确定包含问题设置的 GPO。在您在步骤 4 中标识的缓存安全模板中搜索文本“GPOPath=”。在本例中,您将看到以下内容:
    GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
    “GPOPath=”和“\MACHINE”之间是 GPO 的 GUID。
  6. 要查找 GPO 的易记名称,请使用 Resource Kit 实用工具 Gpotool.exe。在命令提示符处键入以下内容,然后按 Enter 键:
    gpotool /verbose
    在输出中搜索您在步骤 5 中标识的 GUID。GUID 后面的四行包含策略的易记名称。例如:
    Policy {6AC1786C-016F-11D2-945F-00C04FB984F9} Policy OK Details:------------------------------------------------------------ DC:domcntlr1.wingtiptoys.com Friendly name:Default Domain Controllers Policy
    

现在您已经标识了问题帐户、问题设置和问题 GPO。要解决此问题,请在安全策略的“受限制的组”部分中搜索问题帐户的实例(在本例中为“MichaelAlexander”),然后删除或替换问题项。

0x5:Access denied.(0x5:拒绝访问。)

这种错误通常在系统没有被授予用来更新服务的访问控制列表的正确权限时发生。如果管理员在策略中定义了服务的权限,但是没有将“完全控制”权限授予系统帐户,也可能发生此问题。

要解决此问题,请按照下列步骤操作:
  1. 确定导致故障的服务或对象。为此,请启用安全配置客户端扩展的调试日志记录。为此,您需要:
    1. 启动注册表编辑器。
    2. 找到并单击下面的注册表子项:
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
    3. 在“编辑”菜单上,单击“添加数值”,然后添加下面的注册表值:
      数值名称:ExtensionDebugLevel
      数据类型:DWORD
      数值数据:2
    4. 退出注册表编辑器。
  2. 刷新策略设置以重现此故障。要刷新这些策略设置,请在命令提示符处键入以下内容,然后按 Enter 键:
    secedit /refreshpolicy machine_policy /enforce
    这会在 %SYSTEMROOT%\Security\Logs 文件夹中创建一个名为 Winlogon.log 的文件。
  3. 在命令提示符处键入以下命令,然后按 Enter 键:
    find /i "error opening" %SYSTEMROOT%\security\logs\winlogon.log
    查找操作的输出将标识具有错误配置的权限的服务,例如,“Error opening Dnscache”(打开 Dnscache 时出错)。Dnscache 是 DNS 客户端服务的简称。
  4. 找出试图修改服务权限的策略。为此,请在命令提示符处键入以下内容,然后按 Enter 键:
    find /i "服务" %SYSTEMROOT%\security\templates\policies\gpt*.*".
    下面是一个示例命令及其输出:
    d:\>find /i "dnscache" %windir%\security\templates\policies\gpt*.*
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF Dnscache,3,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;LA)"
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
    
  5. 确定包含问题设置的 GPO。在您在步骤 4 中标识的缓存安全模板中搜索文本“GPOPath=”。在本例中,您将看到以下内容:
    GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
    “GPOPath=”和“\MACHINE”之间是 GPO 的 GUID。
  6. 要查找 GPO 的易记名称,请使用 Resource Kit 实用工具 Gpotool.exe。在命令提示符处键入以下内容,然后按 Enter 键:
    gpotool /verbose
    在输出中搜索您在步骤 5 中标识的 GUID。GUID 后面的四行包含策略的易记名称。例如:
    Policy {6AC1786C-016F-11D2-945F-00C04FB984F9} Policy OK Details:------------------------------------------------------------ DC:domcntlr1.wingtiptoys.com Friendly name:Default Domain Controllers Policy
    
现在您已经标识了具有错误配置的权限的服务和问题 GPO。要解决此问题,请在安全策略的“系统服务”部分中搜索具有错误配置的权限的服务实例,然后执行正确的操作以将服务的“完全控制”权限授予系统帐户。

0x4b8:An extended error has occurred.(0x4b8:出现了一个扩展错误。)

0x4b8 错误是一般错误,并且可能由许多不同的问题导致。要解决这些错误,请按照下列步骤操作:
  1. 启用安全配置客户端扩展的调试日志记录。为此,您需要:
    1. 启动注册表编辑器。
    2. 找到并单击下面的注册表子项:
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
    3. 在“编辑”菜单上,单击“添加数值”,然后添加下面的注册表值:
      数值名称:ExtensionDebugLevel
      数据类型:DWORD
      数值数据:2
    4. 退出注册表编辑器。
  2. 刷新策略设置以重现此故障。要刷新这些策略设置,请在命令提示符处键入以下内容,然后按 Enter 键:
    secedit /refreshpolicy machine_policy /enforce
    这会在 %SYSTEMROOT%\Security\Logs 文件夹中创建一个名为 Winlogon.log 的文件。
  3. 请参见下面的 Microsoft 知识库文章。这些文章介绍了导致 0x4b8 错误的已知问题。单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    260715 在配置策略后出现 Event ID 1000 和 1202
    278316 在应用程序事件日志中重复记录 ESENT 事件 ID 1000、1202、412 和 454

属性

文章编号: 324383 - 最后修改: 2006年4月3日 - 修订: 1.3
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
关键字:?
kbhowto kbqfe kbhotfixserver KB324383
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com