Problembehandlung bei SCECLI 1202-Ereignissen

In diesem Artikel werden Möglichkeiten zur Problembehandlung und Zum Beheben von SCECLI 1202-Ereignissen beschrieben.

Gilt für: Unterstützte Versionen von Windows Server und Windows Client
Ursprüngliche KB-Nummer: 324383

Zusammenfassung

Der erste Schritt bei der Problembehandlung für diese Ereignisse besteht darin, den Win32-Fehlercode zu identifizieren. Dieser Fehlercode unterscheidet die Art des Fehlers, der das SCECLI 1202-Ereignis verursacht. Im Folgenden finden Sie ein Beispiel für ein SCECLI 1202-Ereignis. Der Fehlercode wird im Feld Beschreibung angezeigt. In diesem Beispiel wird der Fehlercode 0x534. Der Text nach dem Fehlercode ist die Fehlerbeschreibung. Nachdem Sie den Fehlercode ermittelt haben, suchen Sie diesen Fehlercodeabschnitt in diesem Artikel, und führen Sie dann die Schritte zur Problembehandlung in diesem Abschnitt aus.

0x534: Es wurde keine Zuordnung zwischen Kontonamen und Sicherheits-IDs durchgeführt.

oder

0x6fc: Fehler bei der Vertrauensstellung zwischen der primären Domäne und der vertrauenswürdigen Domäne.

Fehlercode 0x534: Es wurde keine Zuordnung zwischen Kontonamen und Sicherheits-IDs durchgeführt.

Diese Fehlercodes bedeuten, dass ein Sicherheitskonto nicht in eine Sicherheits-ID (SID) aufgelöst wurde. Der Fehler tritt in der Regel auf, weil ein Kontoname falsch eingegeben wurde oder weil das Konto gelöscht wurde, nachdem es der Sicherheitsrichtlinieneinstellung hinzugefügt wurde. Dies tritt in der Regel im Abschnitt Benutzerrechte oder im Abschnitt Eingeschränkte Gruppen der Sicherheitsrichtlinieneinstellung auf. Dies kann auch auftreten, wenn das Konto in einer Vertrauensstellung vorhanden ist und dann die Vertrauensstellung unterbrochen wird.

Führen Sie zum Behandeln dieses Problems die folgenden Schritte aus:

1. Ermitteln Sie das Konto, das den Fehler verursacht. Aktivieren Sie dazu die Debugprotokollierung für die clientseitige Erweiterung "Sicherheitskonfiguration":

   1. Starten Sie den Registrierungs-Editor.

   2. Klicken Sie auf den folgenden Registrierungsunterschlüssel:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}

   3. Wählen Sie im Menü Bearbeiten die Option Wert hinzufügen aus, und fügen Sie dann den folgenden Registrierungswert hinzu:

      • Wertname: ExtensionDebugLevel
      • Werttyp: DWORD
      • Wertdaten: 2

   4. Beenden Sie den Registrierungs-Editor.

2. Aktualisieren Sie die Richtlinieneinstellungen, um den Fehler zu reproduzieren. Um die Richtlinieneinstellungen zu aktualisieren, geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

   gpupdate /target:computer /force
   

   Dieser Befehl erstellt eine Datei mit dem Namen Winlogon.log im %SYSTEMROOT%\Security\Logs Ordner.

3. Suchen Sie das Problemkonto. Geben Sie dazu den folgenden Befehl an der Eingabeaufforderung ein, und drücken Sie dann die EINGABETASTE:

   find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log
   

   Die Ausgabe "Suchen" identifiziert die Namen des Problemkontos, z. B . MichaelPeltier kann nicht gefunden werden. In diesem Beispiel ist das Benutzerkonto MichaelPeltier nicht in der Domäne vorhanden. Oder es hat eine andere Schreibweise, z. B. MichellePeltier.

   Ermitteln Sie, warum dieses Konto nicht aufgelöst werden kann. Suchen Sie beispielsweise nach Typografiefehlern, einem gelöschten Konto, der falschen Richtlinie, die für diesen Computer gilt, oder nach einem Vertrauensproblem.

4. Wenn Sie feststellen, dass das Konto aus der Richtlinie entfernt werden muss, suchen Sie die Problemrichtlinie und die Problemeinstellung. Um zu bestimmen, welche Einstellung das nicht aufgelöste Konto enthält, geben Sie an der Eingabeaufforderung auf dem Computer, der das SCECLI 1202-Ereignis erzeugt, den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

   c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*
   

   In diesem Beispiel sind die Syntax und die Ergebnisse:

   c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.*
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
   SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,MichaelPeltier,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
   

   Es identifiziert GPT00002.inf als zwischengespeicherte Sicherheitsvorlage aus dem Problem Gruppenrichtlinie-Objekt (GPO), das die Problemeinstellung enthält. Außerdem wird die Problemeinstellung als SeInteractiveLogonRight identifiziert. Der Anzeigename für SeInteractiveLogonRight lautet Lokal anmelden.

   Eine Zuordnung der Konstanten (z. B. SeInteractiveLogonRight) zu ihren Anzeigenamen (z. B. lokale Anmeldung) finden Sie unter Zuweisung von Benutzerrechten.

5. Bestimmen Sie, welches Gruppenrichtlinienobjekt die Problemeinstellung enthält. Search die zwischengespeicherte Sicherheitsvorlage, die Sie in Schritt 4 für den Text GPOPath=identifiziert haben. In diesem Beispiel sehen Sie Folgendes:

   GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE

   {6AC1786C-016F-11D2-945F-00C04FB984F9} ist die GUID des Gruppenrichtlinienobjekts.

6. Um den Anzeigenamen des Gruppenrichtlinienobjekts zu ermitteln, verwenden Sie das PowerShell-Cmdlet Get-GPO -Guid auf einem Domänencontroller (DC) oder auf einem Server mit installierten RsaT-Tools (Remote Server Administrator Tools) von Active Directory (AD).

   Der Anzeigename des Gruppenrichtlinienobjekts wird neben dem DisplayName Feld angezeigt:

   Get-GPO -Guid 6AC1786C-016F-11D2-945F-00C04FB984F9
   DisplayName : Default Domain Controllers Policy
   DomainName : contoso.com
   Owner : CONTOSO\Domain Admins
   

Nun haben Sie das Problemkonto, die Problemeinstellung und das Problem-GPO identifiziert. Um das Problem zu beheben, entfernen oder ersetzen Sie den Problemeintrag.

Fehlercode 0x2: Das System kann die angegebene Datei nicht finden.

Dieser Fehler ähnelt 0x534 und 0x6fc. Sie wird durch einen unauflösbaren Kontonamen verursacht. Wenn der 0x2 Fehler auftritt, weist dies in der Regel darauf hin, dass der unauflösbare Kontoname in einer Richtlinieneinstellung eingeschränkt Gruppen angegeben wird.

Führen Sie zum Behandeln dieses Problems die folgenden Schritte aus:

1. Bestimmen Sie, welcher Dienst oder welches Objekt den Fehler aufweist. Aktivieren Sie dazu die Debugprotokollierung für die clientseitige Erweiterung "Sicherheitskonfiguration":

   1. Starten Sie den Registrierungs-Editor.

   2. Klicken Sie auf den folgenden Registrierungsunterschlüssel:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}

   3. Wählen Sie im Menü Bearbeiten die Option Wert hinzufügen aus, und fügen Sie dann den folgenden Registrierungswert hinzu:

      • Wertname: ExtensionDebugLevel
      • Werttyp: DWORD
      • Wertdaten: 2

   4. Beenden Sie den Registrierungs-Editor.

2. Aktualisieren Sie die Richtlinieneinstellungen, um den Fehler zu reproduzieren. Um die Richtlinieneinstellungen zu aktualisieren, geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

   gpupdate /target:computer /force
   

   Dieser Befehl erstellt eine Datei mit dem Namen Winlogon.log im %SYSTEMROOT%\Security\Logs Ordner.

3. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie die EINGABETASTE:

   find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log
   

   Die Ausgabe "Suchen" identifiziert die Namen des Problemkontos, z. B . MichaelPeltier kann nicht gefunden werden. In diesem Beispiel ist das Benutzerkonto MichaelPeltier nicht in der Domäne vorhanden. Oder es hat eine andere Schreibweise - zum Beispiel MichellePeltier.

   Ermitteln Sie, warum dieses Konto nicht aufgelöst werden kann. Suchen Sie beispielsweise nach Typografiefehlern, einem gelöschten Konto, der falschen Richtlinie, die auf diesen Computer angewendet wird, oder nach einem Vertrauensproblem.

4. Wenn Sie feststellen, dass das Konto aus der Richtlinie entfernt werden muss, suchen Sie die Problemrichtlinie und die Problemeinstellung. Um zu ermitteln, welche Einstellung das nicht aufgelöste Konto enthält, geben Sie an der Eingabeaufforderung auf dem Computer, der das SCECLI 1202-Ereignis erzeugt, den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

   c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*
   

   In diesem Beispiel sind die Syntax und die Ergebnisse:

   c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.*
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
   SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,JohnDough,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
   

   Es identifiziert GPT00002.inf als zwischengespeicherte Sicherheitsvorlage aus dem Problem-GPO, das die Problemeinstellung enthält. Außerdem wird die Problemeinstellung als SeInteractiveLogonRight identifiziert. Der Anzeigename für SeInteractiveLogonRight lautet Lokal anmelden.

   Eine Zuordnung der Konstanten (z. B. SeInteractiveLogonRight) zu ihren Anzeigenamen (z. B. lokale Anmeldung) finden Sie unter Zuweisung von Benutzerrechten.

5. Bestimmen Sie, welches Gruppenrichtlinienobjekt die Problemeinstellung enthält. Search die zwischengespeicherte Sicherheitsvorlage, die Sie in Schritt 4 für den Text GPOPath=identifiziert haben. In diesem Beispiel sehen Sie Folgendes:

   GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE

   {6AC1786C-016F-11D2-945F-00C04FB984F9} ist die GUID des Gruppenrichtlinienobjekts.

6. Um den Anzeigenamen des Gruppenrichtlinienobjekts zu ermitteln, verwenden Sie das PowerShell-Cmdlet Get-GPO -Guid auf einem Domänencontroller oder einem Server mit installierten AD RSAT-Tools.

   Der Anzeigename des Gruppenrichtlinienobjekts wird neben dem DisplayName Feld angezeigt:

   Get-GPO -Guid 6AC1786C-016F-11D2-945F-00C04FB984F9
   DisplayName : Default Domain Controllers Policy
   DomainName : contoso.com
   Owner : CONTOSO\Domain Admins
   

Sie haben nun das Problemkonto, die Problemeinstellung und das Problem-GPO identifiziert. Um das Problem zu beheben, durchsuchen Sie den Abschnitt Restricted Gruppen der Sicherheitsrichtlinie nach Instanzen des Problemkontos (in diesem Beispiel MichaelPeltier), und entfernen oder ersetzen Sie dann den Problemeintrag.

Fehlercode 0x5: Zugriff verweigert

Dieser Fehler tritt in der Regel auf, wenn dem System nicht die richtigen Berechtigungen zum Aktualisieren der Zugriffssteuerungsliste eines Diensts erteilt wurden. Dies kann vorkommen, wenn der Administrator Berechtigungen für einen Dienst in einer Richtlinie definiert, dem Systemkonto jedoch keine Vollzugriffsberechtigungen gewährt.

Führen Sie zum Behandeln dieses Problems die folgenden Schritte aus:

1. Bestimmen Sie, welcher Dienst oder welches Objekt den Fehler aufweist. Aktivieren Sie dazu die Debugprotokollierung für die clientseitige Erweiterung "Sicherheitskonfiguration":

   1. Starten Sie den Registrierungs-Editor.

   2. Klicken Sie auf den folgenden Registrierungsunterschlüssel:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}

   3. Wählen Sie im Menü Bearbeiten die Option Wert hinzufügen aus, und fügen Sie dann den folgenden Registrierungswert hinzu:

      • Wertname: ExtensionDebugLevel
      • Werttyp: DWORD
      • Wertdaten: 2

   4. Beenden Sie den Registrierungs-Editor.

2. Aktualisieren Sie die Richtlinieneinstellungen, um den Fehler zu reproduzieren. Um die Richtlinieneinstellungen zu aktualisieren, geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

   gpupdate /target:computer /force
   

   Dieser Befehl erstellt eine Datei mit dem Namen Winlogon.log im %SYSTEMROOT%\Security\Logs Ordner.

3. Geben Sie an der Eingabeaufforderung Folgendes ein, und drücken Sie dann die EINGABETASTE:

   find /i "error opening" %SYSTEMROOT%\security\logs\winlogon.log
   

   Die Find-Ausgabe identifiziert den Dienst mit den falsch konfigurierten Berechtigungen, z. B. Fehler beim Öffnen von Dnscache. Dnscache ist der Kurzname für den DNS-Clientdienst.

4. Finden Sie heraus, welche Richtlinie oder welche Richtlinien versuchen, die Dienstberechtigungen zu ändern. Geben Sie dazu den folgenden Befehl an der Eingabeaufforderung ein, und drücken Sie dann die EINGABETASTE:

   find /i "service" %SYSTEMROOT%\security\templates\policies\gpt*.*
   

   Im Folgenden finden Sie einen Beispielbefehl und dessen Ausgabe:

   d:\>find /i "dnscache" %windir%\security\templates\policies\gpt*.*
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
   Dnscache,3,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;LA)"
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
   

5. Bestimmen Sie, welches Gruppenrichtlinienobjekt die Problemeinstellung enthält. Search die zwischengespeicherte Sicherheitsvorlage, die Sie in Schritt 4 für den Text GPOPath=identifiziert haben. In diesem Beispiel sehen Sie Folgendes:

   GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE

   {6AC1786C-016F-11D2-945F-00C04FB984F9} ist die GUID des Gruppenrichtlinienobjekts.

6. Um den Anzeigenamen des Gruppenrichtlinienobjekts zu ermitteln, verwenden Sie das PowerShell-Cmdlet Get-GPO -Guid auf einem Domänencontroller oder einem Server mit installierten AD RSAT-Tools.

   Der Anzeigename des Gruppenrichtlinienobjekts wird neben dem DisplayName Feld angezeigt:

    Get-GPO -Guid 6AC1786C-016F-11D2-945F-00C04FB984F9
    DisplayName : Default Domain Controllers Policy
    DomainName : contoso.com
    Owner : CONTOSO\Domain Admins
   

Nun haben Sie den Dienst mit den falsch konfigurierten Berechtigungen und dem Problem GPO identifiziert. Um das Problem zu beheben, durchsuchen Sie den Abschnitt Systemdienste der Sicherheitsrichtlinie nach Instanzen des Diensts mit den falsch konfigurierten Berechtigungen. Und ergreifen Sie dann Korrekturmaßnahmen, um dem Systemkonto Vollzugriffsberechtigungen für den Dienst zu gewähren.

Fehlercode 0x4b8: Ein erweiterter Fehler ist aufgetreten.

Der 0x4b8 Fehler ist generisch und kann durch viele verschiedene Probleme verursacht werden. Führen Sie die folgenden Schritte aus, um diese Fehler zu beheben:

1. Aktivieren Sie die Debugprotokollierung für die clientseitige Erweiterung der Sicherheitskonfiguration:

   1. Starten Sie den Registrierungs-Editor.

   2. Klicken Sie auf den folgenden Registrierungsunterschlüssel:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}

   3. Wählen Sie im Menü Bearbeiten die Option Wert hinzufügen aus, und fügen Sie dann den folgenden Registrierungswert hinzu:

      • Wertname: ExtensionDebugLevel
      • Werttyp: DWORD
      • Wertdaten: 2

   4. Beenden Sie den Registrierungs-Editor.

2. Aktualisieren Sie die Richtlinieneinstellungen, um den Fehler zu reproduzieren. Um die Richtlinieneinstellungen zu aktualisieren, geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

   gpupdate /target:computer /force
   

   Dieser Befehl erstellt eine Datei mit dem Namen Winlogon.log im %SYSTEMROOT%\Security\Logs Ordner.

3. Siehe ESENT-Ereignis-IDs 1000, 1202, 412 und 454 werden wiederholt im Anwendungsprotokoll protokolliert. In diesem Artikel werden bekannte Probleme beschrieben, die den 0x4b8 Fehler verursachen.

Datensammlung

Wenn Sie Unterstützung vom Microsoft-Support benötigen, sollten Sie die Informationen sammeln, indem Sie die unter Sammeln von Informationen mithilfe von TSS für Gruppenrichtlinie Probleme beschriebenen Schritte ausführen.