Problembehandlung bei SCECLI 1202-Ereignissen

  • Artikel

In diesem Artikel werden Möglichkeiten zur Problembehandlung und Zum Beheben von SCECLI 1202-Ereignissen beschrieben.

Gilt für: Windows Server 2012 R2
Ursprüngliche KB-Nummer: 324383

Zusammenfassung

Der erste Schritt bei der Problembehandlung für diese Ereignisse besteht darin, den Win32-Fehlercode zu identifizieren. Dieser Fehlercode unterscheidet die Art des Fehlers, der das SCECLI 1202-Ereignis verursacht. Im Folgenden finden Sie ein Beispiel für ein SCECLI 1202-Ereignis. Der Fehlercode wird im Feld Beschreibung angezeigt. In diesem Beispiel wird der Fehlercode 0x534. Der Text nach dem Fehlercode ist die Fehlerbeschreibung. Nachdem Sie den Fehlercode ermittelt haben, suchen Sie diesen Fehlercodeabschnitt in diesem Artikel, und führen Sie dann die Schritte zur Problembehandlung in diesem Abschnitt aus.

0x534: Es wurde keine Zuordnung zwischen Kontonamen und Sicherheits-IDs durchgeführt.

oder

0x6fc: Fehler bei der Vertrauensstellung zwischen der primären Domäne und der vertrauenswürdigen Domäne.

Fehlercode 0x534: Es wurde keine Zuordnung zwischen Kontonamen und Sicherheits-IDs durchgeführt.

Diese Fehlercodes bedeuten, dass ein Sicherheitskonto nicht in eine Sicherheits-ID (SID) aufgelöst wurde. Der Fehler tritt in der Regel auf, weil ein Kontoname falsch eingegeben wurde oder weil das Konto gelöscht wurde, nachdem es der Sicherheitsrichtlinieneinstellung hinzugefügt wurde. Dies tritt in der Regel im Abschnitt Benutzerrechte oder im Abschnitt Eingeschränkte Gruppen der Sicherheitsrichtlinieneinstellung auf. Dies kann auch auftreten, wenn das Konto in einer Vertrauensstellung vorhanden ist und dann die Vertrauensstellung unterbrochen wird.

Führen Sie zum Behandeln dieses Problems die folgenden Schritte aus:

  1. Ermitteln Sie das Konto, das den Fehler verursacht. Aktivieren Sie dazu die Debugprotokollierung für die clientseitige Erweiterung "Sicherheitskonfiguration":

    1. Starten Sie den Registrierungs-Editor.

    2. Klicken Sie auf den folgenden Registrierungsunterschlüssel:

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}

    3. Wählen Sie im Menü Bearbeiten die Option Wert hinzufügen aus, und fügen Sie dann den folgenden Registrierungswert hinzu:

      • Wertname: ExtensionDebugLevel
      • Werttyp: DWORD
      • Wertdaten: 2

    4. Beenden Sie den Registrierungs-Editor.

  2. Aktualisieren Sie die Richtlinieneinstellungen, um den Fehler zu reproduzieren. Um die Richtlinieneinstellungen zu aktualisieren, geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    secedit /refreshpolicy machine_policy /enforce

    Dieser Befehl erstellt eine Datei mit dem Namen Winlogon.log im %SYSTEMROOT%\Security\Logs Ordner.

  3. Suchen Sie das Problemkonto. Geben Sie dazu den folgenden Befehl an der Eingabeaufforderung ein, und drücken Sie dann die EINGABETASTE:

    find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log

    Die Ausgabe "Suchen" identifiziert die Namen des Problemkontos, z. B . MichaelPeltier kann nicht gefunden werden. In diesem Beispiel ist das Benutzerkonto MichaelPeltier nicht in der Domäne vorhanden. Oder es hat eine andere Schreibweise, z. B. MichellePeltier.

    Ermitteln Sie, warum dieses Konto nicht aufgelöst werden kann. Suchen Sie beispielsweise nach Typografiefehlern, einem gelöschten Konto, der falschen Richtlinie, die für diesen Computer gilt, oder nach einem Vertrauensproblem.

  4. Wenn Sie feststellen, dass das Konto aus der Richtlinie entfernt werden muss, suchen Sie die Problemrichtlinie und die Problemeinstellung. Um zu bestimmen, welche Einstellung das nicht aufgelöste Konto enthält, geben Sie an der Eingabeaufforderung auf dem Computer, der das SCECLI 1202-Ereignis erzeugt, den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*

    In diesem Beispiel sind die Syntax und die Ergebnisse:

    c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.*
---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,MichaelPeltier,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM

    Es identifiziert GPT00002.inf als zwischengespeicherte Sicherheitsvorlage aus dem Problem Gruppenrichtlinie-Objekt (GPO), das die Problemeinstellung enthält. Außerdem wird die Problemeinstellung als SeInteractiveLogonRight identifiziert. Der Anzeigename für SeInteractiveLogonRight lautet Lokal anmelden.

    Eine Zuordnung der Konstanten (z. B. SeInteractiveLogonRight) zu ihren Anzeigenamen (z. B. lokale Anmeldung) finden Sie im Microsoft Windows 2000 Server Resource Kit, Leitfaden für verteilte Systeme. Die Karte befindet sich im Abschnitt Benutzerrechte des Anhangs.

  5. Bestimmen Sie, welches Gruppenrichtlinienobjekt die Problemeinstellung enthält. Durchsuchen Sie die zwischengespeicherte Sicherheitsvorlage, die Sie in Schritt 4 identifiziert haben, nach dem Text GPOPath=. In diesem Beispiel sehen Sie Folgendes:

    GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE

    {6AC1786C-016F-11D2-945F-00C04FB984F9} ist die GUID des Gruppenrichtlinienobjekts.

  6. Um den Anzeigenamen des Gruppenrichtlinienobjekts zu ermitteln, verwenden Sie das Resource Kit-Hilfsprogramm Gpotool.exe. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    gpotool /verbose

    Durchsuchen Sie die Ausgabe nach der GUID, die Sie in Schritt 5 identifiziert haben. Die vier Zeilen, die auf die GUID folgen, enthalten den Anzeigenamen der Richtlinie. Zum Beispiel:

    Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
Policy OK
Details:
------------------------------------------------------------
DC: domcntlr1.wingtiptoys.com
Friendly name: Default Domain Controllers Policy

Nun haben Sie das Problemkonto, die Problemeinstellung und das Problem-GPO identifiziert. Um das Problem zu beheben, entfernen oder ersetzen Sie den Problemeintrag.

Fehlercode 0x2: Das System kann die angegebene Datei nicht finden.

Dieser Fehler ähnelt 0x534 und 0x6fc. Sie wird durch einen unauflösbaren Kontonamen verursacht. Wenn der 0x2 Fehler auftritt, weist dies in der Regel darauf hin, dass der unauflösbare Kontoname in einer Richtlinieneinstellung für eingeschränkte Gruppen angegeben ist.

Führen Sie zum Behandeln dieses Problems die folgenden Schritte aus:

  1. Bestimmen Sie, welcher Dienst oder welches Objekt den Fehler aufweist. Aktivieren Sie dazu die Debugprotokollierung für die clientseitige Erweiterung "Sicherheitskonfiguration":

    1. Starten Sie den Registrierungs-Editor.

    2. Klicken Sie auf den folgenden Registrierungsunterschlüssel:

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}

    3. Wählen Sie im Menü Bearbeiten die Option Wert hinzufügen aus, und fügen Sie dann den folgenden Registrierungswert hinzu:

      • Wertname: ExtensionDebugLevel
      • Werttyp: DWORD
      • Wertdaten: 2

    4. Beenden Sie den Registrierungs-Editor.

  2. Aktualisieren Sie die Richtlinieneinstellungen, um den Fehler zu reproduzieren. Um die Richtlinieneinstellungen zu aktualisieren, geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    secedit /refreshpolicy machine_policy /enforce

    Dieser Befehl erstellt eine Datei mit dem Namen Winlogon.log im %SYSTEMROOT%\Security\Logs Ordner.

  3. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie die EINGABETASTE:

    find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log

    Die Ausgabe "Suchen" identifiziert die Namen des Problemkontos, z. B . MichaelPeltier kann nicht gefunden werden. In diesem Beispiel ist das Benutzerkonto MichaelPeltier nicht in der Domäne vorhanden. Oder es hat eine andere Schreibweise - zum Beispiel MichellePeltier.

    Ermitteln Sie, warum dieses Konto nicht aufgelöst werden kann. Suchen Sie beispielsweise nach Typografiefehlern, einem gelöschten Konto, der falschen Richtlinie, die auf diesen Computer angewendet wird, oder nach einem Vertrauensproblem.

  4. Wenn Sie feststellen, dass das Konto aus der Richtlinie entfernt werden muss, suchen Sie die Problemrichtlinie und die Problemeinstellung. Um zu ermitteln, welche Einstellung das nicht aufgelöste Konto enthält, geben Sie an der Eingabeaufforderung auf dem Computer, der das SCECLI 1202-Ereignis erzeugt, den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*

    In diesem Beispiel sind die Syntax und die Ergebnisse:

    c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.*
---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,JohnDough,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM

    Es identifiziert GPT00002.inf als zwischengespeicherte Sicherheitsvorlage aus dem Problem-GPO, das die Problemeinstellung enthält. Außerdem wird die Problemeinstellung als SeInteractiveLogonRight identifiziert. Der Anzeigename für SeInteractiveLogonRight lautet Lokal anmelden.

    Eine Zuordnung der Konstanten (z. B. SeInteractiveLogonRight) zu ihren Anzeigenamen (z. B. lokale Anmeldung) finden Sie im Windows 2000 Server Resource Kit, Handbuch für verteilte Systeme. Die Karte befindet sich im Abschnitt Benutzerrechte des Anhangs.

  5. Bestimmen Sie, welches Gruppenrichtlinienobjekt die Problemeinstellung enthält. Durchsuchen Sie die zwischengespeicherte Sicherheitsvorlage, die Sie in Schritt 4 identifiziert haben, nach dem Text GPOPath=. In diesem Beispiel sehen Sie Folgendes:

    GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE

    {6AC1786C-016F-11D2-945F-00C04FB984F9} ist die GUID des Gruppenrichtlinienobjekts.

  6. Um den Anzeigenamen des Gruppenrichtlinienobjekts zu ermitteln, verwenden Sie das Resource Kit-Hilfsprogramm Gpotool.exe. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    gpotool /verbose

    Durchsuchen Sie die Ausgabe nach der GUID, die Sie in Schritt 5 identifiziert haben. Die vier Zeilen, die auf die GUID folgen, enthalten den Anzeigenamen der Richtlinie. Zum Beispiel:

    Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
Policy OK
Details:
------------------------------------------------------------
DC: domcntlr1.wingtiptoys.com
Friendly name: Default Domain Controllers Policy

Sie haben nun das Problemkonto, die Problemeinstellung und das Problem-GPO identifiziert. Um das Problem zu beheben, durchsuchen Sie den Abschnitt Eingeschränkte Gruppen der Sicherheitsrichtlinie nach Instanzen des Problemkontos (in diesem Beispiel MichaelPeltier), und entfernen oder ersetzen Sie dann den Problemeintrag.

Fehlercode 0x5: Zugriff verweigert

Dieser Fehler tritt in der Regel auf, wenn dem System nicht die richtigen Berechtigungen zum Aktualisieren der Zugriffssteuerungsliste eines Diensts erteilt wurden. Dies kann vorkommen, wenn der Administrator Berechtigungen für einen Dienst in einer Richtlinie definiert, dem Systemkonto jedoch keine Vollzugriffsberechtigungen gewährt.

Führen Sie zum Behandeln dieses Problems die folgenden Schritte aus:

  1. Bestimmen Sie, welcher Dienst oder welches Objekt den Fehler aufweist. Aktivieren Sie dazu die Debugprotokollierung für die clientseitige Erweiterung "Sicherheitskonfiguration":

    1. Starten Sie den Registrierungs-Editor.

    2. Klicken Sie auf den folgenden Registrierungsunterschlüssel:

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}

    3. Wählen Sie im Menü Bearbeiten die Option Wert hinzufügen aus, und fügen Sie dann den folgenden Registrierungswert hinzu:

      • Wertname: ExtensionDebugLevel
      • Werttyp: DWORD
      • Wertdaten: 2

    4. Beenden Sie den Registrierungs-Editor.

  2. Aktualisieren Sie die Richtlinieneinstellungen, um den Fehler zu reproduzieren. Um die Richtlinieneinstellungen zu aktualisieren, geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    secedit /refreshpolicy machine_policy /enforce

    Dieser Befehl erstellt eine Datei mit dem Namen Winlogon.log im %SYSTEMROOT%\Security\Logs Ordner.

  3. Geben Sie an der Eingabeaufforderung Folgendes ein, und drücken Sie dann die EINGABETASTE:

    find /i "error opening" %SYSTEMROOT%\security\logs\winlogon.log

    Die Find-Ausgabe identifiziert den Dienst mit den falsch konfigurierten Berechtigungen, z. B. Fehler beim Öffnen von Dnscache. Dnscache ist der Kurzname für den DNS-Clientdienst.

  4. Finden Sie heraus, welche Richtlinie oder welche Richtlinien versuchen, die Dienstberechtigungen zu ändern. Geben Sie dazu den folgenden Befehl an der Eingabeaufforderung ein, und drücken Sie dann die EINGABETASTE:

    find /i "service" %SYSTEMROOT%\security\templates\policies\gpt*.*".

    Im Folgenden finden Sie einen Beispielbefehl und dessen Ausgabe:

    d:\>find /i "dnscache" %windir%\security\templates\policies\gpt*.*

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
Dnscache,3,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;LA)"

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM

  5. Bestimmen Sie, welches Gruppenrichtlinienobjekt die Problemeinstellung enthält. Durchsuchen Sie die zwischengespeicherte Sicherheitsvorlage, die Sie in Schritt 4 identifiziert haben, nach dem Text GPOPath=. In diesem Beispiel sehen Sie Folgendes:

    GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE

    {6AC1786C-016F-11D2-945F-00C04FB984F9} ist die GUID des Gruppenrichtlinienobjekts.

  6. Um den Anzeigenamen des Gruppenrichtlinienobjekts zu ermitteln, verwenden Sie das Resource Kit-Hilfsprogramm Gpotool.exe. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    gpotool /verbose

    Durchsuchen Sie die Ausgabe nach der GUID, die Sie in Schritt 5 identifiziert haben. Die vier Zeilen, die auf die GUID folgen, enthalten den Anzeigenamen der Richtlinie. Zum Beispiel:

    Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
Policy OK
Details:
------------------------------------------------------------
DC: domcntlr1.wingtiptoys.com
Friendly name: Default Domain Controllers Policy

Nun haben Sie den Dienst mit den falsch konfigurierten Berechtigungen und dem Problem GPO identifiziert. Um das Problem zu beheben, durchsuchen Sie den Abschnitt Systemdienste der Sicherheitsrichtlinie nach Instanzen des Diensts mit den falsch konfigurierten Berechtigungen. Und ergreifen Sie dann Korrekturmaßnahmen, um dem Systemkonto Vollzugriffsberechtigungen für den Dienst zu gewähren.

Fehlercode 0x4b8: Ein erweiterter Fehler ist aufgetreten.

Der 0x4b8 Fehler ist generisch und kann durch viele verschiedene Probleme verursacht werden. Führen Sie die folgenden Schritte aus, um diese Fehler zu beheben:

  1. Aktivieren Sie die Debugprotokollierung für die clientseitige Erweiterung der Sicherheitskonfiguration:

    1. Starten Sie den Registrierungs-Editor.

    2. Klicken Sie auf den folgenden Registrierungsunterschlüssel:

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}

    3. Wählen Sie im Menü Bearbeiten die Option Wert hinzufügen aus, und fügen Sie dann den folgenden Registrierungswert hinzu:

      • Wertname: ExtensionDebugLevel
      • Werttyp: DWORD
      • Wertdaten: 2

    4. Beenden Sie den Registrierungs-Editor.

  2. Aktualisieren Sie die Richtlinieneinstellungen, um den Fehler zu reproduzieren. Um die Richtlinieneinstellungen zu aktualisieren, geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    secedit /refreshpolicy machine_policy /enforce

    Dieser Befehl erstellt eine Datei mit dem Namen Winlogon.log im %SYSTEMROOT%\Security\Logs Ordner.

  3. Siehe ESENT-Ereignis-IDs 1000, 1202, 412 und 454 werden wiederholt im Anwendungsprotokoll protokolliert. In diesem Artikel werden bekannte Probleme beschrieben, die den 0x4b8 Fehler verursachen.

Datensammlung

Wenn Sie Unterstützung vom Microsoft-Support benötigen, sollten Sie die Informationen sammeln, indem Sie die unter Sammeln von Informationen mithilfe von TSS für Gruppenrichtlinie Probleme beschriebenen Schritte ausführen.