Rozwiązywanie problemów ze zdarzeniami SCECLI 1202
W tym artykule opisano sposoby rozwiązywania problemów i rozwiązywania zdarzeń SCECLI 1202.
Dotyczy: Windows Server 2012 R2
Oryginalny numer KB: 324383
Podsumowanie
Pierwszym krokiem rozwiązywania problemów z tymi zdarzeniami jest zidentyfikowanie kodu błędu Win32. Ten kod błędu rozróżnia typ błędu, który powoduje zdarzenie SCECLI 1202. Poniżej przedstawiono przykład zdarzenia SCECLI 1202. Kod błędu jest wyświetlany w polu Opis . W tym przykładzie kod błędu jest 0x534. Tekst po kodzie błędu to opis błędu. Po określeniu kodu błędu znajdź tę sekcję kodu błędu w tym artykule, a następnie wykonaj kroki rozwiązywania problemów w tej sekcji.
0x534: nie wykonano mapowania między nazwami kont a identyfikatorami zabezpieczeń.
lub
0x6fc: Relacja zaufania między domeną podstawową a domeną zaufaną nie powiodła się.
Kod błędu 0x534: Nie wykonano mapowania między nazwami kont a identyfikatorami zabezpieczeń
Te kody błędów oznaczają, że nie można rozpoznać konta zabezpieczeń do identyfikatora zabezpieczeń (SID). Błąd zwykle występuje z powodu nieprawidłowego wytypowania nazwy konta lub usunięcia konta po dodaniu go do ustawienia zasad zabezpieczeń. Zwykle odbywa się to w sekcji Prawa użytkownika lub w sekcji Grupy z ograniczeniami ustawienia zasad zabezpieczeń. Może się to również zdarzyć, jeśli konto istnieje w relacji zaufania, a następnie relacja zaufania zostanie przerwana.
Aby rozwiązać ten problem, wykonaj następujące kroki:
Określ konto, które powoduje awarię. W tym celu włącz rejestrowanie debugowania dla rozszerzenia po stronie klienta konfiguracji zabezpieczeń:
Uruchom Edytor rejestru.
Odszukaj i wybierz następujący podklucz rejestru:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}W menu Edytuj wybierz pozycję Dodaj wartość, a następnie dodaj następującą wartość rejestru:
- Nazwa wartości: ExtensionDebugLevel
- Typ wartości: DWORD
- Dane wartości: 2
Zamknij Edytor rejestru.
Odśwież ustawienia zasad, aby odtworzyć błąd. Aby odświeżyć ustawienia zasad, wpisz następujące polecenie w wierszu polecenia, a następnie naciśnij klawisz ENTER:
secedit /refreshpolicy machine_policy /enforceTo polecenie tworzy plik o nazwie Winlogon.log w folderze
%SYSTEMROOT%\Security\Logs.Znajdź konto problemu. W tym celu wpisz następujące polecenie w wierszu polecenia, a następnie naciśnij klawisz ENTER:
find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.logDane wyjściowe wyszukiwania identyfikują nazwy kont problemu, na przykład Nie można odnaleźć aplikacji MichaelPeltier. W tym przykładzie konto użytkownika MichaelPeltier nie istnieje w domenie. Albo ma inną pisownię, taką jak MichellePeltier.
Ustal, dlaczego nie można rozpoznać tego konta. Na przykład wyszukaj błędy typograficzne, usunięte konto, nieprawidłowe zasady, które dotyczą tego komputera, lub problem zaufania.
Jeśli ustalisz, że konto musi zostać usunięte z zasad, znajdź zasady problemu i ustawienie problemu. Aby określić, które ustawienie zawiera nierozwiązane konto, wpisz następujące polecenie w wierszu polecenia na komputerze, który generuje zdarzenie SCECLI 1202, a następnie naciśnij klawisz ENTER:
c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*W tym przykładzie składnia i wyniki to:
c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,MichaelPeltier,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548 ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOMIdentyfikuje GPT00002.inf jako buforowany szablon zabezpieczeń na podstawie problemu zasady grupy obiektu (GPO), który zawiera ustawienie problemu. Identyfikuje również ustawienie problemu jako SeInteractiveLogonRight. Nazwa wyświetlana obiektu SeInteractiveLogonRight to Logowanie lokalnie.
Aby zapoznać się z mapą stałych (na przykład SeInteractiveLogonRight) na ich nazwy wyświetlane (na przykład logowanie lokalnie), zobacz Microsoft Windows 2000 Server Resource Kit, Distributed Systems Guide (Przewodnik po systemach rozproszonych). Mapa znajduje się w sekcji Prawa użytkownika dodatku.
Określ, który obiekt zasad grupy zawiera ustawienie problemu. Wyszukaj w pamięci podręcznej szablon zabezpieczeń zidentyfikowany w kroku 4 tekst
GPOPath=. W tym przykładzie zobaczysz:GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE{6AC1786C-016F-11D2-945F-00C04FB984F9} jest identyfikatorem GUID obiektu zasad grupy.
Aby znaleźć przyjazną nazwę obiektu zasad grupy, użyj narzędzia Resource Kit Gpotool.exe. Wpisz następujące polecenie w wierszu polecenia, a następnie naciśnij klawisz ENTER:
gpotool /verboseWyszukaj dane wyjściowe identyfikatora GUID zidentyfikowanego w kroku 5. Cztery wiersze zgodne z identyfikatorem GUID zawierają przyjazną nazwę zasad. Przykład:
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9} Policy OK Details: ------------------------------------------------------------ DC: domcntlr1.wingtiptoys.com Friendly name: Default Domain Controllers Policy
Teraz zidentyfikowano konto problemu, ustawienie problemu i obiekt zasad grupy problemu. Aby rozwiązać ten problem, usuń lub zastąp wpis problemu.
Kod błędu 0x2: System nie może odnaleźć określonego pliku
Ten błąd jest podobny do 0x534 i 0x6fc. Jest to spowodowane nierozwiązywalną nazwą konta. Gdy wystąpi błąd 0x2, zazwyczaj wskazuje, że nierozwiązywalna nazwa konta jest określona w ustawieniu zasad Grupy z ograniczeniami.
Aby rozwiązać ten problem, wykonaj następujące kroki:
Określ, która usługa lub który obiekt ma awarię. W tym celu włącz rejestrowanie debugowania dla rozszerzenia po stronie klienta konfiguracji zabezpieczeń:
Uruchom Edytor rejestru.
Odszukaj i wybierz następujący podklucz rejestru:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}W menu Edytuj wybierz pozycję Dodaj wartość, a następnie dodaj następującą wartość rejestru:
- Nazwa wartości: ExtensionDebugLevel
- Typ wartości: DWORD
- Dane wartości: 2
Zamknij Edytor rejestru.
Odśwież ustawienia zasad, aby odtworzyć błąd. Aby odświeżyć ustawienia zasad, wpisz następujące polecenie w wierszu polecenia, a następnie naciśnij klawisz ENTER:
secedit /refreshpolicy machine_policy /enforceTo polecenie tworzy plik o nazwie Winlogon.log w folderze
%SYSTEMROOT%\Security\Logs.W wierszu polecenia wpisz następujące polecenie, a następnie naciśnij klawisz ENTER:
find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.logDane wyjściowe wyszukiwania identyfikują nazwy kont problemu, na przykład Nie można odnaleźć aplikacji MichaelPeltier. W tym przykładzie konto użytkownika MichaelPeltier nie istnieje w domenie. Lub ma inną pisownię - na przykład MichellePeltier.
Ustal, dlaczego nie można rozpoznać tego konta. Na przykład wyszukaj błędy typograficzne, usunięte konto, nieprawidłowe zasady stosowane do tego komputera lub problem zaufania.
Jeśli ustalisz, że konto musi zostać usunięte z zasad, znajdź zasady problemu i ustawienie problemu. Aby znaleźć, jakie ustawienie zawiera nierozwiązane konto, wpisz następujące polecenie w wierszu polecenia na komputerze, który generuje zdarzenie SCECLI 1202, a następnie naciśnij klawisz ENTER:
c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*W tym przykładzie składnia i wyniki to:
c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,JohnDough,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548 ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOMIdentyfikuje GPT00002.inf jako buforowany szablon zabezpieczeń z obiektu zasad grupy problemu, który zawiera ustawienie problemu. Identyfikuje również ustawienie problemu jako SeInteractiveLogonRight. Nazwa wyświetlana obiektu SeInteractiveLogonRight to Logowanie lokalnie.
Aby uzyskać mapę stałych (na przykład SeInteractiveLogonRight) na ich nazwy wyświetlane (na przykład logowanie lokalnie), zobacz Windows 2000 Server Resource Kit, Distributed Systems Guide (Przewodnik po systemach rozproszonych). Mapa znajduje się w sekcji Prawa użytkownika dodatku.
Określ, który obiekt zasad grupy zawiera ustawienie problemu. Wyszukaj w pamięci podręcznej szablon zabezpieczeń zidentyfikowany w kroku 4 tekst
GPOPath=. W tym przykładzie zobaczysz:GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE{6AC1786C-016F-11D2-945F-00C04FB984F9} jest identyfikatorem GUID obiektu zasad grupy.
Aby znaleźć przyjazną nazwę obiektu zasad grupy, użyj narzędzia Resource Kit Gpotool.exe. Wpisz następujące polecenie w wierszu polecenia, a następnie naciśnij klawisz ENTER:
gpotool /verboseWyszukaj dane wyjściowe identyfikatora GUID zidentyfikowanego w kroku 5. Cztery wiersze zgodne z identyfikatorem GUID zawierają przyjazną nazwę zasad. Przykład:
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9} Policy OK Details: ------------------------------------------------------------ DC: domcntlr1.wingtiptoys.com Friendly name: Default Domain Controllers Policy
Zidentyfikowano teraz konto problemu, ustawienie problemu i obiekt zasad grupy problemu. Aby rozwiązać ten problem, wyszukaj w sekcji Grupy z ograniczeniami w zasadach zabezpieczeń wystąpienia konta problemu (w tym przykładzie MichaelPeltier), a następnie usuń lub zastąp wpis problemu.
Kod błędu 0x5: Odmowa dostępu
Ten błąd zwykle występuje, gdy system nie otrzymał odpowiednich uprawnień do aktualizowania listy kontroli dostępu usługi. Może się to zdarzyć, jeśli administrator zdefiniuje uprawnienia dla usługi w zasadach, ale nie przyzna uprawnienia pełnej kontroli konta systemu.
Aby rozwiązać ten problem, wykonaj następujące kroki:
Określ, która usługa lub który obiekt ma awarię. W tym celu włącz rejestrowanie debugowania dla rozszerzenia po stronie klienta konfiguracji zabezpieczeń:
Uruchom Edytor rejestru.
Odszukaj i wybierz następujący podklucz rejestru:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}W menu Edytuj wybierz pozycję Dodaj wartość, a następnie dodaj następującą wartość rejestru:
- Nazwa wartości: ExtensionDebugLevel
- Typ wartości: DWORD
- Dane wartości: 2
Zamknij Edytor rejestru.
Odśwież ustawienia zasad, aby odtworzyć błąd. Aby odświeżyć ustawienia zasad, wpisz następujące polecenie w wierszu polecenia, a następnie naciśnij klawisz ENTER:
secedit /refreshpolicy machine_policy /enforceTo polecenie tworzy plik o nazwie Winlogon.log w folderze
%SYSTEMROOT%\Security\Logs.W wierszu polecenia wpisz następujące polecenie, a następnie naciśnij klawisz ENTER:
find /i "error opening" %SYSTEMROOT%\security\logs\winlogon.logDane wyjściowe Znajdź identyfikują usługę z błędnie skonfigurowanymi uprawnieniami, na przykład Błąd podczas otwierania usługi Dnscache. Dnscache to krótka nazwa usługi klienta DNS.
Dowiedz się, które zasady lub które zasady próbują zmodyfikować uprawnienia usługi. W tym celu wpisz następujące polecenie w wierszu polecenia, a następnie naciśnij klawisz ENTER:
find /i "service" %SYSTEMROOT%\security\templates\policies\gpt*.*".Poniżej znajduje się przykładowe polecenie i jego dane wyjściowe:
d:\>find /i "dnscache" %windir%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF Dnscache,3,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;LA)" ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOMOkreśl, który obiekt zasad grupy zawiera ustawienie problemu. Wyszukaj w pamięci podręcznej szablon zabezpieczeń zidentyfikowany w kroku 4 tekst
GPOPath=. W tym przykładzie zobaczysz:GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE{6AC1786C-016F-11D2-945F-00C04FB984F9} jest identyfikatorem GUID obiektu zasad grupy.
Aby znaleźć przyjazną nazwę obiektu zasad grupy, użyj narzędzia Resource Kit Gpotool.exe. Wpisz następujące polecenie w wierszu polecenia, a następnie naciśnij klawisz ENTER:
gpotool /verboseWyszukaj dane wyjściowe identyfikatora GUID zidentyfikowanego w kroku 5. Cztery wiersze zgodne z identyfikatorem GUID zawierają przyjazną nazwę zasad. Przykład:
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9} Policy OK Details: ------------------------------------------------------------ DC: domcntlr1.wingtiptoys.com Friendly name: Default Domain Controllers Policy
Teraz zidentyfikowano usługę z błędnie skonfigurowanymi uprawnieniami i problemowym obiektem zasad grupy. Aby rozwiązać ten problem, wyszukaj w sekcji Usługi systemowe zasad zabezpieczeń wystąpienia usługi z błędnie skonfigurowanymi uprawnieniami. Następnie wykonaj akcję naprawczą, aby udzielić usłudze uprawnień pełnej kontroli konta systemu.
Kod błędu 0x4b8: Wystąpił błąd rozszerzony
Błąd 0x4b8 jest ogólny i może być spowodowany wieloma różnymi problemami. Aby rozwiązać problemy z tymi błędami, wykonaj następujące kroki:
Włącz rejestrowanie debugowania dla rozszerzenia po stronie klienta konfiguracji zabezpieczeń:
Uruchom Edytor rejestru.
Odszukaj i wybierz następujący podklucz rejestru:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}W menu Edytuj wybierz pozycję Dodaj wartość, a następnie dodaj następującą wartość rejestru:
- Nazwa wartości: ExtensionDebugLevel
- Typ wartości: DWORD
- Dane wartości: 2
Zamknij Edytor rejestru.
Odśwież ustawienia zasad, aby odtworzyć błąd. Aby odświeżyć ustawienia zasad, wpisz następujące polecenie w wierszu polecenia, a następnie naciśnij klawisz ENTER:
secedit /refreshpolicy machine_policy /enforceTo polecenie tworzy plik o nazwie Winlogon.log w folderze
%SYSTEMROOT%\Security\Logs.Zobacz Identyfikatory zdarzeń ESENT 1000, 1202, 412 i 454 są rejestrowane wielokrotnie w dzienniku aplikacji. W tym artykule opisano znane problemy, które powodują błąd 0x4b8.
Zbieranie danych
Jeśli potrzebujesz pomocy ze strony pomocy technicznej firmy Microsoft, zalecamy zebranie informacji, wykonując kroki wymienione w temacie Zbieranie informacji przy użyciu usługi TSS w celu zasady grupy problemów.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla