Problemen met SCECLI 1202-gebeurtenissen oplossen

In dit artikel worden manieren beschreven om problemen met SCECLI 1202-gebeurtenissen op te lossen.

Van toepassing op: Windows Server 2012 R2
Origineel KB-nummer: 324383

Samenvatting

De eerste stap bij het oplossen van problemen met deze gebeurtenissen is het identificeren van de Win32-foutcode. Deze foutcode onderscheidt het type fout dat de SCECLI 1202-gebeurtenis veroorzaakt. Hieronder ziet u een voorbeeld van een SCECLI 1202-gebeurtenis. De foutcode wordt weergegeven in het veld Beschrijving . In dit voorbeeld is de foutcode 0x534. De tekst na de foutcode is de beschrijving van de fout. Nadat u de foutcode hebt vastgesteld, zoekt u die foutcodesectie in dit artikel en volgt u de stappen voor probleemoplossing in die sectie.

0x534: Er is geen toewijzing tussen accountnamen en beveiligings-id's uitgevoerd.

of

0x6fc: de vertrouwensrelatie tussen het primaire domein en het vertrouwde domein is mislukt.

Foutcode 0x534: Er is geen toewijzing tussen accountnamen en beveiligings-id's uitgevoerd

Deze foutcodes betekenen dat er een fout is opgetreden bij het oplossen van een beveiligingsaccount naar een beveiligings-id (SID). De fout treedt meestal op omdat een accountnaam verkeerd is getypt of omdat het account is verwijderd nadat het is toegevoegd aan de beveiligingsbeleidsinstelling. Dit gebeurt meestal in de sectie Gebruikersrechten of de sectie Beperkte groepen van de beveiligingsbeleidsinstelling. Dit kan ook gebeuren als het account bestaat in een vertrouwensrelatie en de vertrouwensrelatie vervolgens wordt verbroken.

Voer de volgende stappen uit om dit probleem op te lossen:

1. Bepaal het account dat de fout veroorzaakt. Hiervoor schakelt u logboekregistratie voor foutopsporing in voor de extensie aan de clientzijde van de beveiligingsconfiguratie:

   1. De Register-editor starten.

   2. Selecteer de volgende registersubsleutel:

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}

   3. Selecteer in het menu Bewerkende optie Waarde toevoegen en voeg vervolgens de volgende registerwaarde toe:

      • Waardenaam: ExtensionDebugLevel
      • Gegevenstype: DWORD
      • Waardegegevens: 2

   4. Sluit de Register-editor af.

2. Vernieuw de beleidsinstellingen om de fout te reproduceren. Als u de beleidsinstellingen wilt vernieuwen, typt u de volgende opdracht bij de opdrachtprompt en drukt u op Enter:

   secedit /refreshpolicy machine_policy /enforce
   

   Met deze opdracht maakt u een bestand met de naam Winlogon.log in de %SYSTEMROOT%\Security\Logs map.

3. Zoek het probleemaccount. Hiervoor typt u de volgende opdracht bij de opdrachtprompt en drukt u op Enter:

   find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log
   

   De uitvoer Zoeken identificeert de namen van het probleemaccount, bijvoorbeeld Kan MichaelPeltier niet vinden. In dit voorbeeld bestaat het gebruikersaccount MichaelPeltier niet in het domein. Of het heeft een andere spelling, zoals MichellePeltier.

   Bepaal waarom dit account niet kan worden opgelost. Zoek bijvoorbeeld naar typografische fouten, een verwijderd account, het verkeerde beleid dat van toepassing is op deze computer of een vertrouwensprobleem.

4. Als u bepaalt dat het account uit het beleid moet worden verwijderd, zoekt u het probleembeleid en de probleeminstelling. Als u wilt bepalen welke instelling het onopgeloste account bevat, typt u de volgende opdracht bij de opdrachtprompt op de computer die de SCECLI 1202-gebeurtenis produceert en drukt u op Enter:

   c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*
   

   In dit voorbeeld zijn de syntaxis en de resultaten:

   c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.*
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
   SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,MichaelPeltier,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
   

   Het identificeert GPT00002.inf als de beveiligingssjabloon in de cache van het probleem groepsbeleid object (GPO) dat de probleeminstelling bevat. Het identificeert ook de probleeminstelling als SeInteractiveLogonRight. De weergavenaam voor SeInteractiveLogonRight is Lokaal aanmelden.

   Zie de Microsoft Windows 2000 Server Resource Kit, Distributed Systems Guide (Microsoft Windows 2000 Server Resource Kit, Distributed Systems Guide) voor een toewijzing van de constanten (bijvoorbeeld SeInteractiveLogonRight) aan de weergavenamen (bijvoorbeeld Lokaal aanmelden). De kaart bevindt zich in de sectie Gebruikersrechten van de bijlage.

5. Bepaal welk groepsbeleidsobject de probleeminstelling bevat. Zoek in de beveiligingssjabloon in de cache die u in stap 4 hebt geïdentificeerd naar de tekst GPOPath=. In dit voorbeeld ziet u het volgende:

   GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE

   {6AC1786C-016F-11D2-945F-00C04FB984F9} is de GUID van het groepsbeleidsobject.

6. Gebruik het hulpprogramma Resource Kit Gpotool.exe om de beschrijvende naam van het groepsbeleidsobject te vinden. Typ de volgende opdracht bij de opdrachtprompt en druk op Enter:

   gpotool /verbose
   

   Zoek in de uitvoer naar de GUID die u in stap 5 hebt geïdentificeerd. De vier regels die volgen op de GUID bevatten de beschrijvende naam van het beleid. Bijvoorbeeld:

   Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
   Policy OK
   Details:
   ------------------------------------------------------------
   DC: domcntlr1.wingtiptoys.com
   Friendly name: Default Domain Controllers Policy
   

U hebt nu het probleemaccount, de probleeminstelling en het probleem-GPO geïdentificeerd. U kunt het probleem oplossen door de vermelding van het probleem te verwijderen of te vervangen.

Foutcode 0x2: het systeem kan het opgegeven bestand niet vinden

Deze fout is vergelijkbaar met 0x534 en 0x6fc. Dit wordt veroorzaakt door een onoplosbare accountnaam. Wanneer de fout 0x2 optreedt, geeft dit meestal aan dat de niet-oplosbare accountnaam is opgegeven in een beleidsinstelling voor beperkte groepen.

Voer de volgende stappen uit om dit probleem op te lossen:

1. Bepaal welke service of welk object de fout heeft. Hiervoor schakelt u logboekregistratie voor foutopsporing in voor de extensie aan de clientzijde van de beveiligingsconfiguratie:

   1. De Register-editor starten.

   2. Selecteer de volgende registersubsleutel:

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}

   3. Selecteer in het menu Bewerkende optie Waarde toevoegen en voeg vervolgens de volgende registerwaarde toe:

      • Waardenaam: ExtensionDebugLevel
      • Gegevenstype: DWORD
      • Waardegegevens: 2

   4. Sluit de Register-editor af.

2. Vernieuw de beleidsinstellingen om de fout te reproduceren. Als u de beleidsinstellingen wilt vernieuwen, typt u de volgende opdracht bij de opdrachtprompt en drukt u op Enter:

   secedit /refreshpolicy machine_policy /enforce
   

   Met deze opdracht maakt u een bestand met de naam Winlogon.log in de %SYSTEMROOT%\Security\Logs map.

3. Typ de volgende opdracht bij de opdrachtprompt en druk op Enter:

   find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log
   

   De uitvoer Zoeken identificeert de namen van het probleemaccount, bijvoorbeeld Kan MichaelPeltier niet vinden. In dit voorbeeld bestaat het gebruikersaccount MichaelPeltier niet in het domein. Of het heeft een andere spelling, bijvoorbeeld MichellePeltier.

   Bepaal waarom dit account niet kan worden opgelost. Zoek bijvoorbeeld naar typografische fouten, een verwijderd account, het verkeerde beleid dat op deze computer wordt toegepast of een vertrouwensprobleem.

4. Als u bepaalt dat het account uit het beleid moet worden verwijderd, zoekt u het probleembeleid en de probleeminstelling. Als u wilt zien welke instelling het onopgeloste account bevat, typt u de volgende opdracht bij de opdrachtprompt op de computer waarop de SCECLI 1202-gebeurtenis wordt geproduceerd en drukt u op Enter:

   c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*
   

   In dit voorbeeld zijn de syntaxis en de resultaten:

   c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.*
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
   SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,JohnDough,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
   

   Hiermee wordt GPT00002.inf geïdentificeerd als de beveiligingssjabloon in de cache van het probleem-GPO dat de probleeminstelling bevat. Het identificeert ook de probleeminstelling als SeInteractiveLogonRight. De weergavenaam voor SeInteractiveLogonRight is Lokaal aanmelden.

   Zie de Windows 2000 Server Resource Kit, Distributed Systems Guide (Handleiding voor gedistribueerde systemen) voor een toewijzing van de constanten (bijvoorbeeld SeInteractiveLogonRight) aan de weergavenamen (bijvoorbeeld Lokaal aanmelden). De kaart bevindt zich in de sectie Gebruikersrechten van de bijlage.

5. Bepaal welk groepsbeleidsobject de probleeminstelling bevat. Zoek in de beveiligingssjabloon in de cache die u in stap 4 hebt geïdentificeerd naar de tekst GPOPath=. In dit voorbeeld ziet u het volgende:

   GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE

   {6AC1786C-016F-11D2-945F-00C04FB984F9} is de GUID van het groepsbeleidsobject.

6. Gebruik het hulpprogramma Resource Kit Gpotool.exe om de beschrijvende naam van het groepsbeleidsobject te vinden. Typ de volgende opdracht bij de opdrachtprompt en druk op Enter:

   gpotool /verbose
   

   Zoek in de uitvoer naar de GUID die u in stap 5 hebt geïdentificeerd. De vier regels die volgen op de GUID bevatten de beschrijvende naam van het beleid. Bijvoorbeeld:

   Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
   Policy OK
   Details:
   ------------------------------------------------------------
   DC: domcntlr1.wingtiptoys.com
   Friendly name: Default Domain Controllers Policy
   

U hebt nu het probleemaccount, de probleeminstelling en het probleem-GPO geïdentificeerd. Als u het probleem wilt oplossen, zoekt u in de sectie Beperkte groepen van het beveiligingsbeleid naar exemplaren van het probleemaccount (in dit voorbeeld MichaelPeltier) en verwijdert of vervangt u de vermelding van het probleem.

Foutcode 0x5: Toegang geweigerd

Deze fout treedt meestal op wanneer het systeem niet de juiste machtigingen heeft gekregen om de toegangsbeheerlijst van een service bij te werken. Dit kan gebeuren als de beheerder machtigingen voor een service in een beleid definieert, maar het systeemaccount geen machtigingen voor volledig beheer verleent.

Voer de volgende stappen uit om dit probleem op te lossen:

1. Bepaal welke service of welk object de fout heeft. Hiervoor schakelt u logboekregistratie voor foutopsporing in voor de extensie aan de clientzijde van de beveiligingsconfiguratie:

   1. De Register-editor starten.

   2. Selecteer de volgende registersubsleutel:

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}

   3. Selecteer in het menu Bewerkende optie Waarde toevoegen en voeg vervolgens de volgende registerwaarde toe:

      • Waardenaam: ExtensionDebugLevel
      • Gegevenstype: DWORD
      • Waardegegevens: 2

   4. Sluit de Register-editor af.

2. Vernieuw de beleidsinstellingen om de fout te reproduceren. Als u de beleidsinstellingen wilt vernieuwen, typt u de volgende opdracht bij de opdrachtprompt en drukt u op Enter:

   secedit /refreshpolicy machine_policy /enforce
   

   Met deze opdracht maakt u een bestand met de naam Winlogon.log in de %SYSTEMROOT%\Security\Logs map.

3. Typ het volgende bij de opdrachtprompt en druk op Enter:

   find /i "error opening" %SYSTEMROOT%\security\logs\winlogon.log
   

   De zoekuitvoer identificeert de service met de onjuist geconfigureerde machtigingen, bijvoorbeeld Fout bij het openen van Dnscache. Dnscache is de korte naam voor de DNS-clientservice.

4. Ontdek welk beleid of welk beleid de servicemachtigingen probeert te wijzigen. Hiervoor typt u de volgende opdracht bij de opdrachtprompt en drukt u op Enter:

   find /i "service" %SYSTEMROOT%\security\templates\policies\gpt*.*".
   

   Hieronder ziet u een voorbeeldopdracht en de uitvoer ervan:

   d:\>find /i "dnscache" %windir%\security\templates\policies\gpt*.*
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
   Dnscache,3,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;LA)"
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
   

5. Bepaal welk groepsbeleidsobject de probleeminstelling bevat. Zoek in de beveiligingssjabloon in de cache die u in stap 4 hebt geïdentificeerd naar de tekst GPOPath=. In dit voorbeeld ziet u het volgende:

   GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE

   {6AC1786C-016F-11D2-945F-00C04FB984F9} is de GUID van het groepsbeleidsobject.

6. Gebruik het hulpprogramma Resource Kit Gpotool.exe om de beschrijvende naam van het groepsbeleidsobject te vinden. Typ de volgende opdracht bij de opdrachtprompt en druk op Enter:

   gpotool /verbose
   

   Zoek in de uitvoer naar de GUID die u in stap 5 hebt geïdentificeerd. De vier regels die volgen op de GUID bevatten de beschrijvende naam van het beleid. Bijvoorbeeld:

   Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
   Policy OK
   Details:
   ------------------------------------------------------------
   DC: domcntlr1.wingtiptoys.com
   Friendly name: Default Domain Controllers Policy
   

Nu hebt u de service geïdentificeerd met de onjuist geconfigureerde machtigingen en het probleem GPO. U kunt het probleem oplossen door in de sectie Systeemservices van het beveiligingsbeleid te zoeken naar exemplaren van de service met de onjuist geconfigureerde machtigingen. En voer vervolgens corrigerende actie uit om de machtigingen volledig beheer van het systeemaccount aan de service te verlenen.

Foutcode 0x4b8: er is een uitgebreide fout opgetreden

De 0x4b8 fout is algemeen en kan worden veroorzaakt door veel verschillende problemen. Volg deze stappen om deze fouten op te lossen:

1. Schakel logboekregistratie voor foutopsporing in voor de uitbreiding aan de clientzijde van de beveiligingsconfiguratie:

   1. De Register-editor starten.

   2. Selecteer de volgende registersubsleutel:

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}

   3. Selecteer in het menu Bewerkende optie Waarde toevoegen en voeg vervolgens de volgende registerwaarde toe:

      • Waardenaam: ExtensionDebugLevel
      • Gegevenstype: DWORD
      • Waardegegevens: 2

   4. Sluit de Register-editor af.

2. Vernieuw de beleidsinstellingen om de fout te reproduceren. Als u de beleidsinstellingen wilt vernieuwen, typt u de volgende opdracht bij de opdrachtprompt en drukt u op Enter:

   secedit /refreshpolicy machine_policy /enforce
   

   Met deze opdracht maakt u een bestand met de naam Winlogon.log in de %SYSTEMROOT%\Security\Logs map.

3. Zie ESENT-gebeurtenis-id's 1000, 1202, 412 en 454 worden herhaaldelijk vastgelegd in het toepassingslogboek. In dit artikel worden bekende problemen beschreven die de 0x4b8 fout veroorzaken.

Gegevensverzameling

Als u hulp van Microsoft-ondersteuning nodig hebt, raden we u aan de gegevens te verzamelen door de stappen te volgen die worden vermeld in Gegevens verzamelen met behulp van TSS voor groepsbeleid problemen.