SCECLI 1202 olaylarının sorunlarını giderme

Bu makalede SCECLI 1202 olaylarının sorunlarını giderme ve çözme yolları açıklanmaktadır.

Şunlar için geçerlidir: Windows Server 2012 R2
Özgün KB numarası: 324383

Özet

Bu olayları gidermenin ilk adımı Win32 hata kodunu belirlemektir. Bu hata kodu, SCECLI 1202 olayına neden olan hata türünü ayırt eder. Aşağıda bir SCECLI 1202 olayı örneği verilmiştir. Hata kodu Açıklama alanında gösterilir. Bu örnekte hata kodu 0x534. Hata kodundan sonraki metin hata açıklamasıdır. Hata kodunu belirledikten sonra bu makaledeki hata kodu bölümünü bulun ve bu bölümdeki sorun giderme adımlarını izleyin.

0x534: Hesap adları ve güvenlik kimlikleri arasında eşleme yapılmadı.

veya

0x6fc: Birincil etki alanı ile güvenilen etki alanı arasındaki güven ilişkisi başarısız oldu.

Hata kodu 0x534: Hesap adları ile güvenlik kimlikleri arasında eşleme yapılmadı

Bu hata kodları, bir güvenlik hesabının güvenlik tanımlayıcısına (SID) çözümlenememesi anlamına gelir. Hata genellikle bir hesap adının yanlış yazıldığı veya hesabın güvenlik ilkesi ayarına eklendikten sonra silindiği için oluşur. Genellikle güvenlik ilkesi ayarının Kullanıcı Hakları bölümünde veya Kısıtlanmış Gruplar bölümünde gerçekleşir. Hesap bir güven genelinde mevcutsa ve güven ilişkisi bozulursa da oluşabilir.

Bu sorunu gidermek için şu adımları izleyin:

1. Hataya neden olan hesabı belirleyin. Bunu yapmak için Güvenlik Yapılandırması istemci tarafı uzantısı için hata ayıklama günlüğünü etkinleştirin:

   1. Kayıt Defteri Düzenleyicisi'ni başlatın.

   2. Aşağıdaki kayıt defteri alt anahtarını bulun ve seçin:

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}

   3. Düzenle menüsünde Değer Ekle'yi seçin ve ardından aşağıdaki kayıt defteri değerini ekleyin:

      • Değer adı: ExtensionDebugLevel
      • Veri türü: DWORD
      • Değer verileri: 2

   4. Kayıt Defteri Düzenleyicisi'nden çıkın.

2. Hatayı yeniden oluşturmak için ilke ayarlarını yenileyin. İlke ayarlarını yenilemek için komut istemine aşağıdaki komutu yazın ve ENTER tuşuna basın:

   secedit /refreshpolicy machine_policy /enforce
   

   Bu komut, klasörde Winlogon.log%SYSTEMROOT%\Security\Logs adlı bir dosya oluşturur.

3. Sorun hesabını bulun. Bunu yapmak için komut istemine aşağıdaki komutu yazın ve ENTER tuşuna basın:

   find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log
   

   Find çıkışı, sorunlu hesap adlarını tanımlar, örneğin, MichaelPeltier bulunamıyor. Bu örnekte, MichaelPeltier kullanıcı hesabı etki alanında yok. Veya MichellePeltier gibi farklı bir yazım denetimine sahiptir.

   Bu hesabın neden çözümlenemediğini belirleyin. Örneğin, yazım hataları, silinen bir hesap, bu bilgisayar için geçerli olan yanlış ilke veya güven sorunu olup olmadığını denetleyin.

4. Hesabın ilkeden kaldırılması gerektiğini belirlerseniz, sorun ilkesini ve sorun ayarını bulun. Hangi ayarın çözümlenmemiş hesabı içerdiğini belirlemek için, SCECLI 1202 olayını oluşturan bilgisayardaki komut istemine aşağıdaki komutu yazın ve ENTER tuşuna basın:

   c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*
   

   Bu örnekte söz dizimi ve sonuçlar şunlardır:

   c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.*
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
   SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,MichaelPeltier,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
   

   GPT00002.inf dosyasını, sorun ayarını içeren sorun grup ilkesi nesnesinden (GPO) önbelleğe alınmış güvenlik şablonu olarak tanımlar. Ayrıca sorun ayarını SeInteractiveLogonRight olarak tanımlar. SeInteractiveLogonRight için görünen ad Yerel olarak oturum açma şeklindedir.

   Sabitlerin (örneğin, SeInteractiveLogonRight) görünen adlarıyla (örneğin, yerel olarak oturum açma) bir eşlemesi için bkz. Microsoft Windows 2000 Server Resource Kit, Distributed Systems Guide. Harita, Ekin Kullanıcı Hakları bölümündedir.

5. Hangi GPO'nun sorun ayarını içerdiğini belirleyin. 4. adımda tanımladığınız önbelleğe alınmış güvenlik şablonunda metnini GPOPath=arayın. Bu örnekte şunları görürsünüz:

   GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE

   {6AC1786C-016F-11D2-945F-00C04FB984F9}, GPO'nun GUID'idir.

6. GPO'nun kolay adını bulmak için Resource Kit yardımcı programını Gpotool.exe kullanın. Komut istemine aşağıdaki komutu yazın ve ENTER tuşuna basın:

   gpotool /verbose
   

   Çıktıda, 5. adımda tanımladığınız GUID'yi arayın. GUID'yi izleyen dört satır ilkenin kolay adını içerir. Örneğin:

   Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
   Policy OK
   Details:
   ------------------------------------------------------------
   DC: domcntlr1.wingtiptoys.com
   Friendly name: Default Domain Controllers Policy
   

Şimdi sorun hesabını, sorun ayarını ve sorun GPO'sunu belirlediniz. Sorunu çözmek için sorun girdisini kaldırın veya değiştirin.

Hata kodu 0x2: Sistem belirtilen dosyayı bulamıyor

Bu hata 0x534 ve 0x6fc benzer. Çözümlenemeyen bir hesap adından kaynaklanmıştır. 0x2 hatası oluştuğunda genellikle çözümlenemeyen hesap adının Kısıtlanmış Gruplar ilke ayarında belirtildiğini gösterir.

Bu sorunu gidermek için şu adımları izleyin:

1. Hangi hizmetin veya hangi nesnenin hataya sahip olduğunu belirleyin. Bunu yapmak için Güvenlik Yapılandırması istemci tarafı uzantısı için hata ayıklama günlüğünü etkinleştirin:

   1. Kayıt Defteri Düzenleyicisi'ni başlatın.

   2. Aşağıdaki kayıt defteri alt anahtarını bulun ve seçin:

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}

   3. Düzenle menüsünde Değer Ekle'yi seçin ve ardından aşağıdaki kayıt defteri değerini ekleyin:

      • Değer adı: ExtensionDebugLevel
      • Veri türü: DWORD
      • Değer verileri: 2

   4. Kayıt Defteri Düzenleyicisi'nden çıkın.

2. Hatayı yeniden oluşturmak için ilke ayarlarını yenileyin. İlke ayarlarını yenilemek için komut istemine aşağıdaki komutu yazın ve ENTER tuşuna basın:

   secedit /refreshpolicy machine_policy /enforce
   

   Bu komut, klasörde Winlogon.log%SYSTEMROOT%\Security\Logs adlı bir dosya oluşturur.

3. Komut isteminde aşağıdaki komutu yazın ve ENTER tuşuna basın:

   find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log
   

   Find çıkışı, sorunlu hesap adlarını tanımlar, örneğin, MichaelPeltier bulunamıyor. Bu örnekte, MichaelPeltier kullanıcı hesabı etki alanında yok. Ya da farklı bir yazım denetimi vardır; örneğin, MichellePeltier.

   Bu hesabın neden çözümlenemediğini belirleyin. Örneğin, yazım hataları, silinen bir hesap, bu bilgisayara uygulanan yanlış ilke veya bir güven sorunu arayın.

4. Hesabın ilkeden kaldırılması gerektiğini belirlerseniz, sorun ilkesini ve sorun ayarını bulun. Çözümlenmemiş hesabı içeren ayarı bulmak için, SCECLI 1202 olayını oluşturan bilgisayardaki komut istemine aşağıdaki komutu yazın ve ENTER tuşuna basın:

   c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*
   

   Bu örnekte söz dizimi ve sonuçlar şunlardır:

   c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.*
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
   SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,JohnDough,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
   

   GPT00002.inf dosyasını, sorun ayarını içeren sorun GPO'sundan önbelleğe alınmış güvenlik şablonu olarak tanımlar. Ayrıca sorun ayarını SeInteractiveLogonRight olarak tanımlar. SeInteractiveLogonRight için görünen ad Yerel olarak oturum açma şeklindedir.

   Sabitlerin (örneğin, SeInteractiveLogonRight) görünen adlarıyla (örneğin, yerel olarak oturum açma) eşlemesi için bkz. Windows 2000 Server Resource Kit, Distributed Systems Guide. Harita, Ekin Kullanıcı Hakları bölümündedir.

5. Hangi GPO'nun sorun ayarını içerdiğini belirleyin. 4. adımda tanımladığınız önbelleğe alınmış güvenlik şablonunda metnini GPOPath=arayın. Bu örnekte şunları görürsünüz:

   GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE

   {6AC1786C-016F-11D2-945F-00C04FB984F9}, GPO'nun GUID'idir.

6. GPO'nun kolay adını bulmak için Resource Kit yardımcı programını Gpotool.exe kullanın. Komut istemine aşağıdaki komutu yazın ve ENTER tuşuna basın:

   gpotool /verbose
   

   Çıktıda 5. adımda tanımladığınız GUID'yi arayın. GUID'yi izleyen dört satır ilkenin kolay adını içerir. Örneğin:

   Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
   Policy OK
   Details:
   ------------------------------------------------------------
   DC: domcntlr1.wingtiptoys.com
   Friendly name: Default Domain Controllers Policy
   

Şimdi sorun hesabını, sorun ayarını ve sorun GPO'sunu belirlediniz. Sorunu çözmek için, güvenlik ilkesinin Kısıtlı Gruplar bölümünde sorun hesabının örneklerini arayın (bu örnekte MichaelPeltier) ve ardından sorun girdisini kaldırın veya değiştirin.

Hata kodu 0x5: Erişim reddedildi

Bu hata genellikle sisteme bir hizmetin erişim denetimi listesini güncelleştirmek için doğru izinler verilmediğinde oluşur. Yönetici bir ilkedeki bir hizmet için izinleri tanımlar ancak Sistem hesabına Tam Denetim izinleri vermezse bu durum oluşabilir.

Bu sorunu gidermek için şu adımları izleyin:

1. Hangi hizmetin veya hangi nesnenin hataya sahip olduğunu belirleyin. Bunu yapmak için Güvenlik Yapılandırması istemci tarafı uzantısı için hata ayıklama günlüğünü etkinleştirin:

   1. Kayıt Defteri Düzenleyicisi'ni başlatın.

   2. Aşağıdaki kayıt defteri alt anahtarını bulun ve seçin:

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}

   3. Düzenle menüsünde Değer Ekle'yi seçin ve ardından aşağıdaki kayıt defteri değerini ekleyin:

      • Değer adı: ExtensionDebugLevel
      • Veri türü: DWORD
      • Değer verileri: 2

   4. Kayıt Defteri Düzenleyicisi'nden çıkın.

2. Hatayı yeniden oluşturmak için ilke ayarlarını yenileyin. İlke ayarlarını yenilemek için komut istemine aşağıdaki komutu yazın ve ENTER tuşuna basın:

   secedit /refreshpolicy machine_policy /enforce
   

   Bu komut, klasörde Winlogon.log%SYSTEMROOT%\Security\Logs adlı bir dosya oluşturur.

3. Komut isteminde aşağıdakileri yazın ve ENTER tuşuna basın:

   find /i "error opening" %SYSTEMROOT%\security\logs\winlogon.log
   

   Bul çıkışı, hizmeti yanlış yapılandırılmış izinlerle tanımlar; örneğin, Dnscache açılırken hata oluştu. Dnscache , DNS İstemcisi hizmetinin kısa adıdır.

4. Hangi ilkenin veya hangi ilkelerin hizmet izinlerini değiştirmeye çalıştığını öğrenin. Bunu yapmak için komut istemine aşağıdaki komutu yazın ve ENTER tuşuna basın:

   find /i "service" %SYSTEMROOT%\security\templates\policies\gpt*.*".
   

   Aşağıda örnek bir komut ve çıkışı verilmiştir:

   d:\>find /i "dnscache" %windir%\security\templates\policies\gpt*.*
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
   Dnscache,3,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;LA)"
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
   

5. Hangi GPO'nun sorun ayarını içerdiğini belirleyin. 4. adımda tanımladığınız önbelleğe alınmış güvenlik şablonunda metnini GPOPath=arayın. Bu örnekte şunları görürsünüz:

   GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE

   {6AC1786C-016F-11D2-945F-00C04FB984F9}, GPO'nun GUID'idir.

6. GPO'nun kolay adını bulmak için Resource Kit yardımcı programını Gpotool.exe kullanın. Komut istemine aşağıdaki komutu yazın ve ENTER tuşuna basın:

   gpotool /verbose
   

   Çıktıda, 5. adımda tanımladığınız GUID'yi arayın. GUID'yi izleyen dört satır ilkenin kolay adını içerir. Örneğin:

   Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
   Policy OK
   Details:
   ------------------------------------------------------------
   DC: domcntlr1.wingtiptoys.com
   Friendly name: Default Domain Controllers Policy
   

Şimdi hizmeti yanlış yapılandırılmış izinlerle ve sorun GPO'sunun olduğunu belirlediniz. Sorunu çözmek için, yanlış yapılandırılmış izinlere sahip hizmet örnekleri için güvenlik ilkesinin Sistem Hizmetleri bölümünde arama yapın. Ardından sistem hesabına hizmet için Tam Denetim izinleri vermek için düzeltici eylem gerçekleştirin.

Hata kodu 0x4b8: Genişletilmiş bir hata oluştu

0x4b8 hatası geneldir ve birçok farklı sorundan kaynaklanabilir. Bu hataları gidermek için şu adımları izleyin:

1. Güvenlik Yapılandırması istemci tarafı uzantısı için hata ayıklama günlüğünü etkinleştirin:

   1. Kayıt Defteri Düzenleyicisi'ni başlatın.

   2. Aşağıdaki kayıt defteri alt anahtarını bulun ve seçin:

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}

   3. Düzenle menüsünde Değer Ekle'yi seçin ve ardından aşağıdaki kayıt defteri değerini ekleyin:

      • Değer adı: ExtensionDebugLevel
      • Veri türü: DWORD
      • Değer verileri: 2

   4. Kayıt Defteri Düzenleyicisi'nden çıkın.

2. Hatayı yeniden oluşturmak için ilke ayarlarını yenileyin. İlke ayarlarını yenilemek için komut istemine aşağıdaki komutu yazın ve ENTER tuşuna basın:

   secedit /refreshpolicy machine_policy /enforce
   

   Bu komut, klasörde Winlogon.log %SYSTEMROOT%\Security\Logs adlı bir dosya oluşturur.

3. Bkz . ESENT olay kimlikleri 1000, 1202, 412 ve 454, Uygulama günlüğüne art arda kaydedilir. Bu makalede, 0x4b8 hatasına neden olan bilinen sorunlar açıklanmaktadır.

Veri toplama

Microsoft desteğinden yardıma ihtiyacınız varsa, grup ilkesi sorunları için TSS kullanarak bilgi toplama bölümünde belirtilen adımları izleyerek bilgileri toplamanızı öneririz.