SCECLI 1202 事件疑难解答

本文介绍排查和解决 SCECLI 1202 事件的方法。

适用于： Windows Server 2012 R2
原始 KB 编号： 324383

摘要

排查这些事件的第一步是识别 Win32 错误代码。 此错误代码区分导致 SCECLI 1202 事件的失败类型。 下面是 SCECLI 1202 事件的示例。 错误代码显示在 “说明 ”字段中。 在此示例中，错误代码为0x534。 错误代码后面的文本是错误说明。 确定错误代码后，找到本文中的错误代码部分，然后按照该部分中的故障排除步骤进行操作。

0x534：未在帐户名和安全 ID 之间完成映射。

或

0x6fc：主域与受信任域之间的信任关系失败。

错误代码0x534：帐户名称和安全 ID 之间未执行映射

这些错误代码意味着无法将安全帐户解析为安全标识符 (SID) 。 此错误通常是因为帐户名称键入错误，或者帐户在添加到安全策略设置后被删除。 它通常出现在安全策略设置的 “用户权限 ”部分或 “受限组 ”部分中。 如果帐户存在于信任中，然后信任关系中断，也可能发生此情况。

要解决此问题，请执行下列步骤：

1. 确定导致失败的帐户。 为此，请为安全配置客户端扩展启用调试日志记录：

   1. 启动注册表编辑器。

   2. 找到并选择以下注册表子项：

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}

   3. 在 “编辑 ”菜单上，选择“ 添加值”，然后添加以下注册表值：

      • 值名称：ExtensionDebugLevel
      • 数据类型：DWORD
      • 值数据：2

   4. 退出注册表编辑器。

2. 刷新策略设置以重现失败。 若要刷新策略设置，请在命令提示符处键入以下命令，然后按 Enter：

   secedit /refreshpolicy machine_policy /enforce
   

   此命令在 文件夹中创建名为 Winlogon.log%SYSTEMROOT%\Security\Logs 的文件。

3. 查找问题帐户。 为此，请在命令提示符下键入以下命令，然后按 Enter：

   find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log
   

   Find 输出标识问题帐户名称，例如 “找不到 MichaelPeltier”。 在此示例中，域中不存在用户帐户 MichaelPeltier。 或者它具有不同的拼写，例如 MichellePeltier。

   确定无法解析此帐户的原因。 例如，查找拼写错误、已删除的帐户、应用于此计算机的错误策略或信任问题。

4. 如果确定必须从策略中删除帐户，请找到问题策略和问题设置。 若要确定哪个设置包含未解析的帐户，请在生成 SCECLI 1202 事件的计算机上的命令提示符处键入以下命令，然后按 Enter：

   c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*
   

   对于此示例，语法和结果为：

   c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.*
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
   SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,MichaelPeltier,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
   

   它将GPT00002.inf 标识为问题组策略对象 (包含问题设置的 GPO) 缓存的安全模板。 它还将问题设置标识为 SeInteractiveLogonRight。 SeInteractiveLogonRight 的显示名称是 本地登录。

   有关常量 (的映射，例如 SeInteractiveLogonRight) 其显示名称 (登录本地) ，请参阅 Microsoft Windows 2000 服务器资源工具包分布式系统指南。 地图位于附录的 “用户权限 ”部分。

5. 确定哪个 GPO 包含问题设置。 在步骤 4 中标识的缓存安全模板中搜索文本 GPOPath=。 在此示例中，你将看到：

   GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE

   {6AC1786C-016F-11D2-945F-00C04FB984F9} 是 GPO 的 GUID。

6. 若要查找 GPO 的友好名称，请使用资源工具包实用工具 Gpotool.exe。 在命令提示符处键入以下命令，然后按 Enter：

   gpotool /verbose
   

   在输出中搜索在步骤 5 中标识的 GUID。 GUID 后面的四行包含策略的友好名称。 例如：

   Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
   Policy OK
   Details:
   ------------------------------------------------------------
   DC: domcntlr1.wingtiptoys.com
   Friendly name: Default Domain Controllers Policy
   

现在，你已确定问题帐户、问题设置和问题 GPO。 若要解决此问题，请删除或替换问题条目。

错误代码0x2：系统找不到指定的文件

此错误类似于 0x534 和 0x6fc。 这是由不可操作的帐户名称引起的。 发生0x2错误时，通常指示在“受限的组”策略设置中指定了不可删除的帐户名称。

要解决此问题，请执行下列步骤：

1. 确定哪个服务或哪个对象出现故障。 为此，请为安全配置客户端扩展启用调试日志记录：

   1. 启动注册表编辑器。

   2. 找到并选择以下注册表子项：

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}

   3. 在 “编辑 ”菜单上，选择“ 添加值”，然后添加以下注册表值：

      • 值名称：ExtensionDebugLevel
      • 数据类型：DWORD
      • 值数据：2

   4. 退出注册表编辑器。

2. 刷新策略设置以重现失败。 若要刷新策略设置，请在命令提示符处键入以下命令，然后按 Enter：

   secedit /refreshpolicy machine_policy /enforce
   

   此命令在 文件夹中创建名为 Winlogon.log%SYSTEMROOT%\Security\Logs 的文件。

3. 在命令提示符下，键入以下命令，然后按 Enter：

   find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log
   

   Find 输出标识问题帐户名称，例如 “找不到 MichaelPeltier”。 在此示例中，域中不存在用户帐户 MichaelPeltier。 或者它具有不同的拼写，例如 MichellePeltier。

   确定无法解析此帐户的原因。 例如，查找拼写错误、已删除的帐户、应用于此计算机的错误策略或信任问题。

4. 如果确定必须从策略中删除帐户，请找到问题策略和问题设置。 若要查找包含未解析帐户的设置，请在生成 SCECLI 1202 事件的计算机上的命令提示符处键入以下命令，然后按 ENTER：

   c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*
   

   对于此示例，语法和结果为：

   c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.*
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
   SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,JohnDough,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
   

   它将 GPT00002.inf 标识为包含问题设置的问题 GPO 中的缓存安全模板。 它还将问题设置标识为 SeInteractiveLogonRight。 SeInteractiveLogonRight 的显示名称是 本地登录。

   有关常量映射 (例如 SeInteractiveLogonRight) 其显示名称 (例如本地登录) ，请参阅 Windows 2000 Server 资源工具包分布式系统指南。 地图位于附录的 “用户权限 ”部分。

5. 确定哪个 GPO 包含问题设置。 在步骤 4 中标识的缓存安全模板中搜索文本 GPOPath=。 在此示例中，你将看到：

   GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE

   {6AC1786C-016F-11D2-945F-00C04FB984F9} 是 GPO 的 GUID。

6. 若要查找 GPO 的友好名称，请使用资源工具包实用工具 Gpotool.exe。 在命令提示符处键入以下命令，然后按 Enter：

   gpotool /verbose
   

   在输出中搜索在步骤 5 中标识的 GUID。 GUID 后面的四行包含策略的友好名称。 例如：

   Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
   Policy OK
   Details:
   ------------------------------------------------------------
   DC: domcntlr1.wingtiptoys.com
   Friendly name: Default Domain Controllers Policy
   

现已确定问题帐户、问题设置和问题 GPO。 若要解决此问题，请在安全策略的“受限组”部分搜索问题帐户实例， (在此示例中，MichaelPeltier) ，然后删除或替换问题条目。

错误代码0x5：访问被拒绝

当系统未获得更新服务访问控制列表的正确权限时，通常会发生此错误。 如果管理员在策略中定义了服务的权限，但未授予系统帐户“完全控制”权限，则可能会出现此问题。

要解决此问题，请执行下列步骤：

1. 确定哪个服务或哪个对象出现故障。 为此，请为安全配置客户端扩展启用调试日志记录：

   1. 启动注册表编辑器。

   2. 找到并选择以下注册表子项：

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}

   3. 在 “编辑 ”菜单上，选择“ 添加值”，然后添加以下注册表值：

      • 值名称：ExtensionDebugLevel
      • 数据类型：DWORD
      • 值数据：2

   4. 退出注册表编辑器。

2. 刷新策略设置以重现失败。 若要刷新策略设置，请在命令提示符处键入以下命令，然后按 Enter：

   secedit /refreshpolicy machine_policy /enforce
   

   此命令在 文件夹中创建名为 Winlogon.log%SYSTEMROOT%\Security\Logs 的文件。

3. 在命令提示符处，键入以下内容，然后按 Enter：

   find /i "error opening" %SYSTEMROOT%\security\logs\winlogon.log
   

   Find 输出使用错误配置的权限标识服务，例如 ，打开 Dnscache 时出错。 Dnscache 是 DNS 客户端服务的短名称。

4. 了解尝试修改服务权限的策略或策略。 为此，请在命令提示符下键入以下命令，然后按 Enter：

   find /i "service" %SYSTEMROOT%\security\templates\policies\gpt*.*".
   

   下面是示例命令及其输出：

   d:\>find /i "dnscache" %windir%\security\templates\policies\gpt*.*
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
   Dnscache,3,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;LA)"
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
   

5. 确定哪个 GPO 包含问题设置。 在步骤 4 中标识的缓存安全模板中搜索文本 GPOPath=。 在此示例中，你将看到：

   GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE

   {6AC1786C-016F-11D2-945F-00C04FB984F9} 是 GPO 的 GUID。

6. 若要查找 GPO 的友好名称，请使用资源工具包实用工具 Gpotool.exe。 在命令提示符处键入以下命令，然后按 Enter：

   gpotool /verbose
   

   在输出中搜索在步骤 5 中标识的 GUID。 GUID 后面的四行包含策略的友好名称。 例如：

   Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
   Policy OK
   Details:
   ------------------------------------------------------------
   DC: domcntlr1.wingtiptoys.com
   Friendly name: Default Domain Controllers Policy
   

现在，你已使用错误配置的权限和问题 GPO 标识了服务。 若要解决此问题，请在安全策略的“系统服务”部分搜索具有错误配置权限的服务实例。 然后采取纠正措施，向系统帐户授予对服务的“完全控制”权限。

错误代码0x4b8：发生扩展错误

0x4b8错误是泛型错误，可能由许多不同的问题引起。 若要排查这些错误，请执行以下步骤：

1. 为安全配置客户端扩展启用调试日志记录：

   1. 启动注册表编辑器。

   2. 找到并选择以下注册表子项：

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}

   3. 在 “编辑 ”菜单上，选择“ 添加值”，然后添加以下注册表值：

      • 值名称：ExtensionDebugLevel
      • 数据类型：DWORD
      • 值数据：2

   4. 退出注册表编辑器。

2. 刷新策略设置以重现失败。 若要刷新策略设置，请在命令提示符处键入以下命令，然后按 Enter：

   secedit /refreshpolicy machine_policy /enforce
   

   此命令在 文件夹中创建名为 Winlogon.log %SYSTEMROOT%\Security\Logs 的文件。

3. 请参阅 应用程序日志中重复记录 ESENT 事件 ID 1000、1202、412 和 454。 本文介绍导致0x4b8错误的已知问题。

数据收集

如果需要 Microsoft 支持方面的帮助，我们建议按照使用 TSS 收集信息中提到的步骤收集信息，解决组策略问题。