針對 SCECLI 1202 事件進行疑難解答

  • 發行項

本文說明疑難解答和解決 SCECLI 1202 事件的方式。

適用於: 支援的 Windows Server 和 Windows 用戶端版本
原始 KB 編號: 324383

摘要

針對這些事件進行疑難解答的第一個步驟是識別 Win32 錯誤碼。 此錯誤碼會區分造成 SCECLI 1202 事件的失敗類型。 以下是 SCECLI 1202 事件的範例。 錯誤碼會顯示在 [ 描述] 欄位 中。 在此範例中,會0x534錯誤碼。 錯誤碼之後的文字是錯誤描述。 在您判斷錯誤碼之後,請在本文中尋找該錯誤碼一節,然後遵循該區段中的疑難解答步驟。

0x534:未完成帳戶名稱和安全性標識符之間的對應。

0x6fc:主域與受信任網域之間的信任關係失敗。

錯誤碼0x534:未完成帳戶名稱和安全性標識符之間的對應

這些錯誤碼表示無法將安全性帳戶解析為安全標識符, (SID) 。 錯誤的發生通常是因為帳戶名稱輸入錯誤,或是因為帳戶在新增至安全策略設定之後遭到刪除。 它通常會出現在安全策略設定的 [用戶權力] 區段或 [限制 群組] 區段中。 如果帳戶存在於信任之間,然後信任關係中斷,也可能會發生此情況。

若要疑難排解此問題,請遵循下列步驟:

  1. 判斷造成失敗的帳戶。 若要這樣做,請啟用安全性設定客戶端擴充功能的偵錯記錄:

    1. 啟動 [登錄編輯程式]。

    2. 找出並選取下列登錄子機碼:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}

    3. 在 [ 編輯] 功能表上,選取 [ 新增值],然後新增下列登錄值:

      • 值名稱:ExtensionDebugLevel
      • 資料類型:DWORD
      • 值數據:2

    4. 結束 [登錄編輯程式]。

  2. 重新整理原則設定以重現失敗。 若要重新整理原則設定,請在命令提示字元中輸入下列命令,然後按 ENTER:

    gpupdate /target:computer /force

    此命令會在資料夾中%SYSTEMROOT%\Security\Logs建立名為 Winlogon.log 的檔案。

  3. 尋找問題帳戶。 若要這樣做,請在命令提示字元中輸入下列命令,然後按 ENTER:

    find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log

    [尋找] 輸出會識別問題帳戶名稱,例如 找不到 MichaelPeltier。 在此範例中,用戶帳戶 MichaelPeltier 不存在於網域中。 或者,它有不同的拼字,例如PelerPeltier。

    判斷為何無法解析此帳戶。 例如,尋找印刷錯誤、已刪除的帳戶、套用至此計算機的錯誤原則,或信任問題。

  4. 如果您判斷帳戶必須從原則中移除,請尋找問題原則和問題設定。 若要判斷哪一個設定包含無法解析的帳戶,請在產生 SCECLI 1202 事件之電腦上的命令提示字元中輸入下列命令,然後按 ENTER:

    c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*

    在此範例中,語法和結果為:

    c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.*
---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,MichaelPeltier,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM

    它會將 GPT00002.inf 識別為問題 群組原則 物件 (包含問題設定之 GPO) 快取的安全性範本。 它也會將問題設定識別為 SeInteractiveLogonRight。 SeInteractiveLogonRight 的顯示名稱是在 本機登入

    如需常數 (的對應,例如 SeInteractiveLogonRight) 至其顯示名稱 (例如,在本機登入) ,請參閱 用戶權力指派

  5. 判斷哪個 GPO 包含問題設定。 搜尋 您在步驟 4 中針對文字 GPOPath=識別的快取安全性範本。 在此範例中,您會看到:

    GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE

    {6AC1786C-016F-11D2-945F-00C04FB984F9} 是 GPO 的 GUID。

  6. 若要尋找 GPO 的易記名稱,請在域控制器上使用 PowerShell Cmdlet Get-GPO -Guid (DC) 或已安裝 Active Directory (AD) 遠端伺服器管理員工具 (RSAT) 工具的伺服器。

    GPO 的易記名稱會顯示在 DisplayName 欄位旁邊:

    Get-GPO -Guid 6AC1786C-016F-11D2-945F-00C04FB984F9
DisplayName : Default Domain Controllers Policy
DomainName : contoso.com
Owner : CONTOSO\Domain Admins

現在您已識別出問題帳戶、問題設定和問題 GPO。 若要解決問題,請移除或取代問題專案。

錯誤碼0x2:系統找不到指定的檔案

此錯誤類似於 0x534和 0x6fc。 這是由無法解析的帳戶名稱所造成。 發生0x2錯誤時,通常表示無法解析的帳戶名稱是在限制 群組 原則設定中指定。

若要疑難排解此問題,請遵循下列步驟:

  1. 判斷哪一個服務或哪個對象發生失敗。 若要這樣做,請啟用安全性設定客戶端擴充功能的偵錯記錄:

    1. 啟動 [登錄編輯程式]。

    2. 找出並選取下列登錄子機碼:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}

    3. 在 [ 編輯] 功能表上,選取 [ 新增值],然後新增下列登錄值:

      • 值名稱:ExtensionDebugLevel
      • 資料類型:DWORD
      • 值數據:2

    4. 結束 [登錄編輯程式]。

  2. 重新整理原則設定以重現失敗。 若要重新整理原則設定,請在命令提示字元中輸入下列命令,然後按 ENTER:

    gpupdate /target:computer /force

    此命令會在資料夾中%SYSTEMROOT%\Security\Logs建立名為 Winlogon.log 的檔案。

  3. 在命令提示字元處輸入下列命令,然後按 ENTER:

    find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log

    [尋找] 輸出會識別問題帳戶名稱,例如 找不到 MichaelPeltier。 在此範例中,用戶帳戶 MichaelPeltier 不存在於網域中。 或者,它有不同的拼字,例如,PelerPeltier。

    判斷為何無法解析此帳戶。 例如,尋找印刷錯誤、已刪除的帳戶、套用到這部計算機的錯誤原則,或信任問題。

  4. 如果您判斷帳戶必須從原則中移除,請尋找問題原則和問題設定。 若要尋找包含未解析帳戶的設定,請在產生 SCECLI 1202 事件之電腦上的命令提示字元輸入下列命令,然後按 ENTER:

    c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*

    在此範例中,語法和結果為:

    c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.*
---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,JohnDough,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM

    它會從包含問題設定的問題 GPO 中,將 GPT00002.inf 識別為快取的安全性範本。 它也會將問題設定識別為 SeInteractiveLogonRight。 SeInteractiveLogonRight 的顯示名稱是在 本機登入

    如需常數 (的對應,例如 SeInteractiveLogonRight) 至其顯示名稱 (例如,在本機登入) ,請參閱 用戶權力指派

  5. 判斷哪個 GPO 包含問題設定。 搜尋 您在步驟 4 中針對文字 GPOPath=識別的快取安全性範本。 在此範例中,您會看到:

    GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE

    {6AC1786C-016F-11D2-945F-00C04FB984F9} 是 GPO 的 GUID。

  6. 若要尋找 GPO 的易記名稱,請在 DC 或已安裝 AD RSAT 工具的伺服器上使用 PowerShell Cmdlet Get-GPO -Guid

    GPO 的易記名稱會顯示在 DisplayName 欄位旁邊:

    Get-GPO -Guid 6AC1786C-016F-11D2-945F-00C04FB984F9
DisplayName : Default Domain Controllers Policy
DomainName : contoso.com
Owner : CONTOSO\Domain Admins

您現在已識別出問題帳戶、問題設定和問題 GPO。 若要解決此問題,請在安全策略的 [限制 群組] 區段中搜尋問題帳戶的實例 (此範例中的 MichaelPeltier) ,然後移除或取代問題專案。

錯誤碼0x5:拒絕存取

當系統尚未獲得更新服務訪問控制清單的正確許可權時,通常會發生此錯誤。 如果系統管理員在原則中定義服務的許可權,但未授與系統帳戶完全控制許可權,就可能發生此情況。

若要疑難排解此問題,請遵循下列步驟:

  1. 判斷哪一個服務或哪個對象發生失敗。 若要這樣做,請啟用安全性設定客戶端擴充功能的偵錯記錄:

    1. 啟動 [登錄編輯程式]。

    2. 找出並選取下列登錄子機碼:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}

    3. 在 [ 編輯] 功能表上,選取 [ 新增值],然後新增下列登錄值:

      • 值名稱:ExtensionDebugLevel
      • 資料類型:DWORD
      • 值數據:2

    4. 結束 [登錄編輯程式]。

  2. 重新整理原則設定以重現失敗。 若要重新整理原則設定,請在命令提示字元中輸入下列命令,然後按 ENTER:

    gpupdate /target:computer /force

    此命令會在資料夾中%SYSTEMROOT%\Security\Logs建立名為 Winlogon.log 的檔案。

  3. 在命令提示字元中輸入下列命令,然後按 ENTER:

    find /i "error opening" %SYSTEMROOT%\security\logs\winlogon.log

    [尋找] 輸出會識別具有錯誤設定許可權的服務,例如 開啟 Dnscache 時發生錯誤Dnscache 是 DNS 用戶端服務的簡短名稱。

  4. 瞭解哪些原則或哪些原則嘗試修改服務許可權。 若要這樣做,請在命令提示字元中輸入下列命令,然後按 ENTER:

    find /i "service" %SYSTEMROOT%\security\templates\policies\gpt*.*

    以下是範例命令及其輸出:

    d:\>find /i "dnscache" %windir%\security\templates\policies\gpt*.*

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
Dnscache,3,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;LA)"

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM

  5. 判斷哪個 GPO 包含問題設定。 搜尋 您在步驟 4 中為文字 GPOPath=識別的快取安全性範本。 在此範例中,您會看到:

    GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE

    {6AC1786C-016F-11D2-945F-00C04FB984F9} 是 GPO 的 GUID。

  6. 若要尋找 GPO 的易記名稱,請在 DC 或已安裝 AD RSAT 工具的伺服器上使用 PowerShell Cmdlet Get-GPO -Guid

    GPO 的易記名稱會顯示在 DisplayName 欄位旁邊:

     Get-GPO -Guid 6AC1786C-016F-11D2-945F-00C04FB984F9
 DisplayName : Default Domain Controllers Policy
 DomainName : contoso.com
 Owner : CONTOSO\Domain Admins

現在您已識別出具有錯誤設定許可權的服務和問題 GPO。 若要解決此問題,請在安全策略的 [系統服務] 區段中,搜尋具有錯誤設定許可權的服務實例。 然後採取更正動作,將系統帳戶完全控制許可權授與服務。

錯誤碼0x4b8:發生擴充錯誤

0x4b8錯誤是泛型的,而且可能是許多不同問題所造成。 若要針對這些錯誤進行疑難解答,請遵循下列步驟:

  1. 開啟安全性設定客戶端擴充功能的偵錯記錄:

    1. 啟動 [登錄編輯程式]。

    2. 找出並選取下列登錄子機碼:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}

    3. 在 [ 編輯] 功能表上,選取 [ 新增值],然後新增下列登錄值:

      • 值名稱:ExtensionDebugLevel
      • 資料類型:DWORD
      • 值數據:2

    4. 結束 [登錄編輯程式]。

  2. 重新整理原則設定以重現失敗。 若要重新整理原則設定,請在命令提示字元中輸入下列命令,然後按 ENTER:

    gpupdate /target:computer /force

    此命令會在資料夾中 %SYSTEMROOT%\Security\Logs 建立名為 Winlogon.log 的檔案。

  3. 請參閱 應用程式記錄中重複記錄 ESENT 事件識別碼 1000、1202、412 和 454。 本文說明造成0x4b8錯誤的已知問題。

資料收集

如果您需要 Microsoft 支援服務的協助,建議您依照使用 TSS 收集資訊中所述的步驟來收集資訊,以 群組原則 問題