SCECLI 1202 イベントのトラブルシューティング

この記事では、SCECLI 1202 イベントのトラブルシューティングと解決方法について説明します。

適用対象: サポートされているバージョンの Windows Server と Windows クライアント
元の KB 番号: 324383

まとめ

これらのイベントのトラブルシューティングの最初の手順は、Win32 エラー コードを特定することです。 このエラー コードは、SCECLI 1202 イベントの原因となるエラーの種類を区別します。 SCECLI 1202 イベントの例を次に示します。 エラー コードは、 Description フィールドに表示されます。 この例では、エラー コードは0x534。 エラー コードの後のテキストは、エラーの説明です。 エラー コードを確認したら、この記事のエラー コード セクションを見つけて、そのセクションのトラブルシューティング手順に従います。

0x534: アカウント名とセキュリティ ID の間のマッピングは行われませんでした。

または

0x6fc: プライマリ ドメインと信頼されたドメインの間の信頼関係に失敗しました。

エラー コード 0x534: アカウント名とセキュリティ ID の間のマッピングが行われませんでした

これらのエラー コードは、セキュリティ アカウントをセキュリティ識別子 (SID) に解決できなかったことを意味します。 通常、このエラーは、アカウント名の入力が間違っているか、セキュリティ ポリシー設定に追加された後にアカウントが削除されたために発生します。 通常は、セキュリティ ポリシー設定の User Rights セクションまたは Restricted Groups セクションで発生します。 また、アカウントが信頼を超えて存在し、信頼関係が壊れている場合にも発生する可能性があります。

この問題のトラブルシューティングを行うには、これらの手順に従います。

1. エラーの原因となっているアカウントを特定します。 これを行うには、Security Configuration クライアント側拡張機能のデバッグ ログを有効にします。

   1. レジストリ エディターを起動します。

   2. 次のレジストリ サブキーを見つけてクリックします。

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}

   3. Edit メニュー[値の追加]を選択し、次のレジストリ値を追加します。

      • 値の名前: ExtensionDebugLevel
      • データの種類: DWORD
      • 値のデータ:2

   4. レジストリ エディターを終了します。

2. ポリシー設定を更新して、エラーを再現します。 ポリシー設定を更新するには、コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。

   gpupdate /target:computer /force
   

   このコマンドは、%SYSTEMROOT%\Security\Logs フォルダーに Winlogon.log という名前のファイルを作成します。

3. 問題のアカウントを見つけます。 これを行うには、コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。

   find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log
   

   Find 出力は、問題のあるアカウント名を識別します 。たとえば、 MichaelPeltier が見つかりません。 この例では、ユーザー アカウント MichaelPeltier はドメインに存在しません。 または、MichellePeltier などの別のスペルがあります。

   このアカウントを解決できない理由を特定します。 たとえば、文字体裁エラー、削除されたアカウント、このコンピューターに適用される間違ったポリシー、信頼の問題を探します。

4. アカウントをポリシーから削除する必要があると判断した場合は、問題ポリシーと問題の設定を見つけます。 未解決のアカウントが含まれている設定を確認するには、SCECLI 1202 イベントを生成しているコンピューターのコマンド プロンプトで次のコマンドを入力し、Enter キーを押します。

   c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*
   

   この例では、構文と結果は次のようになります。

   c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.*
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
   SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,MichaelPeltier,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
   

   GPT00002.inf は、問題の設定を含む問題のグループ ポリシー オブジェクト (GPO) からキャッシュされたセキュリティ テンプレートとして識別されます。 また、問題の設定を SeInteractiveLogonRight として識別します。 SeInteractiveLogonRight の表示名はローカル Logonです。

   定数 (SeInteractiveLogonRight など) を表示名 (ローカルログオンなど) にマップする方法については、「 User Rights Assignment」を参照してください。

5. 問題の設定が含まれている GPO を特定します。 手順 4 で特定したキャッシュされたセキュリティ テンプレートで、テキスト GPOPath=を検索します。 この例では、次のように表示されます。

   GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE

   {6AC1786C-016F-11D2-945F-00C04FB984F9} は GPO の GUID です。

6. GPO のフレンドリ名を見つけるには、ドメイン コントローラー (DC) または Active Directory (AD) リモート サーバー管理者ツール (RSAT) ツールがインストールされているサーバーで、PowerShell コマンドレット Get-GPO -Guid を使用します。

   GPO のフレンドリ名は、 DisplayName フィールドの横に表示されます。

   Get-GPO -Guid 6AC1786C-016F-11D2-945F-00C04FB984F9
   DisplayName : Default Domain Controllers Policy
   DomainName : contoso.com
   Owner : CONTOSO\Domain Admins
   

これで、問題のアカウント、問題の設定、および問題の GPO が特定されました。 問題を解決するには、問題のエントリを削除または置き換えます。

エラー コード 0x2: 指定されたファイルが見つかりません

このエラーは、0x534と0x6fcに似ています。 これは、回復不可能なアカウント名が原因で発生します。 0x2 エラーが発生した場合、通常は、制限付きグループ ポリシー設定で、回復不可能なアカウント名が指定されていることを示します。

この問題のトラブルシューティングを行うには、これらの手順に従います。

1. 障害が発生しているサービスまたはオブジェクトを特定します。 これを行うには、Security Configuration クライアント側拡張機能のデバッグ ログを有効にします。

   1. レジストリ エディターを起動します。

   2. 次のレジストリ サブキーを見つけてクリックします。

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}

   3. Edit メニュー[値の追加]を選択し、次のレジストリ値を追加します。

      • 値の名前: ExtensionDebugLevel
      • データの種類: DWORD
      • 値のデータ:2

   4. レジストリ エディターを終了します。

2. ポリシー設定を更新して、エラーを再現します。 ポリシー設定を更新するには、コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。

   gpupdate /target:computer /force
   

   このコマンドを実行すると、%SYSTEMROOT%\Security\Logs フォルダーに Winlogon.log という名前のファイルが作成されます。

3. コマンド プロンプトで、次のコマンドを入力して Enter キーを押します。

   find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log
   

   Find 出力は、問題のあるアカウント名を識別します 。たとえば、 MichaelPeltier が見つかりません。 この例では、ユーザー アカウント MichaelPeltier はドメインに存在しません。 または、たとえば MichellePeltier など、スペルが異なります。

   このアカウントを解決できない理由を特定します。 たとえば、文字体裁エラー、削除されたアカウント、このコンピューターに適用されている間違ったポリシー、信頼の問題を探します。

4. アカウントをポリシーから削除する必要があると判断した場合は、問題ポリシーと問題の設定を見つけます。 未解決のアカウントを含む設定を見つけるには、SCECLI 1202 イベントを生成しているコンピューターのコマンド プロンプトで次のコマンドを入力し、Enter キーを押します。

   c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*
   

   この例では、構文と結果は次のようになります。

   c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.*
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
   SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,JohnDough,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
   

   GPT00002.inf は、問題の設定を含む問題の GPO からキャッシュされたセキュリティ テンプレートとして識別されます。 また、問題の設定を SeInteractiveLogonRight として識別します。 SeInteractiveLogonRight の表示名はローカル Logonです。

   定数 (SeInteractiveLogonRight など) を表示名 (ローカルログオンなど) にマップする方法については、「 User Rights Assignment」を参照してください。

5. 問題の設定が含まれている GPO を特定します。 手順 4 で特定したキャッシュされたセキュリティ テンプレートで、テキスト GPOPath=を検索します。 この例では、次のように表示されます。

   GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE

   {6AC1786C-016F-11D2-945F-00C04FB984F9} は GPO の GUID です。

6. GPO のフレンドリ名を見つけるには、DC または AD RSAT ツールがインストールされているサーバーで、PowerShell コマンドレット Get-GPO -Guid を使用します。

   GPO のフレンドリ名は、 DisplayName フィールドの横に表示されます。

   Get-GPO -Guid 6AC1786C-016F-11D2-945F-00C04FB984F9
   DisplayName : Default Domain Controllers Policy
   DomainName : contoso.com
   Owner : CONTOSO\Domain Admins
   

これで、問題のアカウント、問題の設定、および問題の GPO が特定されました。 問題を解決するには、セキュリティ ポリシーの [制限付きグループ] セクションで問題アカウントのインスタンス (この例では MichaelPeltier) を検索し、問題のエントリを削除または置き換えます。

エラー コード 0x5: アクセスが拒否されました

通常、このエラーは、サービスのアクセス制御リストを更新するための適切なアクセス許可がシステムに付与されていない場合に発生します。 これは、管理者がポリシーでサービスのアクセス許可を定義しているが、システム アカウントにフル コントロールのアクセス許可を付与していない場合に発生する可能性があります。

この問題のトラブルシューティングを行うには、これらの手順に従います。

1. 障害が発生しているサービスまたはオブジェクトを特定します。 これを行うには、Security Configuration クライアント側拡張機能のデバッグ ログを有効にします。

   1. レジストリ エディターを起動します。

   2. 次のレジストリ サブキーを見つけてクリックします。

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}

   3. Edit メニュー[値の追加]を選択し、次のレジストリ値を追加します。

      • 値の名前: ExtensionDebugLevel
      • データの種類: DWORD
      • 値のデータ:2

   4. レジストリ エディターを終了します。

2. ポリシー設定を更新して、エラーを再現します。 ポリシー設定を更新するには、コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。

   gpupdate /target:computer /force
   

   このコマンドは、%SYSTEMROOT%\Security\Logs フォルダーに Winlogon.log という名前のファイルを作成します。

3. コマンド プロンプトで、次のように入力し、Enter キーを押します。

   find /i "error opening" %SYSTEMROOT%\security\logs\winlogon.log
   

   Find 出力は、正しく構成されていないアクセス許可を持つサービスを識別します (たとえば、dnscache を開く エラー。 Dnscache は DNS クライアント サービスの短い名前です。

4. サービスのアクセス許可を変更しようとしているポリシーまたはポリシーを確認します。 これを行うには、コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。

   find /i "service" %SYSTEMROOT%\security\templates\policies\gpt*.*
   

   コマンドのサンプルとその出力を次に示します。

   d:\>find /i "dnscache" %windir%\security\templates\policies\gpt*.*
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
   Dnscache,3,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;LA)"
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
   

5. 問題の設定が含まれている GPO を特定します。 手順 4 で特定したキャッシュされたセキュリティ テンプレートで、テキスト GPOPath=を検索します。 この例では、次のように表示されます。

   GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE

   {6AC1786C-016F-11D2-945F-00C04FB984F9} は GPO の GUID です。

6. GPO のフレンドリ名を見つけるには、DC または AD RSAT ツールがインストールされているサーバーで、PowerShell コマンドレット Get-GPO -Guid を使用します。

   GPO のフレンドリ名は、 DisplayName フィールドの横に表示されます。

    Get-GPO -Guid 6AC1786C-016F-11D2-945F-00C04FB984F9
    DisplayName : Default Domain Controllers Policy
    DomainName : contoso.com
    Owner : CONTOSO\Domain Admins
   

これで、正しく構成されていないアクセス許可と問題のある GPO でサービスを特定できました。 問題を解決するには、セキュリティ ポリシーの System Services セクションで、正しく構成されていないアクセス許可を持つサービスのインスタンスを検索します。 次に、修正アクションを実行して、システム アカウントにフル コントロールのアクセス許可をサービスに付与します。

エラー コード 0x4b8: 拡張エラーが発生しました

0x4b8 エラーは一般的であり、さまざまな問題が原因で発生する可能性があります。 これらのエラーをトラブルシューティングするには、次の手順に従います。

1. Security Configuration クライアント側拡張機能のデバッグ ログを有効にします。

   1. レジストリ エディターを起動します。

   2. 次のレジストリ サブキーを見つけてクリックします。

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}

   3. Edit メニュー[値の追加]を選択し、次のレジストリ値を追加します。

      • 値の名前: ExtensionDebugLevel
      • データの種類: DWORD
      • 値のデータ:2

   4. レジストリ エディターを終了します。

2. ポリシー設定を更新して、エラーを再現します。 ポリシー設定を更新するには、コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。

   gpupdate /target:computer /force
   

   このコマンドは、 %SYSTEMROOT%\Security\Logs フォルダーに Winlogon.log という名前のファイルを作成します。

3. アプリケーション ログ ESENT イベント ID 1000、1202、412、454 が繰り返しログに記録されるを参照してください。 この記事では、0x4b8 エラーの原因となる既知の問題について説明します。

データ収集

Microsoft サポートからのサポートが必要な場合は、グループ ポリシーの問題に TSS を使用して Gather 情報に記載されている手順に従って情報を収集することをお勧めします。