Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver hur du felsöker och löser SCECLI 1202-händelser.
Gäller för: Versioner av Windows Server och Windows Client som stöds
Ursprungligt KB-nummer: 324383
Sammanfattning
Det första steget i felsökningen av dessa händelser är att identifiera Win32-felkoden. Den här felkoden skiljer den typ av fel som orsakar SCECLI 1202-händelsen. Nedan visas ett exempel på en SCECLI 1202-händelse. Felkoden visas i fältet Beskrivning . I det här exemplet är felkoden 0x534. Texten efter felkoden är felbeskrivningen. När du har fastställt felkoden letar du reda på felkodsavsnittet i den här artikeln och följer sedan felsökningsstegen i det avsnittet.
0x534: Ingen mappning mellan kontonamn och säkerhets-ID:n gjordes.
eller
0x6fc: Förtroenderelationen mellan den primära domänen och den betrodda domänen misslyckades.
Felkod 0x534: Ingen mappning mellan kontonamn och säkerhets-ID:n har gjorts
Dessa felkoder innebär att det inte gick att matcha ett säkerhetskonto till en säkerhetsidentifierare (SID). Felet uppstår vanligtvis antingen på grund av att ett kontonamn har feltypats eller på att kontot togs bort efter att det lagts till i säkerhetsprincipinställningen. Det inträffar vanligtvis i avsnittet Användarrättigheter eller avsnittet Begränsade grupper i säkerhetsprincipinställningen. Det kan också inträffa om kontot finns i ett förtroende och förtroenderelationen bryts.
Felsök problemet med hjälp av följande steg:
Fastställ det konto som orsakar felet. Det gör du genom att aktivera felsökningsloggning för tillägget På klientsidan för Säkerhetskonfiguration:
Öppna Registereditorn.
Leta upp och markera sedan följande registerundernyckel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}På menyn Redigera väljer du Lägg till värde och lägger sedan till följande registervärde:
- Värdenamn: ExtensionDebugLevel
- Datatyp: DWORD
- Värdedata: 2
Avsluta Registereditorn.
Uppdatera principinställningarna för att återskapa felet. Om du vill uppdatera principinställningarna skriver du följande kommando i kommandotolken och trycker sedan på RETUR:
gpupdate /target:computer /forceDet här kommandot skapar en fil med namnet Winlogon.log i
%SYSTEMROOT%\Security\Logsmappen .Hitta problemkontot. Om du vill göra det skriver du följande kommando i kommandotolken och trycker sedan på RETUR:
find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.logSök-utdata identifierar problemkontonamnen, till exempel Det går inte att hitta MichaelPeltier. I det här exemplet finns inte användarkontot MichaelPeltier i domänen. Eller så har den en annan stavning, till exempel MichellePeltier.
Ta reda på varför det här kontot inte kan lösas. Leta till exempel efter typografiska fel, ett borttaget konto, fel princip som gäller för den här datorn eller ett förtroendeproblem.
Om du fastställer att kontot måste tas bort från principen hittar du problemprincipen och probleminställningen. Om du vill ta reda på vilken inställning som innehåller det olösta kontot skriver du följande kommando i kommandotolken på datorn som producerar SCECLI 1202-händelsen och trycker sedan på RETUR:
c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*I det här exemplet är syntaxen och resultatet:
c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,MichaelPeltier,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548 ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOMDen identifierar GPT00002.inf som den cachelagrade säkerhetsmallen från problemet grupprincip objekt (GPO) som innehåller probleminställningen. Den identifierar även probleminställningen som SeInteractiveLogonRight. Visningsnamnet för SeInteractiveLogonRight är Inloggning lokalt.
En karta över konstanterna (till exempel SeInteractiveLogonRight) till deras visningsnamn (till exempel Inloggning lokalt) finns i Tilldelning av användarrättigheter.
Ta reda på vilket grupprincipobjekt som innehåller probleminställningen. Sök i den cachelagrade säkerhetsmallen som du identifierade i steg 4 efter texten
GPOPath=. I det här exemplet skulle du se:GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE{6AC1786C-016F-11D2-945F-00C04FB984F9} är GUID för grupprincipobjektet.
Om du vill hitta det egna namnet på grupprincipobjektet använder du PowerShell-cmdleten Get-GPO -Guid på en domänkontrollant (DC) eller en server med Active Directory-verktyg (AD) Remote Server Administrator Tools (RSAT) installerade.
Det egna namnet på grupprincipobjektet visas bredvid fältet
DisplayName:Get-GPO -Guid 6AC1786C-016F-11D2-945F-00C04FB984F9 DisplayName : Default Domain Controllers Policy DomainName : contoso.com Owner : CONTOSO\Domain Admins
Nu har du identifierat problemkontot, probleminställningen och problemets grupprincipobjekt. Lös problemet genom att ta bort eller ersätta problemposten.
Felkod 0x2: Systemet kan inte hitta den angivna filen
Det här felet liknar 0x534 och 0x6fc. Det orsakas av ett oåterkalleligt kontonamn. När felet 0x2 inträffar anger det vanligtvis att det olösliga kontonamnet anges i en principinställning för begränsade grupper.
Felsök problemet med hjälp av följande steg:
Avgör vilken tjänst eller vilket objekt som har felet. Det gör du genom att aktivera felsökningsloggning för tillägget På klientsidan för Säkerhetskonfiguration:
Öppna Registereditorn.
Leta upp och markera sedan följande registerundernyckel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}På menyn Redigera väljer du Lägg till värde och lägger sedan till följande registervärde:
- Värdenamn: ExtensionDebugLevel
- Datatyp: DWORD
- Värdedata: 2
Avsluta Registereditorn.
Uppdatera principinställningarna för att återskapa felet. Om du vill uppdatera principinställningarna skriver du följande kommando i kommandotolken och trycker sedan på RETUR:
gpupdate /target:computer /forceDet här kommandot skapar en fil med namnet Winlogon.log i
%SYSTEMROOT%\Security\Logsmappen .I kommandotolken skriver du följande kommando och trycker sedan på RETUR:
find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.logSök-utdata identifierar problemkontonamnen, till exempel Det går inte att hitta MichaelPeltier. I det här exemplet finns inte användarkontot MichaelPeltier i domänen. Eller så har den en annan stavning, till exempel MichellePeltier.
Ta reda på varför det här kontot inte kan lösas. Leta till exempel efter typografiska fel, ett borttaget konto, fel princip som gäller för den här datorn eller ett förtroendeproblem.
Om du fastställer att kontot måste tas bort från principen hittar du problemprincipen och probleminställningen. Om du vill ta reda på vilken inställning som innehåller det olösta kontot skriver du följande kommando i kommandotolken på datorn som skapar SCECLI 1202-händelsen och trycker sedan på RETUR:
c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*I det här exemplet är syntaxen och resultatet:
c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,JohnDough,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548 ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOMDen identifierar GPT00002.inf som den cachelagrade säkerhetsmallen från problemets grupprincipobjekt som innehåller probleminställningen. Den identifierar även probleminställningen som SeInteractiveLogonRight. Visningsnamnet för SeInteractiveLogonRight är Inloggning lokalt.
En karta över konstanterna (till exempel SeInteractiveLogonRight) till deras visningsnamn (till exempel Inloggning lokalt) finns i Tilldelning av användarrättigheter.
Ta reda på vilket grupprincipobjekt som innehåller probleminställningen. Sök i den cachelagrade säkerhetsmallen som du identifierade i steg 4 efter texten
GPOPath=. I det här exemplet skulle du se:GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE{6AC1786C-016F-11D2-945F-00C04FB984F9} är GUID för grupprincipobjektet.
Om du vill hitta det egna namnet på grupprincipobjektet använder du PowerShell-cmdleten Get-GPO -Guid på en domänkontrollant eller en server med AD RSAT-verktyg installerade.
Det egna namnet på grupprincipobjektet visas bredvid fältet
DisplayName:Get-GPO -Guid 6AC1786C-016F-11D2-945F-00C04FB984F9 DisplayName : Default Domain Controllers Policy DomainName : contoso.com Owner : CONTOSO\Domain Admins
Nu har du identifierat problemkontot, probleminställningen och problemets grupprincipobjekt. Lös problemet genom att söka i avsnittet Begränsade grupper i säkerhetsprincipen efter instanser av problemkontot (i det här exemplet MichaelPeltier) och sedan ta bort eller ersätta problemposten.
Felkod 0x5: Åtkomst nekad
Det här felet uppstår vanligtvis när systemet inte har beviljats rätt behörigheter för att uppdatera åtkomstkontrollistan för en tjänst. Det kan inträffa om administratören definierar behörigheter för en tjänst i en princip men inte ger systemkontot fullständig behörighet.
Felsök problemet med hjälp av följande steg:
Avgör vilken tjänst eller vilket objekt som har felet. Det gör du genom att aktivera felsökningsloggning för tillägget På klientsidan för Säkerhetskonfiguration:
Öppna Registereditorn.
Leta upp och markera sedan följande registerundernyckel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}På menyn Redigera väljer du Lägg till värde och lägger sedan till följande registervärde:
- Värdenamn: ExtensionDebugLevel
- Datatyp: DWORD
- Värdedata: 2
Avsluta Registereditorn.
Uppdatera principinställningarna för att återskapa felet. Om du vill uppdatera principinställningarna skriver du följande kommando i kommandotolken och trycker sedan på RETUR:
gpupdate /target:computer /forceDet här kommandot skapar en fil med namnet Winlogon.log i
%SYSTEMROOT%\Security\Logsmappen .I kommandotolken skriver du följande och trycker sedan på RETUR:
find /i "error opening" %SYSTEMROOT%\security\logs\winlogon.logFind-utdata identifierar tjänsten med felkonfigurerade behörigheter, till exempel Fel vid öppning av Dnscache. Dnscache är det korta namnet på DNS-klienttjänsten.
Ta reda på vilken princip eller vilka principer som försöker ändra tjänstbehörigheterna. Om du vill göra det skriver du följande kommando i kommandotolken och trycker sedan på RETUR:
find /i "service" %SYSTEMROOT%\security\templates\policies\gpt*.*Nedan visas ett exempelkommando och dess utdata:
d:\>find /i "dnscache" %windir%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF Dnscache,3,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;LA)" ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOMTa reda på vilket grupprincipobjekt som innehåller probleminställningen. Sök i den cachelagrade säkerhetsmallen som du identifierade i steg 4 efter texten
GPOPath=. I det här exemplet skulle du se:GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE{6AC1786C-016F-11D2-945F-00C04FB984F9} är GUID för grupprincipobjektet.
Om du vill hitta det egna namnet på grupprincipobjektet använder du PowerShell-cmdleten Get-GPO -Guid på en domänkontrollant eller en server med AD RSAT-verktyg installerade.
Det egna namnet på grupprincipobjektet visas bredvid fältet
DisplayName:Get-GPO -Guid 6AC1786C-016F-11D2-945F-00C04FB984F9 DisplayName : Default Domain Controllers Policy DomainName : contoso.com Owner : CONTOSO\Domain Admins
Nu har du identifierat tjänsten med de felkonfigurerade behörigheterna och problemets grupprincipobjekt. Lös problemet genom att söka i avsnittet System Services i säkerhetsprincipen efter instanser av tjänsten med felkonfigurerade behörigheter. Och vidta sedan korrigerande åtgärder för att bevilja systemkontot fullständig behörighet till tjänsten.
Felkod 0x4b8: Ett utökat fel har inträffat
Det 0x4b8 felet är allmänt och kan orsakas av många olika problem. Följ dessa steg för att felsöka dessa fel:
Aktivera felsökningsloggning för säkerhetskonfigurationstillägget på klientsidan:
Öppna Registereditorn.
Leta upp och markera sedan följande registerundernyckel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}På menyn Redigera väljer du Lägg till värde och lägger sedan till följande registervärde:
- Värdenamn: ExtensionDebugLevel
- Datatyp: DWORD
- Värdedata: 2
Avsluta Registereditorn.
Uppdatera principinställningarna för att återskapa felet. Om du vill uppdatera principinställningarna skriver du följande kommando i kommandotolken och trycker sedan på RETUR:
gpupdate /target:computer /forceDet här kommandot skapar en fil med namnet Winlogon.log i
%SYSTEMROOT%\Security\Logsmappen.Se ESENT-händelse-ID:t 1000, 1202, 412 och 454 loggas upprepade gånger i programloggen. I den här artikeln beskrivs kända problem som orsakar felet 0x4b8.
Datainsamling
Om du behöver hjälp från Microsofts support rekommenderar vi att du samlar in informationen genom att följa stegen i Samla in information med hjälp av TSS för grupprincip problem.