SCECLI 1202 イベントのトラブルシューティング

この記事では、SCECLI 1202 イベントのトラブルシューティングと解決方法について説明します。

適用対象:  Windows Server 2012R2
元の KB 番号:   324383

概要

これらのイベントのトラブルシューティングの最初の手順は、Win32 エラー コードを識別します。 このエラー コードは、SCECLI 1202 イベントの原因となるエラーの種類を区別します。 以下に、SCECLI 1202 イベントの例を示します。 エラー コードが [説明] フィールド に表示 されます。 この例では、エラー コードが0x534。 エラー コードの後のテキストは、エラーの説明です。 エラー コードを確認したら、この記事の「エラー コード」セクションを見つけて、そのセクションのトラブルシューティング手順に従います。

0x534: アカウント名とセキュリティの間にマッピングが行われなされました。

または

0x6fc: プライマリ ドメインと信頼されたドメインの信頼関係が失敗しました。

エラー コード 0x534: アカウント名とセキュリティの間のマッピングが行われな

これらのエラー コードは、セキュリティ アカウントをセキュリティ識別子 (SID) に解決できないという意味です。 通常、このエラーは、アカウント名が誤って入力されたか、またはアカウントがセキュリティ ポリシー設定に追加された後に削除されたために発生します。 通常は、セキュリティ ポリシー設定の [ユーザー権限] セクションまたは [制限されたグループ] セクションで発生します。 また、信頼を越えてアカウントが存在し、信頼関係が壊れている場合にも発生することがあります。

この問題をトラブルシューティングするには、次の手順に従います。

  1. エラーの原因となっているアカウントを特定します。 これを行うには、セキュリティ構成クライアント側拡張機能のデバッグ ログを有効にします。

    1. レジストリ エディターを起動します。

    2. 次のレジストリ サブキーを見つけてクリックします。

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}

    3. [編集 ] メニューの [値の 追加] を 選択し、次のレジストリ値を追加します。

      • 値の名前: ExtensionDebugLevel
      • データ型: DWORD
      • 値データ: 2
    4. レジストリ エディターを終了します。

  2. ポリシー設定を更新して、エラーを再現します。 ポリシー設定を更新するには、コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。

    secedit /refreshpolicy machine_policy /enforce
    

    このコマンドは、フォルダーに Winlogon.log という名前のファイル を作成 %SYSTEMROOT%\Security\Logs します。

  3. 問題のあるアカウントを見つける。 これを行うには、コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。

    find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log
    

    Find 出力は、問題のアカウント名を識別します。たとえば 、MichaelPeltier を見つけ出す必要はありません。 この例では、ユーザー アカウント MichaelPeltier がドメインに存在しません。 または、ミシェルペルティエなど、異なるスペルを持っています。

    このアカウントを解決できない理由を特定します。 たとえば、入力ミス、削除されたアカウント、このコンピューターに適用される間違ったポリシー、または信頼の問題を探します。

  4. アカウントをポリシーから削除する必要がある場合は、問題ポリシーと問題の設定を確認します。 未解決のアカウントを含む設定を確認するには、SCECLI 1202 イベントを生成しているコンピューターのコマンド プロンプトで次のコマンドを入力し、Enter キーを押します。

    c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*
    

    この例では、構文と結果は次のとおりです。

    c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.*
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
    SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,MichaelPeltier,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
    

    GPT00002.inf は、問題の設定を含む問題グループ ポリシー オブジェクト (GPO) からキャッシュされたセキュリティ テンプレートとして識別されます。 また、問題の設定を SeInteractiveLogonRight として識別します。 SeInteractiveLogonRight の表示名は、 ローカルログオンです

    定数 (SeInteractiveLogonRight など) の表示名 (ローカルログオンなど) のマップについては、「Microsoft Windows 2000 Server Resource Kit,Distributed Systems Guide」を参照してください。 マップは付録の [ユーザー権限 ] セクションに表示されます。

  5. 問題の設定が含まれている GPO を決定します。 手順 4 で特定したキャッシュされたセキュリティ テンプレートでテキストを検索します GPOPath= 。 この例では、次の情報が表示されます。

    GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE

    {6AC1786C-016F-11D2-945F-00C04FB984F9} は GPO の GUID です。

  6. GPO のフレンドリーな名前を見つけるには、リソース キット ユーティリティを使用Gpotool.exe。 コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。

    gpotool /verbose
    

    手順 5 で識別した GUID の出力を検索します。 GUID に続く 4 行には、ポリシーの表示名が含まれる。 次に例を示します。

    Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
    Policy OK
    Details:
    ------------------------------------------------------------
    DC: domcntlr1.wingtiptoys.com
    Friendly name: Default Domain Controllers Policy
    

これで、問題アカウント、問題の設定、および問題の GPO を特定しました。 問題を解決するには、問題のエントリを削除または置換します。

エラー コード 0x2: システムが指定したファイルを見つけ出す

このエラーは、0x534と似0x6fc。 これは、解決できないアカウント名が原因です。 エラーが0x2場合、通常は、制限付きグループ ポリシー設定で解決できないアカウント名が指定されています。

この問題をトラブルシューティングするには、次の手順に従います。

  1. 障害が発生しているサービスまたはオブジェクトを特定します。 これを行うには、セキュリティ構成クライアント側拡張機能のデバッグ ログを有効にします。

    1. レジストリ エディターを起動します。

    2. 次のレジストリ サブキーを見つけてクリックします。

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}

    3. [編集 ] メニューの [値の 追加] を 選択し、次のレジストリ値を追加します。

      • 値の名前: ExtensionDebugLevel
      • データ型: DWORD
      • 値データ: 2
    4. レジストリ エディターを終了します。

  2. ポリシー設定を更新して、エラーを再現します。 ポリシー設定を更新するには、コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。

    secedit /refreshpolicy machine_policy /enforce
    

    このコマンドは、フォルダーに Winlogon.log という名前のファイル を作成 %SYSTEMROOT%\Security\Logs します。

  3. コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。

    find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log
    

    Find 出力は、問題のアカウント名を識別します。たとえば 、MichaelPeltier を見つけ出す必要はありません。 この例では、ユーザー アカウント MichaelPeltier がドメインに存在しません。 または、異なるスペル (たとえば、MichellePeltier) があります。

    このアカウントを解決できない理由を特定します。 たとえば、入力ミス、削除されたアカウント、このコンピューターに適用されている間違ったポリシー、または信頼の問題を探します。

  4. アカウントをポリシーから削除する必要がある場合は、問題のポリシーと問題の設定を確認します。 未解決のアカウントが含まれている設定を確認するには、SCECLI 1202 イベントを生成しているコンピューターのコマンド プロンプトで次のコマンドを入力し、Enter キーを押します。

    c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*
    

    この例では、構文と結果は次のとおりです。

    c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.*
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
    SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,JohnDough,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
    

    GPT00002.inf は、問題の設定を含む問題 GPO からキャッシュされたセキュリティ テンプレートとして識別されます。 また、問題の設定を SeInteractiveLogonRight として識別します。 SeInteractiveLogonRight の表示名は、 ローカルログオンです

    定数 (SeInteractiveLogonRight など) の表示名 (ローカルログオンなど) のマップについては、「Windows 2000 Server Resource Kit,Distributed Systems Guide」を参照してください。 マップは付録の [ユーザー権限 ] セクションに表示されます。

  5. 問題の設定が含まれている GPO を決定します。 手順 4 で特定したキャッシュされたセキュリティ テンプレートでテキストを検索します GPOPath= 。 この例では、次の情報が表示されます。

    GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE

    {6AC1786C-016F-11D2-945F-00C04FB984F9} は GPO の GUID です。

  6. GPO のフレンドリーな名前を見つけるには、リソース キット ユーティリティを使用Gpotool.exe。 コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。

    gpotool /verbose
    

    手順 5 で特定した GUID の出力を検索します。 GUID に続く 4 行には、ポリシーの表示名が含まれる。 以下に例を示します。

    Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
    Policy OK
    Details:
    ------------------------------------------------------------
    DC: domcntlr1.wingtiptoys.com
    Friendly name: Default Domain Controllers Policy
    

これで、問題アカウント、問題の設定、および問題の GPO が特定されました。 問題を解決するには、セキュリティ ポリシーの [制限されたグループ] セクションで、問題アカウントのインスタンス (この例では MichaelPeltier) を検索し、問題のエントリを削除または置換します。

エラー コード 0x5: アクセスが拒否されました

通常、このエラーは、サービスのアクセス制御リストを更新するための正しいアクセス許可がシステムに付与されていない場合に発生します。 これは、管理者がポリシーでサービスのアクセス許可を定義しているが、System アカウントのフル コントロールアクセス許可を付与しない場合に発生することがあります。

この問題をトラブルシューティングするには、次の手順に従います。

  1. 障害が発生しているサービスまたはオブジェクトを特定します。 これを行うには、セキュリティ構成クライアント側拡張機能のデバッグ ログを有効にします。

    1. レジストリ エディターを起動します。

    2. 次のレジストリ サブキーを見つけてクリックします。

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}

    3. [編集 ] メニューの [値の 追加] を 選択し、次のレジストリ値を追加します。

      • 値の名前: ExtensionDebugLevel
      • データ型: DWORD
      • 値データ: 2
    4. レジストリ エディターを終了します。

  2. ポリシー設定を更新して、エラーを再現します。 ポリシー設定を更新するには、コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。

    secedit /refreshpolicy machine_policy /enforce
    

    このコマンドは、フォルダーに Winlogon.log という名前のファイル を作成 %SYSTEMROOT%\Security\Logs します。

  3. コマンド プロンプトで、次を入力し、Enter キーを押します。

    find /i "error opening" %SYSTEMROOT%\security\logs\winlogon.log
    

    Find 出力は、正しく構成されていないアクセス許可を持つサービスを識別します。たとえば 、Dnscache を 開くエラーです。 Dnscache は、DNS クライアント サービスの短い名前です。

  4. サービスのアクセス許可を変更しようとしているポリシーまたはポリシーを確認します。 これを行うには、コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。

    find /i "service" %SYSTEMROOT%\security\templates\policies\gpt*.*".
    

    コマンドとその出力の例を次に示します。

    d:\>find /i "dnscache" %windir%\security\templates\policies\gpt*.*
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
    Dnscache,3,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;LA)"
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
    
  5. 問題の設定が含まれている GPO を決定します。 手順 4 で特定したキャッシュされたセキュリティ テンプレートでテキストを検索します GPOPath= 。 この例では、次の情報が表示されます。

    GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE

    {6AC1786C-016F-11D2-945F-00C04FB984F9} は GPO の GUID です。

  6. GPO のフレンドリーな名前を見つけるには、リソース キット ユーティリティを使用Gpotool.exe。 コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。

    gpotool /verbose
    

    手順 5 で識別した GUID の出力を検索します。 GUID に続く 4 行には、ポリシーの表示名が含まれる。 次に例を示します。

    Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
    Policy OK
    Details:
    ------------------------------------------------------------
    DC: domcntlr1.wingtiptoys.com
    Friendly name: Default Domain Controllers Policy
    

これで、正しく構成されていないアクセス許可と問題のある GPO でサービスを特定しました。 この問題を解決するには、セキュリティ ポリシーの [System Services] セクションで、正しく構成されていないアクセス許可を持つサービスのインスタンスを検索します。 次に、修正アクションを実行して、System アカウントのフル コントロールアクセス許可をサービスに付与します。

エラー コード 0x4b8: 拡張エラーが発生しました

この0x4b8は汎用的であり、さまざまな問題が原因で発生する可能性があります。 これらのエラーをトラブルシューティングするには、次の手順を実行します。

  1. セキュリティ構成クライアント側拡張機能のデバッグ ログを有効にします。

    1. レジストリ エディターを起動します。

    2. 次のレジストリ サブキーを見つけてクリックします。

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}

    3. [編集 ] メニューの [値の 追加] を 選択し、次のレジストリ値を追加します。

      • 値の名前: ExtensionDebugLevel
      • データ型: DWORD
      • 値データ: 2
    4. レジストリ エディターを終了します。

  2. ポリシー設定を更新して、エラーを再現します。 ポリシー設定を更新するには、コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。

    secedit /refreshpolicy machine_policy /enforce
    

    このコマンドは、フォルダーに Winlogon.log という名前のファイルを作成 %SYSTEMROOT%\Security\Logs します。

  3. 「ESENT イベントの IDs 1000、1202、412、および 454がアプリケーション ログに繰り返し記録される」を参照してください。 この記事では、エラーの原因となる既知の問題0x4b8説明します。