SCECLI 1202 イベントのトラブルシューティング
この記事では、SCECLI 1202 イベントのトラブルシューティングと解決の方法について説明します。
適用対象: Windows Server 2012 R2
元の KB 番号: 324383
概要
これらのイベントのトラブルシューティングの最初の手順は、Win32 エラー コードを特定することです。 このエラー コードは、SCECLI 1202 イベントの原因となるエラーの種類を区別します。 SCECLI 1202 イベントの例を次に示します。 エラー コードが [説明 ] フィールドに表示されます。 この例では、エラー コードが0x534。 エラー コードの後のテキストは、エラーの説明です。 エラー コードを確認したら、この記事のエラー コード セクションを見つけて、そのセクションのトラブルシューティング手順に従います。
0x534: アカウント名とセキュリティ ID の間のマッピングは行われませんでした。
または
0x6fc: プライマリ ドメインと信頼されたドメインの間の信頼関係が失敗しました。
エラー コード 0x534: アカウント名とセキュリティ ID の間のマッピングは行われませんでした
これらのエラー コードは、セキュリティ アカウントをセキュリティ識別子 (SID) に解決できなかったことを意味します。 通常、このエラーは、アカウント名の入力が間違っていたか、セキュリティ ポリシー設定に追加された後にアカウントが削除されたために発生します。 通常、セキュリティ ポリシー設定の [ユーザー権利 ] セクションまたは [制限付きグループ ] セクションで発生します。 また、アカウントが信頼全体に存在し、信頼関係が破損している場合にも発生する可能性があります。
この問題をトラブルシューティングするには、次の手順に従います。
エラーの原因となっているアカウントを特定します。 これを行うには、Security Configuration クライアント側拡張機能のデバッグ ログを有効にします。
レジストリ エディターを起動します。
次のレジストリ サブキーを見つけてクリックします。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
[ 編集 ] メニューの [ 値の追加] を選択し、次のレジストリ値を追加します。
- 値名: ExtensionDebugLevel
- データの種類: DWORD
- 値データ: 2
レジストリ エディターを終了します。
ポリシー設定を更新してエラーを再現します。 ポリシー設定を更新するには、コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。
secedit /refreshpolicy machine_policy /enforce
このコマンドは、フォルダー内に Winlogon.log という名前のファイルを
%SYSTEMROOT%\Security\Logs
作成します。問題のあるアカウントを見つけます。 そのためには、コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。
find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log
[検索] 出力は、問題のあるアカウント名 (たとえば、 MichaelPeltier を見つけることができません) を識別します。 この例では、ユーザー アカウント MichaelPeltier がドメインに存在しません。 または、MichellePeltier などの別のスペルがあります。
このアカウントを解決できない理由を確認します。 たとえば、入力ミス、削除されたアカウント、このコンピューターに適用される間違ったポリシー、信頼の問題などを探します。
アカウントをポリシーから削除する必要があると判断した場合は、問題ポリシーと問題の設定を見つけます。 未解決のアカウントを含む設定を確認するには、SCECLI 1202 イベントを生成しているコンピューターのコマンド プロンプトで次のコマンドを入力し、Enter キーを押します。
c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*
この例では、構文と結果は次のとおりです。
c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,MichaelPeltier,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548 ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
GPT00002.inf は、問題の設定を含む問題グループ ポリシーオブジェクト (GPO) からキャッシュされたセキュリティ テンプレートとして識別されます。 また、問題の設定を SeInteractiveLogonRight として識別します。 SeInteractiveLogonRight の表示名は [ ローカルログオン] です。
定数のマップ (例: SeInteractiveLogonRight) とその表示名 (ローカルログオンなど) については、Microsoft Windows 2000 Server Resource Kit、分散システム ガイドを参照してください。 マップは、付録の [ユーザー権限 ] セクションにあります。
問題の設定を含む GPO を決定します。 手順 4 で特定したキャッシュされたセキュリティ テンプレートで、テキスト を検索します
GPOPath=
。 この例では、次のように表示されます。GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
{6AC1786C-016F-11D2-945F-00C04FB984F9} は GPO の GUID です。
GPO のフレンドリ名を見つけるには、Resource Kit ユーティリティ Gpotool.exe を使用します。 コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。
gpotool /verbose
手順 5 で特定した GUID の出力を検索します。 GUID に続く 4 行には、ポリシーのフレンドリ名が含まれています。 例:
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9} Policy OK Details: ------------------------------------------------------------ DC: domcntlr1.wingtiptoys.com Friendly name: Default Domain Controllers Policy
これで、問題のあるアカウント、問題の設定、および問題の GPO が特定されました。 問題を解決するには、問題のエントリを削除または置き換えます。
エラー コード 0x2: 指定されたファイルがシステムで見つかりません
このエラーは、0x534 と 0x6fc に似ています。 これは、回復不可能なアカウント名が原因で発生します。 0x2 エラーが発生した場合、通常は、制限付きグループ ポリシー設定で、取り返し可能なアカウント名が指定されていることを示します。
この問題をトラブルシューティングするには、次の手順に従います。
エラーが発生しているサービスまたはオブジェクトを決定します。 これを行うには、Security Configuration クライアント側拡張機能のデバッグ ログを有効にします。
レジストリ エディターを起動します。
次のレジストリ サブキーを見つけてクリックします。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
[ 編集 ] メニューの [ 値の追加] を選択し、次のレジストリ値を追加します。
- 値名: ExtensionDebugLevel
- データの種類: DWORD
- 値データ: 2
レジストリ エディターを終了します。
ポリシー設定を更新してエラーを再現します。 ポリシー設定を更新するには、コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。
secedit /refreshpolicy machine_policy /enforce
このコマンドは、フォルダー内に Winlogon.log という名前のファイルを
%SYSTEMROOT%\Security\Logs
作成します。コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。
find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log
[検索] 出力は、問題のあるアカウント名 (たとえば、 MichaelPeltier を見つけることができません) を識別します。 この例では、ユーザー アカウント MichaelPeltier がドメインに存在しません。 または、別のスペルがあります。たとえば、MichellePeltier です。
このアカウントを解決できない理由を確認します。 たとえば、入力ミス、削除されたアカウント、このコンピューターに適用されている間違ったポリシー、信頼の問題などを探します。
アカウントをポリシーから削除する必要があると判断した場合は、問題ポリシーと問題の設定を見つけます。 未解決のアカウントが含まれている設定を見つけるには、SCECLI 1202 イベントを生成しているコンピューターのコマンド プロンプトで次のコマンドを入力し、Enter キーを押します。
c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*
この例では、構文と結果は次のとおりです。
c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,JohnDough,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548 ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
GPT00002.inf は、問題の設定を含む問題のある GPO からキャッシュされたセキュリティ テンプレートとして識別されます。 また、問題の設定を SeInteractiveLogonRight として識別します。 SeInteractiveLogonRight の表示名は [ ローカルログオン] です。
定数 (SeInteractiveLogonRight など) の表示名 (ローカルログオンなど) のマップについては、Windows 2000 Server Resource Kit の分散システム ガイドを参照してください。 マップは、付録の [ユーザー権限 ] セクションにあります。
問題の設定を含む GPO を決定します。 手順 4 で特定したキャッシュされたセキュリティ テンプレートで、テキスト を検索します
GPOPath=
。 この例では、次のように表示されます。GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
{6AC1786C-016F-11D2-945F-00C04FB984F9} は GPO の GUID です。
GPO のフレンドリ名を見つけるには、Resource Kit ユーティリティ Gpotool.exe を使用します。 コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。
gpotool /verbose
手順 5 で特定した GUID の出力を検索します。 GUID に続く 4 行には、ポリシーのフレンドリ名が含まれています。 例:
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9} Policy OK Details: ------------------------------------------------------------ DC: domcntlr1.wingtiptoys.com Friendly name: Default Domain Controllers Policy
これで、問題アカウント、問題の設定、および問題のある GPO が特定されました。 問題を解決するには、セキュリティ ポリシーの [制限付きグループ] セクションで、問題アカウントのインスタンス (この例では MichaelPeltier) を検索し、問題のエントリを削除または置き換えます。
エラー コードの0x5: アクセスが拒否されました
通常、このエラーは、サービスのアクセス制御リストを更新するための適切なアクセス許可がシステムに付与されていない場合に発生します。 管理者がポリシーでサービスのアクセス許可を定義し、システム アカウントにフル コントロールのアクセス許可を付与していない場合に発生する可能性があります。
この問題をトラブルシューティングするには、次の手順に従います。
エラーが発生しているサービスまたはオブジェクトを決定します。 これを行うには、Security Configuration クライアント側拡張機能のデバッグ ログを有効にします。
レジストリ エディターを起動します。
次のレジストリ サブキーを見つけてクリックします。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
[ 編集 ] メニューの [ 値の追加] を選択し、次のレジストリ値を追加します。
- 値名: ExtensionDebugLevel
- データの種類: DWORD
- 値データ: 2
レジストリ エディターを終了します。
ポリシー設定を更新してエラーを再現します。 ポリシー設定を更新するには、コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。
secedit /refreshpolicy machine_policy /enforce
このコマンドは、フォルダー内に Winlogon.log という名前のファイルを
%SYSTEMROOT%\Security\Logs
作成します。コマンド プロンプトで、次のように入力し、Enter キーを押します。
find /i "error opening" %SYSTEMROOT%\security\logs\winlogon.log
Find 出力は、誤って構成されたアクセス許可を持つサービスを識別します 。たとえば、 Dnscache を開くときにエラーが発生します。 Dnscache は、DNS クライアント サービスの短い名前です。
サービスのアクセス許可を変更しようとしているポリシーまたはポリシーを確認します。 そのためには、コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。
find /i "service" %SYSTEMROOT%\security\templates\policies\gpt*.*".
コマンドの例とその出力を次に示します。
d:\>find /i "dnscache" %windir%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF Dnscache,3,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;LA)" ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
問題の設定を含む GPO を決定します。 手順 4 で特定したキャッシュされたセキュリティ テンプレートで、テキスト を検索します
GPOPath=
。 この例では、次のように表示されます。GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
{6AC1786C-016F-11D2-945F-00C04FB984F9} は GPO の GUID です。
GPO のフレンドリ名を見つけるには、Resource Kit ユーティリティ Gpotool.exe を使用します。 コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。
gpotool /verbose
手順 5 で特定した GUID の出力を検索します。 GUID に続く 4 行には、ポリシーのフレンドリ名が含まれています。 例:
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9} Policy OK Details: ------------------------------------------------------------ DC: domcntlr1.wingtiptoys.com Friendly name: Default Domain Controllers Policy
これで、正しく構成されていないアクセス許可と問題のある GPO を使用してサービスを特定しました。 問題を解決するには、セキュリティ ポリシーの [System Services] セクションで、正しく構成されていないアクセス許可を持つサービスのインスタンスを検索します。 次に、修正アクションを実行して、システム アカウントにフル コントロールのアクセス許可をサービスに付与します。
エラー コード 0x4b8: 拡張エラーが発生しました
0x4b8 エラーは一般的であり、さまざまな問題が原因で発生する可能性があります。 これらのエラーのトラブルシューティングを行うには、次の手順に従います。
Security Configuration クライアント側拡張機能のデバッグ ログを有効にします。
レジストリ エディターを起動します。
次のレジストリ サブキーを見つけてクリックします。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
[ 編集 ] メニューの [ 値の追加] を選択し、次のレジストリ値を追加します。
- 値名: ExtensionDebugLevel
- データの種類: DWORD
- 値データ: 2
レジストリ エディターを終了します。
ポリシー設定を更新してエラーを再現します。 ポリシー設定を更新するには、コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。
secedit /refreshpolicy machine_policy /enforce
このコマンドは、フォルダー内に Winlogon.log という名前のファイルを
%SYSTEMROOT%\Security\Logs
作成します。「ESENT イベント ID 1000、1202、412、454 がアプリケーション ログに繰り返し記録される」を参照してください。 この記事では、0x4b8 エラーの原因となる既知の問題について説明します。
データ収集
Microsoft サポートからの支援が必要な場合は、「TSS を使用して情報を収集する」で説明されている手順に従って情報グループ ポリシー収集することをお勧めします。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示