Ошибка adws 1202

Hey there! Josh Mora here, with a brief post on an issue I recently had and wanted to make public, in hopes this will help those that run into this issue, and in addition, provide some helpful logging information that can be useful for any ADWS issues you might come across.

Scenario:

So, the issue I want to talk to you about: You have an AD LDS server, on which you are running ADWS, and you are constantly, minute after minute after minute, getting Event 1202 in the ADWS events with the following information:

Log Name:      Active Directory Web Services
Source:        ADWS
Date:          5/05/2020 1:30:00 PM
Event ID:      1202
Task Category: ADWS Instance Events
Level:         Error
Keywords:      Classic
User:          N/A
Computer:      LDS01.Contoso.com
Description:
This computer is now hosting the specified directory instance, but Active Directory Web Services could not service it. Active Directory Web Services will retry this operation periodically.

Directory instance: ADAM_INSTANCE
Directory instance LDAP port: 389
Directory instance SSL port: 636

Now, this might not even be disrupting your services, everything may continue to work properly. However, this excessive logging of 1202 events can become annoying, and even troubling, since it very well could be indicating issues that you aren’t even aware of. So, let’s jump straight into how we can find the cause of this, and how we resolve it.

ADWS Debug Logging:

In this situation, I used the built-in functionality of ADWS Debug Logging. Enabling the debug logging consists in modifying the “Microsoft.ActiveDirectory.WebServices.exe.config” file, a file you can modify with different configuration parameters in order to achieve some extra functionality out of ADWS, information which is explained in this Microsoft Documentation. Unfortunately, that documentation doesn’t go over the parameters for enabling the Debug Logging, hence why I am posting this.

Checking ADWS Configuration Information:

Special thanks to Jason Bender, who put these two commands together that conveniently provide the configuration information from the ADWS Config file.

1. In a PowerShell window, run the following: [xml]$ADWSConfiguration = get-content -path c:\windows\adws\microsoft.activedirectory.webservices.exe.config
2. Then, run: $ADWSConfiguration.configuration.appsettings.add
3. You should get an output like this:

Enabling ADWS Debug Logging:

1. Navigate to ‘C:\Windows\ADWS’. The file we are looking to modify is “Microsoft.ActiveDirectory.WebServices.Exe.Config”.

1. Now, before making any changes, I strongly suggest to take a backup of the “Microsoft.ActiveDirectory.WebServices.Exe.Config” file. You can never be too safe!

1. Right-click the file “Microsoft.ActiveDirectory.WebServices.Exe.Config”, then Open with, and select Notepad, or any other text editor. Right under <appSettings>, enter the following two lines:

<add key=»DebugLevel» value=»Info»/>

<add key=»DebugLogFile» value=»C:\Windows\Debug\ADWSlog.txt»/>

This Config file does not tolerate the smallest mistake, so make sure you do not have any typos or extra spaces.

1. Once the file has been modified, save the file and then restart the ADWS service for the changes to take effect.

1. You can then run the PowerShell commands and should now be able to see the DebugLevel and DebugLogFile set.

Information to keep in mind:

• Typos or extra spaces in the Config file can cause the ADWS service to fail to start with the following error: “Windows could not start the Active Directory Web Services service on Local Computer. Error 1053: The service did not respond to the start or control request in a timely fashion.”
• There are other debug levels for the DebugLevel parameter, including “None”, “Warn” and “Error”. However, the most helpful and informative is “Info”.
• The DebugLogFile location can be specified per your needs, it’s not a fixed location for the log file.
• This ADWS Debug Logging can log a lot of information when set to “Info”, so it’s suggested to only have this running while you are reproducing your issue, after which you should disable the logging, by deleting the lines that were added.

Analyzing the ADWS Debug Log file:

To clarify, this blog is not a guide on overall analysis of the ADWS Debug Log file, but more focused on the issue at hand, the excessive 1202 events, so that’s what I will be addressing.

The first we see, is the ScavengerThread waking up and begin looking for Instances:

LdapSessionPoolImplementation: [05/05/2020 1:29:40 PM] [8] ScavengerThread: woke up

LdapSessionPoolImplementation: [05/05/2020 1:29:40 PM] [8] ScavengerThread: processing next pool

ConnectionPool: [05/05/2020 1:29:40 PM] [8] GetReservationEnumerator: entering, instance=NTDS

LdapSessionPoolImplementation: [05/05/2020 1:29:40 PM] [8] ScavengerThread: processing next pool

ConnectionPool: [05/05/2020 1:29:40 PM] [8] GetReservationEnumerator: entering, instance=ADAM_INSTANCE

LdapSessionPoolImplementation: [05/05/2020 1:29:40 PM] [8] Scavenger: waking up at 00:00:40 interval

EnumerationContextCache: [05/05/2020 1:30:00 PM] [b] OnTimedEvent: got an event

EnumerationContextCache: [05/05/2020 1:30:00 PM] [b] RemoveExpiredEntries called

EnumerationContextCache: [05/05/2020 1:30:00 PM] [b] RemoveExpiredEntries — found 0 entries to remove

EnumerationContextCache: [05/05/2020 1:30:00 PM] [b] RemoveExpiredEntries done

Next, we see ADWS checking registry keys for NTDS, in order to determine if this Instance is actually servicing:

InstanceMap: [05/05/2020 1:31:00 PM] [d] CheckAndLoadNTDSInstance: entered

InstanceMap: [05/05/2020 1:31:00 PM] [d] CheckAndLoadNTDSInstance: found NTDS Parameters key

At this point, ADWS has found that there is an NTDS Parameter registry key (which would contain all the NTDS settings), and due to the presence of this key, ADWS believes this is a Domain Controller providing ADDS services.

So, now ADWS checks to see if we are indeed meeting basic requirements for providing ADDS services, more specifically if the server is providing Global Catalog services:

InstanceMap: [05/05/2020 1:31:00 PM] [d] CheckAndLoadGCInstance: entered

InstanceMap: [05/05/2020 1:31:00 PM] [d] CheckForGlobalCatalog: entered

DirectoryUtilities: [05/05/2020 1:31:00 PM] [d] GetTimeRemaining: remaining time is 00:02:00

InstanceMap: [05/05/2020 1:31:01 PM] [d] CheckForGlobalCatalog: isGlobalCatalogReady:

InstanceMap: [05/05/2020 1:31:01 PM] [d] GlobalCatalog is not ready to service the requests.

InstanceMap: [05/05/2020 1:31:01 PM] [d] CheckAndLoadGCInstance: CheckForGlobalCatalog=False

At this point, we can see the failure, which is triggering the event 1202.

After this, ADWS moves on to checking ADAM Instances are ready for servicing, as well, however we no longer care for that “noise” in the log file, as we’ve found our problem.

Interpretation of the Data:

The data above tells us the following:

• An NTDS Parameters registry key was found, therefor ADWS is aware NTDS Instance possibly exists on this server.
• Because of the previous point, ADWS now believes that this server is providing ADDS services (though it is not, it is an LDS server).
• Since ADWS believes this is a DC, it checked if Global Catalog is ready and/or if the ports are opened and servicing, however it found that this is false.

So, in simple words, ADWS was tricked into believing that this was a Domain Controller, however since it’s not a Domain Controller, the isGlobalCatalogReady/CheckForGlobalCatalog obviously failed.

This triggers the Event 1202 to get logged, being logged every minute (because that is the default interval in which this check is performed).

Solution:

The solution in this case is very clear and simple. An AD LDS server is not supposed to have a Parameters key under NTDS, as it’s not a Domain Controller and should not/will not require any of the values specified under that key.

Navigate to HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\, and delete the Parameters key.

A Similar Scenario:

There are other situations, in which the same 1202 event is logged, but perhaps the server is not an AD LDS server, but rather an actual Domain Controller. In these scenarios, the common solution is to delay the startup type for the ADWS service.

This is because, in those cases, the issue is due to a “race condition”, where ADWS begins performing it’s checks before ADDS services has started, and therefor fails the check and logs the event.  I have only seen this scenario with Domain Controllers running 2012 R2 and below.

Thank you, and that’s all for now!

— Josh

Имя
журнала:   Active Directory Web Services

Источник:     
ADWS

Дата:         
12.12.2011 15:57:34

Код события:  
1202

Категория задачи:События экземпляра веб-служб Active Directory

Уровень:      
Ошибка

Ключевые слова:Классический

Пользователь: 
Н/Д

Компьютер:    
FFTMG.domain.com

Описание:

На данном компьютере теперь расположен указанный экземпляр Active Directory, но веб-службам Active Directory не удалось обработать его запросы.
Веб-службы Active Directory будут периодически пытаться повторить эту операцию.

 Экземпляр Active Directory: NTDS

 LDAP-порт
экземпляра Active Directory: 389

 SSL-порт
экземпляра Active Directory: 636

Xml события:

<Event xmlns=»http://schemas.microsoft.com/win/2004/08/events/event»>

 
<System>

   
<Provider Name=»ADWS» />

   
<EventID Qualifiers=»49152″>1202</EventID>

   
<Level>2</Level>

   
<Task>3</Task>

   
<Keywords>0x80000000000000</Keywords>

   
<TimeCreated SystemTime=»2011-12-12T08:57:34.000000000Z» />

   
<EventRecordID>8752</EventRecordID>

   
<Channel>Active Directory Web Services</Channel>

   
<Computer>FFTMG.domain.com</Computer>

   
<Security />

 
</System>

 
<EventData>

   
<Data>NTDS</Data>

   
<Data>389</Data>

   
<Data>636</Data>

 
</EventData>

</Event>

Появляется каждую минуту. Начала появляться сразу после попытки лечения ошибки:

Имя журнала:  
ADAM (ISASTGCTRL)

Источник:     
ADAM [ISASTGCTRL] LDAP

Дата:         
09.12.2011 6:41:34

Код события:  
2886

Категория задачи:Интерфейс LDAP

Уровень:      
Предупреждение

Ключевые слова:Классический

Пользователь: 
АНОНИМНЫЙ ВХОД

Компьютер:    
FFTMG.domain.com

Описание:

Безопасность данного сервера каталогов можно существенно повысить, если настроить его на отклонение привязок SASL (согласование, 
Kerberos, NTLM или выборка), которые не запрашивают подписи (проверки целостности) и простых привязок LDAP, которые 
выполняются для подключения LDAP с открытым (не зашифрованным SSL/TLS) текстом. 
Даже если никто из клиентов такие привязки не использует, настройка сервера на их отклонение улучшит безопасность этого сервера.

В данный момент некоторые клиенты могут рассчитывать на неподписанные привязки SASL или простые привязки LDAP для подключения без SSL/TLS и могут
перестать работать, если будет сделано такое изменение конфигурации. 
Чтобы помочь выявить клиенты, у которых появляются такие привязки, данный 
сервер каталогов один раз каждые 24 часа будет регистрировать итоговое событие, указывающее, сколько таких привязок 
произошло.  Рекомендуется настроить такие клиенты так, чтобы они не использовали эти привязки. 
Как только соответствующие события перестанут регистрироваться 
в течение достаточно продолжительного периода, рекомендуется настроить сервер на отклонение таких привязок.

Дополнительные сведения о том, как сделать соответствующие изменения в конфигурации сервера, см. в статье по адресу: http://go.microsoft.com/fwlink/?LinkID=87923.

Можно включить дополнительную регистрацию для фиксации события каждый раз, когда клиент выполняет такую привязку, включая сведения о том, 
на каком клиенте она сделана.  Для этого следует поднять параметр для категории регистрации событий «События интерфейса LDAP» до уровня 2 или выше.

Xml события:

<Event xmlns=»http://schemas.microsoft.com/win/2004/08/events/event»>

 
<System>

   
<Provider Name=»ADAM [ISASTGCTRL] LDAP» />

   
<EventID Qualifiers=»32768″>2886</EventID>

   
<Level>3</Level>

   
<Task>16</Task>

   
<Keywords>0x80000000000000</Keywords>

   
<TimeCreated SystemTime=»2011-12-08T23:41:34.000000000Z» />

   
<EventRecordID>1523</EventRecordID>

   
<Channel>ADAM (ISASTGCTRL)</Channel>

   
<Computer>FFTMG.domain.com</Computer>

   
<Security UserID=»S-1-5-7″ />

 
</System>

 
<EventData>

 
</EventData>

</Event>

Этим (http://social.technet.microsoft.com/Forums/en-US/windowsserver2008r2general/thread/54ebcdc3-1a03-45c6-affb-8c9607d18921
,
http://technet.microsoft.com/en-us/library/dd941829(WS.10).aspx ) методом.

Лечение ошибки 2886 оказалось нецелесообразным, политика была приведена в исходное состояние, а ошибка осталась. Помогите пожалуйста решить проблему.

Софт: домен на 2008 SP2, TMG 2010 SP2.

Follow these 3 steps to fix Error 1202: 1. Download and run the Error 1202 repair tool Advanced System Repair. 2. Click Scanto run an advanced error analysis on your computer. 3. When the scan finishes, click the Fix Allbutton to automatically repair the problems found.

Resolving The Problem

A known solution would be to restart the client to flush the remembered connection from memory. The view creation would succeed in mapping a view to the desired drive.Sep 29, 2018

Full
Answer

What does system error 1202 mean?

System error 1202 has occurred. The local device name has remembered connection to another network resource. This thread is locked. You can follow the question or vote as helpful, but you cannot reply to this thread.

How do I troubleshoot a scecli 1202 event?

The first step in troubleshooting these events is to identify the Win32 error code. This error code distinguishes the type of failure that causes the SCECLI 1202 event. Below is an example of a SCECLI 1202 event. The error code is shown in the Description field.

How do I troubleshoot security configuration errors?

To troubleshoot these errors, follow these steps: 1 Enable debug logging for the Security Configuration client-side extension: Start Registry Editor. … 2 Refresh the policy settings to reproduce the failure. … 3 See ESENT event IDs 1000, 1202, 412, and 454 are logged repeatedly in the Application log. …

Why does adws keep logging event 1202?

So, in simple words, ADWS was tricked into believing that this was a Domain Controller, however since it’s not a Domain Controller, the isGlobalCatalogReady/CheckForGlobalCatalog obviously failed. This triggers the Event 1202 to get logged, being logged every minute (because that is the default interval in which this check is performed).

What does 0x2 mean in a restricted group?

What does SID error mean?

What is GPT00002.inf?

Where is the map of the constants in Windows 2000?

See more

About this website

Fortunately, there is a very simple workaround to fix error 1202: Make sure the lobby is being hosted by a player who doesn’t own the full version of the game. Since lobbies created during free multiplayer trials are open to all, paid players will be able to join. Of course, it will probably result in a lopsided match.

What is error code 1202?

Replies. Error -1202 is NSURLErrorServerCertificateUntrusted, which indicates a problem with the client’s trust evaluation of the server.

How do I fix local device name already in use?

Solutions For The Local Device Name Is Already In Use Mapped DriveRemap The Network Drive. … The File And Printer Sharing Fix. … Assign A Letter To The Drive. … Try The Registry Editor. … Check For The Disk Space. … Restart The Computer Browser. … Change The ProtectionMode Value.

Why do I get error 1020?

What’s Causing the ‘Error 1020: Access Denied’ Error 1020 Access Denied is caused when a firewall rule has been violated on a site protected by Cloudflare. It can be triggered if a site visitor tries to directly access an endpoint that is protected.

What causes local device name is already in use?

Cause. This issue may occur if you log on to the Windows XP-based client by using a different connection type than you use to connect to the file server. If you created the network drive through a local area network (LAN) with your current user credentials, the mapping information does not contain any user information.

How do I restore network drive?

Solution 1: Establish permanent connection for the network drive.Open Windows Explorer.Disconnect the network drive if already connected.In the menu Extras > Connect network drive, open the wizard for connecting network drives.Select check box Restore connection at logon.Enter all data, and confirm with [OK].

How do I restore network path?

How to Fix ‘Network Path Not Found’ ErrorsUse valid path names. … Enable sharing on the remote device. … Verify that the user account has permissions to the remote resource. … Synchronize watches. … Disable local firewalls. … Reset TCP/IP. … Reboot all devices.

How do I fix error 85?

If using another drive letter to map your network resource is not an option, you can try to correct the issue by restarting the Terminal Services-based component. This should break the connection between the Terminal Services and the resource and make the network drive letter available for your use.

How do I turn off net use?

You can use the Net Use * /delete command to delete active connections on a local computer. The command deletes all the active connections on local computer. This command can also be used on remote computers. See the Net help use for more options.

How do you fix an error occurred while reconnecting Z?

It may have been caused by Windows Update which is causing a number of external drive and other problems. Go to Settings > Update & Security > Windows Update > Installed Update History to see which Updates were installed about the time this started to try uninstalling them to see if that helps.

Where is the device name?

Click the Search icon (magnifying glass) next to the Start menu on the Windows taskbar. Type name , then click View your PC name in the search results. On the About screen, under the heading Device specifications, find your Device name (for example, «OIT-PQS665-L»).

SceCli 1202 events are logged every time Computer Group Policy settings …

Fixes an issue that SceCli 1202 events are logged every time Computer Group Policy settings are refreshed on a computer that is running Windows Server 2008 R2 or Windows 7.

warning SceCli error 0x4b8 event id 1202

Hi, You could check the steps below: 1. Start > Type CMD > Run As Administrator (Open it on Windows Server 2012: Domain Controller) 2. Type dcgpofix /ignoreschema and press Enter and accept (Yes) at both prompts.

[SOLVED] Server 2012 R2 SceCli Warnings — Windows Server

We just did a DC migration this last weekend from server 2003 to server 2012 R2 and I am looking at my application logs and I have tons of Event ID 1202 source SceCli warnings listed.

windows 10 — SceCli 0x57 Password Policy Event 1202 — Super User

My apologies guys…Here is the answer to this problem. Summary of Issue • Security logs stopped working after reboots. • Application logs show the following warning error: Security policies were propagated with warning. 0x57 : The parameter is incorrect.

Event ID 1202 — SceCli on Domain Controllers!!

Hello All, I’ve this weird warning event recurring on my DC (Win2k3 X64) and additional DC (Win2k8 X64) after I made some changes in the default ‘Domain Controller policy’ as well as ‘Domain policy’, that I added one domain admin account to ‘Logon as batch job’ GPO for allowing the proper installation of Symantec backup exec agents on the DCs.

Problem

This technote explains why attempts to create an IBM® Rational® ClearCase® dynamic view on Microsoft® Windows® with a mapped network drive results in the error, Network Error — 1202, and provides instructions to work around the issue.

Symptom

C:>net helpmsg 1202
The local device name has a remembered connection to another network resource.

Cause

This error indicates that Windows has a remembered a connection to the drive letter used in the view creation operation. The drive letter may no longer be in use, however, Windows remembers it and will not allow other applications to use it.

Resolving The Problem

A known solution would be to restart the client to flush the remembered connection from memory. The view creation would succeed in mapping a view to the desired drive.

What does 0x2 mean in a restricted group?

When the 0x2 error occurs, it typically indicates that the irresolvable account name is specified in a Restricted Groups policy setting.

What does SID error mean?

These error codes mean that there was a failure to resolve a security account to a security identifier (SID). The error typically occurs either because an account name was mistyped, or because the account was deleted after it was added to the security policy setting. It typically occurs in the User Rights section or the Restricted Groups section of the security policy setting. It may also occur if the account exists across a trust and then the trust relationship is broken.

What is GPT00002.inf?

It identifies GPT00002.inf as the cached security template from the problem Group Policy object (GPO) that contains the problem setting. It also identifies the problem setting as SeInteractiveLogonRight. The display name for SeInteractiveLogonRight is Logon locally.

Where is the map of the constants in Windows 2000?

The map is in the User Rights section of the Appendix.

How often is Event 1202 logged?

This triggers the Event 1202 to get logged, being logged every minute (because that is the default interval in which this check is performed).

Who put these two commands together that conveniently provide the configuration information from the ADWS Config file?

Special thanks to Jason Bender, who put these two commands together that conveniently provide the configuration information from the ADWS Config file.

Can ADWS debug log a lot of information?

This ADWS Debug Logging can log a lot of information when set to “Info”, so it’s suggested to only have this running while you are reproducing your issue, after which you should disable the logging, by deleting the lines that were added .

Is 1202 an AD LDS server?

There are other situations, in which the same 1202 event is logged, but perhaps the server is not an AD LDS server, but rather an actual Domain Controller. In these scenarios, the common solution is to delay the startup type for the ADWS service.

Does a config file tolerate typos?

This Config file does not tolerate the smallest mistake, so make sure you do not have any typos or extra spaces.

Does ADWS check if an ADAM instance is ready for servicing?

After this, ADWS moves on to checking ADAM Instances are ready for servicing, as well, however we no longer care for that “noise” in the log file, as we’ve found our problem.

What does 0x2 mean in a restricted group?

When the 0x2 error occurs, it typically indicates that the irresolvable account name is specified in a Restricted Groups policy setting.

What does SID error mean?

These error codes mean that there was a failure to resolve a security account to a security identifier (SID). The error typically occurs either because an account name was mistyped, or because the account was deleted after it was added to the security policy setting. It typically occurs in the User Rights section or the Restricted Groups section of the security policy setting. It may also occur if the account exists across a trust and then the trust relationship is broken.

What is GPT00002.inf?

It identifies GPT00002.inf as the cached security template from the problem Group Policy object (GPO) that contains the problem setting. It also identifies the problem setting as SeInteractiveLogonRight. The display name for SeInteractiveLogonRight is Logon locally.

Where is the map of the constants in Windows 2000?

The map is in the User Rights section of the Appendix.

Popular Posts:

1. how to fix ssis bind error

2. how to fix windows update error 80004005

3. how to fix error code crx-ch84

4. verizon voicemail error says i have voicemail when don’t

5. how to fix youtube 4g lte error

6. how to fix itunes 17 error

7. ffxiv i2501 error when inputting registration code

8. what do larger error bars mean

9. how to fix a topogrophical error on green card

10. how to fix system error 32

Устранение неполадок в событиях SCECLI 1202

В этой статье описываются способы устранения неполадок и устранения событий SCECLI 1202.

Оригинальная версия продукта: Windows Server 2012 R2
Исходный номер КБ: 324383

Аннотация

Первым шагом в устранении неполадок в этих событиях является определение кода ошибки Win32. Этот код ошибки различает тип сбоя, который вызывает событие SCECLI 1202. Ниже приведен пример события SCECLI 1202. Код ошибки отображается в поле Описание. В этом примере код ошибки 0x534. Текст после кода ошибки — это описание ошибки. После определения кода ошибки найдите этот раздел кода ошибки в этой статье, а затем выполните действия по устранению неполадок в этом разделе.

0x534. Сопоставление между именами учетных записей и ИД безопасности не было сделано.

0x6fc. Связь доверия между основным доменом и доверенным доменом не удалось.

Код ошибки 0x534: сопоставление между именами учетных записей и кодами безопасности не было сделано

Эти коды ошибок означают, что не было разрешения учетной записи безопасности на идентификатор безопасности (SID). Ошибка обычно возникает либо из-за ошибки имени учетной записи, либо из-за того, что учетная запись была удалена после того, как она была добавлена в параметр политики безопасности. Обычно это происходит в разделе Права пользователя или разделе Ограниченные группы в параметре политики безопасности. Это также может произойти, если учетная запись существует через доверие, а затем отношения доверия нарушены.

Для устранения данной проблемы выполните действия, указанные ниже.

Определите учетную запись, которая вызывает сбой. Для этого встроим ведение журнала отлаговок для расширения клиентской конфигурации безопасности:

Откройте редактор реестра.

Найдите и выделите следующий подраздел реестра:

В меню Редактирование выберите Добавить значение, а затем добавьте следующее значение реестра:

• Имя значения: ExtensionDebugLevel
• Тип данных: DWORD
• Данные значения: 2

Закройте редактор реестра.

Обновите параметры политики, чтобы воспроизвести сбой. Чтобы обновить параметры политики, введите следующую команду в командной подсказке и нажмите кнопку ENTER:

Эта команда создает файл с именем Winlogon.log в %SYSTEMROOT%SecurityLogs папке.

Найдите учетную запись проблемы. Для этого введите следующую команду в командной подсказке и нажмите кнопку ENTER:

Вывод Find определяет имена проблемных учетных записей, например, Не удается найти MichaelPeltier. В этом примере учетная запись пользователя MichaelPeltier не существует в домене. Или имеет другое правописание, например Мишель Пельтье.

Определите, почему эту учетную запись нельзя разрешить. Например, найди опечатки, удаленную учетную запись, неправильная политика, применяемая к этому компьютеру, или проблему с доверием.

Если вы определите, что учетная запись должна быть удалена из политики, найдите политику проблем и параметр проблемы. Чтобы определить, какой параметр содержит неурегулированную учетную запись, введите следующую команду в командной подсказке на компьютере, который производит событие SCECLI 1202, а затем нажмите кнопку ENTER:

В этом примере синтаксис и результаты:

Он определяет GPT00002.inf в качестве кэшного шаблона безопасности из объекта групповой политики проблем( GPO), который содержит параметр проблемы. Он также определяет параметр проблемы как SeInteractiveLogonRight. Имя отображения seInteractiveLogonRight локализовано.

Для карты констант (например, SeInteractiveLogonRight) с именами дисплеев (например, Logon локально) см. в руководстве по распределенным системам Microsoft Windows 2000 Server Resource Kit. Карта находится в разделе Права пользователя приложения.

Определите, какой GPO содержит параметр проблемы. Поиск кэшного шаблона безопасности, который был определен в шаге 4 для GPOPath= текста. В этом примере вы увидите:

Чтобы найти удобное имя GPO, используйте утилиту Resource Kit Gpotool.exe. Введите следующую команду в командной подсказке и нажмите кнопку ENTER:

Поиск вывода для GUID, который вы идентифицировали на шаге 5. Четыре строки, которые следуют GUID, содержат дружественное имя политики. Например:

Теперь вы определили учетную запись проблемы, параметр проблемы и GPO проблемы. Чтобы устранить проблему, удалите или замените запись проблемы.

Код ошибки 0x2: система не может найти указанный файл

Эта ошибка аналогична 0x534 и 0x6fc. Это вызвано нерешаемым именем учетной записи. При ошибке 0x2 обычно указывается, что имя нерешимой учетной записи указывается в параметре политики ограниченных групп.

Для устранения данной проблемы выполните действия, указанные ниже.

Определите, какая служба или какой объект имеет сбой. Для этого встроим ведение журнала отлаговок для расширения клиентской конфигурации безопасности:

Откройте редактор реестра.

Найдите и выделите следующий подраздел реестра:

В меню Редактирование выберите Добавить значение, а затем добавьте следующее значение реестра:

• Имя значения: ExtensionDebugLevel
• Тип данных: DWORD
• Данные значения: 2

Закройте редактор реестра.

Обновите параметры политики, чтобы воспроизвести сбой. Чтобы обновить параметры политики, введите следующую команду в командной подсказке и нажмите кнопку ENTER:

Эта команда создает файл с именем Winlogon.log в %SYSTEMROOT%SecurityLogs папке.

В командной строке введите следующую команду, а затем нажмите клавишу ВВОД:

Вывод Find определяет имена проблемных учетных записей, например, Не удается найти MichaelPeltier. В этом примере учетная запись пользователя MichaelPeltier не существует в домене. Или у него другая орфография , например, Мишель Пельтье.

Определите, почему эту учетную запись нельзя разрешить. Например, найди опечатки, удаленную учетную запись, неправильная политика, применяемая к этому компьютеру, или проблему с доверием.

Если вы определите, что учетная запись должна быть удалена из политики, найдите политику проблем и параметр проблемы. Чтобы узнать, какой параметр содержит неурегулированную учетную запись, введите следующую команду в командной подсказке на компьютере, который производит событие SCECLI 1202, а затем нажмите кнопку ENTER:

В этом примере синтаксис и результаты:

Он определяет GPT00002.inf в качестве кэшного шаблона безопасности из проблемы GPO, которая содержит параметр проблемы. Он также определяет параметр проблемы как SeInteractiveLogonRight. Имя отображения seInteractiveLogonRight локализовано.

Для карты констант (например, SeInteractiveLogonRight) с именами дисплеев (например, Logon локально) см. в руководстве по распределенным системам Windows 2000 Server Resource Kit. Карта находится в разделе Права пользователя приложения.

Определите, какой GPO содержит параметр проблемы. Поиск кэшного шаблона безопасности, который был определен в шаге 4 для GPOPath= текста. В этом примере вы увидите:

Чтобы найти удобное имя GPO, используйте утилиту Resource Kit Gpotool.exe. Введите следующую команду в командной подсказке и нажмите кнопку ENTER:

Поиск вывода для guID, который вы определили на шаге 5. Четыре строки, которые следуют GUID, содержат дружественное имя политики. Например:

Теперь вы определили учетную запись проблемы, параметр проблемы и GPO проблемы. Чтобы устранить проблему, в разделе Ограниченные группы политики безопасности необходимо найти экземпляры учетной записи проблемы (в этом примере MichaelPeltier), а затем удалить или заменить запись проблемы.

Код ошибки 0x5: доступ отказано

Эта ошибка обычно возникает, когда системе не были предоставлены правильные разрешения на обновление списка управления доступом службы. Это может произойти, если администратор определяет разрешения для службы в политике, но не предоставляет разрешения на полный контроль учетной записи Системы.

Для устранения данной проблемы выполните действия, указанные ниже.

Определите, какая служба или какой объект имеет сбой. Для этого встроим ведение журнала отлаговок для расширения клиентской конфигурации безопасности:

Откройте редактор реестра.

Найдите и выделите следующий подраздел реестра:

В меню Редактирование выберите Добавить значение, а затем добавьте следующее значение реестра:

• Имя значения: ExtensionDebugLevel
• Тип данных: DWORD
• Данные значения: 2

Закройте редактор реестра.

Обновите параметры политики, чтобы воспроизвести сбой. Чтобы обновить параметры политики, введите следующую команду в командной подсказке и нажмите кнопку ENTER:

Эта команда создает файл с именем Winlogon.log в %SYSTEMROOT%SecurityLogs папке.

В командной подсказке введите следующее, а затем нажмите кнопку ENTER:

Вывод Find идентифицирует службу с неправильно сконфигурованными разрешениями, например, Dnscache с открытием ошибки. Dnscache — это короткое имя службы DNS Client.

Узнайте, какая политика или какие политики пытаются изменить разрешения службы. Для этого введите следующую команду в командной подсказке и нажмите кнопку ENTER:

Ниже приведен пример команды и ее выход:

Определите, какой GPO содержит параметр проблемы. Поиск кэшного шаблона безопасности, который был определен в шаге 4 для GPOPath= текста. В этом примере вы увидите:

Чтобы найти удобное имя GPO, используйте утилиту Resource Kit Gpotool.exe. Введите следующую команду в командной подсказке и нажмите кнопку ENTER:

Поиск вывода для GUID, который вы идентифицировали на шаге 5. Четыре строки, которые следуют GUID, содержат дружественное имя политики. Например:

Теперь вы определили службу с неправильно сконфигурованными разрешениями и проблемой GPO. Чтобы устранить проблему, в разделе System Services политики безопасности можно найти экземпляры службы с неправильными разрешениями. Затем примите меры по исправлению, чтобы предоставить службе разрешения на полный контроль учетной записи Системы.

Код ошибки 0x4b8: произошла расширенная ошибка

Ошибка 0x4b8 является общей и может быть вызвана множеством различных проблем. Чтобы устранить эти ошибки, выполните следующие действия:

Включить ведение журнала отлаговок для расширения клиентской конфигурации безопасности:

Откройте редактор реестра.

Найдите и выделите следующий подраздел реестра:

В меню Редактирование выберите Добавить значение, а затем добавьте следующее значение реестра:

• Имя значения: ExtensionDebugLevel
• Тип данных: DWORD
• Данные значения: 2

Закройте редактор реестра.

Обновите параметры политики, чтобы воспроизвести сбой. Чтобы обновить параметры политики, введите следующую команду в командной подсказке и нажмите кнопку ENTER:

Эта команда создает файл с именем Winlogon.log в %SYSTEMROOT%SecurityLogs папке.

См. в журнале приложений ID 1000, 1202, 412 и 454. В этой статье описываются известные проблемы, из-за 0x4b8 ошибки.

Событие 1202 с состоянием 0x534 на контроллерах Windows Server 2008 R2 после изменения политики безопасности

В этой статье приводится решение для события, зарегистрированного на контроллерах домена после изменения политики безопасности.

Исходная версия продукта: Windows 7 Пакет обновления 1, Windows Server 2012 R2
Исходный номер КБ: 2000705

Симптомы

Журнал приложений на контроллерах домена Windows Server 2008 R2 содержит код события 1202 с кодом состояния «0x534: сопоставление между именами учетных записей и кодами безопасности не было сделано» при каждом применении политики безопасности. Соответствующая часть события с ид 1202 показана ниже:

Имя журнала: Приложение
Источник: SceCli
Дата: MM/DD/YYYY HH:MM:SS AM | PM
ИД события: 1202
Категория задачи: нет
Уровень: предупреждение
Ключевые слова: классическая
Пользователь: Н/А
Компьютер:
Описание:
Политики безопасности распространялись с предупреждением. 0x534: сопоставление между именами учетных записей и ИД безопасности не было сделано.

Дополнительные справки по этой проблеме доступны в https://support.microsoft.com . Запрос «устранение неполадок с событиями 1202».

Ошибка 0x534, когда учетная запись пользователя в одном или более объектах групповой политики не может быть разрешена в sid. Эта ошибка может быть вызвана неправильным или удаленным номером учетной записи пользователя, на который ссылается в филиале «Права пользователя» или «Ограниченные группы» ВПО. Чтобы устранить это событие, обратитесь к администратору домена, чтобы выполнить следующие действия:

The WINLOGON. ЖУРНАЛ содержит следующий текст:

.
Настройте S-1-1-0.
Настройте S-1-5-11.
Настройте S-1-5-32-554.
Настройте S-1-5-32-548.
Настройте S-1-5-32-550.
Настройте S-1-5-9.
Настройте WdiServiceHost.
Ошибка 1332: сопоставление между именами учетных записей и ИД безопасности не было сделано.
Не удается найти WdiServiceHost.
Настройте S-1-5-21-2125830507-553053660-2246957542-519.
добавьте SeTimeZonePrivilege.
Настройка прав пользователя завершена с одной или более ошибкой. .

По умолчанию GPTMPL. Политика INF в политике контроллеров домена по умолчанию выглядит так:

SeSystemProfilePrivilege = S-1-5-80-3139157870-2983391045-3678747466-658725712-1809340420, S-1-5-32-544

После изменения несвязанных параметров безопасности в политике контроллеров домена по умолчанию в политике контроллеров домена по умолчанию отображается SeSystemProfilePrivilege запись ниже:

Дополнительные сведения см. в записи событий SceCli 1202при каждом обновлении параметров групповой политики компьютера под управлением Windows Server 2008 R2 Или Windows 7.

Причина

При изменении любого параметра безопасности в политике контроллеров домена по умолчанию с помощью консоли управления групповыми политиками (GPMC) из консоли контроллера домена Windows Server 2008 R2 консоль управления групповыми политиками неправильно преобразует SID для учетной записи Wdiservice в политике в имя пользователя, которое не распознается локальными компьютерами, на которых применена политика. Эта проблема также возникает, когда компьютер-член Windows 7 или Windows Server 2008 R2 изменяет параметры безопасности в политике контроллеров домена по умолчанию на Windows Server 2008 R2 контроллере домена.

Обходной путь

В качестве временного решения вручную отредактируете GPTMPL. INF-файл путем добавления префикса службы NT перед именем учетной записи wdiservicehost для пользователя производительности системы профилей в политике контроллеров домена по умолчанию. Это необходимо делать каждый раз, когда все параметры безопасности в политике контроллеров домена по умолчанию администрироваться с помощью GPMC.

Это позволит предотвратить регистрацию события 1202 до следующего изменения политики безопасности в политике контроллеров домена по умолчанию соответствующими версиями операционной системы.

Откройте GPTTMPL. INF-файл для политики контроллеров домена по умолчанию контроллера домена, занося в журнал событие с ид 1202. Путь к GPTTMPL. INF-файл, если SYSVOL расположен ниже %SystemRoot%:
%SystemRoot%SysvoldomainPolicies<6ac1786c-016f-11d2-945f-00c04fb984f9>MACHINEMicrosoftWindows NTSecEditGPTTMPL.INF

Найдите SeSystemProfilePrivilege запись в GPTTMPL. INF и измените его следующим образом:

Before: SeSystemProfilePrivilege = *S-1-5-32-544,WdiServiceHost

After: SeSystemProfilePrivilege = *S-1-5-32-544,nt serviceWdiServiceHost

Служба NT должен отображаться после делеметра «,». Не префикс NT Service со знаком «*».

Сохраните изменения в GPTTMPL.INF.

Из командной консоли контроллера домена, GPTTMPL которого. INF-файл был изменен в шаге 1, введите Gpupdate /force.

Просмотреть журнал приложений, чтобы узнать, был ли зарегистрирован код события 1202 с кодом 0x534 состояния. Если да, просмотрите WINLOGON. LOG, чтобы узнать, вызвано ли событие темой безопасности WdiServiceHost.

Дополнительная информация

В политике контроллеров домена по умолчанию на контроллере домена Windows Server 2008 R2 ИД безопасности для учетной записи службы диагностики (wdiservicehost) предоставляется место, куда она добавляется в локальный SAM компьютера, берется SCE, а затем добавляется в SeSystemProfilePrivilege GPTTMPL.INF.

При внесении изменений в политику контроллеров домена по умолчанию на контроллере домена Windows Server 2008 из-за неработоспособного кода ИД безопасности для учетной записи Wdiservicehost заменяется учетной записью SAM, но не удается добавить префикс службы NT, необходимый SCECLI для разрешения имени учетной записи. (то есть NT ServiceWdiservicehost).

Проблема, описанная в этой политике, возникает, когда редактор управления групповыми политиками на компьютерах с Windows 7 или Windows Server 2008 R2 используется для изменения параметров безопасности в политике контроллеров домена по умолчанию на контроллере домена Windows Server 2008.

Эта проблема не возникает, если политика безопасности изменена в политиках, кроме политики контроллеров домена по умолчанию.

Несмотря на ведение журнала события 1202 с кодом 0x534, эта проблема не мешает компьютерам с Windows применять политику безопасности, содержануюся в политике контроллеров домена по умолчанию. Однако не существует способа отличить событие ложного срабатывания, вызванное этой проблемой, от подлинных неправильных насображений, которые препятствуют применении политики безопасности, заданной с помощью того же кода состояния события 1202 и 0x534 состояния.