이러한 이벤트를 문제 해결하는 첫 번째 단계는 Win32 오류 코드를 확인하는 것입니다. 이 오류 코드는 SCECLI 1202 이벤트를 일으키는 오류 유형을 구분합니다. 다음은 SCECLI 1202 이벤트의 한 예입니다. 오류 코드는 설명 필드에 표시됩니다. 이 예에서 오류 코드는 0x534입니다. 오류 코드 다음의 텍스트는 오류에 대한 설명입니다.
이벤트 종류: 경고
이벤트 원본: SceCli
이벤트 범주: 없음
이벤트 ID: 1202
날짜: MM/DD/YYYY
시간: HH:MM:SS AM|PM
사용자: N/A
컴퓨터: %ComputerName%
설명: 보안 정책이 경고와 더불어 전파되었습니다. 0x534: 계정 이름과 보안 ID 사이에 매핑이 이루어지지 않았습니다. 자세한 내용은 보안 도움말의 문제 해결 부분을 참조하십시오.
오류 코드를 확인한 후에 본 문서의 해당 오류 코드 절을 찾은 다음 해당 절의 문제 해결 단계를 수행하십시오.
0x534: 계정 이름과 보안 ID 사이에 매핑이 이루어지지 않았습니다.
-또는-
0x6fc: 주 도메인과 트러스트된 도메인 사이의 트러스트 관계에 이상이 있습니다.
이러한 오류 코드는 보안 계정이 보안 ID(SID)를 확인하지 못한 것을 의미합니다. 이것은 일반적으로 계정 이름을 잘못 입력했거나 보안 정책 설정에 추가된 후에 계정이 삭제되었기 때문에 발생합니다. 또한 보안 정책 설정의 사용자 권한 구역이나 제한된 그룹 구역에서 발생합니다. 또한 계정이 트러스트 관계에 있고 이 트러스트 관계가 끊어진 경우 발생할 수도 있습니다.
이 문제를 해결하려면 다음과 같이 하십시오.
- 오류를 일으키는 계정을 확인합니다. 확인을 위해 보안 구성 클라이언트쪽 확장에 대해 디버그 로깅을 설정합니다. 이렇게 하려면 다음과 같이 합니다.
- 레지스트리 편집기를 시작합니다.
- 다음 레지스트리 하위 키를 찾아 누릅니다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
- 편집 메뉴에서 값 추가를 누르고 아래와 같은 레지스트리 값을 추가합니다.
값 이름: ExtensionDebugLevel
데이터 형식: DWORD
값 데이터: 2 - 레지스트리 편집기를 끝냅니다.
- 정책 설정을 새로 고쳐 오류를 재현합니다. 정책 설정을 새로 고치려면 명령 프롬프트에서 다음 명령을 입력한 다음 Enter 키를 누릅니다.
secedit /refreshpolicy machine_policy /enforce이렇게 하면 %SYSTEMROOT%\Security\Logs 폴더에 Winlogon.log라는 파일이 만들어집니다.
- 문제의 계정을 찾습니다. 이렇게 하려면 명령 프롬프트에 다음 명령을 입력한 다음 Enter 키를 누릅니다.
find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.logFind 출력은 "Cannot find MichaelAlexander"와 같이 문제 계정 이름을 표시합니다. 이 예제에서는 사용자 계정 MichaelAlexander가 도메인에 없거나 MichelleAlexander처럼 다른 철자를 갖고 있습니다.
이 계정을 확인할 수 없는 이유를 확인합니다. 예를 들어, 입력 오류, 삭제된 계정, 이 컴퓨터에 적용되는 잘못된 정책 또는 트러스트 문제를 찾습니다. - 계정을 정책에서 제거해야 한다고 판단되는 경우 문제 계정과 문제 설정을 찾습니다. 어느 설정에 확인되지 않는 계정이 있는지 확인하려면 SCECLI 1202 이벤트를 생성하는 컴퓨터의 명령 프롬프트에 다음 명령을 입력한 다음 Enter 키를 누릅니다.
c:\>find /i “account name” %SYSTEMROOT%\security\templates\policies\gpt*.*이 예제에서 구문과 결과는 다음과 같습니다.이것은 GPT00002.inf를 문제 설정이 들어 있는 문제 그룹 정책 개체(GPO)의 캐싱된 보안 템플릿으로 식별합니다. 또한 문제 설정을 SeInteractiveLogonRight로 표시합니다. SeInteractiveLogonRight의 표시 이름은 “Logon locally”입니다.
c:\>find /i "MichaelAlexander" %SYSTEMROOT%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,MichaelAlexander,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548 ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
상수(예: SeInteractiveLogonRight)의 표시 이름(예: Logon locally)에 대한 매핑은 Microsoft Windows 2000 Server Resource Kit, "Distributed Systems Guide"를 참조하십시오. 매핑은 부록의 "User Rights" 절에 있습니다. - 어느 GPO에 문제 설정이 들어 있는지 확인합니다. 텍스트 "GPOPath="에 대해 4단계에서 확인한 캐싱된 보안 템플릿을 검색합니다. 이 예제에서 다음을 확인할 수 있습니다.
GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE"GPOPath=" 및 "\MACHINE" 사이에는 GPO의 GUID가 있습니다.
- GPO의 친숙한 이름을 찾으려면 Resource Kit 유틸리티 Gpotool.exe를 사용하십시오. 명령 프롬프트에 다음 명령을 입력한 다음 Enter 키를 누릅니다
gpotool /verbose5단계에서 확인한 GUID의 출력을 검색합니다. GUID 다음의 4줄에 정책의 친숙한 이름이 들어 있습니다. 예는 다음과 같습니다.
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9} Policy OK Details: ------------------------------------------------------------ DC: domcntlr1.wingtiptoys.com Friendly name: Default Domain Controllers Policy
이제 문제 계정, 문제 설정 및 문제 GPO가 확인되었습니다. 문제를 해결하려면 문제 항목을 제거하거나 교체하십시오.
위로 가기0x2: 지정된 파일을 찾을 수 없습니다.
이 오류는 확인할 수 없는 계정 이름으로 인해 발생하는 0x534 및 0x6fc와 비슷합니다. 0x2 오류가 발생하면 일반적으로 확인할 수 없는 계정 이름이 제한된 그룹 정책 설정에 지정된 것임을 나타냅니다.
이 문제를 해결하려면 다음과 같이 하십시오.
- 어느 서비스나 개체에 오류가 있는지 확인합니다. 확인을 위해 보안 구성 클라이언트쪽 확장에 대해 디버그 로깅을 설정합니다. 이렇게 하려면 다음과 같이 합니다.
- 레지스트리 편집기를 시작합니다.
- 다음 레지스트리 하위 키를 찾아 누릅니다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
- 편집 메뉴에서 값 추가를 누르고 아래와 같은 레지스트리 값을 추가합니다.
값 이름: ExtensionDebugLevel
데이터 형식: DWORD
값 데이터: 2 - 레지스트리 편집기를 끝냅니다.
- 정책 설정을 새로 고쳐 오류를 재현합니다. 정책 설정을 새로 고치려면 명령 프롬프트에서 다음 명령을 입력한 다음 Enter 키를 누릅니다.
secedit /refreshpolicy machine_policy /enforce이렇게 하면 %SYSTEMROOT%\Security\Logs 폴더에 Winlogon.log라는 파일이 만들어집니다.
- 명령 프롬프트에 다음 명령을 입력한 다음 Enter 키를 누릅니다.
find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.logFind 출력은 "Cannot find MichaelAlexander"와 같이 문제 계정 이름을 표시합니다. 이 예제에서는 사용자 계정 MichaelAlexander가 도메인에 없거나 MichelleAlexander처럼 다른 철자를 갖고 있습니다.
이 계정을 확인할 수 없는 이유를 확인합니다. 예를 들어, 입력 오류, 삭제된 계정, 이 컴퓨터에 적용되는 잘못된 정책 또는 트러스트 문제를 찾습니다. - 계정을 정책에서 제거해야 한다고 판단되는 경우 문제 계정과 문제 설정을 찾습니다. 어떤 설정에 확인되지 않는 계정이 있는지 찾으려면 SCECLI 1202 이벤트를 생성하는 컴퓨터의 명령 프롬프트에 다음을 입력한 다음 Enter 키를 누릅니다.
c:\>find /i “account name” %SYSTEMROOT%\security\templates\policies\gpt*.*이 예제에서 구문과 결과는 다음과 같습니다.이것은 GPT00002.inf를 문제 설정이 들어 있는 문제 GPO의 캐싱된 보안 템플릿으로 식별합니다. 또한 문제 설정을 SeInteractiveLogonRight로 표시합니다. SeInteractiveLogonRight의 표시 이름은 “Logon locally”입니다.
c:\>find /i "MichaelAlexander" %SYSTEMROOT%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,JohnDough,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548 ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
상수(예: SeInteractiveLogonRight)의 표시 이름(예: Logon locally)에 대한 매핑은 Microsoft Windows 2000 Server Resource Kit, "Distributed Systems Guide"를 참조하십시오. 매핑은 부록의 "User Rights" 절에 있습니다. - 어느 GPO에 문제 설정이 들어 있는지 확인합니다. 텍스트 "GPOPath="에 대해 4단계에서 확인한 캐싱된 보안 템플릿을 검색합니다. 이 예제에서 다음을 확인할 수 있습니다.
GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE"GPOPath=" 및 "\MACHINE" 사이에는 GPO의 GUID가 있습니다.
- GPO의 친숙한 이름을 찾으려면 Resource Kit 유틸리티 Gpotool.exe를 사용하십시오. 명령 프롬프트에 다음 명령을 입력한 다음 Enter 키를 누릅니다
gpotool /verbose5단계에서 확인한 GUID의 출력을 검색합니다. GUID 다음의 4줄에 정책의 친숙한 이름이 들어 있습니다. 예는 다음과 같습니다.
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9} Policy OK Details: ------------------------------------------------------------ DC: domcntlr1.wingtiptoys.com Friendly name: Default Domain Controllers Policy
이제 문제 계정, 문제 설정 및 문제 GPO가 확인되었습니다. 문제를 해결하려면 보안 정책의 제한된 그룹 구역에서 문제 계정의 인스턴스(이 예에서 "MichaelAlexander")를 검색한 다음 문제 항목을 제거하거나 교체합니다.
0x5: 액세스가 거부되었습니다.
이 오류는 일반적으로 시스템에 서비스의 액세스 제어 목록을 업데이트하는 올바른 권한이 부여되지 않은 경우 발생합니다. 관리자가 정책에서 서비스에 대한 사용 권한을 정의하지만 시스템 계정에 모든 권한을 부여하지 않는 경우 발생할 수 있습니다.
이 문제를 해결하려면 다음과 같이 하십시오.
- 어느 서비스나 개체에 오류가 있는지 확인합니다. 확인을 위해 보안 구성 클라이언트쪽 확장에 대해 디버그 로깅을 설정합니다. 이렇게 하려면 다음과 같이 합니다.
- 레지스트리 편집기를 시작합니다.
- 다음 레지스트리 하위 키를 찾아 누릅니다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
- 편집 메뉴에서 값 추가를 누르고 아래와 같은 레지스트리 값을 추가합니다.
값 이름: ExtensionDebugLevel
데이터 형식: DWORD
값 데이터: 2 - 레지스트리 편집기를 끝냅니다.
- 정책 설정을 새로 고쳐 오류를 재현합니다. 정책 설정을 새로 고치려면 명령 프롬프트에서 다음 명령을 입력한 다음 Enter 키를 누릅니다.
secedit /refreshpolicy machine_policy /enforce이렇게 하면 %SYSTEMROOT%\Security\Logs 폴더에 Winlogon.log라는 파일이 만들어집니다.
- 명령 프롬프트에 다음 명령을 입력한 다음 Enter 키를 누릅니다.
find /i "error opening" %SYSTEMROOT%\security\logs\winlogon.logFind 출력은 "Error opening Dnscache"와 같이 권한이 잘못 구성된 서비스를 표시합니다. Dnscache는 DNS 클라이언트 서비스의 짧은 이름입니다.
- 어느 정책이 서비스 권한을 수정하려고 하는지 알아냅니다. 이렇게 하려면 명령 프롬프트에서 다음 명령을 입력한 다음 Enter 키를 누릅니다.
find /i "service" %SYSTEMROOT%\security\templates\policies\gpt*.*".다음은 예제 명령 및 출력입니다.
d:\>find /i "dnscache" %windir%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF Dnscache,3,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;LA)" ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
- 어느 GPO에 문제 설정이 들어 있는지 확인합니다. 텍스트 "GPOPath="에 대해 4단계에서 확인한 캐싱된 보안 템플릿을 검색합니다. 이 예제에서 다음을 확인할 수 있습니다.
GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE"GPOPath=" 및 "\MACHINE" 사이에는 GPO의 GUID가 있습니다.
- GPO의 친숙한 이름을 찾으려면 Resource Kit 유틸리티 Gpotool.exe를 사용하십시오. 명령 프롬프트에 다음 명령을 입력한 다음 Enter 키를 누릅니다
gpotool /verbose5단계에서 확인한 GUID의 출력을 검색합니다. GUID 다음의 4줄에 정책의 친숙한 이름이 들어 있습니다. 예는 다음과 같습니다.
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9} Policy OK Details: ------------------------------------------------------------ DC: domcntlr1.wingtiptoys.com Friendly name: Default Domain Controllers Policy
이제 권한이 잘못 구성된 서비스와 문제 GPO가 확인되었습니다. 문제를 해결하려면 보안 정책의 시스템 서비스 구역에서 권한이 잘못 구성된 서비스의 인스턴스를 검색한 다음 시스템 계정에 서비스에 대한 모든 권한을 부여하는 정정 조치를 수행합니다.
0x4b8: 확장 오류가 발생했습니다.
0x4b8 오류는 일반 오류이며 여러 가지 문제로 인해 발생할 수 있습니다. 이 오류를 해결하려면 다음 단계를 수행하십시오.
- 보안 구성 클라이언트쪽 확장에 대해 디버그 로깅을 설정합니다. 이렇게 하려면 다음과 같이 합니다.
- 레지스트리 편집기를 시작합니다.
- 다음 레지스트리 하위 키를 찾아 누릅니다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
- 편집 메뉴에서 값 추가를 누르고 아래와 같은 레지스트리 값을 추가합니다.
값 이름: ExtensionDebugLevel
데이터 형식: DWORD
값 데이터: 2 - 레지스트리 편집기를 끝냅니다.
- 정책 설정을 새로 고쳐 오류를 재현합니다. 정책 설정을 새로 고치려면 명령 프롬프트에서 다음 명령을 입력한 다음 Enter 키를 누릅니다.
secedit /refreshpolicy machine_policy /enforce이렇게 하면 %SYSTEMROOT%\Security\Logs 폴더에 Winlogon.log라는 파일이 만들어집니다.
- 다음 Microsoft 기술 자료 문서를 참조하십시오. 이 문서는 0x4b8 오류를 일으키는 알려진 문제를 설명합니다. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
260715 (http://support.microsoft.com/kb/260715/KO/ ) 정책 구성 후에 이벤트 ID 1000 및 1202가 발생한다278316 (http://support.microsoft.com/kb/278316/KO/ ) 응용 프로그램 이벤트 로그에 ESENT 이벤트 ID 1000, 1202, 412 및 454가 반복적으로 기록된다
