| WIN2000域控制器警告 [message #155012] |
Mo, 13 Februar 2006 09:20 |
|
最近将一台WIN2000备份域控制器重装了系统,之 将其升级为备份域控制器,运行了几天发现WIN 2000主域控制器经常提示日志满,发现每隔五分 就有一个警告:
事件类型: 警告
事件来源: SceCli
事件种类: 无
事件 ID: 1202
日期: 2006-02-12
事件: 2:12:15
用户: N/A
计算机: CTC-DESIGN
描述:
安全策略已传播,但有警告信息。 0x534 : 帐户名与安全标识间无任何映射完成。
解决此事件的最佳方案,请用非系统管理员账 户登录并在 http://support.microsoft.com 上查找“Troubleshooting
1202 Events”。
一个或多个组策略对象(GPO)中的用户帐户不能 析成一个 SID。此错误可能是由于输错了或删除了在 GPO
的“用户权力”或“受限制的组”分支引用的 用户帐户。要解决此事件,请和网域的系统管 理员联系,执行下列操作:
1.识别不能解析成 SID 的账户: 从命令提示,输入: FIND /I "Cannot find"
%SYSTEMROOT%\Security\Logs\winlogon.log
FIND 输出中 "Cannot find" 后面的字符串标识了有问题的账户名。
例如: Cannot find JohnDough。
此例子表明,不能决定用户名“JohnDough”的 SID。最可能的原因是账户被删除、改名或拼错 (例如拼成了“JohnDoe”)。
2.识别包含未解析的账户名的 GPO:
从命令提示,输入 FIND /I "JohnDough" %SYSTEMROOT%\Security\templates\policies\gpt*.*
FIND 命令的输出为:
---------- GPT00000.DOM
---------- GPT00001.DOM
SeRemoteShutdownPrivilege=JohnDough
这表明所有应用到此机器的 GPO,未解析的账户名只存在于一个 GPO,也就是缓存中名为 GPT00001.DOM 的 GPO。
现在我们需要在下一步决定此 GPO 的好记的名称。
3. 找到每一个包含未解析的账户名的 GPO 的好记的名称。这些 GPO 已经在上一步识别。
从命令提示,输入: FIND /I "[Mapping]" %SYSTEMROOT%\Security\Logs\winlogon.log
FIND 的输出中跟在"[Mapping] gpt0000?.dom =" 后的字符串标识所有所有应用到此机器的 GPO 的好记的名称。
例如: [Mapping] gpt00001.dom = User Rights Policy
此例子表明,包含未解析的账户的 GPO(gpt00001.dom)有一个好记的名称“User Rights Policy”。
4. 从包含未解析的账户的 GPO 中删除未解析的账户。
a. [开始] -> 运行 -> MMC.EXE
b. 从文件菜单中选择“添加或删除管理单元…”
c. 从“添加或删除管理单元”对话框,选择“添 加…”
d. 在“添加独立管理单元”对话框,选择“组策 略”,并单击“添加”
e. 在“选择组策略对象”对话框,单击“浏览” 按钮
f. 在“浏览组策略对象”对话框,选择“所有” 选项卡
g. 右击第三步识别的策略,选择编辑
h. 对第一步识别的账户,复查“计算机配置/Windo ws 设置/安全设置/本地策略/用户权力分配”或“ 计算机配置/Windows
设置/安全设置/受限制的组”下的每一设置。
i. 对第三步识别的所有 GPO,重复 4g 和 4h。
已查看winlogon.log文件,没有发现有问题的帐户 ,重装系统\升级域控制器之后没有增加任何帐 号,因此认为产生问题的原因并非帐号有问题!
以上问题请帮助分析原因,谢谢!
|
|
|
| Re: WIN2000 [message #160070 ] |
Mi, 15 Februar 2006 01:28 |
|
ԭ̨û˳
"" < [at] discussions.microsoft.com> дϢ
:9AE8D3DE-0A89-4534-94A9-631ACD5ED1AF [at] microsoft.com...
> һ̨WIN2000װϵͳ,֮Ϊ ,
췢WIN2000ʾ־,ÿӾһ :
> ¼:
> ¼Դ: SceCli
> ¼:
> ¼ ID: 1202
> : 2006-02-12
> ¼: 2:12:15
> û: N/A
> : CTC-DESIGN
> :
> ȫѴоϢ 0x534 : ʻ밲ȫʶκӳɡ
>
> ¼ѷ÷ϵͳԱ˻¼
http://support.microsoft.com ϲҡTroubleshooting
> 1202 Events
> һԶ(GPO)еûʻܽһ SID˴
˻ɾ GPO
> ġûȨƵ顱֧õûʻҪ
ϵͳԱϵִв:
>
> 1.ʶܽ SID ˻: ʾ: FIND /I "Cannot find"
> %SYSTEMROOT%\Security\Logs\winlogon.log
> FIND "Cannot find" ַʶ˻
> : Cannot find JohnDough
> ӱܾûJohnDough SIDܵԭ˻ɾ
ƴ(ƴˡJohnDoe)
>
> 2.ʶδ˻ GPO:
> ʾ FIND /I "JohnDough"
%SYSTEMROOT%\Security\templates\policies\gpt*.*
> FIND Ϊ:
> ---------- GPT00000.DOM
> ---------- GPT00001.DOM
> SeRemoteShutdownPrivilege=JohnDough
> Ӧõ˻ GPOδ˻ֻһ GPOҲǻ
Ϊ GPT00001.DOM GPO
> Ҫһ GPO ĺüǵơ
>
> 3. ҵÿһδ˻ GPO ĺüǵơЩ GPO Ѿһ
ʶ
> ʾ: FIND /I "[Mapping]"
%SYSTEMROOT%\Security\Logs\winlogon.log
> FIND и"[Mapping] gpt0000?.dom =" ַʶӦõ
GPO ĺüǵơ
> : [Mapping] gpt00001.dom = User Rights Policy
> ӱδ˻ GPO(gpt00001.dom)һüǵơUser
Rights Policy
>
> 4. Ӱδ˻ GPO ɾδ˻
> a. [ʼ] -> -> MMC.EXE
> b. ļ˵ѡӻɾԪ
> c. ӡӻɾԪԻѡӡ
> d. ڡӶԪԻѡԡӡ
> e. ڡѡԶԻť
> f. ڡԶԻѡСѡ
> g. һʶIJԣѡ༭
> h. Եһʶ˻顰/Windows /ȫ/ز/
Ȩ䡱/Windows
> /ȫ/Ƶ顱µÿһá
> i. Եʶ GPOظ 4g 4h
>
> Ѳ鿴winlogon.logļ,ûзʻ,װϵͳ\ ֮û
κʺ,Ϊԭʺ!
> ԭ,лл!
>
|
|
|
| Re: WIN2000域控制器警告 [message #160097 ] |
Fr, 17 Februar 2006 01:14 |
|
是的,因为当时系统已无法启动,重新安装系统 后升级为域控制器。请问有什么方法可以解 这个问题呢?
“icmp”编写:
> 原来那台域控没正常退出域吧
>
> "光辉岁月" < [at] discussions.microsoft.com> 写入消息新闻
> :9AE8D3DE-0A89-4534-94A9-631ACD5ED1AF [at] microsoft.com...
> > 最近将一台WIN2000备份域控制器重装了系统,之 将其升级为备份域控制器,运行了
> 几天发现WIN2000主域控制器经常提示日志满,发 每隔五分钟就有一个警告:
> > 事件类型: 警告
> > 事件来源: SceCli
> > 事件种类: 无
> > 事件 ID: 1202
> > 日期: 2006-02-12
> > 事件: 2:12:15
> > 用户: N/A
> > 计算机: CTC-DESIGN
> > 描述:
> > 安全策略已传播,但有警告信息。 0x534 : 帐户名与安全标识间无任何映射完成。
> >
> > 解决此事件的最佳方案,请用非系统管理员账 户登录并在
> http://support.microsoft.com 上查找“Troubleshooting
> > 1202 Events”。
> > 一个或多个组策略对象(GPO)中的用户帐户不能 析成一个 SID。此错误可能是由于
> 输错了或删除了在 GPO
> > 的“用户权力”或“受限制的组”分支引用的 用户帐户。要解决此事件,请和网域的
> 系统管理员联系,执行下列操作:
> >
> > 1.识别不能解析成 SID 的账户: 从命令提示,输入: FIND /I "Cannot find"
> > %SYSTEMROOT%\Security\Logs\winlogon.log
> > FIND 输出中 "Cannot find" 后面的字符串标识了有问题的账户名。
> > 例如: Cannot find JohnDough。
> > 此例子表明,不能决定用户名“JohnDough”的 SID。最可能的原因是账户被删除、
> 改名或拼错(例如拼成了“JohnDoe”)。
> >
> > 2.识别包含未解析的账户名的 GPO:
> > 从命令提示,输入 FIND /I "JohnDough"
> %SYSTEMROOT%\Security\templates\policies\gpt*.*
> > FIND 命令的输出为:
> > ---------- GPT00000.DOM
> > ---------- GPT00001.DOM
> > SeRemoteShutdownPrivilege=JohnDough
> > 这表明所有应用到此机器的 GPO,未解析的账户名只存在于一个 GPO,也就是缓存中
> 名为 GPT00001.DOM 的 GPO。
> > 现在我们需要在下一步决定此 GPO 的好记的名称。
> >
> > 3. 找到每一个包含未解析的账户名的 GPO 的好记的名称。这些 GPO 已经在上一步
> 识别。
> > 从命令提示,输入: FIND /I "[Mapping]"
> %SYSTEMROOT%\Security\Logs\winlogon.log
> > FIND 的输出中跟在"[Mapping] gpt0000?.dom =" 后的字符串标识所有所有应用到此
> 机器的 GPO 的好记的名称。
> > 例如: [Mapping] gpt00001.dom = User Rights Policy
> > 此例子表明,包含未解析的账户的 GPO(gpt00001.dom)有一个好记的名称“User
> Rights Policy”。
> >
> > 4. 从包含未解析的账户的 GPO 中删除未解析的账户。
> > a. [开始] -> 运行 -> MMC.EXE
> > b. 从文件菜单中选择“添加或删除管理单元…”
> > c. 从“添加或删除管理单元”对话框,选择“添 加…”
> > d. 在“添加独立管理单元”对话框,选择“组策 略”,并单击“添加”
> > e. 在“选择组策略对象”对话框,单击“浏览” 按钮
> > f. 在“浏览组策略对象”对话框,选择“所有” 选项卡
> > g. 右击第三步识别的策略,选择编辑
> > h. 对第一步识别的账户,复查“计算机配置/Windo ws 设置/安全设置/本地策略/用
> 户权力分配”或“计算机配置/Windows
> > 设置/安全设置/受限制的组”下的每一设置。
> > i. 对第三步识别的所有 GPO,重复 4g 和 4h。
> >
> > 已查看winlogon.log文件,没有发现有问题的帐户 ,重装系统\升级域控制器之后没
> 有增加任何帐号,因此认为产生问题的原因并 帐号有问题!
> > 以上问题请帮助分析原因,谢谢!
> >
>
>
>
|
|
|
