Avamar: VSS – Deaktivieren der Nutzerprofilerfassung für Windows-Clients

Windows-Sicherheitsprotokolle weisen darauf hin, dass avtar.exe auf jedes Nutzerprofil auf einem Client zugreift.

• Für aktive Benutzerprofile sehen die Einträge wie folgt aus:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4648
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
A logon was attempted using explicit credentials.

Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
Logon GUID: {00000000-0000-0000-0000-000000000000}

Account Whose Credentials Were Used:
Account Name: testuser
Account Domain: CORP
Logon GUID: {1d662ff0-b57a-9c60-620c-b7f5c70ad1df}

Target Server:
Target Server Name: localhost
Additional Information: localhost

Process Information:
Process ID: 0x1544
Process Name: C:\Program Files\avs\bin\avtar.exe 

-----

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4624
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account was successfully logged on.
 
Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
 
Logon Type: 3
 
New Logon:
Security ID: CORP\testuser
Account Name: testuser
Account Domain: CORP
Logon ID: 0x8150fc1
Logon GUID: {cac983ee-8bf7-3789-896f-c9be1e852ead}
 
Process Information:
Process ID: 0x1334
Process Name: C:\Program Files\avs\bin\avtar.exe

• Bei abgelaufenen Nutzerprofilen sieht dies wie folgt aus:
   

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on.

Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain: INTERNAL
Logon ID: 0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason: The specified user account has expired.
Status: 0xc0000193
Sub Status: 0xc0000193
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

• Bei deaktivierten Benutzerprofilen sieht dies wie folgt aus:
   

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 

Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain:  INTERNAL
 Logon ID:  0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID:  NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason:  Account currently disabled.
Status: 0xc000006e
Sub Status: 0xc0000072
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

• Einträge wie die folgenden sind ebenfalls zu sehen:
   

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 

Subject:
Security ID: 
Account Name: testuser
Account Domain: CORP
Logon ID: 0x3e7

Logon Type: 3

Account For Which Logon Failed:
Security ID: NULL SID
Account Name:        
Account Domain:        

Failure Information:
Failure Reason:  Error occured during Logon.
Status: 0xc000018b
Sub Status: 0x0

Process Information:
Caller Process ID: 0x1544
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

• Im Folgenden finden Sie eine Liste der allgemeinen Status, die auftreten können:
   

   
  Status Code	Description
  0XC000005E	There are currently no logon servers available to service the logon request.
  0xC0000064	User logon with misspelled or bad user account
  0xC000006A	User logon with misspelled or bad password
  0XC000006D	This is either due to a bad username or authentication information
  0XC000006E	Unknown user name or bad password.
  0xC000006F	User logon outside authorized hours
  0xC0000070	User logon from unauthorized workstation
  0xC0000071	User logon with expired password
  0xC0000072	User logon to account disabled by administrator
  0XC00000DC	Indicates the Sam Server was in the wrong state to perform the desired operation.
  0XC0000133	Clocks between DC and other computer too far out of sync
  0XC000015B	The user has not been granted the requested logon type (aka logon right) at this machine
  0XC000018C	The logon request failed because the trust relationship between the primary domain and the trusted domain failed.
  0XC0000192	An attempt was made to logon, but the Netlogon service was not started.
  0xC0000193	User logon with expired account
  0XC0000224	User is required to change password at next logon
  0XC0000225	Evidently a bug in Windows and not a risk
  0xC0000234	User logon with account locked
  0XC00002EE	Failure Reason: An Error occurred during Logon
  0XC0000413	Logon Failure: The machine you are logging onto is protected by an authentication firewall. The specified account is not allowed to authenticate to the machine.
  
  

Eine vollständige Liste finden Sie unter Fehler ode ntstatus.h (Externer Link).
Diese Einträge werden bei jeder Ausführung des Backups für jedes Nutzerprofil auf dem Clientcomputer im Sicherheitsprotokoll gespeichert.

Am Ende jedes Backups erfasst der durch das Plug-in erzeugte avtar-Prozess Informationen für jedes Nutzerprofil auf dem Client.

• Im avtar-Protokoll finden Sie die folgende Zeile (beachten Sie, dass die Anzahl je nach Anzahl der Profile variiert):

avtar Info <11035>: Reading 14 user profiles
avtar Info <11036>: Done reading user profiles

• Diese Erfassung von Profilen erfolgt am Ende jeder avtar-Sitzung auf einem Windows-Computer. Dies geschieht nicht nur am Ende eines Windows-Dateisystem-Backups (avtar), sondern auch jedes Mal, wenn ein anderes Plug-in wie avexvss (Exchange), avsql (SQL), avvss (VSS) einen avtar.exe Prozess startet.
•  Wenn ein Windows VSS-Backup drei avtar-Prozesse zum Sichern verschiedener Volumes erzeugt, werden die Profile dreimal erfasst und die Overheadzeiten werden erhöht.
• Obwohl die Erfassung von Nutzerprofilen eigentlich ein schneller Prozess sein soll, dauert es in einigen seltenen Fällen, wie verwaisten SID-Einträgen (Security Identifier), sehr lange, was sich auf die Avamar-Performance auswirkt. Beispiel für einen solchen protokollierten Eintrag:

2017-05-25 04:34:18 avtar Info : Reading 37 user profiles

Mehr als zwei Stunden später folgten:

2017-05-25 06:50:34 avtar Info : Done reading user profiles

• Die Profilerfassung am Ende des Backups kann sogar fehlschlagen, wenn "AuthzInitializeContextFromSid" aufgerufen wird:

2023-10-13 09:51:21 avtar Warning <16147>: AuthzInitializeContextFromSid failed: 2

Weitere Informationen zur Verwendung dieser API bei der Profilerfassung finden Sie unter:

https://learn.microsoft.com/en-us/troubleshoot/sql/reporting-services/call-authzinitializecontextfromsid-api-fails

In solchen Fällen fehlten bei einigen SIDs die entsprechenden Nutzernameneinträge und avtar blieb bei der Verarbeitung dieser verwaisten SIDs hängen oder schlug fehl. Dies kann passieren, wenn Nutzerkonten gelöscht werden, aber nicht das entsprechende Nutzerstammverzeichnis.

Diese Profilerfassung ist standardmäßig aktiviert, wird aber nur für Desktop- oder Laptop-Wiederherstellungen (DTLT) verwendet. Für jedes Nutzerprofil ermittelt avtar alle Gruppen, denen der Benutzer angehört, um festzustellen, ob der Benutzer ein lokaler Administrator ist. Diese Daten werden verwendet, um zu bestimmen, welche Dateien der angemeldete Nutzer über die DTLT-Webschnittstelle sehen und wiederherstellen kann.

Obwohl diese Sicherheitseinträge sicher ignoriert werden können, kann die Profilerfassung auf Windows Server-Clients deaktiviert werden. Sie sollte auf Desktop-PCs oder Laptops nicht deaktiviert werden, wenn die DTLT-Weboberfläche verwendet wird. Um die Erfassung von Nutzerprofilen zu deaktivieren, fügen Sie das folgende avtar-Flag in der avtar.cmd Datei auf dem Client oder dem zugehörigen Dataset hinzu.

--x05=65536 

Das Deaktivieren der Profilerfassung kann auf zwei Arten gehandhabt werden.

1. Für einen einzelnen Client:
   1. Erstellen Sie eine Textdatei in C:\Program Files\avs\var mit dem Namen avtar.cmd
   2. Fügen Sie in der avtar.cmd Datei das folgende Flag hinzu:

   3. --x05=65536

   4. Dies wirkt sich auf alle Backups auf dem Client aus, da avtar sie bei jedem Start verwendet.
2. Für mehrere Clients, die ein Dataset verwenden:
   1. Navigieren Sie im Datensatz zur Registerkarte "Optionen"
   2. Wählen Sie den entsprechenden Plug-in-Typ aus der Dropdown-Liste aus.
   3. Klicken Sie auf die Schaltfläche "More".
      1. Für Backups von Windows-Dateisystemen:
         1.  Unter "Enter Attribute": Geben Sie x05 ein.
         2. Geben Sie unter "Attributwert eingeben" den Wert 65536 ein.
         3. Klicken Sie dann auf die Schaltfläche +
      2.  Für alle anderen Windows-Plug-ins:
         1. Unter "Attribut eingeben:" Geben Sie [avtar]x05 ein.
         2. Geben Sie unter "Attributwert eingeben" den Wert 65536 ein.
         3. Klicken Sie dann auf die Schaltfläche +
   4. Dies muss für jeden Plug-in-Typ erfolgen, der Teil des Datensatzes ist, und für jeden Datensatz, der einer Gruppe zugewiesen ist, in der der Client Mitglied ist.