NetWorker:バックアップが「Unable to perform the ASR backup: エミッタ ステータスを取得できません。」
Summary: バックアップが「Unable to perform the ASR backup: がエミッタ ステータスを取得できません。」とエラー メッセージ「Cryptographic Services failed while processing the OnIdentity() call in the System Writer Object.」Windowsアプリケーション イベント ログに記載されています。 ...
Symptoms
Environmental information:
=====================================================================
NW client version: 9.2.1.2.Build.204
オペレーティング システム クライアントのバージョン: Intel
セーブセット上のWindows NT Server: All
Logs snippets:
====================================================================
6684:save: Could not stat \\?\VOLUME{AECB5840-A0DF-11E0-A883-806E6F6E6963}\: No such file or directory
client_name: C:\ level=incr, 246 MB 00:28:10 136 files
Completed savetime=1543528852
90015:save: The backup of VSS emit save set 'C:\' succeeded.
94694:save: The backup of save set 'C:\' succeeded.
101087:save: Cleanup VSS MBS emitter thread: Received cancel signal.Terminating VSS emitter save set \\?\VOLUME{AECB5840-A0DF-11E0-A883-806E6F6E6963}\.
74209:save: Quit signal received.
99123:save: Handling an abort while processing Windows backup.
90097:save: ASR Backup: aborting VSS volume save because Quit flag is set.
99123:save: Handling an abort while processing Windows backup.
90117:save: Unable to perform the ASR backup: cannot obtain the VSS MBS status.
86024:save: ディザスター リカバリー セーブセットの保存中にエラーが発生しました。
+++ クライアントのアプリケーション イベント ログ:
Log Name: Application
Source: Microsoft-Windows-CAPI2
Date: 13/12/2018 9:42:39
Event ID: 513
Task Category: None
Level: Error
Keywords: Classic
User: N/A
Computer: client_name.domain.com
Description:
Cryptographic Services failed while processing the OnIdentity() call in the System Writer Object.
Details:
AddCoreCsiFiles : BeginFileEnumeration() failed.
システム エラー:
アクセスが拒否されました.
.
Event Xml:
513
0
2
0
0
0x80000000000000
8983257
Application
client_name.domain.com
詳細:
AddCoreCsiFiles : BeginFileEnumeration() failed.
システム エラー:
アクセスが拒否されます。
Cause
この問題は、VSS System WriterにNT AUTHORITY\SERVICE(サービス アカウント)の読み取り権限がないために発生します。
System Writerが暗号化サービスとして実行され、Microsoftリンクレイヤー検出プロトコル ドライバーからMslldp.sys情報の読み取りを試行すると、「access denied」というエラーが生成されます。
Resolution
です Configレジストリー キーはHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsLldp
レコードのバイナリ セキュリティ 記述子は、次の場所にあります:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsLldp\Security
SC.EXEおよびSysinternals'ACCESSCHK.EXEを使用して修正する必要があります。
元のセキュリティ ディスクリプタは、次のようになります。
>accesschk.exe -c mslldp
mslldp
RW NT AUTHORITY\SYSTEM
RW BUILTIN\Administrators
RW S-1-5-32-549 R NT SERVICE\NlaSvc
MSLLDPドライバーへのアクセスを許可されていません。
正常に処理されたドライバーのセキュリティ ディスクリプターは、次のように見えました。
>accesschk.exe -c mup mup
RW NT AUTHORITY\SYSTEM
RW BUILTIN\Administrators
R NT AUTHORITY\INTERACTIVE
R NT AUTHORITY\SERVICE
へのアクセス権が付与されます NT AUTHORITY\SERVICEのアクセス権をMSLLDPサービスに追加する方法:
1.次を実行:SC sdshow MSLLDP
次のようなものが表示されます(SDDL言語はMSDNに記載されています):
D:(D;;CCCLCSWRPWPWLOCRSDRCWDWO;;BG)(A;;CCCLCSWRPWPWLOCRSDRCWDWO;;SY)(A;;CCDCLCSWRWRLOCRSDRCWDWO;;BA)(A;;CCCLCSWRPWPWLOCRSDRCWDWO;;SO)(A;;LCRPWP;;S-1-5-80-3141615172-2057878085-1754447212-2405740020-3916490453)S:(AU;FA;CCCLCSWRPWPWLOCRSDRCWDWO;;WD)
2.次を実行:SC sdshow MUP
入手:
D:(A;;CCLCSWRPWPWLOCRRC;;SY)(A;;CCCLCSWRPWPWLOCRSDRCWDWO;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;SU)S:(AU;FA;CCCLCSWRPWPWLOCRSDRCWDWO;;WD)
3.NT AUTHORITY\ SERVICEエントリー(A;;CCLCSWLOCRRC;;SU)を使用して、最後のS:(AU....)の直前に、元のMSLLDPセキュリティ ディスクリプタに適切に追加します。グループ。
4.MSLLDPサービス:sc sdset MSLLDP D:
(D;;CCCLCSWRPWPWLOCRSDRCWDWO;;BG)(A;;CCCLCSWRPWPWLOCRSDRCWDWO;;SY)(A;;CCDCLCSWRWRLOCRSDRCWDWO;;BA)(A;;CCCLCSWRPWPWLOCRSDRCWDWO;;SO)(A;;LCRPWP;;S-1-5-80-3141615172-2057878085-1754447212-2405740020-3916490453)(A;;CCLCSWLOCRRC;;SU)S:(AU;FA;CCCLCSWRPWPWLOCRSDRCWDWO;;WD)
5.結果>
accesschk.exe -c mslldp mslldp
RW NT AUTHORITY\SYSTEM
RW BUILTIN\Administrators
RW S-1-5-32-549
R NT SERVICE\NlaSvc
R NT AUTHORITY\SERVICE
6 を確認します。NetWorkerバックアップを実行し、正常に実行されているかどうかを確認します!!
MSLLDPドライバーにセキュリティ 記述子を使用することを忘れないでください。これは、お使いのマシンで異なるまれなケースが発生する可能性があるためです。SDDLの説明をコピーしたり、古いディスクリプタをバックアップしたりしないでください!!