NetWorker:备份失败,出现错误:“Unable to perform the ASR backup:Cannot obtain emitter status.“(无法获取发射器状态)。”
Summary: 备份失败,出现错误:“Unable to perform the ASR backup:Cannot obtain emitter status.“,并显示错误消息”Cryptographic Services failed while processing the OnIdentity() call in the System Writer Object.“(在处理系统编写器对象中的 OnIdentity() 调用时加密服务失败。)可在 Windows 应用程序事件日志中找到。 ...
Symptoms
环境信息:
=====================================================================
NW 客户端版本:9.2.1.2.Build.204
操作系统客户端版本:Intel
存储集上的 Windows NT 服务器:所有
日志片段:
====================================================================
6684:save:Could not stat \\?\VOLUME{AECB5840-A0DF-11E0-A883-806E6F6E6963}\: No such file or directory
client_name: C:\ level=incr, 246 MB 00:28:10 136 files
Completed savetime=1543528852
90015:save: The backup of VSS emit save set 'C:\' succeeded.
94694:save: The backup of save set 'C:\' succeeded.
101087:save: Cleanup VSS MBS emitter thread: Received cancel signal.Terminating VSS emitter save set \\?\VOLUME{AECB5840-A0DF-11E0-A883-806E6F6E6963}\.
74209:save: Quit signal received.
99123:save: Handling an abort while processing Windows backup.
90097:save: ASR Backup: aborting VSS volume save because Quit flag is set.
99123:save: Handling an abort while processing Windows backup.
90117:save: Unable to perform the ASR backup: cannot obtain the VSS MBS status.
86024:save: 保存灾难恢复存储集时出错。
+++ 客户端的应用程序事件日志:
Log Name: Application
Source: Microsoft-Windows-CAPI2
Date: 13/12/2018 9:42:39
Event ID: 513
Task Category: 无
级别: 错误
关键字: Classic
User: N/A
计算机: client_name.domain.com
Description:
Cryptographic Services failed while processing the OnIdentity() call in the System Writer Object.
Details:
AddCoreCsiFiles : BeginFileEnumeration() failed.
系统错误:
访问被拒绝
。
事件 Xml:
http://schemas.microsoft.com/win/2004/08/events/event”
< “49154”>513
Version>0
>2
Task>0
0
0x80000000000000
8983257
Application
client_name.domain.com
详细信息:
AddCoreCsiFiles:BeginFileEnumeration() failed.
系统错误:
访问被拒绝。
/事件>
Cause
引起此问题的原因是 VSS System Writer 没有读取 NT AUTHORITY\SERVIC(服务帐户)的权限。
当 System Writer 作为加密服务运行并且尝试从 Microsoft 链路层发现协议驱动程序读取 Mslldp.sys 信息时,会生成“access denied”错误。
Resolution
其配置注册表项为 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsLldp
二进制安全描述 记录的or位于此处:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsLldp\Security
应使用 SC.EXE 和 Sysinternals 的 ACCESSCHK.EXE 进行修改以进行修复。
原始安全描述符如下所示:
>accesschk.exe -c mslldp mslldp
RW NT AUTHORITY\SYSTEM
RW BUILTIN\Administrators
RW S-1-5-32-549 < - 这些是服务器操作员
R NT SERVICE\NlaSvc
不允许访问 MSLLDP 驱动程序的服务帐户。
已成功处理的驱动程序的安全描述符采用以下方式:
>accesschk.exe -c mup mup
RW NT AUTHORITY\SYSTEM
RW BUILTIN\Administrators
R NT AUTHORITY\INTERACTIVE
R NT AUTHORITY\SERVICE
限 如何向 MSLLDP 服务添加 NT AUTHORITY\SERVICE 的访问权限:
1.运行:SC sdshow MSLLDP
您将获得如下内容(SDDL 语言记录在 MSDN 上):
D:(D;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;BG)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;SY)(A;;CCDCLCSWRPDTLOCRSDRCWDWO;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;SO)(A;;LCRPWP;;S-1-5-80-3141615172-2057878085-1754447212-2405740020-3916490453)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;WD)
2.运行:SC sdshow MUP
您得到:
D:(A;;CCLCSWRPWPDTLOCRRC;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;BA)(A;;CCLCSWLOCRRC;;IU)(A;;CCLCSWLOCRRC;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;WD)
3.获取 NT AUTHORITY\SERVICE 条目,即 (A;;CCLCSWLOCRRC;;SU)并正确地将其添加到原始 MSLLDP 安全描述符,就在最后一个 S:(AU... 之前)组。
4.将新安全描述符应用到 MSLLDP 服务:
sc sdset MSLLDP D:(D;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;BG)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;SY)(A;;CCDCLCSWRPDTLOCRSDRCWDWO;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;SO)(A;;LCRPWP;;S-1-5-80-3141615172-2057878085-1754447212-2405740020-3916490453)(A;;CCLCSWLOCRRC;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;WD)
5.检查结果:
>accesschk.exe -c mslldp mslldp
RW NT AUTHORITY\SYSTEM
RW BUILTIN\Administrators
RW S-1-5-32-549
R NT SERVICE\NlaSvc
R NT AUTHORITY\SERVICE
6。运行 NetWorker 备份并检查它是否运行正常。
!! 不要忘记使用 MSLLDP 驱动程序的安全描述符,因为在您的计算机不同时,可能会出现一些极少数情况。请勿拷贝我的 SDDL 描述并备份旧描述符以防万一!!