Avamar: VSS - Disabilitazione della raccolta dei profili utente per i client Windows

I registri di sicurezza di Windows indicano che avtar.exe sta accedendo a ogni profilo utente su un client.

• Per i profili utente attivi , le voci sono simili alle seguenti:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4648
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
A logon was attempted using explicit credentials.

Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
Logon GUID: {00000000-0000-0000-0000-000000000000}

Account Whose Credentials Were Used:
Account Name: testuser
Account Domain: CORP
Logon GUID: {1d662ff0-b57a-9c60-620c-b7f5c70ad1df}

Target Server:
Target Server Name: localhost
Additional Information: localhost

Process Information:
Process ID: 0x1544
Process Name: C:\Program Files\avs\bin\avtar.exe 

-----

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4624
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account was successfully logged on.
 
Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
 
Logon Type: 3
 
New Logon:
Security ID: CORP\testuser
Account Name: testuser
Account Domain: CORP
Logon ID: 0x8150fc1
Logon GUID: {cac983ee-8bf7-3789-896f-c9be1e852ead}
 
Process Information:
Process ID: 0x1334
Process Name: C:\Program Files\avs\bin\avtar.exe

• Per i profili utente scaduti , sarà simile al seguente:
   

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on.

Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain: INTERNAL
Logon ID: 0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason: The specified user account has expired.
Status: 0xc0000193
Sub Status: 0xc0000193
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

• Per i profili utente disabilitati , sarà simile al seguente:
   

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 

Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain:  INTERNAL
 Logon ID:  0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID:  NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason:  Account currently disabled.
Status: 0xc000006e
Sub Status: 0xc0000072
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

• È possibile visualizzare anche voci come le seguenti:
   

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 

Subject:
Security ID: 
Account Name: testuser
Account Domain: CORP
Logon ID: 0x3e7

Logon Type: 3

Account For Which Logon Failed:
Security ID: NULL SID
Account Name:        
Account Domain:        

Failure Information:
Failure Reason:  Error occured during Logon.
Status: 0xc000018b
Sub Status: 0x0

Process Information:
Caller Process ID: 0x1544
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

• Di seguito è riportato un elenco degli stati comuni che si possono riscontrare:
   

   
  Status Code	Description
  0XC000005E	There are currently no logon servers available to service the logon request.
  0xC0000064	User logon with misspelled or bad user account
  0xC000006A	User logon with misspelled or bad password
  0XC000006D	This is either due to a bad username or authentication information
  0XC000006E	Unknown user name or bad password.
  0xC000006F	User logon outside authorized hours
  0xC0000070	User logon from unauthorized workstation
  0xC0000071	User logon with expired password
  0xC0000072	User logon to account disabled by administrator
  0XC00000DC	Indicates the Sam Server was in the wrong state to perform the desired operation.
  0XC0000133	Clocks between DC and other computer too far out of sync
  0XC000015B	The user has not been granted the requested logon type (aka logon right) at this machine
  0XC000018C	The logon request failed because the trust relationship between the primary domain and the trusted domain failed.
  0XC0000192	An attempt was made to logon, but the Netlogon service was not started.
  0xC0000193	User logon with expired account
  0XC0000224	User is required to change password at next logon
  0XC0000225	Evidently a bug in Windows and not a risk
  0xC0000234	User logon with account locked
  0XC00002EE	Failure Reason: An Error occurred during Logon
  0XC0000413	Logon Failure: The machine you are logging onto is protected by an authentication firewall. The specified account is not allowed to authenticate to the machine.
  
  

Per un elenco completo, vedere Error ode ntstatus.h (Link esterno)
Queste voci si trovano nel registro di sicurezza per ogni profilo utente sul computer client ogni volta che viene eseguito il backup.

Al termine di ogni backup, il processo avtar generato dal plug-in raccoglie le informazioni per ogni profilo utente sul client.

• Nel log avtar, è possibile trovare la seguente riga (si noti che il numero varia a seconda del numero di profili):

avtar Info <11035>: Reading 14 user profiles
avtar Info <11036>: Done reading user profiles

• Questa raccolta di profili avviene alla fine di ogni sessione avtar su un computer Windows. Succede non solo alla fine di un backup del file system di Windows (avtar), ma anche ogni volta che un plug-in diverso come avexvss (Exchange), avsql (SQL), avvss (VSS) genera un processo avtar.exe.
•  Se un backup VSS di Windows genera tre processi avtar per eseguire il backup di vari volumi, i profili vengono raccolti tre volte e aggiunti ai tempi di overhead.
• Anche se la raccolta dei profili utente dovrebbe essere un processo rapido, in casi rari come le voci di ID di sicurezza (SID) orfani, richiede molto tempo e influisce sulle prestazioni di Avamar. Esempio di tale voce registrata:

2017-05-25 04:34:18 avtar Info : Reading 37 user profiles

Seguito oltre due ore dopo:

2017-05-25 06:50:34 avtar Info : Done reading user profiles

• La raccolta del profilo al termine del backup può anche non riuscire quando si richiama "AuthzInitializeContextFromSid":

2023-10-13 09:51:21 avtar Warning <16147>: AuthzInitializeContextFromSid failed: 2

Ulteriori dettagli sull'uso di questa API nella raccolta dei profili sono disponibili all'indirizzo:

https://learn.microsoft.com/en-us/troubleshoot/sql/reporting-services/call-authzinitializecontextfromsid-api-fails

In questi casi, in alcuni SID mancavano le voci del nome utente corrispondenti e avtar si bloccava o non riusciva a elaborare questi SID orfani. Ciò può verificarsi quando si eliminano gli account utente ma non la directory principale dell'utente corrispondente.

Questa raccolta di profili è attivata per impostazione predefinita, ma viene utilizzata solo per i restore DTLT (Desktop o Laptop). Per ogni profilo utente, avtar ottiene tutti i gruppi a cui appartiene l'utente al fine di determinare se l'utente è un amministratore locale. Queste informazioni vengono utilizzate per individuare i file che l'utente che ha effettuato l'accesso può visualizzare e sottoporre a restore tramite l'interfaccia web DTLT.

Anche se queste voci di sicurezza possono essere ignorate in tutta sicurezza, è possibile disattivare la raccolta dei profili sui client Windows Server. Non deve essere disabilitata su desktop o notebook se si utilizza l'interfaccia web DTLT. Per disabilitare la raccolta dei profili utente, aggiungere il seguente flag avtar nel file avtar.cmd sul client o nel dataset associato.

--x05=65536 

La disabilitazione della raccolta dei profili può essere gestita in due modi.

1. Per un singolo client:
   1. Creare un file di testo in C:\Program Files\avs\var denominato avtar.cmd
   2. Nel file avtar.cmd aggiungere il flag seguente:

   3. --x05=65536

   4. Ciò influisce su tutti i backup sul client, poiché avtar lo utilizza ogni volta che viene avviato.
2. Per più client che utilizzano un dataset:
   1. Nel dataset, vai alla scheda "Opzioni"
   2. Selezionare il tipo di plug-in appropriato dall'elenco a discesa
   3. Fai clic sul pulsante "Altro".
      1. Per i backup del file system di Windows:
         1.  Nella sezione "Inserisci attributo": Immettere x05
         2. Nella sezione "Inserisci valore attributo", inserisci 65536
         3. Quindi fare clic sul pulsante +
      2.  Per tutti gli altri plug-in di Windows:
         1. In "Inserisci attributo:" Immettere [avtar]x05
         2. Nella sezione "Inserisci valore attributo", inserisci 65536
         3. Quindi fare clic sul pulsante +
   4. Questa operazione deve essere eseguita per ogni tipo di plug-in che fa parte del dataset e per ogni dataset assegnato a un gruppo di cui il client è membro.