Avamar: VSS가 Windows 클라이언트에 대한 사용자 프로파일 수집 비활성화

Windows 보안 로그는 avtar.exe 클라이언트의 모든 사용자 프로필에 액세스하고 있음을 나타냅니다.

• 활성 사용자 프로파일의 경우 항목은 다음과 같습니다.

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4648
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
A logon was attempted using explicit credentials.

Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
Logon GUID: {00000000-0000-0000-0000-000000000000}

Account Whose Credentials Were Used:
Account Name: testuser
Account Domain: CORP
Logon GUID: {1d662ff0-b57a-9c60-620c-b7f5c70ad1df}

Target Server:
Target Server Name: localhost
Additional Information: localhost

Process Information:
Process ID: 0x1544
Process Name: C:\Program Files\avs\bin\avtar.exe 

-----

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4624
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account was successfully logged on.
 
Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
 
Logon Type: 3
 
New Logon:
Security ID: CORP\testuser
Account Name: testuser
Account Domain: CORP
Logon ID: 0x8150fc1
Logon GUID: {cac983ee-8bf7-3789-896f-c9be1e852ead}
 
Process Information:
Process ID: 0x1334
Process Name: C:\Program Files\avs\bin\avtar.exe

• 만료된 사용자 프로필의 경우 다음과 같이 표시됩니다.
   

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on.

Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain: INTERNAL
Logon ID: 0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason: The specified user account has expired.
Status: 0xc0000193
Sub Status: 0xc0000193
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

• 비활성화된 사용자 프로필의 경우 다음과 같이 표시됩니다.
   

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 

Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain:  INTERNAL
 Logon ID:  0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID:  NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason:  Account currently disabled.
Status: 0xc000006e
Sub Status: 0xc0000072
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

• 다음과 같은 항목도 볼 수 있습니다.
   

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 

Subject:
Security ID: 
Account Name: testuser
Account Domain: CORP
Logon ID: 0x3e7

Logon Type: 3

Account For Which Logon Failed:
Security ID: NULL SID
Account Name:        
Account Domain:        

Failure Information:
Failure Reason:  Error occured during Logon.
Status: 0xc000018b
Sub Status: 0x0

Process Information:
Caller Process ID: 0x1544
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

• 다음은 발생할 수 있는 일반적인 상태 목록입니다.
   

   
  Status Code	Description
  0XC000005E	There are currently no logon servers available to service the logon request.
  0xC0000064	User logon with misspelled or bad user account
  0xC000006A	User logon with misspelled or bad password
  0XC000006D	This is either due to a bad username or authentication information
  0XC000006E	Unknown user name or bad password.
  0xC000006F	User logon outside authorized hours
  0xC0000070	User logon from unauthorized workstation
  0xC0000071	User logon with expired password
  0xC0000072	User logon to account disabled by administrator
  0XC00000DC	Indicates the Sam Server was in the wrong state to perform the desired operation.
  0XC0000133	Clocks between DC and other computer too far out of sync
  0XC000015B	The user has not been granted the requested logon type (aka logon right) at this machine
  0XC000018C	The logon request failed because the trust relationship between the primary domain and the trusted domain failed.
  0XC0000192	An attempt was made to logon, but the Netlogon service was not started.
  0xC0000193	User logon with expired account
  0XC0000224	User is required to change password at next logon
  0XC0000225	Evidently a bug in Windows and not a risk
  0xC0000234	User logon with account locked
  0XC00002EE	Failure Reason: An Error occurred during Logon
  0XC0000413	Logon Failure: The machine you are logging onto is protected by an authentication firewall. The specified account is not allowed to authenticate to the machine.
  
  

전체 목록은 Error ode ntstatus.h (외부 링크)
를 참조하십시오. 이러한 항목은 백업이 실행될 때마다 클라이언트 시스템의 모든 사용자 프로필에 대한 보안 로그에서 찾을 수 있습니다.

각 백업이 끝날 때마다 플러그인 생성 avtar 프로세스는 클라이언트의 모든 사용자 프로파일에 대한 정보를 수집합니다.

• avtar 로그에서 다음 줄을 찾을 수 있습니다(프로파일 수에 따라 번호가 달라짐).

avtar Info <11035>: Reading 14 user profiles
avtar Info <11036>: Done reading user profiles

• 이 프로파일 수집은 Windows 시스템에서 모든 avtar 세션이 끝날 때 수행됩니다. 이 문제는 Windows 파일 시스템 백업(avtar)이 끝날 때뿐만 아니라 avexvss(Exchange), avsql(SQL), avvss(VSS)와 같은 다른 플러그인이 avtar.exe 프로세스를 생성할 때마다 발생합니다.
•  Windows VSS 백업이 다양한 볼륨을 백업하기 위해 3개의 avtar 프로세스를 생성하는 경우 프로필이 세 번 수집되고 오버헤드 시간이 추가됩니다.
• 사용자 프로파일 수집은 빠른 프로세스로 수행되어야 하지만 분리된 SID(Security Identifier) 항목과 같은 드문 경우에는 Avamar 성능에 영향을 미치는 데 오랜 시간이 소요됩니다. 기록된 항목의 예:

2017-05-25 04:34:18 avtar Info : Reading 37 user profiles

2 시간 이상이 지난 후 다음과 같은 결과가 이어졌습니다.

2017-05-25 06:50:34 avtar Info : Done reading user profiles

• 백업이 끝날 때 프로필 수집은 "AuthzInitializeContextFromSid"를 호출할 때도 실패할 수 있습니다.

2023-10-13 09:51:21 avtar Warning <16147>: AuthzInitializeContextFromSid failed: 2

프로필 수집에서 이 API를 사용하는 방법에 대한 자세한 내용은 다음에서 확인할 수 있습니다.

https://learn.microsoft.com/en-us/troubleshoot/sql/reporting-services/call-authzinitializecontextfromsid-api-fails

이러한 경우 일부 SID에는 해당 사용자 이름 항목이 누락되었으며 avtar가 중단되었거나 이러한 분리된 SID를 처리하지 못했습니다. 이 문제는 사용자 계정을 삭제하지만 해당 사용자 홈 디렉토리는 삭제하지 않을 때 발생할 수 있습니다.

이 프로파일 수집은 기본적으로 사용 설정되어 있지만 데스크탑 또는 노트북(DTLT) 복원에만 사용됩니다. 각 사용자 프로파일에 대해 avtar는 해당 사용자가 로컬 관리자인지 여부를 확인하기 위해 사용자가 속한 모든 그룹을 가져옵니다. 이 정보는 로그인한 사용자가 DTLT 웹 인터페이스를 사용하여 확인하고 복원할 수 있는 파일을 결정하는 데 사용됩니다.

이러한 보안 항목은 무시해도 되지만 Windows Server 클라이언트에서 프로파일 수집을 비활성화할 수 있습니다. DTLT 웹 인터페이스를 사용하는 경우 데스크탑 또는 노트북에서 비활성화해서는 안 됩니다. 사용자 프로필 수집을 비활성화하려면 클라이언트 또는 연결된 데이터 세트의 avtar.cmd 파일에 다음 avtar 플래그를 추가합니다.

--x05=65536 

프로필 수집 비활성화는 두 가지 방법으로 처리할 수 있습니다.

1. 단일 클라이언트의 경우:
   1. C:\Program Files\avs\var에 avtar.cmd라는 텍스트 파일을 만듭니다.
   2. avtar.cmd 파일에서 다음 플래그를 추가합니다.

   3. --x05=65536

   4. 이는 클라이언트의 모든 백업에 영향을 미칩니다. avtar가 시작될 때마다 이 백업을 사용하기 때문입니다.
2. 데이터 세트를 사용하는 여러 클라이언트의 경우:
   1. 데이터 세트에서 '옵션' 탭으로 이동합니다.
   2. 드롭다운 목록에서 적절한 플러그인 유형을 선택합니다.
   3. '더보기' 버튼을 클릭합니다.
      1. Windows 파일 시스템 백업의 경우:
         1.  'Enter Attribute'에서 다음을 수행합니다. x05 입력
         2. 'Enter Attribute Value'에 65536을 입력합니다.
         3. 그런 다음 + 버튼을 클릭합니다.
      2.  다른 모든 Windows 플러그인의 경우:
         1. 'Enter Attribute:'에서 [avtar]x05 입력
         2. 'Enter Attribute Value'에 65536을 입력합니다.
         3. 그런 다음 + 버튼을 클릭합니다.
   4. 이 작업은 데이터 세트의 일부인 각 플러그인 유형과 클라이언트가 구성원인 그룹에 할당된 모든 데이터 세트에 대해 수행해야 합니다.