Avamar: Služba VSS – zakázání shromažďování profilů uživatelů pro klienty se systémem Windows

Protokoly Zabezpečení systému Windows indikují, že avtar.exe přistupuje ke každému profilu uživatele v klientovi.

• U aktivních profilů uživatelů vypadají položky takto:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4648
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
A logon was attempted using explicit credentials.

Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
Logon GUID: {00000000-0000-0000-0000-000000000000}

Account Whose Credentials Were Used:
Account Name: testuser
Account Domain: CORP
Logon GUID: {1d662ff0-b57a-9c60-620c-b7f5c70ad1df}

Target Server:
Target Server Name: localhost
Additional Information: localhost

Process Information:
Process ID: 0x1544
Process Name: C:\Program Files\avs\bin\avtar.exe 

-----

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4624
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account was successfully logged on.
 
Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
 
Logon Type: 3
 
New Logon:
Security ID: CORP\testuser
Account Name: testuser
Account Domain: CORP
Logon ID: 0x8150fc1
Logon GUID: {cac983ee-8bf7-3789-896f-c9be1e852ead}
 
Process Information:
Process ID: 0x1334
Process Name: C:\Program Files\avs\bin\avtar.exe

• U uživatelských profilů s vypršenou platností to vypadá takto:
   

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on.

Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain: INTERNAL
Logon ID: 0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason: The specified user account has expired.
Status: 0xc0000193
Sub Status: 0xc0000193
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

• U zakázaných uživatelských profilů to vypadá takto:
   

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 

Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain:  INTERNAL
 Logon ID:  0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID:  NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason:  Account currently disabled.
Status: 0xc000006e
Sub Status: 0xc0000072
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

• K vidění jsou také následující záznamy:
   

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 

Subject:
Security ID: 
Account Name: testuser
Account Domain: CORP
Logon ID: 0x3e7

Logon Type: 3

Account For Which Logon Failed:
Security ID: NULL SID
Account Name:        
Account Domain:        

Failure Information:
Failure Reason:  Error occured during Logon.
Status: 0xc000018b
Sub Status: 0x0

Process Information:
Caller Process ID: 0x1544
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

• Následuje seznam běžných stavů, se kterými se můžete setkat:
   

   
  Status Code	Description
  0XC000005E	There are currently no logon servers available to service the logon request.
  0xC0000064	User logon with misspelled or bad user account
  0xC000006A	User logon with misspelled or bad password
  0XC000006D	This is either due to a bad username or authentication information
  0XC000006E	Unknown user name or bad password.
  0xC000006F	User logon outside authorized hours
  0xC0000070	User logon from unauthorized workstation
  0xC0000071	User logon with expired password
  0xC0000072	User logon to account disabled by administrator
  0XC00000DC	Indicates the Sam Server was in the wrong state to perform the desired operation.
  0XC0000133	Clocks between DC and other computer too far out of sync
  0XC000015B	The user has not been granted the requested logon type (aka logon right) at this machine
  0XC000018C	The logon request failed because the trust relationship between the primary domain and the trusted domain failed.
  0XC0000192	An attempt was made to logon, but the Netlogon service was not started.
  0xC0000193	User logon with expired account
  0XC0000224	User is required to change password at next logon
  0XC0000225	Evidently a bug in Windows and not a risk
  0xC0000234	User logon with account locked
  0XC00002EE	Failure Reason: An Error occurred during Logon
  0XC0000413	Logon Failure: The machine you are logging onto is protected by an authentication firewall. The specified account is not allowed to authenticate to the machine.
  
  

Úplný seznam naleznete v tématu Error ode ntstatus.h (External Link)
Tyto položky se nacházejí v protokolu zabezpečení pro každý profil uživatele na klientském počítači při každém spuštění zálohování.

Na konci každé zálohy shromáždí proces avtar vytvořený doplněk informace pro každý uživatelský profil v klientovi.

• V protokolu avtar naleznete následující řádek (všimněte si, že počet se liší v závislosti na počtu profilů):

avtar Info <11035>: Reading 14 user profiles
avtar Info <11036>: Done reading user profiles

• K tomuto shromáždění profilů dochází na konci každé relace avtar na počítači se systémem Windows. Dochází k tomu nejen na konci zálohování systému souborů Windows (avtar), ale také pokaždé, když jiný modul plug-in, jako je avexvss (Exchange), avsql (SQL), avvss (VSS), vytvoří proces avtar.exe.
•  Pokud záloha služby VSS systému Windows vytvoří tři procesy služby avtar pro zálohování různých svazků, profily se shromáždí třikrát a přidají se k časům režie.
• Ačkoli by shromáždění uživatelských profilů mělo být rychlé, v některých vzácných případech, jako jsou osamocené položky identifikátoru zabezpečení (SID), může mít dlouhodobý vliv na výkon softwaru Avamar. Příklad takového zalogovaného záznamu:

2017-05-25 04:34:18 avtar Info : Reading 37 user profiles

O více než dvě hodiny později následovalo:

2017-05-25 06:50:34 avtar Info : Done reading user profiles

• Shromažďování profilu na konci zálohy může selhat i při vyvolání AuthzInitializeContextFromSid:

2023-10-13 09:51:21 avtar Warning <16147>: AuthzInitializeContextFromSid failed: 2

Další podrobnosti o použití tohoto rozhraní API při shromažďování profilů najdete tady:

https://learn.microsoft.com/en-us/troubleshoot/sql/reporting-services/call-authzinitializecontextfromsid-api-fails

V takových případech u některých identifikátorů SID chyběly odpovídající položky uživatelského jména a zpracování těchto osamocených identifikátorů SID se zaseklo nebo selhalo ve zpracování služby avtar. K tomu může dojít, když odstraníte uživatelské účty, ale neodstraníte odpovídající domovský adresář uživatele.

Toto shromažďování profilů je ve výchozím nastavení zapnuté, ale používá se jenom pro obnovení stolních počítačů nebo notebooků (DTLT). U každého uživatelského profilu získá proces avtar všechny skupiny, do kterých uživatel patří, díky čemuž bude moci určit, zda je uživatel místním správcem. Pomocí těchto informací lze určit, které soubory může přihlášený uživatel zobrazit a obnovit pomocí webového rozhraní DTLT.

I když lze tyto položky zabezpečení bezpečně ignorovat, lze v klientech systému Windows Server zakázat sběr profilů. Pokud používáte webové rozhraní DTLT, neměl by být zakázaný na stolních počítačích nebo noteboocích. Chcete-li shromažďování profilů uživatelů zakázat, přidejte do souboru avtar.cmd v klientovi nebo přidružené datové sadě následující příznak avtar.

--x05=65536 

Zakázání shromažďování profilů lze provést dvěma způsoby.

1. Pro jednoho klienta:
   1. Vytvořte textový soubor v C:\Program Files\avs\var s názvem avtar.cmd
   2. Do souboru avtar.cmd přidejte následující příznak:

   3. --x05=65536

   4. To má vliv na všechny zálohy v klientovi, protože služba avtar jej používá při každém spuštění.
2. Pro více klientů používajících datovou sadu:
   1. V datové sadě přejděte na kartu Možnosti.
   2. Z rozevíracího seznamu vyberte příslušný typ zásuvného modulu
   3. Klikněte na tlačítko 'Více'.
      1. Zálohování systému souborů Windows:
         1.  V části "Zadat atribut: Zadejte x05.
         2. Do pole "Zadejte hodnotu atributu" zadejte hodnotu 65536.
         3. Poté klikněte na tlačítko +
      2.  Pro všechny ostatní moduly plug-in systému Windows:
         1. V části "Zadat atribut:" Zadejte [avtar]x05.
         2. Do pole "Zadejte hodnotu atributu" zadejte hodnotu 65536.
         3. Poté klikněte na tlačítko +
   4. To je nutné provést pro každý typ modulu plug-in, který je součástí datové sady, a pro každou datovou sadu, která je přiřazena ke skupině, jejímž členem je klient.