Avamar : VSS : Désactivation de la collecte des profils utilisateur pour les clients Windows

Les journaux de sécurité Windows indiquent que avtar.exe accède à tous les profils utilisateur d’un client.

• Pour les profils d’utilisateur actifs , les entrées se présentent comme suit :

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4648
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
A logon was attempted using explicit credentials.

Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
Logon GUID: {00000000-0000-0000-0000-000000000000}

Account Whose Credentials Were Used:
Account Name: testuser
Account Domain: CORP
Logon GUID: {1d662ff0-b57a-9c60-620c-b7f5c70ad1df}

Target Server:
Target Server Name: localhost
Additional Information: localhost

Process Information:
Process ID: 0x1544
Process Name: C:\Program Files\avs\bin\avtar.exe 

-----

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4624
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account was successfully logged on.
 
Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
 
Logon Type: 3
 
New Logon:
Security ID: CORP\testuser
Account Name: testuser
Account Domain: CORP
Logon ID: 0x8150fc1
Logon GUID: {cac983ee-8bf7-3789-896f-c9be1e852ead}
 
Process Information:
Process ID: 0x1334
Process Name: C:\Program Files\avs\bin\avtar.exe

• Pour les profils utilisateur expirés , cela se présente comme suit :
   

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on.

Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain: INTERNAL
Logon ID: 0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason: The specified user account has expired.
Status: 0xc0000193
Sub Status: 0xc0000193
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

• Pour les profils d’utilisateur désactivés , cela ressemble à ceci :
   

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 

Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain:  INTERNAL
 Logon ID:  0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID:  NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason:  Account currently disabled.
Status: 0xc000006e
Sub Status: 0xc0000072
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

• Vous pouvez également voir des entrées telles que les suivantes :
   

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 

Subject:
Security ID: 
Account Name: testuser
Account Domain: CORP
Logon ID: 0x3e7

Logon Type: 3

Account For Which Logon Failed:
Security ID: NULL SID
Account Name:        
Account Domain:        

Failure Information:
Failure Reason:  Error occured during Logon.
Status: 0xc000018b
Sub Status: 0x0

Process Information:
Caller Process ID: 0x1544
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

• Vous trouverez ci-dessous une liste des états courants qui peuvent être rencontrés :
   

   
  Status Code	Description
  0XC000005E	There are currently no logon servers available to service the logon request.
  0xC0000064	User logon with misspelled or bad user account
  0xC000006A	User logon with misspelled or bad password
  0XC000006D	This is either due to a bad username or authentication information
  0XC000006E	Unknown user name or bad password.
  0xC000006F	User logon outside authorized hours
  0xC0000070	User logon from unauthorized workstation
  0xC0000071	User logon with expired password
  0xC0000072	User logon to account disabled by administrator
  0XC00000DC	Indicates the Sam Server was in the wrong state to perform the desired operation.
  0XC0000133	Clocks between DC and other computer too far out of sync
  0XC000015B	The user has not been granted the requested logon type (aka logon right) at this machine
  0XC000018C	The logon request failed because the trust relationship between the primary domain and the trusted domain failed.
  0XC0000192	An attempt was made to logon, but the Netlogon service was not started.
  0xC0000193	User logon with expired account
  0XC0000224	User is required to change password at next logon
  0XC0000225	Evidently a bug in Windows and not a risk
  0xC0000234	User logon with account locked
  0XC00002EE	Failure Reason: An Error occurred during Logon
  0XC0000413	Logon Failure: The machine you are logging onto is protected by an authentication firewall. The specified account is not allowed to authenticate to the machine.
  
  

Pour obtenir la liste complète, reportez-vous à la section Erreur ode ntstatus.h (lien externe)
Ces entrées se trouvent dans le journal de sécurité de chaque profil d’utilisateur sur la machine client lors de l’exécution de la sauvegarde.

À la fin de chaque sauvegarde, le processus avtar généré par le plugin recueille des informations pour chaque profil utilisateur sur le client.

• Dans le journal avtar, vous trouverez la ligne suivante (notez que le nombre varie en fonction du nombre de profils) :

avtar Info <11035>: Reading 14 user profiles
avtar Info <11036>: Done reading user profiles

• Cette collecte des profils se produit à la fin de chaque session avtar sur une machine Windows. Cela se produit non seulement à la fin d’une sauvegarde du système de fichiers Windows (avtar), mais aussi chaque fois qu’un plug-in différent comme avexvss (Exchange), avsql (SQL), avvss (VSS) génère un processus avtar.exe.
•  Si une sauvegarde Windows VSS génère trois processus avtar pour sauvegarder différents volumes, les profils sont collectés trois fois et s’ajoutent aux temps système.
• Bien que la collecte du profil de l’utilisateur soit censée être un processus rapide, dans de rares cas, comme les entrées orphelines de l’identifiant de sécurité (SID), elle prend beaucoup de temps et affecte les performances d’Avamar. Exemple de ce type d’entrée consignée :

2017-05-25 04:34:18 avtar Info : Reading 37 user profiles

Suivi plus de deux heures plus tard par :

2017-05-25 06:50:34 avtar Info : Done reading user profiles

• La collecte du profil à la fin de la sauvegarde peut même échouer lors de l’appel de « AuthzInitializeContextFromSid » :

2023-10-13 09:51:21 avtar Warning <16147>: AuthzInitializeContextFromSid failed: 2

Vous trouverez plus d’informations sur l’utilisation de cette API dans la collecte de profils à l’adresse suivante :

https://learn.microsoft.com/en-us/troubleshoot/sql/reporting-services/call-authzinitializecontextfromsid-api-fails

Dans de tels cas, les entrées de nom d’utilisateur correspondantes étaient manquantes pour certains SID et avtar se bloquait ou ne pouvait pas traiter ces SID orphelins. Cela peut se produire lors de la suppression de comptes d’utilisateur, mais pas de la suppression du répertoire de base d’utilisateur correspondant.

Cette collecte de profil est activée par défaut, mais elle est uniquement utilisée pour les restaurations d’ordinateurs de bureau ou d’ordinateurs portables (DTLT). Pour chaque profil utilisateur, avtar récupère tous les groupes auxquels appartient l’utilisateur en question, afin de déterminer s’il s’agit d’un administrateur local. Ces informations sont utilisées pour déterminer les fichiers que l’utilisateur connecté peut voir et restaurer à l’aide de l’interface Web de DTLT.

Bien que ces entrées de sécurité puissent être ignorées sans risque, il est possible de désactiver la collecte de profils sur les clients Windows Server. Il ne doit pas être désactivé sur les ordinateurs de bureau ou portables si l’interface Web DTLT est utilisée. Pour désactiver la collecte des profils utilisateur, ajoutez la balise avtar suivante dans le fichier avtar.cmd sur le client ou le jeu de données associé.

--x05=65536 

La désactivation de la collecte de profils peut être gérée de deux manières.

1. Pour un seul client :
   1. Créez un fichier texte dans C :\Program Files\avs\var appelé avtar.cmd
   2. Dans le fichier avtar.cmd, ajoutez la balise suivante :

   3. --x05=65536

   4. Cela affecte toutes les sauvegardes sur le client, car avtar l’utilise à chaque démarrage.
2. Pour plusieurs clients utilisant un jeu de données :
   1. Dans le jeu de données, accédez à l’onglet « Options »
   2. Sélectionnez le type de plug-in approprié dans la liste déroulante.
   3. Cliquez sur le bouton « Plus ».
      1. Pour les sauvegardes du système de fichiers Windows :
         1.  Sous « Enter Attribute » : Saisissez x05
         2. Sous « Saisir la valeur d’attribut », saisissez 65 536
         3. Cliquez ensuite sur le bouton +
      2.  Pour tous les autres plug-ins Windows :
         1. Sous « Enter Attribute : » Saisissez [avtar]x05
         2. Sous « Saisir la valeur d’attribut », saisissez 65 536
         3. Cliquez ensuite sur le bouton +
   4. Cette opération doit être effectuée pour chaque type de plug-in faisant partie du jeu de données et pour chaque jeu de données attribué à un groupe dont le client est membre.