Avamar: VSS Het verzamelen van gebruikersprofielen uitschakelen voor Windows-clients

Windows-beveiligingslogboeken geven aan dat avtar.exe toegang heeft tot elk gebruikersprofiel op een client.

• Voor actieve gebruikersprofielen zien de vermeldingen er als volgt uit:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4648
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
A logon was attempted using explicit credentials.

Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
Logon GUID: {00000000-0000-0000-0000-000000000000}

Account Whose Credentials Were Used:
Account Name: testuser
Account Domain: CORP
Logon GUID: {1d662ff0-b57a-9c60-620c-b7f5c70ad1df}

Target Server:
Target Server Name: localhost
Additional Information: localhost

Process Information:
Process ID: 0x1544
Process Name: C:\Program Files\avs\bin\avtar.exe 

-----

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4624
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account was successfully logged on.
 
Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
 
Logon Type: 3
 
New Logon:
Security ID: CORP\testuser
Account Name: testuser
Account Domain: CORP
Logon ID: 0x8150fc1
Logon GUID: {cac983ee-8bf7-3789-896f-c9be1e852ead}
 
Process Information:
Process ID: 0x1334
Process Name: C:\Program Files\avs\bin\avtar.exe

• Voor verlopen gebruikersprofielen ziet het er als volgt uit:
   

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on.

Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain: INTERNAL
Logon ID: 0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason: The specified user account has expired.
Status: 0xc0000193
Sub Status: 0xc0000193
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

• Voor uitgeschakelde gebruikersprofielen ziet het er als volgt uit:
   

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 

Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain:  INTERNAL
 Logon ID:  0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID:  NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason:  Account currently disabled.
Status: 0xc000006e
Sub Status: 0xc0000072
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

• Vermeldingen zoals de volgende zijn ook te zien:
   

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 

Subject:
Security ID: 
Account Name: testuser
Account Domain: CORP
Logon ID: 0x3e7

Logon Type: 3

Account For Which Logon Failed:
Security ID: NULL SID
Account Name:        
Account Domain:        

Failure Information:
Failure Reason:  Error occured during Logon.
Status: 0xc000018b
Sub Status: 0x0

Process Information:
Caller Process ID: 0x1544
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

• Hieronder volgt een lijst met veelvoorkomende statussen die kunnen worden aangetroffen:
   

   
  Status Code	Description
  0XC000005E	There are currently no logon servers available to service the logon request.
  0xC0000064	User logon with misspelled or bad user account
  0xC000006A	User logon with misspelled or bad password
  0XC000006D	This is either due to a bad username or authentication information
  0XC000006E	Unknown user name or bad password.
  0xC000006F	User logon outside authorized hours
  0xC0000070	User logon from unauthorized workstation
  0xC0000071	User logon with expired password
  0xC0000072	User logon to account disabled by administrator
  0XC00000DC	Indicates the Sam Server was in the wrong state to perform the desired operation.
  0XC0000133	Clocks between DC and other computer too far out of sync
  0XC000015B	The user has not been granted the requested logon type (aka logon right) at this machine
  0XC000018C	The logon request failed because the trust relationship between the primary domain and the trusted domain failed.
  0XC0000192	An attempt was made to logon, but the Netlogon service was not started.
  0xC0000193	User logon with expired account
  0XC0000224	User is required to change password at next logon
  0XC0000225	Evidently a bug in Windows and not a risk
  0xC0000234	User logon with account locked
  0XC00002EE	Failure Reason: An Error occurred during Logon
  0XC0000413	Logon Failure: The machine you are logging onto is protected by an authentication firewall. The specified account is not allowed to authenticate to the machine.
  
  

Voor een volledige lijst, zie Fout ode ntstatus.h (Externe link)
Deze gegevens zijn te vinden in het beveiligingslogboek voor elk gebruikersprofiel op de clientcomputer telkens wanneer de back-up wordt uitgevoerd.

Aan het einde van elke back-up verzamelt het Plugin spawned avtar-proces informatie voor elk gebruikersprofiel op de client.

• In het avtar-logboek is de volgende regel te vinden (let op, het aantal varieert afhankelijk van het aantal profielen):

avtar Info <11035>: Reading 14 user profiles
avtar Info <11036>: Done reading user profiles

• Dit verzamelen van profielen gebeurt aan het einde van elke avtar-sessie op een Windows-machine. Het gebeurt niet alleen aan het einde van een back-up van het Windows-bestandssysteem (avtar), maar ook elke keer dat een andere plug-in zoals avexvss (Exchange), avsql (SQL), avvss (VSS) een avtar.exe proces voortbrengt.
•  Als een Windows VSS-back-up drie avtar-processen voortbrengt om een back-up te maken van verschillende volumes, worden de profielen drie keer verzameld en worden de overheadtijden verhoogd.
• Hoewel het verzamelen van gebruikersprofielen een snel proces zou moeten zijn, duurt het in zeldzame gevallen, zoals zwevende SID-vermeldingen (Security Identifier), lang door, wat de prestaties van Avamar beïnvloedt. Voorbeeld van een dergelijke geregistreerde invoer:

2017-05-25 04:34:18 avtar Info : Reading 37 user profiles

Ruim twee uur later gevolgd door:

2017-05-25 06:50:34 avtar Info : Done reading user profiles

• Het verzamelen van profielen aan het einde van de back-up kan zelfs mislukken bij het aanroepen van "AuthzInitializeContextFromSid":

2023-10-13 09:51:21 avtar Warning <16147>: AuthzInitializeContextFromSid failed: 2

Meer informatie over het gebruik van deze API bij het verzamelen van profielen is te vinden op:

https://learn.microsoft.com/en-us/troubleshoot/sql/reporting-services/call-authzinitializecontextfromsid-api-fails

In dergelijke gevallen ontbraken bij sommige SID's de bijbehorende gebruikersnaamvermeldingen en avtar liep vast of faalde bij het verwerken van deze verweesde SID's. Dit kan gebeuren bij het verwijderen van gebruikersaccounts, maar niet bij het verwijderen van de bijbehorende home directory van de gebruiker.

Dit verzamelen van profielen is standaard ingeschakeld, maar wordt alleen gebruikt voor herstel van desktops of laptops (DTLT). Voor elk gebruikersprofiel verkrijgt avtar alle groepen waartoe de gebruiker behoort om te bepalen of de gebruiker een lokale administrator is. Deze informatie wordt gebruikt om te bepalen welke bestanden de aangemelde gebruiker kan zien en terugzetten met behulp van de DTLT-webinterface.

Hoewel deze beveiligingsvermeldingen veilig kunnen worden genegeerd, kan het verzamelen van profielen worden uitgeschakeld op Windows Server-clients. Het dient niet te worden uitgeschakeld op desktops of laptops als de DTLT-webinterface wordt gebruikt. Als u het verzamelen van gebruikersprofielen wilt uitschakelen, voegt u de volgende avtar-vlag toe aan het avtar.cmd-bestand op de client of de bijbehorende gegevensset.

--x05=65536 

Het uitschakelen van het verzamelen van profielen kan op twee manieren worden afgehandeld.

1. Voor één enkele client:
   1. Maak een tekstbestand in C:\Program Files\avs\var met de naam avtar.cmd
   2. Voeg in het avtar.cmd bestand de volgende vlag toe:

   3. --x05=65536

   4. Dit is van invloed op alle back-ups op de client, aangezien avtar deze elke keer gebruikt wanneer deze wordt gestart.
2. Voor meerdere clients die een dataset gebruiken:
   1. Ga in de dataset naar het tabblad 'Opties'
   2. Selecteer het juiste plug-intype in de vervolgkeuzelijst
   3. Klik op de knop 'Meer'.
      1. Voor back-ups van Windows-bestandssystemen:
         1.  Onder 'Attribuut invoeren: Voer x05 in
         2. Voer onder Attribuutwaarde invoeren 65536 in
         3. Klik vervolgens op de knop +
      2.  Voor alle andere Windows-plug-ins:
         1. Onder 'Attribuut invoeren:' Enter [avtar]x05
         2. Voer onder Attribuutwaarde invoeren 65536 in
         3. Klik vervolgens op de knop +
   4. Dit moet worden gedaan voor elk plug-intype dat deel uitmaakt van de dataset en voor elke dataset die is toegewezen aan een groep waarvan de client lid is.