Avamar: VSS deaktiverer innsamling av brukerprofiler for Windows-klienter

Windows-sikkerhetslogger indikerer at avtar.exe har tilgang til alle brukerprofiler på en klient.

• For aktive brukerprofiler ser oppføringene slik ut:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4648
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
A logon was attempted using explicit credentials.

Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
Logon GUID: {00000000-0000-0000-0000-000000000000}

Account Whose Credentials Were Used:
Account Name: testuser
Account Domain: CORP
Logon GUID: {1d662ff0-b57a-9c60-620c-b7f5c70ad1df}

Target Server:
Target Server Name: localhost
Additional Information: localhost

Process Information:
Process ID: 0x1544
Process Name: C:\Program Files\avs\bin\avtar.exe 

-----

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4624
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account was successfully logged on.
 
Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
 
Logon Type: 3
 
New Logon:
Security ID: CORP\testuser
Account Name: testuser
Account Domain: CORP
Logon ID: 0x8150fc1
Logon GUID: {cac983ee-8bf7-3789-896f-c9be1e852ead}
 
Process Information:
Process ID: 0x1334
Process Name: C:\Program Files\avs\bin\avtar.exe

• For utløpte brukerprofiler ser det slik ut:
   

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on.

Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain: INTERNAL
Logon ID: 0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason: The specified user account has expired.
Status: 0xc0000193
Sub Status: 0xc0000193
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

• For deaktiverte brukerprofiler ser det slik ut:
   

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 

Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain:  INTERNAL
 Logon ID:  0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID:  NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason:  Account currently disabled.
Status: 0xc000006e
Sub Status: 0xc0000072
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

• Oppføringer som følgende kan også sees:
   

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 

Subject:
Security ID: 
Account Name: testuser
Account Domain: CORP
Logon ID: 0x3e7

Logon Type: 3

Account For Which Logon Failed:
Security ID: NULL SID
Account Name:        
Account Domain:        

Failure Information:
Failure Reason:  Error occured during Logon.
Status: 0xc000018b
Sub Status: 0x0

Process Information:
Caller Process ID: 0x1544
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

• Følgende er en liste over vanlige statuser som kan oppstå:
   

   
  Status Code	Description
  0XC000005E	There are currently no logon servers available to service the logon request.
  0xC0000064	User logon with misspelled or bad user account
  0xC000006A	User logon with misspelled or bad password
  0XC000006D	This is either due to a bad username or authentication information
  0XC000006E	Unknown user name or bad password.
  0xC000006F	User logon outside authorized hours
  0xC0000070	User logon from unauthorized workstation
  0xC0000071	User logon with expired password
  0xC0000072	User logon to account disabled by administrator
  0XC00000DC	Indicates the Sam Server was in the wrong state to perform the desired operation.
  0XC0000133	Clocks between DC and other computer too far out of sync
  0XC000015B	The user has not been granted the requested logon type (aka logon right) at this machine
  0XC000018C	The logon request failed because the trust relationship between the primary domain and the trusted domain failed.
  0XC0000192	An attempt was made to logon, but the Netlogon service was not started.
  0xC0000193	User logon with expired account
  0XC0000224	User is required to change password at next logon
  0XC0000225	Evidently a bug in Windows and not a risk
  0xC0000234	User logon with account locked
  0XC00002EE	Failure Reason: An Error occurred during Logon
  0XC0000413	Logon Failure: The machine you are logging onto is protected by an authentication firewall. The specified account is not allowed to authenticate to the machine.
  
  

Hvis du vil ha en fullstendig liste, kan du se Feil ode ntstatus.h (ekstern lenke)
Disse oppføringene finnes i sikkerhetsloggen for hver brukerprofil på klientmaskinen hver gang sikkerhetskopieringen kjøres.

På slutten av hver sikkerhetskopi samler Plugin avtar-prosessen informasjon for hver brukerprofil på klienten.

• I avtar-loggen finner du følgende linje (legg merke til at antallet varierer avhengig av antall profiler):

avtar Info <11035>: Reading 14 user profiles
avtar Info <11036>: Done reading user profiles

• Denne samlingen av profiler skjer på slutten av hver avtar-økt på en Windows-maskin. Det skjer ikke bare på slutten av en Windows File System backup (avtar), men også hver gang en annen plug-in som avexvss (Exchange), avsql (SQL), avvss (VSS) gyter en avtar.exe prosess.
•  Hvis en Windows VSS-sikkerhetskopi gyter tre avtar-prosesser for å sikkerhetskopiere forskjellige volumer, samles profilene tre ganger og legger til overheadtidene.
• Selv om innsamling av brukerprofil er ment å være en rask prosess, tar det i sjeldne tilfeller, som for eksempel foreldreløse sikkerhetsidentifikatoroppføringer (SID), lang tid å påvirke Avamar-ytelsen. Eksempel på slik logget oppføring:

2017-05-25 04:34:18 avtar Info : Reading 37 user profiles

Fulgt over to timer senere av:

2017-05-25 06:50:34 avtar Info : Done reading user profiles

• Profilinnsamling på slutten av sikkerhetskopien kan til og med mislykkes ved påkalling av "AuthzInitializeContextFromSid":

2023-10-13 09:51:21 avtar Warning <16147>: AuthzInitializeContextFromSid failed: 2

Du finner mer informasjon om bruken av dette API-et i profilinnhenting på:

https://learn.microsoft.com/en-us/troubleshoot/sql/reporting-services/call-authzinitializecontextfromsid-api-fails

I slike tilfeller manglet de korresponderende SID-ene de tilsvarende brukernavnoppføringene, og avtar satt fast eller mislyktes i behandlingen av disse foreldreløse SID-ene. Dette kan skje når du sletter brukerkontoer, men ikke sletter den tilsvarende brukerens hjemmekatalog.

Denne profilinnsamlingen er aktivert som standard, men brukes bare for gjenopprettinger på stasjonære eller bærbare PC-er (DTLT). For hver brukerprofil samler avtar inn alle gruppene som brukeren tilhører, for å fastslå om brukeren er en lokal administrator. Denne informasjonen brukes til å fastslå hvilke filer den påloggede brukeren kan se og gjenopprette ved hjelp av DTLT-webgrensesnittet.

Selv om disse sikkerhetsoppføringene trygt kan ignoreres, kan profilinnsamling deaktiveres på Windows Server-klienter. Det bør ikke deaktiveres på stasjonære eller bærbare datamaskiner hvis DTLT-webgrensesnittet brukes. Hvis du vil deaktivere innsamling av brukerprofiler, legger du til følgende avtar-flagg i avtar.cmd-filen på klienten eller det tilknyttede datasettet.

--x05=65536 

Deaktivering av profilinnsamling kan håndteres på to måter.

1. For én enkelt klient:
   1. Opprett en tekstfil i C: \ Program Files \ avs \ var kalt avtar.cmd
   2. Legg til følgende flagg i avtar.cmd-filen:

   3. --x05=65536

   4. Dette påvirker alle sikkerhetskopier på klienten, siden avtar bruker den hver gang den startes.
2. For flere klienter som bruker et datasett:
   1. I datasettet går du til fanen 'Alternativer'
   2. Velg riktig plugin-type fra rullegardinlisten
   3. Klikk på "Mer" -knappen.
      1. For sikkerhetskopiering av Windows File System:
         1.  Under 'Skriv inn attributt: Skriv inn x05
         2. Under Skriv inn attributtverdi skriver du inn 65536
         3. Klikk deretter på + -knappen
      2.  For alle andre Windows-plugin-moduler:
         1. Under 'Skriv inn attributt:' Skriv inn [avtar]x05
         2. Under Skriv inn attributtverdi skriver du inn 65536
         3. Klikk deretter på + -knappen
   4. Dette må gjøres for hver plugin-modultype som er en del av datasettet, og for hvert datasett som er tilordnet til en gruppe som klienten er medlem av.