Avamar: VSS wyłączanie zbierania profilu użytkownika dla klientów z systemem Windows

Dzienniki zabezpieczeń systemu Windows wskazują, że avtar.exe uzyskuje dostęp do każdego profilu użytkownika na kliencie.

• W przypadku aktywnych profili użytkowników wpisy wyglądają następująco:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4648
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
A logon was attempted using explicit credentials.

Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
Logon GUID: {00000000-0000-0000-0000-000000000000}

Account Whose Credentials Were Used:
Account Name: testuser
Account Domain: CORP
Logon GUID: {1d662ff0-b57a-9c60-620c-b7f5c70ad1df}

Target Server:
Target Server Name: localhost
Additional Information: localhost

Process Information:
Process ID: 0x1544
Process Name: C:\Program Files\avs\bin\avtar.exe 

-----

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4624
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account was successfully logged on.
 
Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
 
Logon Type: 3
 
New Logon:
Security ID: CORP\testuser
Account Name: testuser
Account Domain: CORP
Logon ID: 0x8150fc1
Logon GUID: {cac983ee-8bf7-3789-896f-c9be1e852ead}
 
Process Information:
Process ID: 0x1334
Process Name: C:\Program Files\avs\bin\avtar.exe

• W przypadku wygasłych profili użytkowników wygląda to następująco:
   

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on.

Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain: INTERNAL
Logon ID: 0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason: The specified user account has expired.
Status: 0xc0000193
Sub Status: 0xc0000193
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

• W przypadku wyłączonych profili użytkowników wygląda to następująco:
   

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 

Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain:  INTERNAL
 Logon ID:  0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID:  NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason:  Account currently disabled.
Status: 0xc000006e
Sub Status: 0xc0000072
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

• Można również zobaczyć wpisy takie jak:
   

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 

Subject:
Security ID: 
Account Name: testuser
Account Domain: CORP
Logon ID: 0x3e7

Logon Type: 3

Account For Which Logon Failed:
Security ID: NULL SID
Account Name:        
Account Domain:        

Failure Information:
Failure Reason:  Error occured during Logon.
Status: 0xc000018b
Sub Status: 0x0

Process Information:
Caller Process ID: 0x1544
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

• Poniżej przedstawiono listę typowych stanów, które mogą wystąpić:
   

   
  Status Code	Description
  0XC000005E	There are currently no logon servers available to service the logon request.
  0xC0000064	User logon with misspelled or bad user account
  0xC000006A	User logon with misspelled or bad password
  0XC000006D	This is either due to a bad username or authentication information
  0XC000006E	Unknown user name or bad password.
  0xC000006F	User logon outside authorized hours
  0xC0000070	User logon from unauthorized workstation
  0xC0000071	User logon with expired password
  0xC0000072	User logon to account disabled by administrator
  0XC00000DC	Indicates the Sam Server was in the wrong state to perform the desired operation.
  0XC0000133	Clocks between DC and other computer too far out of sync
  0XC000015B	The user has not been granted the requested logon type (aka logon right) at this machine
  0XC000018C	The logon request failed because the trust relationship between the primary domain and the trusted domain failed.
  0XC0000192	An attempt was made to logon, but the Netlogon service was not started.
  0xC0000193	User logon with expired account
  0XC0000224	User is required to change password at next logon
  0XC0000225	Evidently a bug in Windows and not a risk
  0xC0000234	User logon with account locked
  0XC00002EE	Failure Reason: An Error occurred during Logon
  0XC0000413	Logon Failure: The machine you are logging onto is protected by an authentication firewall. The specified account is not allowed to authenticate to the machine.
  
  

Aby uzyskać pełną listę, zobacz Error ode ntstatus.h (External Link)
Wpisy te znajdują się w dzienniku zabezpieczeń dla każdego profilu użytkownika na komputerze klienckim za każdym razem, gdy kopia zapasowa jest uruchamiana.

Na końcu każdej kopii zapasowej proces avtar zduplikowany przez wtyczkę zbiera informacje o każdym profilu użytkownika na kliencie.

• W dzienniku avtar można znaleźć następujący wiersz (zauważ, że liczba różni się w zależności od liczby profili):

avtar Info <11035>: Reading 14 user profiles
avtar Info <11036>: Done reading user profiles

• To zbieranie profili odbywa się na końcu każdej sesji avtar na komputerze z systemem Windows. Dzieje się tak nie tylko pod koniec tworzenia kopii zapasowej systemu plików systemu Windows (avtar), ale także za każdym razem, gdy inna wtyczka, taka jak avexvss (Exchange), avsql (SQL), avvss (VSS), generuje proces avtar.exe.
•  Jeśli kopia zapasowa usługi VSS systemu Windows duplikuje trzy procesy avtar w celu utworzenia kopii zapasowej różnych woluminów, profile są zbierane trzy razy i zwiększają czas narzutu.
• Chociaż zbieranie profilu użytkownika powinno być szybkim procesem, w niektórych rzadkich przypadkach, takich jak wpisy osieroconego identyfikatora zabezpieczeń (SID), zajmuje dużo czasu, wpływając na wydajność Avamar. Przykład takiego zalogowanego wpisu:

2017-05-25 04:34:18 avtar Info : Reading 37 user profiles

Ponad dwie godziny później:

2017-05-25 06:50:34 avtar Info : Done reading user profiles

• Zbieranie profilu na końcu kopii zapasowej może nawet zakończyć się niepowodzeniem podczas wywoływania "AuthzInitializeContextFromSid":

2023-10-13 09:51:21 avtar Warning <16147>: AuthzInitializeContextFromSid failed: 2

Więcej szczegółów na temat korzystania z tego interfejsu API w zbieraniu profili można znaleźć na stronie:

https://learn.microsoft.com/en-us/troubleshoot/sql/reporting-services/call-authzinitializecontextfromsid-api-fails

W takich przypadkach w niektórych identyfikatorach SID brakowało odpowiednich wpisów nazwy użytkownika, a avtar zaciął się lub nie mógł przetwarzać tych osieroconych identyfikatorów SID. Taka sytuacja może wystąpić w przypadku usunięcia kont użytkowników, ale nie w przypadku usunięcia odpowiedniego katalogu macierzystego użytkownika.

Zbieranie profili jest domyślnie włączone, ale służy tylko do przywracania komputera stacjonarnego lub notebooka (DTLT). Dla każdego profilu użytkownika avtar pobiera wszystkie grupy, do których należy użytkownik, w celu określenia, czy jest on lokalnym administratorem. Informacje te są służą do określenia, które pliki zalogowany użytkownik może zobaczyć i przywrócić za pomocą interfejsu sieciowego DTLT.

Te wpisy zabezpieczeń można bezpiecznie zignorować, natomiast zbieranie profili można wyłączyć na klientach systemu Windows Server. Nie należy go wyłączać na komputerach stacjonarnych lub notebookach, jeśli używany jest interfejs sieciowy DTLT. Aby wyłączyć zbieranie profili użytkowników, dodaj następującą flagę avtar w pliku avtar.cmd na kliencie lub skojarzonym zestawie danych.

--x05=65536 

Wyłączenie zbierania profili można obsłużyć na dwa sposoby.

1. Dla pojedynczego klienta:
   1. Utwórz plik tekstowy w folderze C:\Program Files\avs\var o nazwie avtar.cmd
   2. W pliku avtar.cmd dodaj następującą flagę:

   3. --x05=65536

   4. Ma to wpływ na wszystkie kopie zapasowe na kliencie, ponieważ avtar używa go za każdym razem, gdy jest uruchamiany.
2. W przypadku wielu klientów korzystających z zestawu danych:
   1. W zestawie danych przejdź do zakładki "Options"
   2. Wybierz odpowiedni typ wtyczki z listy rozwijanej
   3. Kliknij przycisk "Więcej".
      1. W przypadku kopii zapasowych systemu plików systemu Windows:
         1.  W obszarze "Wprowadź atrybut": Wprowadź x05
         2. W polu "Wprowadź wartość atrybutu" wpisz 65536
         3. Następnie kliknij przycisk +
      2.  W przypadku wszystkich innych dodatków wtyczkowych systemu Windows:
         1. W sekcji "Wpisz atrybut": Wprowadź [avtar]x05
         2. W polu "Wprowadź wartość atrybutu" wpisz 65536
         3. Następnie kliknij przycisk +
   4. Należy to zrobić dla każdego typu wtyczki, który jest częścią zestawu danych, oraz dla każdego zestawu danych, który jest przypisany do grupy, której członkiem jest klient.