Avamar: VSS: Avaktivera insamling av användarprofiler för Windows-klienter

Windows-säkerhet loggar visar att avtar.exe har åtkomst till alla användarprofiler på en klient.

• För aktiva användarprofiler ser posterna ut så här:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4648
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
A logon was attempted using explicit credentials.

Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
Logon GUID: {00000000-0000-0000-0000-000000000000}

Account Whose Credentials Were Used:
Account Name: testuser
Account Domain: CORP
Logon GUID: {1d662ff0-b57a-9c60-620c-b7f5c70ad1df}

Target Server:
Target Server Name: localhost
Additional Information: localhost

Process Information:
Process ID: 0x1544
Process Name: C:\Program Files\avs\bin\avtar.exe 

-----

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4624
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account was successfully logged on.
 
Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
 
Logon Type: 3
 
New Logon:
Security ID: CORP\testuser
Account Name: testuser
Account Domain: CORP
Logon ID: 0x8150fc1
Logon GUID: {cac983ee-8bf7-3789-896f-c9be1e852ead}
 
Process Information:
Process ID: 0x1334
Process Name: C:\Program Files\avs\bin\avtar.exe

• För användarprofiler som har upphört att gälla ser det ut så här:
   

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on.

Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain: INTERNAL
Logon ID: 0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason: The specified user account has expired.
Status: 0xc0000193
Sub Status: 0xc0000193
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

• För inaktiverade användarprofiler ser det ut så här:
   

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 

Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain:  INTERNAL
 Logon ID:  0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID:  NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason:  Account currently disabled.
Status: 0xc000006e
Sub Status: 0xc0000072
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

• Poster som följande kan också ses:
   

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 

Subject:
Security ID: 
Account Name: testuser
Account Domain: CORP
Logon ID: 0x3e7

Logon Type: 3

Account For Which Logon Failed:
Security ID: NULL SID
Account Name:        
Account Domain:        

Failure Information:
Failure Reason:  Error occured during Logon.
Status: 0xc000018b
Sub Status: 0x0

Process Information:
Caller Process ID: 0x1544
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

• Följande är en lista över vanliga statusar som kan påträffas:
   

   
  Status Code	Description
  0XC000005E	There are currently no logon servers available to service the logon request.
  0xC0000064	User logon with misspelled or bad user account
  0xC000006A	User logon with misspelled or bad password
  0XC000006D	This is either due to a bad username or authentication information
  0XC000006E	Unknown user name or bad password.
  0xC000006F	User logon outside authorized hours
  0xC0000070	User logon from unauthorized workstation
  0xC0000071	User logon with expired password
  0xC0000072	User logon to account disabled by administrator
  0XC00000DC	Indicates the Sam Server was in the wrong state to perform the desired operation.
  0XC0000133	Clocks between DC and other computer too far out of sync
  0XC000015B	The user has not been granted the requested logon type (aka logon right) at this machine
  0XC000018C	The logon request failed because the trust relationship between the primary domain and the trusted domain failed.
  0XC0000192	An attempt was made to logon, but the Netlogon service was not started.
  0xC0000193	User logon with expired account
  0XC0000224	User is required to change password at next logon
  0XC0000225	Evidently a bug in Windows and not a risk
  0xC0000234	User logon with account locked
  0XC00002EE	Failure Reason: An Error occurred during Logon
  0XC0000413	Logon Failure: The machine you are logging onto is protected by an authentication firewall. The specified account is not allowed to authenticate to the machine.
  
  

En fullständig lista finns i Error ode ntstatus.h (Extern länk)
Dessa poster finns i säkerhetsloggen för varje användarprofil på klientdatorn varje gång säkerhetskopieringen körs.

I slutet av varje säkerhetskopiering samlar Plugin spawned avtar-processen in information för varje användarprofil på klienten.

• I avtar-loggen finns följande rad (observera att antalet varierar beroende på antalet profiler):

avtar Info <11035>: Reading 14 user profiles
avtar Info <11036>: Done reading user profiles

• Den här insamlingen av profiler sker i slutet av varje avtar-session på en Windows-dator. Det händer inte bara i slutet av en säkerhetskopiering av Windows File System (avtar), utan också varje gång ett annat plugin-program som avexvss (Exchange), avsql (SQL), avvss (VSS) skapar en avtar.exe process.
•  Om en Windows VSS-säkerhetskopia skapar tre avtar-processer för att säkerhetskopiera olika volymer, samlas profilerna in tre gånger och ökar omkostnadstiderna.
• Även om insamling av användarprofiler ska vara en snabb process tar det lång tid att påverka Avamar-prestanda i vissa sällsynta fall, till exempel överblivna säkerhetsidentifierare (SID). Exempel på sådan loggad post:

2017-05-25 04:34:18 avtar Info : Reading 37 user profiles

Följt över två timmar senare av:

2017-05-25 06:50:34 avtar Info : Done reading user profiles

• Profilinsamling i slutet av säkerhetskopieringen kan till och med misslyckas när du anropar "AuthzInitializeContextFromSid":

2023-10-13 09:51:21 avtar Warning <16147>: AuthzInitializeContextFromSid failed: 2

Mer information om hur du använder det här API:et vid profilinsamling finns på:

https://learn.microsoft.com/en-us/troubleshoot/sql/reporting-services/call-authzinitializecontextfromsid-api-fails

I sådana fall saknade vissa SID motsvarande användarnamnsposter och avtar fastnade eller misslyckades med bearbetningen av dessa överblivna SID:er. Detta kan inträffa när du tar bort användarkonton men inte tar bort motsvarande användarhemkatalog.

Den här profilinsamlingen är aktiverad som standard, men används bara för återställning av stationära eller bärbara datorer (DTLT). För varje användarprofil hämtar avtar alla grupper som användaren tillhör för att avgöra om användaren är en lokal administratör. Denna information används för att avgöra vilka filer den inloggade användaren kan se och återställa med hjälp av DTLT-webbgränssnittet.

Även om dessa säkerhetsposter kan ignoreras kan insamling av profiler avaktiveras på Windows Server-klienter. Den bör inte inaktiveras på stationära eller bärbara datorer om DTLT-webbgränssnittet används. Om du vill inaktivera insamling av användarprofiler lägger du till följande avtar-flagga i den avtar.cmd filen på klienten eller den associerade datauppsättningen.

--x05=65536 

Inaktiveringen av profilinsamling kan hanteras på två sätt.

1. För en enskild klient:
   1. Skapa en textfil i C:\Program Files\avs\var med namnet avtar.cmd
   2. I den avtar.cmd filen lägger du till följande flagga:

   3. --x05=65536

   4. Detta påverkar alla säkerhetskopior på klienten, eftersom avtar använder den varje gång den startas.
2. För flera klienter som använder en datauppsättning:
   1. I datauppsättningen går du till fliken "Alternativ"
   2. Välj lämplig typ av insticksprogram i listrutan
   3. Klicka på knappen "Mer".
      1. För säkerhetskopiering av Windows-filsystem:
         1.  Under Ange attribut: Ange x05
         2. Under Ange attributvärde anger du 65536
         3. Klicka sedan på +- knappen
      2.  För alla andra Windows-plugin-program:
         1. Under "Ange attribut:" Ange [avtar] x05
         2. Under Ange attributvärde anger du 65536
         3. Klicka sedan på +- knappen
   4. Detta måste göras för varje typ av plugin-program som ingår i datauppsättningen och för varje datauppsättning som tilldelas till en grupp som klienten är medlem i.