NetWorker: El respaldo falla con el siguiente error: "Unable to perform the ASR backup: No se puede obtener el estado del emisor".
Summary: El respaldo falla con el siguiente error: "Unable to perform the ASR backup: Cannot obtain emitter status". y el mensaje de error "Cryptographic Services failed while processing the OnIdentity() call in the System Writer Object". Se puede encontrar en los registros de eventos de la aplicación de Windows. ...
Symptoms
Información ambiental:
======
==================================================================versión del cliente de NW: 9.2.1.2.Build.204
Versión del cliente del sistema operativo: Windows NT Server en el saveset de Intel
: Todos los
fragmentos de registros:
=============================================================
6684:save: No se pudo realizar la estadística \\?\VOLUME{AECB5840-A0DF-11E0-A883-806E6F6E6963}\: No client_name de archivos o directorios
: C:\ level=incr, 246 MB 00:28:10 136 archivos
Completed savetime=1543528852
90015:save: El respaldo del saveset de emisión de VSS "C:\" Tuvo éxito.
94694:guardar: El respaldo del saveset "C:\" Tuvo éxito.
101087:guardar: Limpie el subproceso emisor de MBS de VSS: Señal de cancelación recibida. Finalización del saveset del emisor de VSS \\?\VOLUME{AECB5840-A0DF-11E0-A883-806E6F6E6963}\.
74209:guardar: Señal de salida recibida.
99123:guardar: Manejo de una anulación mientras se procesa el respaldo de Windows.
90097:guardar: Respaldo de ASR: anulación del guardado del volumen de VSS debido a que la marca Salir está establecida.
99123:guardar: Manejo de una anulación mientras se procesa el respaldo de Windows.
90117:guardar: No se puede realizar el respaldo de ASR: no puede obtener el estado DE MBS de VSS.
86024:guardar: Se produjo un error al guardar savesets de recuperación ante desastres.
+++ Registro de eventos de aplicación del cliente:
Nombre del registro: Origen de la aplicación
: Fecha de Microsoft-Windows-CAPI2
: 12/13/2018 9:42:39
ID de evento: 513
Categoría de tareas: Ninguna
Nivel: Palabras clave de error
: Clásico
Usuario: N/A
Computadora: client_name.domain.com
Description:
Los servicios criptográficos fallaron durante el procesamiento de la llamada OnIdentity() en el objeto System Writer.
Detalles:
AddCoreCsiFiles: BeginFileEnumeration() falló.
Error del sistema:
se deniega el acceso.
Xml del evento:
513
0
2
0
0
0x80000000000000
8983257
Application
client_name.domain.com
Detalles:
AddCoreCsiFiles: BeginFileEnumeration() falló.
Error del sistema:
se deniega el acceso.
Cause
Este problema se produce porque VSS System Writer no tiene permiso para leer NT AUTHORITY\SERVICE (cuenta de servicio).
Cuando System Writer se ejecuta como un servicio criptográfico e intenta leer la información de Mslldp.sys desde un controlador del protocolo de detección de capa de enlace de Microsoft, se genera el error "acceso denegado".
Resolution
configuración es HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsLldp
El descriptor de seguridad binario para el registro se encuentra aquí:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsLldp\Security
Se debe modificar mediante SC.EXE y Sysinternals'ACCESSCHK.EXE para corregirlo.
El descriptor de seguridad original se ve como se muestra a continuación:
>accesschk.exe -c mslldp mslldp
RW NT AUTHORITY\SYSTEM
RW BUILTIN\Administrators
RW S-1-5-32-549 de servidor R NT SERVICE\NlaSvc
No se permite que ninguna cuenta de servicio acceda al controlador MSLLDP.
El descriptor de seguridad para los controladores que se procesaron correctamente buscó de esta manera:
>accesschk.exe -c mup mup
RW NT AUTHORITY\SYSTEM
RW BUILTIN\Administrators
R NT AUTHORITY\INTERACTIVE
R NT AUTHORITY\SERVICE
Cómo agregar derechos de acceso para NT AUTHORITY\SERVICE al servicio MSLLDP:
1. Ejecute lo siguiente: SC sdshow MSLLDP
Obtiene algo similar a lo siguiente (el idioma SDDL se documenta en MSDN):
D:(D;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; BG) (A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; SY) (A;; CCDCLCSWRPDTLOCRSDRCWDWO;;; BA) (A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; SO) (A;; LCRPWP;;; S-1-5-80-3141615172-2057878085-1754447212-2405740020-3916490453)S:(AU;FA; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; WD)
2. Ejecute lo siguiente: SC sdshow MUP
Obtiene:
D:(A;; CCLCSWRPWPDTLOCRRC;;; SY) (A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; BA) (A;; CCLCSWLOCRRC;;IU)(A;; CCLCSWLOCRRC;;; SU)S:(AU;FA; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; WD)
3. Tome la entrada NT AUTHORITY\ SERVICE, que es (A;; CCLCSWLOCRRC;;; SU) y agréguelo al descriptor de seguridad MSLLDP original correctamente, justo antes de la última S:(AU... Grupo.
4. Aplique el nuevo descriptor de seguridad al servicio MSLLDP:
sc sdset MSLLDP D:(D;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; BG) (A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; SY) (A;; CCDCLCSWRPDTLOCRSDRCWDWO;;; BA) (A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; SO) (A;; LCRPWP;;; S-1-5-80-3141615172-2057878085-1754447212-2405740020-3916490453) (A;; CCLCSWLOCRRC;;; SU)S:(AU;FA; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; WD)
5. Compruebe el resultado:
>accesschk.exe -c mslldp mslldp
RW NT AUTHORITY\SYSTEM
RW BUILTIN\Administrators
RW S-1-5-32-549
R NT SERVICE\NlaSvc
R NT AUTHORITY\SERVICE
6. Ejecute el respaldo de NetWorker y compruebe si se ejecuta correctamente.
!! No olvide utilizar su descriptor de seguridad para el controlador MSLLDP, ya que puede haber algunos casos poco frecuentes en los que es diferente para su equipo. No copie mis descripciones de SDDL ni respalde el descriptor antiguo en caso de que!!