NetWorker: Backup schlägt mit folgendem Fehler fehl: "Das ASR-Backup kann nicht durchgeführt werden: Cannot obtain sender status."
Resumen: Backup schlägt mit folgendem Fehler fehl: "Das ASR-Backup kann nicht durchgeführt werden: Cannot obtain sender status." und die Fehlermeldung "Cryptographic Services failed while processing the OnIdentity() call in the System Writer Object". Sie finden sie in den Windows-Anwendungsereignisprotokollen. ...
Síntomas
Umgebungsinformationen:
=====================================================================
NW-Clientversion: Version des Betriebssystemclients 9.2.1.2.Build.204
: Windows NT Server auf Intel
Saveset: Alle
Protokoll-Auszüge snippets:
====================================================================
6684:speichern: Could not stat \\?\VOLUME{AECB5840-A0DF-11E0-A883-806E6F6E6963}\: No such file or directory
client_name: C:\ level=incr, 246 MB 00:28:10 136 files
Completed savetime=1543528852
90015:save: The backup of VSS emit save set 'C:\' succeeded.
94694:save: The backup of save set 'C:\' succeeded.
101087:save: Cleanup VSS MBS emitter thread: Received cancel signal. Terminating VSS emitter save set \\?\VOLUME{AECB5840-A0DF-11E0-A883-806E6F6E6963}\.
74209:save: Quit signal received.
99123:save: Handling an abort while processing Windows backup.
90097:save: ASR Backup: aborting VSS volume save because Quit flag is set.
99123:save: Handling an abort while processing Windows backup.
90117:save: Unable to perform the ASR backup: cannot obtain the VSS MBS status.
86024:save: Beim Speichern von Notfall-Wiederherstellungs-Savesets ist ein Fehler aufgetreten.
im Anwendungsereignisprotokoll des Clients:
Protokollname: Anwendung
Quelle: Microsoft-Windows-CAPI2
Datum: 13/12/2018 9:42:39
Ereignis-ID: 513
Task-Kategorie: Keine
Level: Fehler
Schlüsselwörter: Klassisch
Nutzer: N/A
Computer: client_name.domain.com
Beschreibung:
Kryptografische Dienste sind während der Verarbeitung des Aufrufs OnIdentity() im Objekt System Writer fehlgeschlagen.
Details:
AddCoreCsiFiles : BeginFileEnumeration() failed.
Systemfehler:
Der Zugriff wird verweigert
.
Event Xml:
513
0
2
0
0
0x80000000000000
8983257
Application
client_name.domain.com
Security />
Details:
AddCoreCsiFiles: BeginFileEnumeration() failed.
Systemfehler:
Der Zugriff wird verweigert.
Causa
Dieses Problem tritt auf, weil VSS System Writer keine Leseberechtigung für NT-AUTHORITY\SERVICE (Servicekonto) hat.
Wenn der System Writer als kryptografischer Service ausgeführt wird und versucht, die Informationen aus der Mslldp.sys über einen Ermittlungsprotokolltreiber von Microsoft Link Layer zu lesen, wird der Fehler „Zugriff verweigert“ erzeugt.
Resolución
Der Konfigurationsschlüssel ist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsLldp
Die binäre Sicherheitsbeschreibung für den Datensatz befindet sich hier:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsLldp\Security
Es sollte mit SC.EXE und Sysinternals'ACCESSCHK.EXE geändert werden, um das Problem zu beheben.
Die ursprüngliche Sicherheitsbeschreibung sah wie folgt aus:
>accesschk.exe -c mslldp mslldp
RW NT AUTHORITY\SYSTEM
RW BUILTIN\Administrators
RW S-1-5-32-549 R NT SERVICE\NlaSvc
Kein Servicekonto darf auf den MSLLDP-Treiber zugreifen.
Die Sicherheitsbeschreibung für die Treiber, die erfolgreich verarbeitet wurden, sah wie folgt aus:
>accesschk.exe -c mup mup
RW NT AUTHORITY\SYSTEM
RW BUILTIN\Administrators
R NT AUTHORITY\INTERACTIVE
R NT AUTHORITY\SERVICE
How to add access rights for NT AUTHORITY\SERVICE to MSLLDP service:
1. Führen Sie folgenden Befehl aus: SC sdshow MSLLDP
Sie erhalten etwas wie unten (SDDL-Sprache ist auf MSDN dokumentiert):
D:(D;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; BG)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; SY)(A;; CCDCLCSWRPDTLOCRSDRCWDWO;;; BA)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; SO)(A;; LCRPWP;; S-1-5-80-3141615172-2057878085-1754447212-2405740020-3916490453)S:(AU;FA; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; WD)
2. Führen Sie folgenden Befehl aus: SC sdshow MUP
Sie erhalten:
D:(A;; CCLCSWRPWPDTLOCRRC;; SY)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; BA)(A;; CCLCSWLOCRRC;;IU)(A;; CCLCSWLOCRRC;;; S:(AU;FA; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; WD)
3. Nehmen Sie den Eintrag NT AUTHORITY\ SERVICE, d. s. (A;; CCLCSWLOCRRC;;; SU) und fügen Sie ihn korrekt zum ursprünglichen MSLLDP-Sicherheitsdeskriptor hinzu, direkt vor dem letzten S:(AU... Gruppe.
4. Wenden Sie den neuen Sicherheitsdeskriptor auf den MSLLDP-Service an:
sc sdset MSLLDP D:(D;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; BG)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; SY)(A;; CCDCLCSWRPDTLOCRSDRCWDWO;;; BA)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; SO)(A;; LCRPWP;; S-1-5-80-3141615172-2057878085-1754447212-2405740020-3916490453)(A;; CCLCSWLOCRRC;;; S:(AU;FA; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; WD)
5. Überprüfen Sie das Ergebnis:
>accesschk.exe -c mslldp
mslldp
RW NT AUTHORITY\SYSTEM
RW BUILTIN\Administrators
RW S-1-5-32-549
R NT SERVICE\NlaSvc
R NT AUTHORITY\SERVICE
6. Führen Sie das NetWorker-Backup aus und prüfen Sie, ob es einwandfrei läuft.
!! Vergessen Sie nicht, Ihren Sicherheitsdeskriptor für den MSLLDP-Treiber zu verwenden, da es in seltenen Fällen vorkommen kann, dass sie sich für Ihren Computer unterscheiden. Kopieren Sie meine SDDL-Beschreibungen nicht und sichern Sie den alten Deskriptor für den Fall!!