NetWorker: Il backup non riesce restituendo l'errore: "Unable to perform the ASR backup: Impossibile ottenere lo stato del trasmettitore.
Resumen: Il backup non riesce restituendo l'errore: "Unable to perform the ASR backup: Cannot obtain emitter status." e il messaggio di errore "Cryptographic Services failed while processing the OnIdentity() call in the System Writer Object." È disponibile nei registri eventi dell'applicazione di Windows. ...
Síntomas
Environmental information:
=====================================================================
NW client version: 9.2.1.2.Build.204
Versione client del sistema operativo: Windows NT Server sul set di salvataggio Intel
: All
Logs snippets:
====================================================================
6684:save: Could not stat \\?\VOLUME{AECB5840-A0DF-11E0-A883-806E6F6E6963}\: No such file or directory
client_name: C:\ level=incr, 246 MB 00:28:10 136 files
Completed savetime=1543528852
90015:save: The backup of VSS emit save set 'C:\' succeeded.
94694:save: The backup of save set 'C:\' succeeded.
101087:save: Cleanup VSS MBS emitter thread: Received cancel signal. Terminating VSS emitter save set \\?\VOLUME{AECB5840-A0DF-11E0-A883-806E6F6E6963}\.
74209:save: Quit signal received.
99123:save: Handling an abort while processing Windows backup.
90097:save: ASR Backup: aborting VSS volume save because Quit flag is set.
99123:save: Handling an abort while processing Windows backup.
90117:save: Unable to perform the ASR backup: cannot obtain the VSS MBS status.
86024:save: Si è verificato un errore durante il salvataggio dei saveset di disaster recovery.
+++ Registro eventi applicazione del client:
Log Name: Application
Source: Microsoft-Windows-CAPI2
Date: 13/12/2018 9:42:39
Event ID: 513
Task Category: None
Level: Error
Keywords: Classic
User: N/A
Computer: client_name.domain.com
Description:
Cryptographic Services failed while processing the OnIdentity() call in the System Writer Object.
Details:
AddCoreCsiFiles : BeginFileEnumeration() failed.
Errore di sistema:
l'accesso è negato.
Xml evento:
513
0
2
0
0
0x80000000000000
8983257
Application
client_name.domain.com
Dettagli:
AddCoreCsiFiles: BeginFileEnumeration() failed.
Errore di sistema:
l'accesso viene negato.
Causa
Questo problema si verifica perché VSS System Writer non dispone dell'autorizzazione di lettura per NT AUTHORITY\SERVICE (account di servizio).
Quando il System Writer viene eseguito come servizio di crittografia e tenta di leggere le informazioni di Mslldp.sys da un driver Microsoft Link-Layer Discovery Protocol, viene generato l'errore di accesso negato.
Resolución
La relativa chiave di registro di configurazione è HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsLldp
Il descrittore di sicurezza binario per il record si trova qui:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsLldp\Security
Deve essere modificato utilizzando SC.EXE e Sysinternals'ACCESSCHK.EXE per correggerlo.
Il descrittore di sicurezza originale è simile al seguente:
>accesschk.exe -c mslldp mslldp
RW NT AUTHORITY\SYSTEM
RW BUILTIN\Administrators
RW S-1-5-32-549 di server R NT SERVICE\NlaSvc
L'account di servizio non è autorizzato ad accedere al driver MSLLDP.
Il descrittore di sicurezza per i driver che sono stati elaborati correttamente ha cercato in questo modo:
>accesschk.exe -c mup mup mup
RW NT AUTHORITY\SYSTEM
RW BUILTIN\Administrators
R NT AUTHORITY\INTERACTIVE
R NT AUTHORITY\SERVICE
Come aggiungere i diritti di accesso per NT AUTHORITY\SERVICE al servizio MSLLDP:
1. Eseguire: SC sdshow MSLLDP
Si ottiene qualcosa di simile al seguente (il linguaggio SDDL è documentato su MSDN):
D:(D;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; BG)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; SY(A;; CCDCLCSWRPDTLOCRSDRCWDWO;; BA)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; SO)(A;; LCRPWP;; S-1-5-80-3141615172-2057878085-1754447212-2405740020-3916490453)S:(AU;FA; CCDCLCSWRPWPDTLOCRSDRCWDWO;; WD)
2. Eseguire: SC sdshow MUP
Ottieni:D:
(A;; CCLCSWRPWPDTLOCRRC; SY(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; BA)(A;; CCLCSWLOCRRC;;IU(A;; CCLCSWLOCRRC;; SU)S:(AU;FA; CCDCLCSWRPWPDTLOCRSDRCWDWO;; WD)
3. Eseguire la voce NT AUTHORITY\SERVICE, che è (A;; CCLCSWLOCRRC;; SU) e aggiungerlo correttamente al descrittore di protezione MSLLDP originale, prima dell'ultimo S:(AU... Gruppo.
4. Applicare il nuovo descrittore di sicurezza al servizio MSLLDP:
sc sdset MSLLDP D:(D;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; BG)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; SY(A;; CCDCLCSWRPDTLOCRSDRCWDWO;; BA)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; SO)(A;; LCRPWP;; S-1-5-80-3141615172-2057878085-1754447212-2405740020-3916490453)(A; CCLCSWLOCRRC;; SU)S:(AU;FA; CCDCLCSWRPWPDTLOCRSDRCWDWO;; WD)
5. Verificare il risultato:
>accesschk.exe -c mslldp
mslldp
RW NT AUTHORITY\SYSTEM
RW BUILTIN\Administrators
RW S-1-5-32-549
R NT SERVICE\NlaSvc
R NT AUTHORITY\SERVICE
6. Eseguire il backup di NetWorker e verificare se funziona correttamente.
!! Non dimenticare di utilizzare il descrittore di protezione per il driver MSLLDP perché possono verificarsi rari casi in cui è diverso per il computer in uso. Non copiare le descrizioni di SDDL ed eseguire il backup del vecchio descrittore nel caso!!