NetWorker: tworzenie kopii zapasowej kończy się niepowodzeniem z błędem: "Unable to perform the ASR backup( Nie można wykonać kopii zapasowej ASR): Nie można uzyskać statusu nadajnika".
Resumen: tworzenie kopii zapasowej kończy się niepowodzeniem z błędem: "Unable to perform the ASR backup( Nie można wykonać kopii zapasowej ASR): Nie można uzyskać statusu nadajnika." i komunikat o błędzie "Cryptographic Services failed while processing the OnIdentity() call in the System Writer Object". Można je znaleźć w dziennikach zdarzeń aplikacji systemu Windows. ...
Síntomas
Environmental information:
=====================================================================
NW client version: Wersja klienta systemu operacyjnego 9.2.1.2.Build.204
: System Windows NT Server w systemie Intel
Save Set: All
Logs snippets:
====================================================================
6684:save: Could not stat \\?\VOLUME{AECB5840-A0DF-11E0-A883-806E6F6E6963}\: No such file or directory
client_name: C:\ level=incr, 246 MB 00:28:10 136 files
Completed savetime=1543528852
90015:save: The backup of VSS emit save set 'C:\' succeeded.
94694:save: The backup of save set 'C:\' succeeded.
101087:save: Cleanup VSS MBS emitter thread: Received cancel signal. Terminating VSS emitter save set \\?\VOLUME{AECB5840-A0DF-11E0-A883-806E6F6E6963}\.
74209:save: Quit signal received.
99123:save: Handling an abort while processing Windows backup.
90097:save: ASR Backup: aborting VSS volume save because Quit flag is set.
99123:save: Handling an abort while processing Windows backup.
90117:save: Unable to perform the ASR backup: cannot obtain the VSS MBS status.
86024:save: Wystąpił błąd podczas zapisywania zestawów zapisu po awarii.
Dziennik zdarzeń aplikacji klienta +++:
Log Name: Application
Source: Microsoft-Windows-CAPI2
Date: 13/12/2018 9:42:39
Event ID: 513
Task Category: None
Level: Error
Keywords: Classic
User: N/A
Computer: client_name.domain.com
Description:
Cryptographic Services failed while processing the OnIdentity() call in the System Writer Object.
Details:
AddCoreCsiFiles : BeginFileEnumeration() failed.
Błąd systemu:
odmowa
dostępu.
Zdarzenie Xml:
513
0
2
0
0
0x80000000000000
8983257
Application
client_name.domain.com
Szczegóły:
AddCoreCsiFiles: BeginFileEnumeration() failed.
Błąd systemu:
odmowa dostępu.
Causa
Ten problem występuje, ponieważ składnik zapisywania usługi VSS nie ma uprawnień do odczytu NT AUTHORITY\SERVICE (konto usługi).
Gdy składnik zapisywania działa jako usługa szyfrująca i usiłuje odczytać informacje pliku Mslldp.sys ze sterownika protokołu LLDP (Link-Layer Discovery Protocol) firmy Microsoft, zostanie wygenerowany komunikat o błędzie „Odmowa dostępu”.
Resolución
Klucz rejestru konfiguracyjnego to HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsLldp
. Deskryptor zabezpieczeń binarnych dla rekordu znajduje się tutaj:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsLldp\Security
Należy go zmodyfikować przy użyciu SC.EXE i Sysinternals ACCESSCHK.EXE, aby go naprawić.
Oryginalny deskryptor zabezpieczeń wyglądał tak, jak poniżej:
>accesschk.exe -c mslldp
mslldp
RW NT AUTHORITY\SYSTEM
RW BUILTIN\Administrators
RW S-1-5-32-549 R NT SERVICE\NlaSvc
Żadne konto serwisowe nie może uzyskać dostępu do sterownika MSLLDP.
Deskryptor zabezpieczeń dla przetwarzanych sterowników pomyślnie wyglądał tak:
>accesschk.exe -c mup mup
RW NT AUTHORITY\SYSTEM
RW BUILTIN\Administrators
R NT AUTHORITY\INTERACTIVE
R NT AUTHORITY\SERVICE
Jak dodać uprawnienia dostępu do NT AUTHORITY\SERVICE do usługi MSLLDP:
1. Uruchom: Sc sdshow MSLLDP
Otrzymujesz coś w następujący sposób (język SDDL jest udokumentowany w MSDN):
D:(D;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; BG)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; SY)(A;; CCDCLCSWRPDTLOCRSDRCWDWO;; BA)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; SO)(A;; LCRPWP;; S-1-5-80-3141615172-2057878085-1754447212-2405740020-3916490453)S:(AU;FA; CCDCLCSWRPWPDTLOCRSDRCWDWO;; WD)
2. Uruchom: Sc sdshow MUP
You get:
D:(A;; CCLCSWRPWPDTLOCRRC;; SY)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; BA)(A;; CCLCSWLOCRRC;;;IU)(A;; CCLCSWLOCRRC;; Jednostki SU:(AU;FA; CCDCLCSWRPWPDTLOCRSDRCWDWO;; WD)
3. Weź wpis NT AUTHORITY\ SERVICE, czyli (A;; CCLCSWLOCRRC;; SU) i dodać go do oryginalnego deskryptora zabezpieczeń MSLLDP prawidłowo, tuż przed ostatnim S:(AU... Grupa.
4. Zastosuj nowy deskryptor zabezpieczeń do usługi MSLLDP:
sc sdset MSLLDP D:(D;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; BG)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; SY)(A;; CCDCLCSWRPDTLOCRSDRCWDWO;; BA)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; SO)(A;; LCRPWP;; S-1-5-80-3141615172-2057878085-1754447212-2405740020-3916490453)(A;; CCLCSWLOCRRC;; Jednostki SU:(AU;FA; CCDCLCSWRPWPDTLOCRSDRCWDWO;; WD)
5. Sprawdź wynik:
>accesschk.exe -c mslldp
mslldp
RW NT AUTHORITY\SYSTEM
RW BUILTIN\Administrators
RW S-1-5-32-549
R NT SERVICE\NlaSvc
R NT AUTHORITY\SERVICE
6. Uruchom kopię zapasową NetWorker i sprawdź, czy działa prawidłowo.
!! Nie zapomnij użyć deskryptora zabezpieczeń dla sterownika MSLLDP, ponieważ w niektórych przypadkach może wystąpić inna liczba przypadków. Nie należy kopiować opisów SDDL i tworzyć kopii zapasowej starego deskryptora na wypadek!!