NetWorker: Selhávání zálohy s chybami: "Unable to perform the ASR backup: (Nelze provést zálohu ASR: Cannot obtain emitter status."
Resumen: Selhávání zálohy s chybami: "Unable to perform the ASR backup: (Nelze provést zálohu ASR: Cannot obtain emitter status." a chybová zpráva "Cryptographic Services failed while processing the OnIdentity() call in the System Writer Object." Lze nalézt v protokolech událostí aplikací systému Windows. ...
Síntomas
Informace o prostředí:
=====================================================================
Verze klienta NW: 9.2.1.2.Build.204
Verze klienta operačního systému: Windows NT Server na sadě Intel
Save: Všechny
Ukázky protokolů:
====================================================================
6684:save: Could not stat \\?\VOLUME{AECB5840-A0DF-11E0-A883-806E6F6E6963}\: No such file or directory
client_name: C:\ level=incr, 246 MB 00:28:10 136 files
Completed savetime=1543528852
90015:save: The backup of VSS emit save set 'C:\' succeeded.
94694:save: The backup of save set 'C:\' succeeded.
101087:save: Cleanup VSS MBS emitter thread: Received cancel signal. Terminating VSS emitter save set \\?\VOLUME{AECB5840-A0DF-11E0-A883-806E6F6E6963}\.
74209:save: Quit signal received.
99123:save: Handling an abort while processing Windows backup.
90097:save: ASR Backup: aborting VSS volume save because Quit flag is set.
99123:save: Handling an abort while processing Windows backup.
90117:save: Unable to perform the ASR backup: cannot obtain the VSS MBS status.
86024:save: Při ukládání sad uložení po havárii došlo k chybě.
Protokol událostí aplikací klienta +++:
Log Name: Application
Source: Microsoft-Windows-CAPI2
Date: 13/12/2018 9:42:39 PM
Event ID: 513
Task Category: Není
Úroveň: Error
Keywords: Klasické nastavení
Uživatel: N/A
Computer: client_name.domain.com
Description:
Cryptographic Services failed while processing the OnIdentity() call in the System Writer Object.
Details:
AddCoreCsiFiles : BeginFileEnumeration() failed.
System Error:Access is denied.. (Chyba systému:
Přístup byl odepřen.
.
Událost Xml:
513
0
2
0
0
< hesla>0x80000000000000
8983257
Channel
client_name.domain.com
Podrobnosti:
Soubory AddCoreCsiFiles: BeginFileEnumeration() failed.
System Error: Access is denied. (Chyba systému:
Přístup byl odepřen.
Causa
K tomuto problému dochází, protože nástroj VSS System Writer nemá v případě účtu NT AUTHORITY\SERVICE (servisní účet) oprávnění ke čtení.
Pokud je nástroj System Writer spuštěn jako kryptografická služba a pokusí se načíst informace Mslldp.sys z ovladače Microsoft Link-Layer Discovery Protocol, dojde k chybě „Access denied“.
Resolución
Jeho konfigurační klíč registru je HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsLldp
Binární popisovač zabezpečení záznamu se nachází zde:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsLldp\Security
. Oprava by měla být změněna pomocí souboru SC.EXE a souboru Sysinternals'ACCESSCHK.EXE.
Původní popisovač zabezpečení vypadal následovně:
>accesschk.exe -c mslldp
mslldp
RW NT AUTHORITY\SYSTEM
RW BUILTIN\Administrators
RW S-1-5-32-549 < – jedná se o operátory
serveru R NT SERVICE\NlaSvc
No service account, které mají přístup k ovladači MSLLDP.
Popisovač zabezpečení pro zpracované ovladače se hleděl tímto způsobem:
>accesschk.exe -c mup
mup
RW NT AUTHORITY\SYSTEM
RW BUILTIN\Administrators
R NT AUTHORITY\INTERACTIVE
R NT AUTHORITY\SERVICE < – poskytuje přístup ke službám
. Jak přidat přístupová práva pro soubor NT AUTHORITY\SERVICE ke službě MSLLDP:
1. Spusťte příkaz: Sc sdshow MSLLDP
Zobrazí se něco jako níže (jazyk SDDL je zdokumentován na msdn):
D:(D;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; BG) (A; CCDCLCSWRPWPDTLOCRSDRCWDWO;; SY(A;) CCDCLCSWRPDLOCRSDRCWDWO;; BA)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; SO)(A;; LCRPWP;; S-1-5-80-3141615172-2057878085-1754447212-2405740020-3916490453)S:(AU;FA; CCDCLCSWRPWPDTLOCRSDRCWDWO;; WD)
2. Spusťte příkaz: SC sdshow MUP
Získáte:
D:(A;; CCLCSWRPWPDTLOCRRC;; SY(A;) CCDCLCSWRPWPDTLOCRSDRCWDWO;; BA)(A;; CCLCSWLOCRRC;;IU)(A;; CCLCSWLOCRRC;;; SU)S:(AU;FA; CCDCLCSWRPWPDTLOCRSDRCWDWO;; WD)
3. Vezměte položku NT AUTHORITY\ SERVICE, která je (A;; CCLCSWLOCRRC;;; SU) a správně jej přidejte do původního popisovače zabezpečení MSLLDP, ihned před posledním S:(AU... Skupiny.
4. Použijte nový popisovač zabezpečení na službu MSLLDP:
sc sdset MSLLDP D:(D;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; BG) (A; CCDCLCSWRPWPDTLOCRSDRCWDWO;; SY(A;) CCDCLCSWRPDLOCRSDRCWDWO;; BA)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; SO)(A;; LCRPWP;; S-1-5-80-3141615172-2057878085-1754447212-2405740020-3916490453)(A;; CCLCSWLOCRRC;;; SU)S:(AU;FA; CCDCLCSWRPWPDTLOCRSDRCWDWO;; WD)
5. Zkontrolujte výsledek:
>accesschk.exe -c mslldp
mslldp
RW NT AUTHORITY\SYSTEM
RW BUILTIN\Administrators
RW S-1-5-32-549
R NT SERVICE\NlaSvc
R NT AUTHORITY\SERVICE
6. Spusťte zálohování NetWorker a zkontrolujte, zda funguje správně.
!! Nezapomeňte použít popisovač zabezpečení pro ovladač MSLLDP, protože se může vyskytnout několik vzácných případů, kdy se tento popis liší pro váš počítač. Nezkoušejte popisy SDDL a nezazálohujte starý popisovač!!