NetWorker. Сбой резервного копирования с ошибкой: «Unable to perform the ASR backup: Cannot obtain emitter status».
Resumen: Сбой резервного копирования с ошибкой: «Unable to perform the ASR backup: Cannot obtain emitter status» и сообщение об ошибке «Cryptographic Services failed while processing the OnIdentity() call in the System Writer Object». Его можно найти в журналах событий приложений Windows. ...
Síntomas
Информация об инфраструктуре:
=====================================================================
NW client version: 9.2.1.2.Build.204
Версия клиента операционной системы: Windows NT Server в наборе сохранения Intel
: All
Фрагменты журналов:
====================================================================
6684:save: Could not stat \\?\VOLUME{AECB5840-A0DF-11E0-A883-806E6F6E6963}\: No such file or directory
client_name: C:\ level=incr, 246 MB 00:28:10 136 files
Completed savetime=1543528852
90015:save: The backup of VSS emit save set 'C:\' succeeded.
94694:save: The backup of save set 'C:\' succeeded.
101087:save: Cleanup VSS MBS emitter thread: Received cancel signal. Terminating VSS emitter save set \\?\VOLUME{AECB5840-A0DF-11E0-A883-806E6F6E6963}\.
74209:save: Quit signal received.
99123:save: Handling an abort while processing Windows backup.
90097:save: ASR Backup: aborting VSS volume save because Quit flag is set.
99123:save: Handling an abort while processing Windows backup.
90117:save: Unable to perform the ASR backup: cannot obtain the VSS MBS status.
86024:save: При сохранении сохраняемых наборов данных для аварийного восстановления произошла ошибка.
+++ Журнал событий приложения клиента:
Log Name: Application
Source: Microsoft-Windows-CAPI2
Date: 13/12/2018 9:42:39
Event ID: 513
Task Category: None
Level: Error
Keywords: Classic
User: N/A
Computer: client_name.domain.com
Description:
Cryptographic Services failed while processing the OnIdentity() call in the System Writer Object.
Details:
AddCoreCsiFiles : BeginFileEnumeration() failed.
Системная ошибка:
доступ запрещен
.
Xml события:
513
0
>2
0
0
0x80000000000000
8983257
Application
client_name.domain.com
Подробные сведения:
AddCoreCsiFiles: BeginFileEnumeration() failed.
Системная ошибка:
доступ запрещен.
Causa
Эта проблема возникает из-за того, что у системного модуля записи VSS нет разрешения на чтение NT AUTHORITY\SERVICE (служебная учетная запись).
Когда системный модуль записи работает в качестве криптографической службы и пытается прочитать информацию Mslldp.sys из драйвера протокола Microsoft LLDP, появляется сообщение об ошибке «access denied».
Resolución
Его раздел реестра конфигурации : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsLldp
дескриптор двоичного безопасности запись находится здесь:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsLldp\Security
. Чтобы исправить эту запись, ее необходимо изменить с помощью SC.EXE и ACCESSCHK.EXE Sysinternals.
Исходный дескриптор безопасности был выглядеть следующим образом:
>accesschk.exe -c mslldp mslldp
RW NT AUTHORITY\SYSTEM
RW BUILTIN\Administrators
RW S-1-5-32-549 < -
это серверные операторы RNT SERVICE\NlaSvc
Нет доступа к драйверу MSLLDP.
Дескриптор безопасности для обработанных драйверов был успешно выглядеть следующим образом:
>accesschk.exe -c mup
Mup
RW NT AUTHORITY\SYSTEM
RW BUILTIN\Administrators
R NT AUTHORITY\INTERACTIVE
R NT AUTHORITY\SERVICE < -
это дает доступ к сервисам Как добавить права доступа для NT AUTHORITY\SERVICE к службе MSLLDP:
1. Выполните: SC sdshow MSLLDP
Вы получаете что-то похожее ниже (язык SDDL описан на MSDN):
D:(D;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; BG)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; SY)(A;; CCDCLCSWRPDTLOCRSDRCWDWO;; Ba)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; So)(A;; LCRPWP;; S-1-5-80-3141615172-2057878085-1754447212-2405740020-3916490453)S:(AU;FA; CCDCLCSWRPWPDTLOCRSDRCWDWO;; WD)
2. Выполните: Sc sdshow MUP
Вы получаете:
D:(A;; CCLCSWRPWPDTLOCRRC;; SY)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; Ba)(A;; CCLCSWLOCRRC;;IU)(A;; CCLCSWLOCRRC;; SU)S:(AU;FA; CCDCLCSWRPWPDTLOCRSDRCWDWO;; WD)
3. Возьмите запись службы NT AUTHORITY\, которая (A;; CCLCSWLOCRRC;; SU) и добавьте его в исходный дескриптор безопасности MSLLDP правильно, прямо перед последним S:(AU... Группы.
4. Примените новый дескриптор безопасности к службе MSLLDP:
sc sdset MSLLDP D:(D;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; BG)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; SY)(A;; CCDCLCSWRPDTLOCRSDRCWDWO;; Ba)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; So)(A;; LCRPWP;; S-1-5-80-3141615172-2057878085-1754447212-2405740020-3916490453)(A;; CCLCSWLOCRRC;; SU)S:(AU;FA; CCDCLCSWRPWPDTLOCRSDRCWDWO;; WD)
5. Проверьте результат:
>accesschk.exe -c mslldp mslldp
RW NT AUTHORITY\SYSTEM
RW BUILTIN\Administrators
RW S-1-5-32-549
R NT SERVICE\NlaSvc
R NT AUTHORITY\SERVICE
6. Запустите резервное копирование NetWorker и проверьте, работает ли оно нормально.
!! Не забудьте использовать дескриптор безопасности для драйвера MSLLDP, так как в некоторых редких случаях он отличается для вашего компьютера. Не копируйте описания SDDL и не создайте резервную копию старого дескриптора на случай!!