NetWorker: Резервне копіювання не вдається з помилкою: "Не вдається виконати резервне копіювання ASR: Не може отримати статус емітента".
Resumen: Резервне копіювання не вдається з помилкою: "Не вдається виконати резервне копіювання ASR: Не вдається отримати статус емітента» та повідомлення про помилку «Не вдалося виконати криптографічні служби під час обробки виклику OnIdentity() в об'єкті System Writer». Можна знайти в журналах подій застосунку Windows. ...
Síntomas
Екологічна інформація:=========================================================================================================Версія
клієнта NW:
9.2.1.2.Build.204
Версія клієнта операційної системи: Windows NT Server на Intel
Save набір: Усі
фрагменти журналів:
============================================================================================
6684:зберегти: Не вдалося вказати \\?\VOLUME{AECB5840-A0DF-11E0-A883-806E6F6E6963}\: Жоден такий файл або каталог
не client_name: C:\ level=incr, 246 МБ 00:28:10 136 фото
Завершено savetime=1543528852
90015:зберегти: Резервне копіювання VSS випромінює набір збереження 'C:\' Вдалося.
94694:зберегти: Резервне копіювання набору збереження 'C:\' Вдалося.
101087:зберегти: Очищення потоку випромінювача VSS MBS: Отримано сигнал скасування. Завершення VSS emitter save set \\?\VOLUME{AECB5840-A0DF-11E0-A883-806E6F6E6963}\.
74209:зберегти: Закрийте отриманий сигнал.
99123:зберегти: Переривання під час обробки резервної копії Windows.
90097:зберегти: Резервне копіювання ASR: переривання збереження гучності VSS, оскільки встановлено прапорець Вийти.
99123:зберегти: Переривання під час обробки резервної копії Windows.
90117:зберегти: Не вдається виконати резервне копіювання ASR: не вдається отримати статус VSS MBS.
86024:зберегти: Під час збереження наборів збереження сталася помилка аварійного відновлення.
+++ Клієнтська заявка Журнал подій:
Ім'я журналу: Джерело програми
: Microsoft-Windows-CAPI2
Дата: 13/12/2018 9:42:39
Ідентифікатор події: 513
Категорія завдання: Немає
рівня: Ключові слова помилки
: Класичний
користувач: Н/Д
комп'ютер: client_name.domain.com
Description:
Cryptographic Services не вдалося виконати під час обробки виклику OnIdentity() в об'єкті System Writer.
Детальніше:AddCoreCsiFiles:
Помилка BeginFileEnumeration().
Системна помилка:
Доступ заборонено..
Подія Xml:
>513> 0 2 0 0
0x80000000000000 8983257 Application client_name.domain.com
Детальніше:AddCoreCsiFiles:
Помилка BeginFileEnumeration().
Системна помилка:
Доступ заборонено.
Causa
Ця проблема виникає тому, що VSS System Writer не має дозволу на читання NT AUTHORITY\SERVICE (обліковий запис служби).
Коли засіб System Writer запускається як криптографічна служба та намагається прочитати відомості Mslldp.sys із драйвера протоколу виявлення Microsoft Link-Layer, створюється помилка "доступ заборонено".
Resolución
Його конфігураційний розділ реєстру – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsLldp Двійковий дескриптор безпеки для запису знаходиться тут:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsLldp
\Security
Його слід змінити за допомогою SC.EXE та Sysinternals'ACCESSCHK.EXE щоб виправити це.
Оригінальний дескриптор безпеки виглядав так
: >accesschk.exe -c mslldp mslldp
RW NT AUTHORITY\SYSTEM
RW BUILTIN\Administrators
RW S-1-5-32-549 R NT SERVICE\NlaSvc
Обліковий запис служби не має права доступу до драйвера MSLLDP.
Дескриптор безпеки для оброблених драйверів успішно виглядав таким чином:>accesschk.exe -c mup mup RW NT AUTHORITY\SYSTEM
RW BUILTIN\Administrators
R NT AUTHORITY\INTERACTIVE
R NT AUTHORITY\SERVICE
Як додати права доступу для NT AUTHORITY\SERVICE до MSLLDP service:
1.
Бігти: SC sdshow MSLLDP
Ви отримуєте щось подібне нижче (мова SDDL задокументована на MSDN):D:
(D;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; БГ)(А;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; SY)(A;; CCDCLCSWRPDTLOCRSDRCWDWO;;; БА)(А;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; SO)(A;; LCRPWP; S-1-5-80-3141615172-2057878085-1754447212-2405740020-3916490453)S:(AU;FA; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; СР)
2. Бігти: SC sdshow MUP
Ви отримуєте:D:
(A;; CCLCSWRPWPDTLOCRRC;;; SY)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; БА)(А;; CCLCSWLOCRRC;;;IУ)(А;; CCLCSWLOCRRC;;; SU)S:(AU;FA; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; СР)
3. Візьміть запис NT AUTHORITY\ SERVICE, який є (A;; CCLCSWLOCRRC;;; SU) і додайте його до оригінального дескриптора безпеки MSLLDP належним чином, безпосередньо перед останнім S:(AU... група.
4. Застосування нового дескриптора безпеки до MSLLDP service:sc sdset MSLLDP D:
(D;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; БГ)(А;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; SY)(A;; CCDCLCSWRPDTLOCRSDRCWDWO;;; БА)(А;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; SO)(A;; LCRPWP; S-1-5-80-3141615172-2057878085-1754447212-2405740020-3916490453)(A;; CCLCSWLOCRRC;;; SU)S:(AU;FA; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; СР)
5. Перевірте результат:
>accesschk.exe -c mslldp mslldp
RW NT AUTHORITY\SYSTEM
RW BUILTIN\Administrators
RW S-1-5-32-549
R NT SERVICE\NlaSvc
R NT AUTHORITY\SERVICE
6. Запустіть резервне копіювання NetWorker і перевірте, чи працює він нормально.
!! Не забудьте використовувати дескриптор безпеки для драйвера MSLLDP, оскільки можуть бути рідкісні випадки, коли він відрізняється для вашого комп'ютера. Не копіюйте мої описи SDDL і не створюйте резервну копію старого дескриптора на випадок!!