Avamar：VSSによるWindowsクライアントのユーザー プロファイル収集の無効化

Windows セキュリティ ログは、avtar.exe がクライアント上のすべてのユーザー プロファイルにアクセスしていることを示しています。

• アクティブ・ユーザー・プロファイルの場合、項目は次のようになります。

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4648
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
A logon was attempted using explicit credentials.

Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
Logon GUID: {00000000-0000-0000-0000-000000000000}

Account Whose Credentials Were Used:
Account Name: testuser
Account Domain: CORP
Logon GUID: {1d662ff0-b57a-9c60-620c-b7f5c70ad1df}

Target Server:
Target Server Name: localhost
Additional Information: localhost

Process Information:
Process ID: 0x1544
Process Name: C:\Program Files\avs\bin\avtar.exe 

-----

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4624
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account was successfully logged on.
 
Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
 
Logon Type: 3
 
New Logon:
Security ID: CORP\testuser
Account Name: testuser
Account Domain: CORP
Logon ID: 0x8150fc1
Logon GUID: {cac983ee-8bf7-3789-896f-c9be1e852ead}
 
Process Information:
Process ID: 0x1334
Process Name: C:\Program Files\avs\bin\avtar.exe

• 期限切れのユーザー プロファイルの場合は、次のようになります。
   

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on.

Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain: INTERNAL
Logon ID: 0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason: The specified user account has expired.
Status: 0xc0000193
Sub Status: 0xc0000193
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

• 無効化されたユーザープロファイルの場合は、次のようになります。
   

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 

Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain:  INTERNAL
 Logon ID:  0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID:  NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason:  Account currently disabled.
Status: 0xc000006e
Sub Status: 0xc0000072
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

• 次のようなエントリーも表示されます。
   

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 

Subject:
Security ID: 
Account Name: testuser
Account Domain: CORP
Logon ID: 0x3e7

Logon Type: 3

Account For Which Logon Failed:
Security ID: NULL SID
Account Name:        
Account Domain:        

Failure Information:
Failure Reason:  Error occured during Logon.
Status: 0xc000018b
Sub Status: 0x0

Process Information:
Caller Process ID: 0x1544
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

• 以下は、発生する可能性のある一般的なステータスのリストです。
   

   
  Status Code	Description
  0XC000005E	There are currently no logon servers available to service the logon request.
  0xC0000064	User logon with misspelled or bad user account
  0xC000006A	User logon with misspelled or bad password
  0XC000006D	This is either due to a bad username or authentication information
  0XC000006E	Unknown user name or bad password.
  0xC000006F	User logon outside authorized hours
  0xC0000070	User logon from unauthorized workstation
  0xC0000071	User logon with expired password
  0xC0000072	User logon to account disabled by administrator
  0XC00000DC	Indicates the Sam Server was in the wrong state to perform the desired operation.
  0XC0000133	Clocks between DC and other computer too far out of sync
  0XC000015B	The user has not been granted the requested logon type (aka logon right) at this machine
  0XC000018C	The logon request failed because the trust relationship between the primary domain and the trusted domain failed.
  0XC0000192	An attempt was made to logon, but the Netlogon service was not started.
  0xC0000193	User logon with expired account
  0XC0000224	User is required to change password at next logon
  0XC0000225	Evidently a bug in Windows and not a risk
  0xC0000234	User logon with account locked
  0XC00002EE	Failure Reason: An Error occurred during Logon
  0XC0000413	Logon Failure: The machine you are logging onto is protected by an authentication firewall. The specified account is not allowed to authenticate to the machine.
  
  

完全なリストについては、Error ode ntstatus.h (外部リンク)
これらのエントリは、バックアップが実行されるたびに、クライアント マシン上のすべてのユーザー プロファイルのセキュリティ ログにあります。

各バックアップの最後に、プラグインによって生成されたavtarプロセスは、クライアント上のすべてのユーザー プロファイルの情報を収集します。

• avtarログには、次の行があります(プロファイルの数によって数が異なることに注意してください)。

avtar Info <11035>: Reading 14 user profiles
avtar Info <11036>: Done reading user profiles

• このプロファイルの収集は、Windowsマシン上のすべてのavtarセッションの最後に行われます。これは、Windowsファイル システム バックアップ(avtar)の終了時だけでなく、avexvss(Exchange)、avsql(SQL)、avvss(VSS)などの異なるプラグインがavtar.exeプロセスを生成するたびに発生します。
•  Windows VSSバックアップで、さまざまなボリュームをバックアップするために3つのavtarプロセスが生成される場合 、プロファイルは3回収集され、オーバーヘッド時間が増加します。
• ユーザー プロファイルの収集は迅速なプロセスであるはずですが、孤立したSID(セキュリティ識別子)エントリーなどのまれなインスタンスでは、Avamarのパフォーマンスに影響を与える長い時間がかかります。このようなログに記録されたエントリの例:

2017-05-25 04:34:18 avtar Info : Reading 37 user profiles

2時間以上後に続きました。

2017-05-25 06:50:34 avtar Info : Done reading user profiles

• 「AuthzInitializeContextFromSid」を呼び出すと、バックアップの最後にプロファイルの収集が失敗する可能性があります。

2023-10-13 09:51:21 avtar Warning <16147>: AuthzInitializeContextFromSid failed: 2

プロファイル収集でのこのAPIの使用の詳細については、以下を参照してください。

https://learn.microsoft.com/en-us/troubleshoot/sql/reporting-services/call-authzinitializecontextfromsid-api-fails

このような場合、一部のSIDで対応するユーザー名エントリーが欠落し、avtarがスタックするか、これらの孤立したSIDの処理に失敗しました。これは、ユーザー アカウントを削除しても、対応するユーザー ホーム ディレクトリーは削除しない場合に発生する可能性があります。

このプロファイル収集はデフォルトでオンになっていますが、デスクトップまたはノートパソコン(DTLT)のリストアにのみ使用されます。すべてのユーザー プロファイルについて、avtarは、ユーザーがローカル管理者であるかどうかを判断するために、ユーザーが所属するすべてのグループを取得します。この情報は、ログインしているユーザーがDTLT Webインターフェイスを使用して表示およびリストアできるファイルを決定するために使用されます。

これらのセキュリティ エントリーを無視しても問題ありませんが、Windows Serverクライアントではプロファイル収集が無効にされる可能性があります。DTLT Webインターフェイスを使用している場合は、デスクトップまたはノートパソコンで無効にしないでください。ユーザー プロファイルの収集を無効にするには、クライアントまたは関連するデータセットのavtar.cmdファイルに次のavtarフラグを追加します。

--x05=65536 

プロファイル収集の無効化は、2 つの方法で処理できます。

1. 単一クライアントの場合:
   1. C:\Program Files\avs\varにavtar.cmdという名前のテキスト ファイルを作成します。
   2. avtar.cmdファイルで、次のフラグを追加します。

   3. --x05=65536

   4. avtarは起動のたびにこのファイルを使用するため、これはクライアント上のすべてのバックアップに影響します。
2. データセットを使用する複数のクライアントの場合:
   1. データセットで、[オプション]タブに移動します
   2. ドロップダウン リストから適切なプラグイン タイプを選択します
   3. 「その他」ボタンをクリックします。
      1. Windowsファイル システム バックアップの場合:
         1.  [属性を入力]で、次の手順を実行します。 「x05」と入力します
         2. [属性値を入力]に「65536」と入力します
         3. 次に、[ + ]ボタンをクリックします
      2.  その他すべてのWindowsプラグインの場合:
         1. [属性の入力:] 「[avtar]x05」と入力します
         2. [属性値を入力]に「65536」と入力します
         3. 次に、[ + ]ボタンをクリックします
   4. これは、データセットの一部である各プラグイン タイプ、およびクライアントがメンバーであるグループに割り当てられているすべてのデータセットに対して行う必要があります。