Avamar: VSS, Windows İstemcileri için Kullanıcı Profili Toplamayı Devre Dışı Bırakma

Windows Güvenlik günlükleri, avtar.exe bir istemcideki her kullanıcı profiline eriştiğini gösterir.

• Etkin kullanıcı profilleri için girişler şu şekilde görünür:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4648
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
A logon was attempted using explicit credentials.

Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
Logon GUID: {00000000-0000-0000-0000-000000000000}

Account Whose Credentials Were Used:
Account Name: testuser
Account Domain: CORP
Logon GUID: {1d662ff0-b57a-9c60-620c-b7f5c70ad1df}

Target Server:
Target Server Name: localhost
Additional Information: localhost

Process Information:
Process ID: 0x1544
Process Name: C:\Program Files\avs\bin\avtar.exe 

-----

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4624
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account was successfully logged on.
 
Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
 
Logon Type: 3
 
New Logon:
Security ID: CORP\testuser
Account Name: testuser
Account Domain: CORP
Logon ID: 0x8150fc1
Logon GUID: {cac983ee-8bf7-3789-896f-c9be1e852ead}
 
Process Information:
Process ID: 0x1334
Process Name: C:\Program Files\avs\bin\avtar.exe

• Süresi dolan kullanıcı profilleri için şöyle görünür:
   

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on.

Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain: INTERNAL
Logon ID: 0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason: The specified user account has expired.
Status: 0xc0000193
Sub Status: 0xc0000193
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

• Devre dışı bırakılmış kullanıcı profilleri için şu şekilde görünür:
   

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 

Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain:  INTERNAL
 Logon ID:  0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID:  NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason:  Account currently disabled.
Status: 0xc000006e
Sub Status: 0xc0000072
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

• Aşağıdaki gibi girişler de görülebilir:
   

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 

Subject:
Security ID: 
Account Name: testuser
Account Domain: CORP
Logon ID: 0x3e7

Logon Type: 3

Account For Which Logon Failed:
Security ID: NULL SID
Account Name:        
Account Domain:        

Failure Information:
Failure Reason:  Error occured during Logon.
Status: 0xc000018b
Sub Status: 0x0

Process Information:
Caller Process ID: 0x1544
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

• Aşağıda, karşılaşılabilecek yaygın durumların bir listesi verilmiştir:
   

   
  Status Code	Description
  0XC000005E	There are currently no logon servers available to service the logon request.
  0xC0000064	User logon with misspelled or bad user account
  0xC000006A	User logon with misspelled or bad password
  0XC000006D	This is either due to a bad username or authentication information
  0XC000006E	Unknown user name or bad password.
  0xC000006F	User logon outside authorized hours
  0xC0000070	User logon from unauthorized workstation
  0xC0000071	User logon with expired password
  0xC0000072	User logon to account disabled by administrator
  0XC00000DC	Indicates the Sam Server was in the wrong state to perform the desired operation.
  0XC0000133	Clocks between DC and other computer too far out of sync
  0XC000015B	The user has not been granted the requested logon type (aka logon right) at this machine
  0XC000018C	The logon request failed because the trust relationship between the primary domain and the trusted domain failed.
  0XC0000192	An attempt was made to logon, but the Netlogon service was not started.
  0xC0000193	User logon with expired account
  0XC0000224	User is required to change password at next logon
  0XC0000225	Evidently a bug in Windows and not a risk
  0xC0000234	User logon with account locked
  0XC00002EE	Failure Reason: An Error occurred during Logon
  0XC0000413	Logon Failure: The machine you are logging onto is protected by an authentication firewall. The specified account is not allowed to authenticate to the machine.
  
  

Tam liste için bkz: Error ode ntstatus.h (Harici Bağlantı)
Bu girişler, yedekleme her çalıştırıldığında istemci makinedeki her kullanıcı profili için Güvenlik Günlüğü'nde bulunur.

Her yedeklemenin sonunda, Eklenti oluşturulan avtar işlemi, istemcideki her kullanıcı profili için bilgi toplar.

• Avtar günlüğünde aşağıdaki satır bulunabilir (sayının profil sayısına bağlı olarak değiştiğine dikkat edin):

avtar Info <11035>: Reading 14 user profiles
avtar Info <11036>: Done reading user profiles

• Bu profil toplama işlemi, bir Windows makinesindeki her avtar oturumunun sonunda gerçekleşir. Bu yalnızca bir Windows Dosya Sistemi yedeklemesinin (avtar) sonunda değil, aynı zamanda avexvss (Exchange), avsql (SQL), avvss (VSS) gibi farklı bir eklentinin bir avtar.exe işlemi oluşturduğunda da gerçekleşir.
•  Bir Windows VSS yedeklemesi, çeşitli disk bölümlerini yedeklemek için üç avtar işlemi başlatırsa profiller üç kez toplanır ve ek yük sürelerine eklenir.
• Kullanıcı profili toplama işleminin hızlı olması gerekse de artık güvenlik tanımlayıcısı (SID) girişleri gibi bazı nadir durumlarda Avamar performansını etkilemek uzun zaman almaktadır. Günlüğe kaydedilen bu tür girişlere örnek:

2017-05-25 04:34:18 avtar Info : Reading 37 user profiles

İki saatten fazla bir süre sonra:

2017-05-25 06:50:34 avtar Info : Done reading user profiles

• Yedeklemenin sonunda profil toplama işlemi, "AuthzInitializeContextFromSid" çağrılırken bile başarısız olabilir:

2023-10-13 09:51:21 avtar Warning <16147>: AuthzInitializeContextFromSid failed: 2

Bu API'nin profil toplamada kullanımı hakkında daha fazla ayrıntı şu adreste bulunur:

https://learn.microsoft.com/en-us/troubleshoot/sql/reporting-services/call-authzinitializecontextfromsid-api-fails

Bu gibi durumlarda, bazı SID'lerde karşılık gelen kullanıcı adı girişleri eksiktir ve avtar bu artık SID'leri işlerken takılı kalır veya başarısız olur. Bu durum, kullanıcı hesapları silinirken ilgili kullanıcı ana dizini silinmezken meydana gelebilir.

Bu profil toplama varsayılan olarak açıktır, ancak yalnızca masaüstü veya dizüstü bilgisayar (DTLT) geri yüklemeleri için kullanılır. Avtar, kullanıcının yerel yönetici olup olmadığını belirlemek üzere her bir kullanıcı profilinin ait olduğu tüm grupları toplar. Bu bilgi, oturum açan kullanıcının DTLT web arayüzünü kullanarak hangi dosyaları görebileceğini ve geri yükleyebileceğini belirlemek için kullanılır.

Bu güvenlik girdileri güvenli bir şekilde yoksayılabilse de profil toplama Windows Server istemcilerinde devre dışı bırakılabilir. DTLT web arayüzü kullanılıyorsa masaüstü veya dizüstü bilgisayarlarda devre dışı bırakılmamalıdır. Kullanıcı Profili toplamayı devre dışı bırakmak için istemcideki veya ilişkili Veri Kümesindeki avtar.cmd dosyasına aşağıdaki avtar bayrağını ekleyin.

--x05=65536 

Profil toplamanın devre dışı bırakılması iki şekilde ele alınabilir.

1. Tek bir istemci için:
   1. C:\Program Files\avs\var konumunda avtar.cmd adlı bir metin dosyası oluşturun
   2. avtar.cmd dosyasına aşağıdaki bayrağı ekleyin:

   3. --x05=65536

   4. Bu, istemcideki tüm yedeklemeleri etkiler çünkü avtar her başlatıldığında bunu kullanır.
2. Veri Kümesi kullanan birden fazla istemci için:
   1. Veri kümesinde "Seçenekler" sekmesine gidin
   2. Açılır listeden uygun Eklenti türünü seçin
   3. 'Diğer' düğmesini tıklayın.
      1. Windows File System yedeklemeleri için:
         1.  'Enter Attribute'un altında: x05 girin
         2. "Özellik Değerini Girin" bölümünün altına 65536 girin
         3. Ardından + düğmesine tıklayın
      2.  Diğer tüm Windows eklentileri için:
         1. 'Özniteliği Girin' altında: [avtar]x05 ifadesini girin
         2. "Özellik Değerini Girin" bölümünün altına 65536 girin
         3. Ardından + düğmesine tıklayın
   4. Bu, veri kümesinin parçası olan her eklenti türü ve istemcinin üyesi olduğu bir gruba atanan her veri kümesi için yapılmalıdır.