Symptômes
Windows-sikkerhetslogger indikerer at avtar.exe får tilgang til hver brukerprofil på en klient.
For aktive brukerprofiler vil oppføringene se slik ut:
Loggnavn: Sikkerhet
Kilde: Microsoft-Windows-Security-Auditing
Dato: 5/27/2017 4:00:07 PM
Hendelses-ID: 4648
Oppgavekategori: Pålogging
Nivå: Informasjon
Nøkkelord: Overvåking vellykket
Bruker: N/A
Computer: CNCSD1C.corp.emc.com
Beskrivelse:
Det ble forsøkt en pålogging med uttrykt legitimasjon.
Emne:
Sikkerhets-ID: SYSTEM
Kontonavn: CNCSD1C$
Kontodomene: CORP
Påloggings-ID: 0x3e7
Påloggings-GUID: {00000000-0000-0000-0000-000000000000}
Kontoen som eier legitimasjonsbeskrivelsene som ble brukt:
Kontonavn: testuser
Kontodomene: CORP
Påloggings-GUID: {1d662ff0-b57a-9c60-620c-b7f5c70ad1df}
Målserver:
Målservernavn: localhost
Tilleggsinformasjon: localhost
Prosessinformasjon:
Prosess-ID: 0x1544
Prosessnavn: C:\Program Files\avs\bin\avtar.exe
-----
Loggnavn: Sikkerhet
Kilde: Microsoft-Windows-Security-Auditing
Dato: 5/27/2017 4:00:07 PM
Hendelses-ID: 4624
Oppgavekategori: Pålogging
Nivå: Informasjon
Nøkkelord: Overvåking vellykket
Bruker: N/A
Computer: CNCSD1C.corp.emc.com
Beskrivelse:
Det ble logget på en konto.
Emne:
Sikkerhets-ID: SYSTEM
Kontonavn: CNCSD1C$
Kontodomene: CORP
Påloggings-ID: 0x3e7
Påloggingstype: 3
Ny pålogging:
Sikkerhets-ID: CORP\testuser
Kontonavn: testuser
Kontodomene: CORP
Påloggings-ID: 0x8150fc1
Påloggings-GUID: {cac983ee-8bf7-3789-896f-c9be1e852ead}
Prosessinformasjon:
Prosess-ID: 0x1334
Prosessnavn: C:\Program Files\avs\bin\avtar.exe
For utløpte brukerprofiler vil det se slik ut:
Loggnavn: Sikkerhet
Kilde: Microsoft-Windows-Security-Auditing
Dato: 5/27/2017 12:51:58 PM
Hendelses-ID: 4625
Oppgavekategori: Pålogging
Nivå: Informasjon
Nøkkelord: Overvåkingsfeil
Bruker: N/A
Computer: CNCSD1C.corp.emc.com
Beskrivelse:
Pålogging fra en konto mislyktes.
Emne:
Sikkerhets-ID: SYSTEM
Kontonavn: W8001DB03$
Kontodomene: INTERNT
Påloggings-ID: 0x3e7
Påloggingstype: 3
Kontoen pålogging mislyktes for:
Sikkerhets-ID: NULL SID
Kontonavn:
Kontodomene:
Feilinformasjon:
Feilårsak: Den spesifiserte brukerkontoen har utløpt.
Status: 0xc0000193
Delstatus: 0xc0000193
Prosessinformasjon:
Oppkallerens prosess-ID: 0xe7c
Oppkallerens prosessnavn: C:\Program Files\avs\bin\avtar.exe
For
deaktiverte brukerprofiler vil det se slik ut:
Loggnavn: Sikkerhet
Kilde: Microsoft-Windows-Security-Auditing
Dato: 5/27/2017 12:51:58 PM
Hendelses-ID: 4625
Oppgavekategori: Pålogging
Nivå: Informasjon
Nøkkelord: Overvåkingsfeil
Bruker: N/A
Computer: CNCSD1C.corp.emc.com
Beskrivelse:
Pålogging fra en konto mislyktes.
Emne:
Sikkerhets-ID: SYSTEM
Kontonavn: W8001DB03$
Kontodomene: INTERNT
Påloggings-ID: 0x3e7
Påloggingstype: 3
Kontoen pålogging mislyktes for:
Sikkerhets-ID: NULL SID
Kontonavn:
Kontodomene:
Feilinformasjon:
Feilårsak: Kontoen er deaktivert.
Status: 0xc000006e
Delstatus: 0xc0000072
Prosessinformasjon:
Oppkallerens prosess-ID: 0xe7c
Oppkallerens prosessnavn: C:\Program Files\avs\bin\avtar.exe
Følgende oppføringer kan også vises:
Loggnavn: Sikkerhet
Kilde: Microsoft-Windows-Security-Auditing
Dato: 5/27/2017 12:51:58 PM
Hendelses-ID: 4625
Oppgavekategori: Pålogging
Nivå: Informasjon
Nøkkelord: Overvåkingsfeil
Bruker: N/A
Computer: CNCSD1C.corp.emc.com
Beskrivelse:
Pålogging fra en konto mislyktes.
Emne:
Sikkerhets-ID:
Kontonavn: testuser
Kontodomene: CORP
Påloggings-ID: 0x3e7
Påloggingstype: 3
Kontoen pålogging mislyktes for:
Sikkerhets-ID: NULL SID
Kontonavn:
Kontodomene:
Feilinformasjon:
Feilårsak: Det oppsto en feil under pålogging.
Status: 0xc000018b
Delstatus: 0x0
Prosessinformasjon:
Oppkallerens prosess-ID: 0x1544
Oppkallerens prosessnavn: C:\Program Files\avs\bin\avtar.exe
Følgende er en liste over vanlige statuser/delstatuser som kan oppstå:
| Status-/delstatuskode |
Beskrivelse |
| 0XC000005E |
Det er ingen tilgjengelige påloggingsservere som kan betjene påloggingsforespørselen. |
| 0xC0000064 |
Brukerpålogging med feilstavet eller ugyldig brukerkonto |
| 0xC000006A |
Brukerpålogging med feilstavet eller ugyldig passord |
| 0XC000006D |
Dette skyldes ugyldig brukernavn eller godkjenningsinformasjon |
| 0XC000006E |
Ukjent brukernavn eller ugyldig passord. |
| 0xC000006F |
Brukerpålogging utenfor autoriserte tider |
| 0xC0000070 |
Brukerpålogging fra uautorisert arbeidsstasjon |
| 0xC0000071 |
Brukerpålogging med utløpt passord |
| 0xC0000072 |
Brukerpålogging til konto er deaktivert av administrator |
| 0XC00000DC |
Angir at Sam-serveren ikke var i riktig tilstand for å utføre ønsket operasjon. |
| 0XC0000133 |
Klokker mellom DC og annen datamaskin er for usynkronisert |
| 0XC000015B |
Brukeren har ikke fått innvilget ønsket påloggingstype (dvs. påloggingsrettighet) på denne datamaskinen |
| 0XC000018C |
Påloggingsforespørselen mislyktes fordi klareringsforholdet mellom det primære domenet og det klarerte domenet mislyktes. |
| 0XC0000192 |
Pålogging ble forsøkt, men Netlogon-tjenesten var ikke startet opp. |
| 0xC0000193 |
Brukerpålogging med utløpt konto |
| 0XC0000224 |
Brukeren må endre passord ved neste pålogging |
| 0XC0000225 |
Tilsynelatende en feil i Windows og ikke en risiko |
| 0xC0000234 |
Brukerpålogging med konto er låst |
| 0XC00002EE |
Feilårsak: Det oppsto en feil under pålogging |
| 0XC0000413 |
Påloggingsfeil: Maskinen du logger deg på, er beskyttet av en godkjenningsbrannmur. Angitt konto tillates ikke å godkjenne mot maskinen. |
Hvis du vil se den fullstendige listen, kan du gå til
http://errorco.de/win32/ntstatus-h/
Du kan finne disse oppføringene i sikkerhetsloggen for hver brukerprofil på klientmaskinen hver gang sikkerhetskopieringen kjører.
Cause
På slutten av hver sikkerhetskopiering samler avtar-prosessen inn informasjon om alle profilene på klienten.
Du kan se følgende linje i avtar-loggen (vær oppmerksom på at tallet vil variere, avhengig av antallet profiler):
avtar Info <11035>: Reading 14 user profiles (Leser 14 brukerprofiler)
avtar Info <11036>: Done reading user profiles (Ferdig med å lese brukerprofiler)
Denne innsamlingen av profiler utføres på slutten av hver avtar-økt på en Windows-maskin. Dette betyr at den ikke bare vil utføres på slutten av en sikkerhetskopiering av Windows-filsystemet (avtar), men også hver gang en pluginmodul starter en avtar.exe-prosess. Hvis en Windows VSS-sikkerhetskopiering starter tre avtar-prosesser for å sikkerhetskopiere ulike volumer, blir profilene samlet inn tre ganger.
Denne profilinnsamlingen er aktivert som standard, men brukes bare for DTLT-gjenopprettinger. For hver brukerprofil samler avtar inn alle gruppene som brukeren tilhører, for å fastslå om brukeren er en lokal administrator. Denne informasjonen brukes til å fastslå hvilke filer den påloggede brukeren kan se og gjenopprette ved hjelp av DTLT-webgrensesnittet.
Résolution
Selv om disse sikkerhetsoppføringene trygt kan ignoreres, kan profilinnsamling deaktiveres på Windows Server-klienter. Det bør ikke deaktiveres på stasjonære eller bærbare PC-er hvis DTLT-webgrensesnittet brukes.
Kontakt Avamar-støtten hvis du trenger hjelp med å deaktivere profilinnsamling.
Produits concernés
Avamar
Produits
Avamar, Avamar Client, Avamar Client for Windows