Symptômes
Windows Güvenlik günlükleri, avtar.exe dosyasının istemcideki tüm kullanıcı profillerine eriştiğini gösteriyor.
Etkin kullanıcı profilleri için girişler aşağıdaki gibi görünür:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 5/27/2017 4:00:07 PM
Event ID: 4648
Task Category: Logon
Level: Information
Keywords: Audit Success
User: N/A
Computer: CNCSD1C.corp.emc.com
Description:
A logon was attempted using explicit credentials.
Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
Logon GUID: {00000000-0000-0000-0000-000000000000}
Account Whose Credentials Were Used:
Account Name: testuser
Account Domain: CORP
Logon GUID: {1d662ff0-b57a-9c60-620c-b7f5c70ad1df}
Target Server:
Target Server Name: localhost
Additional Information: localhost
Process Information:
Process ID: 0x1544
Process Name: C:\Program Files\avs\bin\avtar.exe
-----
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 5/27/2017 4:00:07 PM
Event ID: 4624
Task Category: Logon
Level: Information
Keywords: Audit Success
User: N/A
Computer: CNCSD1C.corp.emc.com
Description:
An account was successfully logged on.
Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
Logon Type: 3
New Logon:
Security ID: CORP\testuser
Account Name: testuser
Account Domain: CORP
Logon ID: 0x8150fc1
Logon GUID: {cac983ee-8bf7-3789-896f-c9be1e852ead}
Process Information:
Process ID: 0x1334
Process Name: C:\Program Files\avs\bin\avtar.exe
For expired user profiles, it will look like:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 5/27/2017 12:51:58 PM
Event ID: 4625
Task Category: Logon
Level: Information
Keywords: Audit Failure
User: N/A
Computer: CNCSD1C.corp.emc.com
Description:
An account failed to log on.
Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain: INTERNAL
Logon ID: 0x3e7
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:
Account Domain:
Failure Information:
Failure Reason: The specified user account has expired.
Status: 0xc0000193
Sub Status: 0xc0000193
Process Information:
Caller Process ID: 0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe
For
disabled user profiles, it will look like:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 5/27/2017 12:51:58 PM
Event ID: 4625
Task Category: Logon
Level: Information
Keywords: Audit Failure
User: N/A
Computer: CNCSD1C.corp.emc.com
Description:
An account failed to log on.
Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain: INTERNAL
Logon ID: 0x3e7
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:
Account Domain:
Failure Information:
Failure Reason: Account currently disabled.
Status: 0xc000006e
Sub Status: 0xc0000072
Process Information:
Caller Process ID: 0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe
Entries such as the following can also be seen:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 5/27/2017 12:51:58 PM
Event ID: 4625
Task Category: Logon
Level: Information
Keywords: Audit Failure
User: N/A
Computer: CNCSD1C.corp.emc.com
Description:
An account failed to log on.
Subject:
Security ID:
Account Name: testuser
Account Domain: CORP
Logon ID: 0x3e7
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:
Account Domain:
Failure Information:
Failure Reason: Error occured during Logon.
Status: 0xc000018b
Sub Status: 0x0
Process Information:
Caller Process ID: 0x1544
Caller Process Name: C:\Program Files\avs\bin\avtar.exe
Aşağıda sıklıkla karşılaşabileceğiniz Durum/Alt Durumların listesi verilmiştir:
| Durum/Alt Durum Kodu |
Açıklama |
| 0XC000005E |
Oturum açma isteğine hizmet edecek geçerli sunucu yok. |
| 0xC0000064 |
Yanlış yazılmış veya geçersiz kullanıcı hesabıyla kullanıcı oturumu açıldı |
| 0xC000006A |
Yanlış yazılmış veya geçersiz parolayla kullanıcı oturumu açıldı |
| 0XC000006D |
Bunun nedeni, geçersiz kullanıcı adı veya kimlik doğrulama bilgileridir |
| 0XC000006E |
Bilinmeyen kullanıcı adı veya yanlış parola. |
| 0xC000006F |
Yetki verilen saatler dışında kullanıcı oturumu açıldı |
| 0xC0000070 |
Yetkisiz iş istasyonundan kullanıcı oturumu açıldı |
| 0xC0000071 |
Süresi geçmiş parolayla kullanıcı oturumu açıldı |
| 0xC0000072 |
Kullanıcının hesapta oturum açması yönetici tarafından devre dışı bırakıldı |
| 0XC00000DC |
Sam Server'ın istenen işlemi gerçekleştirmek için kullanılan durumda olmadığını belirtir. |
| 0XC0000133 |
DC ile diğer bilgisayar arasındaki saat senkronizasyonu çok sapmış |
| 0XC000015B |
Kullanıcıya bu makinede istenen oturum açma türü (oturum açma hakkı) sağlanmadı |
| 0XC000018C |
Oturum açma isteği, birincil etki alanı ile güvenilen etki alanı arasındaki ilişkide arıza oluştuğundan başarısız oldu. |
| 0XC0000192 |
Oturum açılmaya çalışıldı, ancak Netlogon hizmeti başlatılmadı. |
| 0xC0000193 |
Süresi geçmiş hesapla kullanıcı hesabı açıldı |
| 0XC0000224 |
Bir sonraki oturum açma sırasında kullanıcının parolayı değiştirmesi gerekiyor |
| 0XC0000225 |
Windows'daki bir hata olduğu ve risk olmadığı belirlendi |
| 0xC0000234 |
Kilitli hesapla kullanıcı oturumu açıldı |
| 0XC00002EE |
Başarısız Olma Nedeni: Oturum Açma sırasında bir Hata oluştu |
| 0XC0000413 |
Oturum Açma Hatası: Oturum açmaya çalıştığınız makine bir kimlik doğrulama güvenlik duvarıyla korunuyor. Belirtilen hesaba makinede kimlik doğrulaması yapılmasına izin verilmiyor. |
Tam liste için bkz.
http://errorco.de/win32/ntstatus-h/
Bu girişler, yedekleme her çalıştırıldığında istemci makinedeki her kullanıcı profili için Güvenlik Günlüğünde yer alır.
Cause
Her bir yedeklemenin sonunda avtar işlemi, istemcideki tüm profillerle ilgili bilgileri toplar.
Avtar günlüğünde aşağıdaki satır bulunabilir (bu numara profil sayısına bağlı olarak değişir):
avtar Info <11035>: Reading 14 user profiles
avtar Info <11036>: Done reading user profiles
Bu profil toplama işlemi, Windows makinelerinde her avtar oturumunun sonunda gerçekleşir. Bu, işlemin sadece Windows Dosya Sistemi yedeklemesinin (avtar) sonunda değil, eklentiler her avtar.exe işlemi oluşturduğunda da gerçekleştirileceği anlamına gelir. Bu nedenle Windows VSS yedeklemesi çeşitli birimleri yedeklemek için 3 kez avtar işlemi gerçekleştirirse profiller 3 kez toplanır.
Bu profil toplama işlemi varsayılan olarak etkindir ancak sadece DTLT geri yüklemeleri için kullanılır. Avtar, kullanıcının yerel yönetici olup olmadığını belirlemek üzere her bir kullanıcı profilinin ait olduğu tüm grupları toplar. Bu bilgi, oturum açan kullanıcının DTLT web arayüzünü kullanarak hangi dosyaları görebileceğini ve geri yükleyebileceğini belirlemek için kullanılır.
Résolution
Bu güvenlik girdileri güvenli bir şekilde yoksayılabilse de profil toplama Windows Server istemcilerinde devre dışı bırakılabilir. Bu, DTLT web arayüzü kullanılıyorsa masaüstü veya dizüstü bilgisayarlarda devre dışı bırakılmamalıdır.
Profil toplamayı devre dışı bırakma konusunda yardım için lütfen Avamar Desteği ile iletişime geçin.
Produits concernés
Avamar
Produits
Avamar, Avamar Client, Avamar Client for Windows