Symptômes
Windows 安全日志指明,avtar.exe 正在访问客户端上的每个用户配置文件。
对于活动用户配置文件,条目将如下所示:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 5/27/2017 4:00:07 PM
Event ID: 4648
Task Category: Logon
Level: Information
Keywords: Audit Success
User: N/A
计算机: CNCSD1C.corp.emc.com
Description:
A logon was attempted using explicit credentials.
Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
Logon GUID: {00000000-0000-0000-0000-000000000000}
Account Whose Credentials Were Used:
Account Name: testuser
Account Domain: CORP
Logon GUID: {1d662ff0-b57a-9c60-620c-b7f5c70ad1df}
Target Server:
Target Server Name: localhost
Additional Information: localhost
Process Information:
Process ID: 0x1544
Process Name: C:\Program Files\avs\bin\avtar.exe
-----
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 5/27/2017 4:00:07 PM
Event ID: 4624
Task Category: Logon
Level: Information
Keywords: Audit Success
User: N/A
计算机: CNCSD1C.corp.emc.com
Description:
An account was successfully logged on.
Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
Logon Type: 3
New Logon:
Security ID: CORP\testuser
Account Name: testuser
Account Domain: CORP
Logon ID: 0x8150fc1
Logon GUID: {cac983ee-8bf7-3789-896f-c9be1e852ead}
Process Information:
Process ID: 0x1334
Process Name: C:\Program Files\avs\bin\avtar.exe
对于过期用户配置文件,其如下所示:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 5/27/2017 12:51:58 PM
Event ID: 4625
Task Category: Logon
Level: Information
Keywords: Audit Failure
User: N/A
计算机: CNCSD1C.corp.emc.com
Description:
An account failed to log on.
Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain: INTERNAL
Logon ID: 0x3e7
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:
Account Domain:
Failure Information:
Failure Reason: The specified user account has expired.
Status: 0xc0000193
Sub Status: 0xc0000193
Process Information:
Caller Process ID: 0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe
对于
已禁用用户配置文件,其如下所示:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 5/27/2017 12:51:58 PM
Event ID: 4625
Task Category: Logon
Level: Information
Keywords: Audit Failure
User: N/A
计算机: CNCSD1C.corp.emc.com
Description:
An account failed to log on.
Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain: INTERNAL
Logon ID: 0x3e7
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:
Account Domain:
Failure Information:
Failure Reason: Account currently disabled.
Status: 0xc000006e
Sub Status: 0xc0000072
Process Information:
Caller Process ID: 0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe
还会看到如下条目:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 5/27/2017 12:51:58 PM
Event ID: 4625
Task Category: Logon
Level: Information
Keywords: Audit Failure
User: N/A
计算机: CNCSD1C.corp.emc.com
Description:
An account failed to log on.
Subject:
Security ID:
Account Name: testuser
Account Domain: CORP
Logon ID: 0x3e7
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:
Account Domain:
Failure Information:
Failure Reason: Error occured during Logon.
Status: 0xc000018b
Sub Status: 0x0
Process Information:
Caller Process ID: 0x1544
Caller Process Name: C:\Program Files\avs\bin\avtar.exe
下面列出了可能遇到的常见状态/子状态:
| Status\Sub-Status Code |
描述 |
| 0XC000005E |
目前没有可用来处理登录请求的登录服务器。 |
| 0xC0000064 |
用户使用拼错或错误的用户帐户登录 |
| 0xC000006A |
用户使用拼错或错误的密码登录 |
| 0XC000006D |
这可能是因为用户名或身份验证信息错误引起的 |
| 0XC000006E |
未知用户名或密码错误。 |
| 0xC000006F |
用户在未经授权的时段登录 |
| 0xC0000070 |
用户从未经授权的工作站登录 |
| 0xC0000071 |
用户使用过期密码登录 |
| 0xC0000072 |
用户登录到管理员已禁用的帐户 |
| 0XC00000DC |
表示 Sam 服务器的状态不正确,无法执行所需的操作。 |
| 0XC0000133 |
DC 和其他计算机之间的时钟严重不同步 |
| 0XC000015B |
此机器上尚未授予用户请求的登录类型(亦称登录权限) |
| 0XC000018C |
登录请求失败,因为主域与受信任域之间的信任关系失败。 |
| 0XC0000192 |
已尝试登录,但 Netlogon 服务未启动。 |
| 0xC0000193 |
用户使用过期帐户登录 |
| 0XC0000224 |
用户在下次登录时需要更改密码 |
| 0XC0000225 |
显然,Windows 中存在错误,而不是风险 |
| 0xC0000234 |
用户使用锁定帐户登录 |
| 0XC00002EE |
失败原因:在登录过程中出现错误 |
| 0XC0000413 |
登录失败:您正在登录的计算机受到身份验证防火墙的保护。不允许指定帐户向机器进行身份验证。 |
有关完整列表,请参阅
http://errorco.de/win32/ntstatus-h/
每次运行备份时,将在客户端计算机上的每个用户配置文件的安全日志中找到这些条目。
Cause
在每个备份结束时,avtar 进程会收集有关客户端上每个配置文件的信息。
在 avtar 日志中,可以找到以下行(请注意,该数字因配置文件数而异):
avtar Info <11035>: Reading 14 user profiles
avtar Info <11036>: Done reading user profiles
在 Windows 计算机上的每个 avtar 会话结束时,将进行此配置文件收集。 这意味着,这不仅会发生在 Windows 文件系统备份的末尾 (avtar),而且插件程序每次还会产生 avtar.exe 进程。 因此,如果 Windows VSS 备份会产生 3 个 avtar 进程来备份各种卷,则系统将收集配置文件 3 次。
默认情况下,此配置文件收集处于启用状态,但仅用于 DTLT 恢复。 对于每个用户配置文件,avtar 将获得用户所属的所有组,以便确定用户是否为本地管理员。 此信息用于确定登录用户可以使用 DTLT web 界面查看和恢复的文件。
Résolution
虽然可以安全地忽略这些安全条目,但可以在 Windows 服务器客户端上禁用配置文件收集。 如果正在使用 DTLT web 界面,则不应在台式机或笔记本电脑上禁用该功能。
请联系 Avamar 支持,以获取有关禁用配置文件收集的帮助。
Produits concernés
Avamar
Produits
Avamar, Avamar Client, Avamar Client for Windows