Symptômes
Windows Security-logs indikerer, at avtar.exe får adgang til alle brugerprofiler på en klient.
For aktive brugerprofiler vil posterne se ud som følger:
Logfilens navn: Sikkerhed
Kilde: Microsoft-Windows-Sikkerhedskontrol
Dato: 5/27/2017 16:00:07 PM
Hændelses-ID: 4648
Opgavekategori: Login
Niveau: Information
Nøgleord: Kontrol gennemført
Bruger: N/A
Computer: CNCSD1C.corp.emc.com
Beskrivelse:
Der blev forsøgt et login med eksplicitte brugeroplysninger.
Emne:
Sikkerheds-ID: SYSTEM
Kontonavn: CNCSD1C$
Kontodomæne: CORP
Login-ID: 0x3e7
Login-GUID: {00000000-0000-0000-0000-000000000000}
Konto, hvis brugeroplysninger blev brugt:
Kontonavn: testbruger
kontodomæne: CORP
Login-GUID: {1d662ff0-b57a-9c60-620c-b7f5c70ad1df}
Målserver:
Målservernavn: lokal vært
Yderligere information: lokal vært
Procesinformation:
Proces-ID: 0x1544
Procesnavn: C:\Programfiler\avs\bin\avtar.exe
-----
Lognavn: Sikkerhed
Kilde: Microsoft-Windows-Sikkerhedskontrol
Dato: 5/27/2017 16:00:07 PM
Hændelses-ID: 4624
Opgavekategori: Login
Niveau: Information
Nøgleord: Kontrol gennemført
Bruger: N/A
Computer: CNCSD1C.corp.emc.com
Beskrivelse:
Der blev logget på en konto.
Emne:
Sikkerheds-ID: SYSTEM
Kontonavn: CNCSD1C$
Kontodomæne: CORP
Login-ID: 0x3e7
Login-type: 3
Nyt login:
Sikkerheds-ID: CORP\testbruger
Kontonavn: testbruger
Kontodomæne: CORP
Login-ID: 0x8150fc1
Login-GUID: {cac983ee-8bf7-3789-896f-c9be1e852ead}
Procesinformation:
Proces-ID: 0x1334
Procesnavn: C:\Programfiler\avs\bin\avtar.exe
For udløbne brugerprofiler vil det se ud som følger:
Lognavn: Sikkerhed
Kilde: Microsoft-Windows-Sikkerhedskontrol
Dato: 5/27/2017 12:51:58 PM
Hændelses-ID: 4625
Opgavekategori: Login
Niveau: Information
Nøgleord: Kontrolfejl
Bruger: N/A
Computer: CNCSD1C.corp.emc.com
Beskrivelse:
En konto kunne ikke logges på.
Emne:
Sikkerheds-ID: SYSTEM
Kontonavn: W8001DB03$
Kontodomæne: INTERNT
Login-ID: 0x3e7
Login-type: 3
Konto for hvilken login ikke lykkedes:
Sikkerheds-ID: NULL SID
Kontonavn:
Kontodomæne:
Fejloplysninger:
Fejlårsag: Den angivne brugerkonto er udløbet.
Status: 0xc0000193
Understatus: 0xc0000193
Procesinformation:
Opkaldsproces-ID: 0xe7c
Opkaldsprocesnavn: C:\Programfiler\avs\bin\avtar.exe
For
deaktiverede brugerprofiler vil det se ud som følger:
Lognavn: Sikkerhed
Kilde: Microsoft-Windows-Sikkerhedskontrol
Dato: 5/27/2017 12:51:58 PM
Hændelses-ID: 4625
Opgavekategori: Login
Niveau: Information
Nøgleord: Kontrolfejl
Bruger: N/A
Computer: CNCSD1C.corp.emc.com
Beskrivelse:
En konto kunne ikke logges på.
Emne:
Sikkerheds-ID: SYSTEM
Kontonavn: W8001DB03$
Kontodomæne: INTERNT
Login-ID: 0x3e7
Login-type: 3
Konto for hvilken login ikke lykkedes:
Sikkerheds-ID: NULL SID
Kontonavn:
Kontodomæne:
Fejloplysninger:
Fejlårsag: Kontoen er i øjeblikket deaktiveret.
Status: 0xc000006e
Understatus: 0xc0000072
Procesinformation:
Opkaldsproces-ID: 0xe7c
Opkaldsprocesnavn: C:\Programfiler\avs\bin\avtar.exe
Poster som følgende kan også ses:
Lognavn: Sikkerhed
Kilde: Microsoft-Windows-Sikkerhedskontrol
Dato: 5/27/2017 12:51:58 PM
Hændelses-ID: 4625
Opgavekategori: Login
Niveau: Information
Nøgleord: Kontrolfejl
Bruger: N/A
Computer: CNCSD1C.corp.emc.com
Beskrivelse:
En konto kunne ikke logges på.
Emne:
Sikkerheds-ID:
Kontonavn: testbruger
Kontodomæne: CORP
Login-ID: 0x3e7
Logintype: 3
Konto for hvilken login ikke lykkedes:
Sikkerheds-ID: NULL SID
Kontonavn:
Kontodomæne:
Fejloplysninger:
Fejlårsag: Der opstod en fejl under login.
Status: 0xc000018b
Understatus: 0x0
Procesinformation:
Opkaldsproces-ID: 0x1544
Opkaldsprocesnavn: C:\Programfiler\avs\bin\avtar.exe
Det følgende er en liste over almindelige statusser/substatusser, der kan opstå:
| Status-\substatuskode |
Beskrivelse |
| 0XC000005E |
Der er i øjeblikket ingen loginservere tilgængelige for anmodning om servicelogin. |
| 0xC0000064 |
Brugerlogin med en forkert stavet eller ugyldig brugerkonto |
| 0xC000006A |
Brugerlogin med forkert stavet eller forkert adgangskode |
| 0XC000006D |
Dette skyldes enten forkert brugernavn eller forkerte godkendelsesoplysninger |
| 0XC000006E |
Ukendt brugernavn eller forkert adgangskode. |
| 0xC000006F |
Brugerlogin uden for autoriserede timer |
| 0xC0000070 |
Brugerlogin fra en uautoriseret arbejdsstation |
| 0xC0000071 |
Brugerlogin med udløbet adgangskode |
| 0xC0000072 |
Brugerlogin på kontoen, som er deaktiveret af administratoren |
| 0XC00000DC |
Angiver, at Sam-serveren var i en forkert tilstand til at udføre den ønskede handling. |
| 0XC0000133 |
Ure mellem DC og anden computer for langt ude af synkronisering |
| 0XC000015B |
Brugeren har ikke fået tildelt den ønskede logintype (også kendt som login højre) på denne maskine |
| 0XC000018C |
Loginanmodningen mislykkedes, fordi tillidsforholdet mellem det primære domæne og det domæne, der er tillid til, mislykkedes. |
| 0XC0000192 |
Der blev gjort et forsøg på at logge ind, men Netlogin -tjenesten var ikke påbegyndt. |
| 0xC0000193 |
Brugerlogin med udløbet konto |
| 0XC0000224 |
Bruger skal skifte password ved næste login |
| 0XC0000225 |
Tydeligt en fejl i Windows og ikke en risiko |
| 0xC0000234 |
Brugerlogin med kontoen er låst |
| 0XC00002EE |
Fejlårsag: Der opstod en fejl under login |
| 0XC0000413 |
Loginfejl: Den computer, du er logget på, er beskyttet af en godkendelsesfirewall. Den angivne konto har ikke tilladelse til at godkende computeren. |
Du kan finde en komplet liste i
http://errorco.de/Win32/ntstatus-h/
Disse poster vil blive fundet i sikkerhedsloggen for hver brugerprofil på klientmaskinen, hver gang sikkerhedskopieringen kører.
Cause
Ved afslutningen af hver sikkerhedskopi samler avtar-processen oplysninger om hver profil på klienten.
I avtar-loggen findes følgende linje (bemærk, tallet vil variere afhængigt af antallet af profiler):
avtar-info < 11035 >: Læser 14 brugerprofiler
avtar-info < 11036 >: Læsning af brugerprofiler gennemført
Denne samling af profiler sker i slutningen af alle avtar-sessioner på en Windows-maskine. Det betyder, at det ikke kun sker i slutningen af en Windows-filsystembackup (avtar), men også hver gang en plugin opsplitter en avtar.exe-proces. Så hvis en Windows-VSS-backup opsplitter 3 avtarprocesser til sikkerhedskopiering af forskellige enheder, vil profilerne blive samlet 3 gange.
Denne profilsamling er som standard slået til, men bruges kun til DTLT-gendannelser. For hver brugerprofil henter avtar alle grupper, som brugeren tilhører, for at afgøre, om brugeren er lokal administrator. Disse oplysninger bruges til at bestemme, hvilke filer, den bruger, der er logget på, kan se, og gendanne vha. DTLT-webgrænsefladen.
Résolution
Selvom disse sikkerhedsposter sagtens kan ignoreres, kan profilsamlingen deaktiveres på Windows Server-klienter. Den bør ikke deaktiveres på stationære eller bærbare computere, hvis DTLT-webgrænsefladen anvendes.
Kontakt Avamar support for at få hjælp til at deaktivere profilsamlingen.
Produits concernés
Avamar
Produits
Avamar, Avamar Client, Avamar Client for Windows