Symptômes
Windows säkerhetsloggar anger att avtar.exe använder alla användarprofiler på en klient.
För aktiva användarprofiler ser posterna ut så här:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 5/27/2017 4:00:07 PM
Event ID: 4648
Task Category: Logon
Level: Information
Keywords: Audit Success
User: N/A
Computer: CNCSD1C.corp.emc.com
Description:
A logon was attempted using explicit credentials.
Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
Logon GUID: {00000000-0000-0000-0000-000000000000}
Account Whose Credentials Were Used:
Account Name: testuser
Account Domain: CORP
Logon GUID: {1d662ff0-b57a-9c60-620c-b7f5c70ad1df}
Target Server:
Target Server Name: localhost
Additional Information: localhost
Process Information:
Process ID: 0x1544
Process Name: C:\Program Files\avs\bin\avtar.exe
-----
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 5/27/2017 4:00:07 PM
Event ID: 4624
Task Category: Logon
Level: Information
Keywords: Audit Success
User: N/A
Computer: CNCSD1C.corp.emc.com
Description:
An account was successfully logged on.
Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
Logon Type: 3
New Logon:
Security ID: CORP\testuser
Account Name: testuser
Account Domain: CORP
Logon ID: 0x8150fc1
Logon GUID: {cac983ee-8bf7-3789-896f-c9be1e852ead}
Process Information:
Process ID: 0x1334
Process Name: C:\Program Files\avs\bin\avtar.exe
För profiler som har upphört att gälla ser det ut så här:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 5/27/2017 12:51:58 PM
Event ID: 4625
Task Category: Logon
Level: Information
Keywords: Audit Failure
User: N/A
Computer: CNCSD1C.corp.emc.com
Description:
An account failed to log on.
Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain: INTERNAL
Logon ID: 0x3e7
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:
Account Domain:
Failure Information:
Failure Reason: The specified user account has expired.
Status: 0xc0000193
Sub Status: 0xc0000193
Process Information:
Caller Process ID: 0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe
För
avaktiverade användarprofiler ser det ut så här:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 5/27/2017 12:51:58 PM
Event ID: 4625
Task Category: Logon
Level: Information
Keywords: Audit Failure
User: N/A
Computer: CNCSD1C.corp.emc.com
Description:
An account failed to log on.
Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain: INTERNAL
Logon ID: 0x3e7
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:
Account Domain:
Failure Information:
Failure Reason: Account currently disabled.
Status: 0xc000006e
Sub Status: 0xc0000072
Process Information:
Caller Process ID: 0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe
Följande poster kan också ses:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 5/27/2017 12:51:58 PM
Event ID: 4625
Task Category: Logon
Level: Information
Keywords: Audit Failure
User: N/A
Computer: CNCSD1C.corp.emc.com
Description:
An account failed to log on.
Subject:
Security ID:
Account Name: testuser
Account Domain: CORP
Logon ID: 0x3e7
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:
Account Domain:
Failure Information:
Failure Reason: Error occured during Logon.
Status: 0xc000018b
Sub Status: 0x0
Process Information:
Caller Process ID: 0x1544
Caller Process Name: C:\Program Files\avs\bin\avtar.exe
Följande är en lista med vanliga statusar/understatusar som kan förekomma:
| Status\understatuskod |
Beskrivning |
| 0XC000005E |
Det finns för närvarande inga tillgängliga servrar som kan bearbeta inloggningsbegäran. |
| 0xC0000064 |
Användarinloggning med felstavat eller ogiltigt användarkonto. |
| 0xC000006A |
Användarinloggning med felstavat eller ogiltigt lösenord. |
| 0XC000006D |
Detta beror antingen på ett ogiltigt användarnamn eller på ogiltig autentiseringsinformation. |
| 0XC000006E |
Okänt användarnamn eller ogiltigt lösenord. |
| 0xC000006F |
Användarinloggning utanför godkända timmar. |
| 0xC0000070 |
Användarinloggning från obehörig arbetsstation. |
| 0xC0000071 |
Användarinloggning med lösenord som har upphört. |
| 0xC0000072 |
Användarinloggning till konto som har avaktiverats av administratören. |
| 0XC00000DC |
Indikerar att Sam-servern var i fel läge för att utföra önskad åtgärd. |
| 0XC0000133 |
Klockor mellan DC och annan dator är för osynkroniserade. |
| 0XC000015B |
Användaren har inte fått begärd inloggningstyp (inloggningsbehörighet) till den här datorn. |
| 0XC000018C |
Inloggningsbegäran misslyckades eftersom förtroenderelationen mellan den primära domänen och den betrodda domänen misslyckades. |
| 0XC0000192 |
Ett försök gjordes att logga in men Netlogon-tjänsten startades inte. |
| 0xC0000193 |
Användarinloggning med konto som har upphört. |
| 0XC0000224 |
Användaren måste ändra lösenordet vid nästa inloggning. |
| 0XC0000225 |
Uppenbarligen ett fel i Windows och inte en risk. |
| 0xC0000234 |
Användarinloggning med kontot låst. |
| 0XC00002EE |
Felorsak: Ett fel inträffade under inloggning. |
| 0XC0000413 |
Inloggningsfel: Datorn du loggar in på skyddas av en autentiseringsbrandvägg. Det angivna kontot har inte autentiseringsbehörighet till datorn. |
En fullständig lista finns på
http://errorco.de/win32/ntstatus-h/
De här posterna finns i säkerhetsloggen för varje användarprofil på klientdatorn varje gång säkerhetskopieringen körs.
Cause
I slutet av varje säkerhetskopiering samlar avtar-processen in information om varje profil i klienten.
I avtar-loggen hittar du följande rad (observera att numret varierar beroende på antalet profiler):
avtar Info <11035>: Reading 14 user profiles
avtar Info <11036>: Done reading user profiles
Den här insamlingen av profiler sker i slutet av varje avtar-session på en Windows-dator. Det innebär att det inte bara kommer att hända i slutet av en säkerhetskopiering av ett Windows-filsystem (avtar), utan även varje gång ett insticksprogram startar en avtar.exe-process. Så om en Windows VSS-säkerhetskopiering startar tre avtar-processer för säkerhetskopiering av olika volymer samlas profilerna in tre gånger.
Den här profilinsamlingen är aktiverad som standard men används endast för DTLT-återställningar. För varje användarprofil hämtar avtar alla grupper som användaren tillhör för att avgöra om användaren är en lokal administratör. Denna information används för att avgöra vilka filer den inloggade användaren kan se och återställa med hjälp av DTLT-webbgränssnittet.
Résolution
Även om dessa säkerhetsposter kan ignoreras kan insamling av profiler avaktiveras på Windows Server-klienter. Den bör inte avaktiveras på stationära eller bärbara datorer om DTLT-webbgränssnittet används.
Kontakta Avamar-supporten om du vill ha hjälp med att avaktivera insamling av profiler.
Produits concernés
Avamar
Produits
Avamar, Avamar Client, Avamar Client for Windows