Symptômes
Protokoly zabezpečení systému Windows ukazují, že soubor avtar.exe přistupuje ke každému uživatelskému profilu v klientovi.
U aktivních uživatelských profilů budou zápisy vypadat následovně
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 5/27/2017 4:00:07 PM
Event ID: 4648
Task Category: Logon
Level: Information
Keywords: Audit Success
User: N/A
Computer: CNCSD1C.corp.emc.com
Description:
A logon was attempted using explicit credentials.
Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
Logon GUID: {00000000-0000-0000-0000-000000000000}
Account Whose Credentials Were Used:
Account Name: testuser
Account Domain: CORP
Logon GUID: {1d662ff0-b57a-9c60-620c-b7f5c70ad1df}
Target Server:
Target Server Name: localhost
Additional Information: localhost
Process Information:
Process ID: 0x1544
Process Name: C:\Program Files\avs\bin\avtar.exe
-----
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 5/27/2017 4:00:07 PM
Event ID: 4624
Task Category: Logon
Level: Information
Keywords: Audit Success
User: N/A
Computer: CNCSD1C.corp.emc.com
Description:
An account was successfully logged on.
Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
Logon Type: 3
New Logon:
Security ID: CORP\testuser
Account Name: testuser
Account Domain: CORP
Logon ID: 0x8150fc1
Logon GUID: {cac983ee-8bf7-3789-896f-c9be1e852ead}
Process Information:
Process ID: 0x1334
Process Name: C:\Program Files\avs\bin\avtar.exe
U profilů s vypršenou platností budou výpisy vypadat následovně:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 5/27/2017 12:51:58 PM
Event ID: 4625
Task Category: Logon
Level: Information
Keywords: Audit Failure
User: N/A
Computer: CNCSD1C.corp.emc.com
Description:
An account failed to log on.
Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain: INTERNAL
Logon ID: 0x3e7
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:
Account Domain:
Failure Information:
Failure Reason: The specified user account has expired.
Status: 0xc0000193
Sub Status: 0xc0000193
Process Information:
Caller Process ID: 0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe
U
zakázaných uživatelských profilů budou výpisy vypadat následovně:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 5/27/2017 12:51:58 PM
Event ID: 4625
Task Category: Logon
Level: Information
Keywords: Audit Failure
User: N/A
Computer: CNCSD1C.corp.emc.com
Description:
An account failed to log on.
Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain: INTERNAL
Logon ID: 0x3e7
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:
Account Domain:
Failure Information:
Failure Reason: Account currently disabled.
Status: 0xc000006e
Sub Status: 0xc0000072
Process Information:
Caller Process ID: 0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe
Výpisy mohou vypadat také následovně:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 5/27/2017 12:51:58 PM
Event ID: 4625
Task Category: Logon
Level: Information
Keywords: Audit Failure
User: N/A
Computer: CNCSD1C.corp.emc.com
Description:
An account failed to log on.
Subject:
Security ID:
Account Name: testuser
Account Domain: CORP
Logon ID: 0x3e7
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:
Account Domain:
Failure Information:
Failure Reason: Error occured during Logon.
Status: 0xc000018b
Sub Status: 0x0
Process Information:
Caller Process ID: 0x1544
Caller Process Name: C:\Program Files\avs\bin\avtar.exe
Níže je uveden seznam běžných stavů/dílčích stavů, které se mohou vyskytnout:
| Kód stavu\dílčího stavu |
Popis |
| 0XC000005E |
Nyní nejsou k dispozici žádné přihlašovací servery pro vyřízení žádosti o přihlášení. |
| 0xC0000064 |
Pokus o přihlášení uživatele pomocí chybně zadaného či nesprávného uživatelského účtu. |
| 0xC000006A |
Pokus o přihlášení uživatele pomocí chybně zadaného či nesprávného hesla. |
| 0XC000006D |
Bylo zadáno špatné uživatelské jméno nebo ověřovací informace |
| 0XC000006E |
Neznámé uživatelské jméno nebo chybné heslo. |
| 0xC000006F |
Pokus o přihlášení uživatele mimo povolenou dobu. |
| 0xC0000070 |
Pokus o přihlášení uživatele z neověřené pracovní stanice. |
| 0xC0000071 |
Pokus o přihlášení uživatele pomocí hesla s vypršenou platností. |
| 0xC0000072 |
Správce zakázal uživateli přihlásit se k účtu. |
| 0XC00000DC |
Server Sam nemohl provést požadovanou operaci, protože byl v chybném stavu. |
| 0xC0000133 |
Příliš velký rozdíl v času řadiče domény a dalšího počítače |
| 0xC000015B |
Uživateli nebyl v tomto počítači udělen požadovaný typ přihlášení (přihlašovací právo). |
| 0xC000018C |
Žádost o přihlášení selhala, protože selhal vztah důvěryhodnosti mezi primární doménou a důvěryhodnou doménou. |
| 0xC0000192 |
Došlo k pokusu o přihlášení, ale nebyla spuštěna služba Netlogon. |
| 0xC0000193 |
Pokus o přihlášení uživatele pomocí účtu s vypršenou platností. |
| 0xC0000224 |
Uživatel musí při příštím přihlášení změnit své heslo. |
| 0xC0000225 |
Evidentní přítomnost chyby v systému Windows, nikoli riziko. |
| 0xC0000234 |
Pokus o přihlášení pomocí uzamčeného účtu. |
| 0xC00002EE |
Důvod selhání: Při přihlášení došlo k chybě |
| 0xC0000413 |
Chyba přihlášení: Zařízení, na kterému se snažíte přihlásit, je chráněno ověřovací bránou firewall. Zadaný účet není oprávněn přihlásit se k zařízení. |
Úplný seznam naleznete na adrese
http://errorco.de/win32/ntstatus-h/.
Tyto položky se zobrazí při každém spuštění zálohování na klientském počítači v protokolu zabezpečení pro každý uživatelský profil.
Cause
Na konci každé zálohy shromažďuje proces avtar informace o každém profilu v klientovi.
V protokolu avtar je uveden následující řádek (upozorňujeme, že číslo se bude lišit v závislosti na počtu profilů):
avtar Info <11035>: Reading 14 user profiles
avtar Info <11036>: Done reading user profiles
Sběr profilů probíhá na konci každé relace avtar v počítači se systémem Windows. To znamená, že k tomu dojde nejen na konci zálohy systému souborů Windows (avtar), ale také pokaždé, když modul plugin vytvoří proces avtar.exe. Pokud tedy záloha Windows VSS vytvoří 3 procesy avtar pro zálohování různých svazků, profily budou shromážděny 3krát.
Takový sběr profilů je ve výchozím nastavení povolený, používá se však pouze pro obnovení DTLT. U každého uživatelského profilu získá proces avtar všechny skupiny, do kterých uživatel patří, díky čemuž bude moci určit, zda je uživatel místním správcem. Pomocí těchto informací lze určit, které soubory může přihlášený uživatel zobrazit a obnovit pomocí webového rozhraní DTLT.
Résolution
I když lze tyto položky zabezpečení bezpečně ignorovat, lze v klientech systému Windows Server zakázat sběr profilů. Pokud ve stolních počítačích nebo noteboocích používáte webové rozhraní DTLT, neměli byste tento sběr zakazovat.
Obraťte se na podporu Avamar, která vám se zakázáním sběru profilů pomůže.
Produits concernés
Avamar
Produits
Avamar, Avamar Client, Avamar Client for Windows