Symptômes
Windows-Sicherheitsprotokolle zeigen an, dass avtar.exe auf jedes Benutzerprofil auf einem Client zugreift.
Für aktive Benutzerprofile sehen die Einträge so aus:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 5/27/2017 4:00:07 PM
Event ID: 4648
Task Category: Logon
Level: Information
Keywords: Audit Success
User: N/A
Computer: CNCSD1C.corp.emc.com
Description:
A logon was attempted using explicit credentials.
Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
Logon GUID: {00000000-0000-0000-0000-000000000000}
Account Whose Credentials Were Used:
Account Name: testuser
Account Domain: CORP
Logon GUID: {1d662ff0-b57a-9c60-620c-b7f5c70ad1df}
Target Server:
Target Server Name: localhost
Additional Information: localhost
Process Information:
Process ID: 0x1544
Process Name: C:\Program Files\avs\bin\avtar.exe
-----
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 5/27/2017 4:00:07 PM
Event ID: 4624
Task Category: Logon
Level: Information
Keywords: Audit Success
User: N/A
Computer: CNCSD1C.corp.emc.com
Description:
An account was successfully logged on.
Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
Logon Type: 3
New Logon:
Security ID: CORP\testuser
Account Name: testuser
Account Domain: CORP
Logon ID: 0x8150fc1-
Anmelde GUID: {cac983ee-8bf7-3789-896f-c9be1e852ead}
Process Information:
Process ID: 0x1334-
Prozess Name: C:\Program Files\avs\bin\avtar.exe
Für abgelaufene Benutzerprofile sehen sie so aus:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 5/27/2017 12:51:58 PM
Event ID: 4625
Task Category: Logon
Level: Information
Keywords: Audit Failure
User: N/A
Computer: CNCSD1C.corp.emc.com
Description:
An account failed to log on.
Subject:
Security ID: SYSTEM
Account Name: W8001DB03$Account Domain: INTERNAL
Logon ID: 0x3e7
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:
Account Domain:
Failure Information:
Failure Reason: The specified user account has expired.
Status: 0xc0000193
Sub Status: 0xc0000193
Process Information:
Caller Process ID: 0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe
Für
deaktivierte Benutzerprofile sieht es so aus:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 5/27/2017 12:51:58 PM
Event ID: 4625
Task Category: Logon
Level: Information
Keywords: Audit Failure
User: N/A
Computer: CNCSD1C.corp.emc.com
Description:
An account failed to log on.
Subject:
Security ID: SYSTEM
Account Name: W8001DB03$Account Domain: INTERNAL
Logon ID: 0x3e7
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:
Account Domain:
Failure Information:
Failure Reason: Account currently disabled.
Status: 0xc000006e-
unter Status: 0xc0000072 Process Information:Caller Process ID: 0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe
Auch folgende Einträge können angezeigt werden:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 5/27/2017 12:51:58 PM
Event ID: 4625
Task Category: Logon
Level: Information
Keywords: Audit Failure
User: N/A
Computer: CNCSD1C.corp.emc.com
Description:
An account failed to log on.
Subject:
Security ID:
Account Name: testuser
Account Domain: CORP
Logon ID: 0x3e7
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:
Account Domain:
Failure Information:
Failure Reason: Error occured during Logon.
Status: 0xc000018b-
unter Status: 0x0
Process Information:
Caller Process ID: 0x1544-
Aufrufer-Prozess Name: C:\Program Files\avs\bin\avtar.exe
Die folgende Liste enthält häufige Status/Sub-Status, die vorkommen können:
| Status\Sub-Status Code |
Beschreibung |
| 0XC000005E |
There are currently no logon servers available to service the logon request. |
| 0xC0000064 |
User logon with misspelled or bad user account |
| 0xC000006A |
User logon with misspelled or bad password |
| 0XC000006D |
This is either due to a bad username or authentication information |
| 0XC000006E |
Unknown user name or bad password. |
| 0xC000006F |
User logon outside authorized hours |
| 0xC0000070 |
User logon from unauthorized workstation |
| 0xC0000071 |
User logon with expired password |
| 0xC0000072 |
User logon to account disabled by administrator |
| 0XC00000DC |
Indicates the Sam Server was in the wrong state to perform the desired operation. |
| 0XC0000133 |
Clocks between DC and other computer too far out of sync |
| 0XC000015B |
The user has not been granted the requested logon type (aka logon right) at this machine |
| 0XC000018C |
The logon request failed because the trust relationship between the primary domain and the trusted domain failed. |
| 0XC0000192 |
An attempt was made to logon, but the Netlogon service was not started. |
| 0xC0000193 |
User logon with expired account |
| 0XC0000224 |
User is required to change password at next logon |
| 0XC0000225 |
Evidently a bug in Windows and not a risk |
| 0xC0000234 |
User logon with account locked |
| 0XC00002EE |
Failure Reason: An Error occurred during Logon |
| 0XC0000413 |
Logon Failure: The machine you are logging onto is protected by an authentication firewall. The specified account is not allowed to authenticate to the machine. |
Eine vollständige Liste finden Sie unter
http://errorco.de/win32/ntstatus-h/
Diese Einträge finden Sie im Sicherheitsprotokoll für jedes Benutzerprofil auf dem Client-Computer, wenn das Backup ausgeführt wird.
Cause
Am Ende jedes Backups sammelt der avtar-Prozess Daten zu jedem Profil auf dem Client.
Im avtar-Protokoll ist die folgende Zeile zu finden (beachten Sie, dass die Anzahl je nach Anzahl der Profile variiert):
avtar Info <11035>: Reading 14 user profiles
avtar Info <11036>: Done reading user profiles
Dieses Erfassen von Profilen geschieht am Ende jeder avtar-Sitzung auf einem Windows-Rechner. Das bedeutet, dass dies nicht nur am Ende einer Windows-Dateisystem-Sicherung (avtar) geschieht, sondern auch jedes Mal, wenn ein Plug-in einen avtar.exe-Prozess erzeugt. Wenn also ein Windows VSS-Backup 3 avtar-Prozesse zum Sichern verschiedener Volumes erzeugt, werden die Profile 3 Mal gesammelt.
Diese Profilerfassung ist standardmäßig eingeschaltet, wird aber nur für DTLT-Wiederherstellungen verwendet. Für jedes Nutzerprofil ermittelt avtar alle Gruppen, denen der Benutzer angehört, um festzustellen, ob der Benutzer ein lokaler Administrator ist. Diese Daten werden verwendet, um zu bestimmen, welche Dateien der angemeldete Nutzer über die DTLT-Webschnittstelle sehen und wiederherstellen kann.
Résolution
Obwohl diese Sicherheitseinträge sicher ignoriert werden können, kann die Profilerfassung auf Windows Server-Clients deaktiviert werden. Sie sollte auf Desktops oder Laptops nicht deaktiviert werden, wenn die DTLT-Web-Oberfläche verwendet wird.
Wenden Sie sich an den Avamar-Support, um Hilfe bei der Deaktivierung der Profilerfassung zu erhalten.
Produits concernés
Avamar
Produits
Avamar, Avamar Client, Avamar Client for Windows