Symptômes
Windowsセキュリティ ログは、avtar.exeがクライアント上のすべてのユーザー プロファイルにアクセスしていることを示しています。
アクティブなユーザー プロファイルの場合、エントリーは次のようになります。
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 5/27/2017 4:00:07 PM
Event ID: 4648
Task Category: Logon
Level: Information
Keywords: Audit Success
User: N/A
Computer: CNCSD1C.corp.emc.com
Description:
A logon was attempted using explicit credentials.
Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
Logon GUID: {00000000-0000-0000-0000-000000000000}
Account Whose Credentials Were Used:
Account Name: testuser
Account Domain: CORP
Logon GUID: {1d662ff0-b57a-9c60-620c-b7f5c70ad1df}
Target Server:
Target Server Name: localhost
Additional Information: localhost
Process Information:
Process ID: 0x1544
Process Name: C:\Program Files\avs\bin\avtar.exe
-----
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 5/27/2017 4:00:07 PM
Event ID: 4624
Task Category: Logon
Level: Information
Keywords: Audit Success
User: N/A
Computer: CNCSD1C.corp.emc.com
Description:
An account was successfully logged on.
Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
Logon Type: 3
New Logon:
Security ID: CORP\testuser
Account Name: testuser
Account Domain: CORP
Logon ID: 0x8150fc1
Logon GUID: {cac983ee-8bf7-3789-896f-c9be1e852ead}
Process Information:
Process ID: 0x1334
Process Name: C:\Program Files\avs\bin\avtar.exe
有効期限が切れたユーザー プロファイルの場合は、次のようになります。
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 5/27/2017 12:51:58 PM
Event ID: 4625
Task Category: Logon
Level: Information
Keywords: Audit Failure
User: N/A
Computer: CNCSD1C.corp.emc.com
Description:
An account failed to log on.
Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain: INTERNAL
Logon ID: 0x3e7
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:
Account Domain:
Failure Information:
Failure Reason: The specified user account has expired.
Status: 0xc0000193
Sub Status: 0xc0000193
Process Information:
Caller Process ID: 0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe
無効化されたユーザー プロファイルの場合は、次のようになります:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 5/27/2017 12:51:58 PM
Event ID: 4625
Task Category: Logon
Level: Information
Keywords: Audit Failure
User: N/A
Computer: CNCSD1C.corp.emc.com
Description:
An account failed to log on.
Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain: INTERNAL
Logon ID: 0x3e7
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:
Account Domain:
Failure Information:
Failure Reason: Account currently disabled.
Status: 0xc000006e
Sub Status: 0xc0000072
Process Information:
Caller Process ID: 0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe
次のようなエントリーが表示されることもあります。
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 5/27/2017 12:51:58 PM
Event ID: 4625
Task Category: Logon
Level: Information
Keywords: Audit Failure
User: N/A
Computer: CNCSD1C.corp.emc.com
Description:
An account failed to log on.
Subject:
Security ID:
Account Name: testuser
Account Domain: CORP
Logon ID: 0x3e7
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:
Account Domain:
Failure Information:
Failure Reason: Error occured during Logon.
Status: 0xc000018b
Sub Status: 0x0
Process Information:
Caller Process ID: 0x1544
Caller Process Name: C:\Program Files\avs\bin\avtar.exe
次に、発生する可能性のある一般的なステータス/サブ ステータスのリストを示します。
| ステータス/サブ ステータスのコード |
説明 |
| 0XC000005E |
現在、ログオン要求を処理するために使用できるログオン サーバーはありません。 |
| 0xC0000064 |
ユーザー ログオンでユーザー アカウントの綴りが間違っているまたは正しくありません |
| 0xC000006A |
ユーザー ログオンでパスワードの綴りが間違っているまたは正しくありません |
| 0XC000006D |
これは、ユーザー名または認証情報が正しくないことが原因です |
| 0XC000006E |
ユーザー名が不明であるまたはパスワードが正しくありません。 |
| 0xC000006F |
ユーザー ログオンが許可された時間外です。 |
| 0xC0000070 |
許可されていないワークステーションからのユーザー ログオンです。 |
| 0xC0000071 |
ユーザー ログオンのパスワードが期限切れです。 |
| 0xC0000072 |
管理者が無効にしているアカウントへのユーザー ログオンです |
| 0XC00000DC |
Samサーバーが必要な操作を実行するための状態でないことを示します。 |
| 0XC0000133 |
DCと他のPC間のクロックの同期が非常にずれています |
| 0XC000015B |
ユーザーにはこのマシンで要求されているログオン タイプ(別称:ログオンの権利)が許可されていません。 |
| 0XC000018C |
プライマリー ドメインと信頼済みドメイン間の信頼関係が失敗したため、ログオン要求は失敗しました。 |
| 0XC0000192 |
ログインを試行しましたが、Netlogonサービスが開始されませんでした。 |
| 0xC0000193 |
有効期限の切れたアカウントでのユーザー ログオンです。 |
| 0XC0000224 |
ユーザーは次回のログオン時にパスワードを変更する必要があります。 |
| 0XC0000225 |
明白にWindowsのバグでリスクではありません。 |
| 0xC0000234 |
ロックされたアカウントへのユーザー ログオンです。 |
| 0XC00002EE |
失敗の理由:ログオン中にエラーが発生しました。 |
| 0XC0000413 |
ログインに失敗しました:ログオンしているマシンは、認証ファイアウォールによって保護されています。指定されたアカウントは、マシンへの認証を許可されていません。 |
全リストについては、「
http://errorco.de/win32/ntstatus-h/」を参照してください。
これらのエントリーは、バックアップが実行されるたびに、クライアント マシン上のすべてのユーザー プロファイルのセキュリティ ログに表示されます。
Cause
各バックアップの最後に、avtarプロセスは、クライアント上のすべてのプロファイルに関する情報を収集します。
avtarログでは、次の行を見つけることができます(数字はプロファイルの数によって異なります)。
avtar Info < 11035 >: Reading 14 user profiles
avtar Info <11036>: Done reading user profiles
このプロファイル収集は、Windowsマシン上の各avtarセッションの最後に実行されます。 つまり、これは、Windowsファイル システム バックアップ(avtar)の終了時にのみではなく、プラグインがavtar.exeプロセスを生成するたびに発生します。 したがって、Windows VSSバックアップにより、さまざまなボリュームをバックアップする3つのavtarプロセスが生成された場合、プロファイルは3回収集されます。
このプロファイル収集はデフォルトでオンになっていますが、DTLTリストアにのみ使用されます。 すべてのユーザー プロファイルについて、avtarは、ユーザーがローカル管理者であるかどうかを判断するために、ユーザーが所属するすべてのグループを取得します。 この情報は、ログインしているユーザーがDTLT Webインターフェイスを使用して表示およびリストアできるファイルを決定するために使用されます。
Résolution
これらのセキュリティ エントリーを無視しても問題ありませんが、Windows Serverクライアントではプロファイル収集が無効にされる可能性があります。 これは、DTLT Webインターフェイスが使用されている場合は、デスクトップまたはノートPCでは無効にしない必要があります。
プロファイルの収集を無効にする方法については、Avamarのサポートにお問い合わせください。
Produits concernés
Avamar
Produits
Avamar, Avamar Client, Avamar Client for Windows