Symptômes
Los
registros de seguridad de Windows indican que Avtar. exe está accediendo a cada perfil de usuario de un cliente.
Para los perfiles de usuario activos , las entradas se verán como:
nombre de registro: Origen de seguridad
: Microsoft-Windows-seguridad-fecha de auditoría
: 5/27/2017 4:00:07 PM
ID de evento: 4648
Categoría de tarea: Nivel de inicio de sesión
:
Palabras clave de información: Usuario de éxito de auditoría
: N/A
equipo: CNCSD1C.corp.emc.com
Descripción:
se intentó iniciar sesión con credenciales explícitas.
Asunto:
ID de seguridad: Nombre de SYSTEMAccount Dominio de cuenta de CNCSD1C $
: ID de inicio de sesión de CORP
: GUID de inicio de sesión de 0x3e7
: {00000000-0000-0000-0000-000000000000}
Cuenta cuyas credenciales se utilizaron:
nombre de cuenta: nombre de cuenta
dominio de cuenta:
GUID de inicio de sesión corporativo: {1d662ff0-b57a-9c60-620C-b7f5c70ad1df}
Servidor de destino:
nombre del servidor de destino: localhost
información adicional: información del proceso del host local
:
ID del proceso: Nombre del proceso de 0x1544
: C:\Program Files\avs\bin\avtar.exe
Nombre de registro-----: Origen de seguridad
: Microsoft-Windows-seguridad-fecha de auditoría
: 5/27/2017 4:00:07 PM
ID de evento: 4624
Categoría de tarea: Nivel de inicio de sesión
:
Palabras clave de información: Usuario de éxito de auditoría
: N/A
equipo:
Descripción del CNCSD1C.Corp.EMC.com:
se ha iniciado sesión correctamente en una cuenta.
Asunto:
ID de seguridad: Nombre de SYSTEMAccount Dominio de cuenta de CNCSD1C $
: ID de inicio de sesión de CORP
: Tipo de inicio de sesión de 0x3e7
: 3
Inicio de sesión nuevo:
ID de seguridad: Nombre de la cuenta de CORP\testuser
: testuser
cuenta dominio: ID de inicio de sesión de CORP
: GUID de inicio de sesión de 0x8150fc1
: {cac983ee-8bf7-3789-896f-c9be1e852ead}
Información de proceso:
ID de proceso: Nombre del proceso de 0x1334
: C:\Program Files\avs\bin\avtar.exe
Para los perfiles de usuario vencidos , se ve así:
Nombre del registro: Origen de seguridad
: Microsoft-Windows-seguridad-fecha de auditoría
: 5/27/2017 12:51:58 PM
ID de evento: 4625
Categoría de tarea: Nivel de inicio de sesión
:
Palabras clave de información: Usuario de falla de auditoría
: N/A
equipo: CNCSD1C.Corp.EMC.com
Descripción:
no se pudo iniciar sesión en una cuenta.
Asunto:
ID de seguridad: Nombre de SYSTEMAccount Dominio de cuenta de W8001DB03 $
:
ID de inicio de sesión interno: Tipo de inicio de sesión de 0x3e7
: 3
cuenta para la que falló el inicio de sesión:
ID de seguridad: Nombre de cuenta de SID nulo
:
Dominio de cuenta:
Información de falla: motivo de la
falla: La cuenta de usuario especificada venció.
Estatuto
Sub 0xc0000193: Información del proceso de 0xc0000193
:
ID de proceso del llamador:
nombre del proceso del llamador 0xe7c: C:\Program Files\avs\bin\avtar.exe
Para los perfiles de usuario
deshabilitados , será similar a:
nombre de registro: Origen de seguridad
: Microsoft-Windows-seguridad-fecha de auditoría
: 5/27/2017 12:51:58 PM
ID de evento: 4625
Categoría de tarea: Nivel de inicio de sesión
:
Palabras clave de información: Usuario de falla de auditoría
: N/A
equipo:
Descripción de CNCSD1C.Corp.EMC.com:
no se pudo iniciar sesión en una cuenta.
Asunto:
ID de seguridad: Nombre de SYSTEMAccount Dominio de cuenta de W8001DB03 $
:
ID de inicio de sesión interno: Tipo de inicio de sesión de 0x3e7
: 3
cuenta para la que falló el inicio de sesión:
ID de seguridad: Nombre de cuenta de SID nulo
:
Dominio de cuenta:
Información de falla: motivo de la
falla: La cuenta está deshabilitada actualmente.
Estatuto
Sub 0xc000006e: Información del proceso de 0xc0000072
:
ID de proceso del llamador:
nombre del proceso del llamador 0xe7c: C:\Program Files\avs\bin\avtar.exe
También se pueden ver entradas como las siguientes:
Nombre del registro: Origen de seguridad
: Microsoft-Windows-seguridad-fecha de auditoría
: 5/27/2017 12:51:58 PM
ID de evento: 4625
Categoría de tarea: Nivel de inicio de sesión
:
Palabras clave de información: Usuario de falla de auditoría
: N/A
equipo:
Descripción de CNCSD1C.Corp.EMC.com:
no se pudo iniciar sesión en una cuenta.
Asunto:
ID de seguridad:
Nombre de la cuenta: testuser
account Domain: ID de inicio de sesión de CORP
: Escriba: . 3
cuenta para la que falló el inicio de sesión:
ID de seguridad: Nombre de cuenta de SID nulo
:
Dominio de cuenta:
Información de falla: motivo de la
falla: Se produjo un error durante el inicio de sesión.
Estatuto
Sub 0xc000018b: 0X0
información del proceso:
ID de proceso del llamador:
nombre del proceso del llamador 0x1544: C:\Program Files\avs\bin\avtar.exe
La siguiente es una lista de Estados comunes/subestados que pueden encontrarse:
Código Status\Sub-Status |
Descripción |
0XC000005E |
“En este momento, no hay servidores de inicio de sesión disponibles para dar servicio a la solicitud de inicio de sesión”. |
0xC0000064 |
Inicio de sesión del usuario con una cuenta de usuario incorrecta o incorrecta |
0xC000006A |
Inicio de sesión de usuario con contraseña incorrecta o incorrecta |
0XC000006D |
Esto se debe a un nombre de usuario o información de autenticación incorrectos |
0XC000006E |
Nombre de usuario desconocido o contraseña incorrecta. |
0xC000006F |
Inicio de sesión del usuario fuera de horas autorizadas |
0xC0000070 |
Inicio de sesión del usuario desde una estación de trabajo no autorizada |
0xC0000071 |
Inicio de sesión del usuario con contraseña vencida |
0xC0000072 |
Inicio de sesión en la cuenta de usuario deshabilitado por el administrador |
0XC00000DC |
Indica que el servidor Sam estaba en estado incorrecto para realizar la operación deseada. |
0XC0000133 |
Los relojes entre el DC y otro equipo están demasiado lejos de la sincronización |
0XC000015B |
Al usuario no se le otorgó el tipo de inicio de sesión solicitado (también conocido como derecho de inicio de sesión) en esta máquina |
0XC000018C |
La solicitud de inicio de sesión falló debido a un error en la relación de confianza entre el dominio primario y el dominio de confianza. |
0XC0000192 |
Se realizó un intento de inicio de sesión, pero el servicio Netlogon no se inició. |
0xC0000193 |
Inicio de sesión del usuario con cuenta vencida |
0XC0000224 |
Se requiere que el usuario cambie la contraseña en el siguiente inicio de sesión |
0XC0000225 |
Evidente un error en Windows y no un riesgo |
0xC0000234 |
Inicio de sesión de usuario con cuenta bloqueada |
0XC00002EE |
Motivo de la falla: Se produjo un error durante el inicio de sesión |
0XC0000413 |
Error de inicio de sesión: La máquina en la que está iniciando sesión está protegida por un firewall de autenticación. La cuenta especificada no puede autenticarse en la máquina. |
Para obtener una lista completa, consulte
http://errorCO.de/Win32/NTSTATUS-h/
estas anotaciones se encontrarán en el registro de seguridad para cada perfil de usuario en la máquina cliente cada vez que se ejecute el respaldo.
Cause
Al final de cada respaldo, el proceso Avtar recopila información sobre todos los perfiles en el cliente.
En el registro de Avtar, se puede encontrar la siguiente línea (aviso, el número variará según el número de perfiles):
Avtar info < 11035 >: Lectura de 14 perfiles de usuario
Avtar Info < 11036 >: Se terminó de leer perfiles
de usuario Esta recopilación de perfiles se produce al final de cada sesión de Avtar en una máquina Windows. Esto significa que se producirá no solo al final de un respaldo del sistema de archivos de Windows (Avtar), sino que también cada vez que un plug-in genera un proceso de Avtar. exe. Por lo tanto, si un respaldo de Windows VSS genera tres procesos de Avtar para respaldar varios volúmenes, los perfiles se recopilan tres veces.
Esta recopilación de perfiles está activada de forma predeterminada, pero solo se usa para restauraciones de DTLT. Para cada perfil de usuario, Avtar obtiene todos los grupos a los que pertenece el usuario a fin de determinar si el usuario es un administrador local. Esta información se utiliza para determinar qué archivos el usuario que inició sesión puede ver y restaurar mediante la interfaz Web de DTLT.
Résolution
Aunque estas entradas de seguridad se pueden ignorar de forma segura, se puede deshabilitar la recopilación de perfiles en los clientes de Windows Server. No se debe deshabilitar en equipos de escritorio o portátiles si se utiliza la interfaz Web de DTLT.
Póngase en contacto con el soporte de Avamar para obtener ayuda sobre cómo deshabilitar la recopilación de perfiles.
Produits concernés
Avamar
Produits
Avamar, Avamar Client, Avamar Client for Windows