5 votos

Aplicación\CAPI2 Evento 513 - Servicios de cifrado error al procesar el OnIdentity() la llamada en el Sistema Objeto Escritor

Un miembro del equipo me informó de que uno de nuestros Windows Server 2008 (no 2008 R2) basado en Servidores MSSQL había comenzado a generar CAPI2 de ID de Evento 513 Errores en el Registro de Sucesos de Aplicación:

Application\CAPI2

Cryptographic Services failed while processing the OnIdentity() call in the System Writer Object.

Details:
AddCoreCsiFiles: BeginFileEnumeration() failed.

System Error: Access is denied.





Un poco de PowerShell revela que el problema se inició en 08/06/14 y sobre todo parece ocurrir después de las 22:00 en una base diaria:

PS C:\Users\Administrator> Get-EventLog -LogName Application | ? { $_.EventID -like "513" -and $_.Source -like "Microsoft-Windows-CAPI2" } | Select -Property TimeGenerated

TimeGenerated
-------------
8/18/2014 10:41:32 AM
8/18/2014 10:25:17 AM
8/18/2014 10:15:20 AM
8/17/2014 10:55:41 PM
8/17/2014 10:55:27 PM
8/17/2014 10:55:26 PM
8/16/2014 10:49:44 PM
8/16/2014 10:49:28 PM
8/16/2014 10:49:28 PM
8/15/2014 10:52:11 PM
8/15/2014 10:51:58 PM
8/15/2014 10:51:57 PM
8/15/2014 1:03:06 AM
8/15/2014 1:02:45 AM
8/15/2014 1:02:45 AM
8/13/2014 10:58:49 PM
8/13/2014 10:58:32 PM
8/13/2014 10:58:31 PM
8/12/2014 10:57:09 PM
8/12/2014 10:56:56 PM
8/12/2014 10:56:56 PM
8/11/2014 10:56:13 PM
8/11/2014 10:55:56 PM
8/11/2014 10:55:55 PM
8/10/2014 10:50:15 PM
8/10/2014 10:50:04 PM
8/10/2014 10:50:03 PM
8/10/2014 7:12:09 AM
8/10/2014 7:11:52 AM
8/10/2014 7:11:51 AM
8/8/2014 10:57:00 PM
8/8/2014 10:56:44 PM
8/8/2014 10:56:43 PM
8/6/2014 9:47:26 PM
8/6/2014 9:47:03 PM
8/6/2014 9:47:02 PM
8/6/2014 10:48:33 AM





Curioso no? Me pregunto lo que el Escritor del Sistema Objeto es y para que sirve? Copia De La Sombra! Oh, duh! Empecé a hacer VSS basado en la Aplicación Consciente de las copias de seguridad de esta máquina virtual con Veeam este mes. Naturalmente, el proceso de copia de seguridad a partir de las 22:00 lo que explica la reiterada frecuencia en lugar de la que el error sólo ocurre en "random" de veces.

Curiosamente Veeam no registrarse como un intento fallido intento de copia de seguridad que hace que me pregunte si los Puntos de Restauración son en realidad transacción consistente. Independientemente, hice una búsqueda rápida a través de la Veeam Registros de Copia de seguridad y no encontrar nada obviamente equivocado, pero es probablemente vale la pena revisar más cerca y que confirma que la recuperación de los Puntos de Restauración es la transacción consistente.

El Evento ID 513 TechNet de referencia de la Resolución recomendada indica un problema de permisos de NTFS podría ser la culpa, sin embargo el C:\Windows\Registration COM+ registro de la carpeta tiene los permisos adecuados.

Ideas?

6voto

kce Puntos 9227

Mathias R. Jessen me apunta en la dirección correcta, la siempre famosa carpeta WinSxS. Sin embargo, no volví a ver a ninguno de los VSS errores en el Registro de Sucesos que se me hizo un poco indeciso a sólo nuke todos los permisos de NTFS para que no me rompa algo más.

Me volví y la lectura de ID de Evento 513 TechNet referencia de nuevo y tomó nota de que en virtud de la sección de verificación se recomienda que compruebe el Sistema de Escritor estaba disponible como escritor VSS de uso vssadmin list writers y por supuesto que no lo era. Lección Aprendida #1: Leer todo KB/TechNet/Blog

Haciendo un poco más la investigación de la que llegó a través del Sistema que Faltan Escritor Caso Explicó que parecía indicar que el problema se origina con los Servicios de cifrado. Me di cuenta de que podía reproducir por CAPI2 error en la voluntad de detener e iniciar el CryptSVC servicio. Lección Aprendida #2: Trate de encontrar una manera de reproducir el error.

En este punto, yo bastante seguido el post de instrucciones. He localizado el PID de la instancia de svchost estaba terminando CryptSVC usando el Administrador de Tareas. También la fuerza CryptSVC para que se ejecute como su propio proceso de uso de sc config si usted puede reiniciar el servidor en cuestión. Dependiendo de qué tan profunda que usted consiga en ProcMon vale la pena aislamiento de los servicios bajo una sola PID sólo para reducir la cantidad de eventos que usted tiene que ordenar a través de.

A partir de aquí se vuelve a la vieja y buena ProcMon. La instalación de un filtro para exlcude todos los PIDs que no son las utilizadas por el svchost proceso que está envolviendo CryptSVC:

ProcMon Exclude Filter





He aplicado mi fiel primer filtro de paso el cual es excluir todos los eventos que tienen los resultados de ÉXITO. Esta reducción de los eventos de 31,118 a una mucho más manejable 139 y en el fondo me encontré con el ACCESO DENEGADO caso de que yo estaba buscando, no es de extrañar que en la carpeta WinSxS (C:\Windows\winsxs\FileMaps\$$.cdf-ms). Lección Aprendida #3: Aprender a utilizar y el amor ProcMon

ProcMon ACCESS DENIED on C:\Windows\winsxs\FileMaps\$$.cdf-ms





Ahora, ¿qué? KB2009272 que Mathias enlazado tiene la solución, pero ahora sé por qué. Lección Aprendida #4: no lo supongo, lo sé!

La resolución es exactamente como se explica en KB2009272. Tomar la propiedad y restablecer los permisos de la FileMaps carpeta y, a continuación, reinicie CryptSVC:

Takeown /f %windir%\winsxs\filemaps\* /a
icacls %windir%\winsxs\filemaps\*.* /grant "NT AUTHORITY\SYSTEM:(RX)"
icacls %windir%\winsxs\filemaps\*.* /grant "NT Service\trustedinstaller:(F)"
icacls %windir%\winsxs\filemaps\*.* /grant BUILTIN\Users:(RX)

net stop cryptsvc
net start cryptsvc





y... tenemos ascensor! El Sistema de Escritor está ahora disponible como un escritor de VSS. No hay necesidad de cambiar los permisos para el PendingRenames carpeta. Lección Aprendida #5: Iniciar con los cambios más pequeños y su forma de trabajo a los cambios que el efecto más cosas

C:\Users\administrator>vssadmin list writers
vssadmin 1.1 - Volume Shadow Copy Service administrative command-line tool
(C) Copyright 2001-2005 Microsoft Corp.

Writer name: 'System Writer'
   Writer Id: {e8132975-6f93-4464-a53e-1050253ae220}
   Writer Instance Id: {98c52075-429a-4487-8b77-e42b18767458}
   State: [1] Stable
   Last error: No error




Reiniciar CryptSVC en ya no produce la CAPI2 de error y después de un día o dos de monitoreo parece resuelto.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: