Video Screencast Help

SDR and antivirus file exceptions

Created: 13 Sep 2012 • Updated: 22 Jan 2013 | 7 comments
This issue has been solved. See solution.

I like to use SDR as a backup option. However, I get more and more errors and exceptions caused by my antivirus:

(Sorry, description translated)

Backup- \\hostname.contoso.local\C:
File Documents and Settings\All Users\Application Data\McAfee\Common Framework\AgentEvents\201209121855187243381000005FC.xml was not found or access was denied.

Backup- \\hostname.contoso.local\C:
V-79-57344-33967 - Folder or File not found, or access impossible. Element \\hostname.contoso.local\C:\Documents and Settings\All Users\Application Data\McAfee\Common Framework\AgentEvents\201209121855187243381000005FC.xml is in use - skipped.

The probem is that I want to use SDR, but my customers ask about the error message every time. AOFO is enabled.

Is there a solution to this?

Monster

P.S. I just discovered, I can also exclude directories in the backup options, which keeps SDR enabled in the selection list. I am not sure, if this is the solution or just a display bug.

 

Comments 7 CommentsJump to latest comment

marcusolini's picture

Hi.  When able, please logon to the affected server using the same Logon Account used by Backup Exec for the backup job and execute the following commands.  Please post the results for review.  Thank you.

(1) WHOAMI /ALL

(2) DIR C:\201209121855187243381000005FC.xml /S /A /Q /R /X

Monster's picture

The file C:\Documents and Settings\All Users\Application Data\McAfee\Common Framework\AgentEvents\201209121855187243381000005FC.xml does not exist. I assume it’s a temporary file which gets deleted soon after.

marcusolini's picture

Hi.  Since the speculation is that this is a temporary file, does the backup failure for this specific file happen consistently or sporadically?  Is the filename always exactly the same or does the filename differ when the failure occurs?  Other speculation is that this is an access rights issue and that the filename could differ.  It would be very helpful to know operationally how this file is used by the application before excluding it.  I understand that the backup failure and research makes things complicated.  When able, please provide some insight to the previous questions and also execute step (3) and (1) and post the results for review.  Thank you.

Monster's picture

Happens both, sporadically and consistently on different servers. The filename differs.

I checked the ident data: login account is set to system-login-account. Tests are all successfull, but Shadow Copy Component fails! I chose the administrator account for that and tests still fail.

I also did your command on the folder, the files are in. I could not do it on the file because they don't exist when I look them up:

> dir "C:\ProgramData\McAfee\Common Framework\AgentEvents\" /S /A /Q /R /X
Result is:

 Datenträger in Laufwerk C: ist m
 Volumeseriennummer: 3B92-2468

 Verzeichnis von C:\ProgramData\McAfee\Common Framework\AgentEvents

20.09.2012  14:15    <DIR>                       NT-AUTORITÄT\SYSTEM    .
20.09.2012  14:15    <DIR>                       NT-AUTORITÄT\SYSTEM    ..
               0 Datei(en),              0 Bytes

     Anzahl der angezeigten Dateien:
               0 Datei(en),              0 Bytes
               2 Verzeichnis(se), 10.401.968.128 Bytes frei

Result of whoami /all is:

BENUTZERINFORMATIONEN
---------------------

Benutzername      SID                                       
================= ==========================================
CONTOSO\administrator S-1-5-21-606747145-813497703-682003330-500

GRUPPENINFORMATIONEN
--------------------

Gruppenname                                          Typ                 SID                                         Attribute                                                                       
==================================================== =================== =========================================== ================================================================================
Jeder                                                Bekannte Gruppe     S-1-1-0                                     Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe                 
VORDEFINIERT\Benutzer                                Alias               S-1-5-32-545                                Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe                 
VORDEFINIERT\Administratoren                         Alias               S-1-5-32-544                                Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Gruppenbesitzer
NT-AUTORITÄT\INTERAKTIVE REMOTEANMELDUNG             Bekannte Gruppe     S-1-5-14                                    Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe                 
NT-AUTORITÄT\INTERAKTIV                              Bekannte Gruppe     S-1-5-4                                     Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe                 
NT-AUTORITÄT\Authentifizierte Benutzer               Bekannte Gruppe     S-1-5-11                                    Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe                 
NT-AUTORITÄT\Diese Organisation                      Bekannte Gruppe     S-1-5-15                                    Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe                 
LOKAL                                                Bekannte Gruppe     S-1-2-0                                     Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe                 
CONTOSO\G_SERVICEACCOUNTS                            Gruppe              S-1-5-21-606747145-813497703-682003330-2116 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe                 
CONTOSO\Richtlinien-Ersteller-Besitzer               Gruppe              S-1-5-21-606747145-813497703-682003330-520  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe                 
CONTOSO\ExAdmins                                     Gruppe              S-1-5-21-606747145-813497703-682003330-1610 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe                 
CONTOSO\Domänen-Admins                               Gruppe              S-1-5-21-606747145-813497703-682003330-512  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe                 
CONTOSO\Organisations-Admins                         Gruppe              S-1-5-21-606747145-813497703-682003330-519  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe                 
CONTOSO\Organization Management                      Gruppe              S-1-5-21-606747145-813497703-682003330-3108 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe                 
CONTOSO\Werkstatt                                    Gruppe              S-1-5-21-606747145-813497703-682003330-2642 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe                 
CONTOSO\Schema-Admins                                Gruppe              S-1-5-21-606747145-813497703-682003330-518  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe                 
CONTOSO\Admins                                       Gruppe              S-1-5-21-606747145-813497703-682003330-1650 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe                 
CONTOSO\Abgelehnte RODC-Kennwortreplikationsgruppe   Alias               S-1-5-21-606747145-813497703-682003330-572  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Lokale Gruppe  
Verbindliche Beschriftung\Hohe Verbindlichkeitsstufe Unbekannter SID-Typ S-1-16-12288                                Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Lokale Gruppe  

BERECHTIGUNGSINFORMATIONEN
--------------------------

Berechtigungsname               Beschreibung                                             Status     
=============================== ======================================================== ===========
SeIncreaseQuotaPrivilege        Anpassen von Speicherkontingenten fr einen Prozess      Deaktiviert
SeTcbPrivilege                  Einsetzen als Teil des Betriebssystems                   Deaktiviert
SeSecurityPrivilege             Verwalten von šberwachungs- und Sicherheitsprotokollen   Deaktiviert
SeTakeOwnershipPrivilege        šbernehmen des Besitzes von Dateien und Objekten         Deaktiviert
SeLoadDriverPrivilege           Laden und Entfernen von Ger„tetreibern                   Deaktiviert
SeSystemProfilePrivilege        Erstellen eines Profils der Systemleistung               Deaktiviert
SeSystemtimePrivilege           Žndern der Systemzeit                                    Deaktiviert
SeProfileSingleProcessPrivilege Erstellen eines Profils fr einen Einzelprozess          Deaktiviert
SeIncreaseBasePriorityPrivilege Anheben der Zeitplanungspriorit„t                        Deaktiviert
SeCreatePagefilePrivilege       Erstellen einer Auslagerungsdatei                        Deaktiviert
SeBackupPrivilege               Sichern von Dateien und Verzeichnissen                   Deaktiviert
SeRestorePrivilege              Wiederherstellen von Dateien und Verzeichnissen          Deaktiviert
SeShutdownPrivilege             Herunterfahren des Systems                               Deaktiviert
SeDebugPrivilege                Debuggen von Programmen                                  Deaktiviert
SeSystemEnvironmentPrivilege    Ver„ndern der Firmwareumgebungsvariablen                 Deaktiviert
SeChangeNotifyPrivilege         Auslassen der durchsuchenden šberprfung                 Aktiviert  
SeRemoteShutdownPrivilege       Erzwingen des Herunterfahrens von einem Remotesystem aus Deaktiviert
SeUndockPrivilege               Entfernen des Computers von der Dockingstation           Deaktiviert
SeManageVolumePrivilege         Durchfhren von Volumewartungsaufgaben                   Deaktiviert
SeImpersonatePrivilege          Annehmen der Clientidentit„t nach Authentifizierung      Aktiviert  
SeCreateGlobalPrivilege         Erstellen globaler Objekte                               Aktiviert  
SeIncreaseWorkingSetPrivilege   Arbeitssatz eines Prozesses vergr”áern                   Deaktiviert
SeTimeZonePrivilege             Žndern der Zeitzone                                      Deaktiviert
SeCreateSymbolicLinkPrivilege   Erstellen symbolischer Verknpfungen                     Deaktiviert

marcusolini's picture

Hi.  Thank you for anticipating step (3) since it was accidently omitted in my previous post.    In the interest of obtaining a successful SDR backup I can provide a possible temporary workaround.  When able, please execute step (4), rerun the failing backup job, and report the outcome.  Thank you.

(4) C:\>REG ADD "HKLM\SOFTWARE\Symantec\Backup Exec For Windows\Backup Exec\Engine\NTFS\FilesNotToBackup" /v "Temporary Application Exclusion" /t REG_MULTI_SZ /d "C:\ProgramData\McAfee\Common Framework\AgentEvents\*.xml" /f

SOLUTION
pkh's picture

You can exclude non-critical files/directories and still have SDR.  Check the job log and see whether the .dr file is created.  With the .dr file, you can then use SDR to recover the server.  If the .dr file is not created after a successful backup, then you probably have excluded something which you should not have.  You wuold need to re-do your selection list again.

Monster's picture

There are two ways to exclude files:

  1. Exclude them in the selection list.
  2. Exclude them in the backup options.

For (1) you are right.

For (2) that does not apply, the SDR file is not created when you partially backup drive C, even if you only exclude one single unnecessary file. And that is plain annoying!