System Protection Backup schlägt fehl und im Eventviewer findet sich ein CAPI2 Fehler – Eventid 513

Manchmal muss man tief in den Eingeweiden von Windows wühlen um einen Backupfehler zu finden und zu lösen. Ein physikalischer Server ließ sich plötzlich nicht mehr sichern nach diversen Windows Updates. In den DPM Logs ließ sich kein Fehler finden. Allerdings loggte der Server bei jedem Backupversuch das Event 513 für CAPI2:

event513_CAPI2

Damit ließ sich schon mehr anfangen. CAPI2 ist die Crypto API die vom Cryptographic Services Dienst benutzt wird. Offensichtlich ein Permission Problem, dass durch ein Windows Update verursacht wurde. Der NETWORK_SERVICE darf hier nicht zugreifen. Das ist der Account mit dem der VSS System Writer versucht ein Backup zu machen.

Um das gerade zu biegen benötigen schauen wir uns mit Hilfe von sc sdshow MSLLDP die Permissions des Microsoft Link-Layer Discovery Protocols an. Parallel schauen wir uns mit sc sdshow MUP die funktionierenden Permissions an. Daraus kopieren wir den String für den NETWORK_Service und setzen ihn dann mit Hilfe sc sdset. Dabei kopieren wir aus dem vorhergehenden sdshow von MSLLDP alle Security Informationen und fügen den Code für den NETWORK_SERVICE hinzu (A;;CCLCSWLOCRRC;;;SU) und setzen ihn vor S: in dem String von MSLLDP.

Zusammengefasst sieht das dann so aus:

sc_sdshow_mslldp

Jetzt noch den Dienst neustarten mit net stop cryptsvc und net start cryptsvc und schon ist der Fehler behoben und es gibt keine CAPI2 Error Events mehr im Eventlog.

Lässt man nun einen Recovery Point in DPM erstellen, dann läuft dieser ohne Probleme durch.

Ich gehe davon aus, dass das ein Bug in einem der Windows Updates für Server 2012R2 ist, denn ein ungepatchter 2012R2 läuft nicht in dieses Problem. Auf der anderen Seite laufen auch nicht alle gepatchten 2012R2 in dieses Problem hinein. Ist vermutlich eine magische Kombination aus mehreren Faktoren die hier die Permissions durcheinander bringt.