System Protection Backup schlägt fehl und im Eventviewer findet sich ein CAPI2 Fehler – Eventid 513

Manchmal muss man tief in den Eingeweiden von Windows wühlen um einen Backupfehler zu finden und zu lösen. Ein physikalischer Server ließ sich plötzlich nicht mehr sichern nach diversen Windows Updates. In den DPM Logs ließ sich kein Fehler finden. Allerdings loggte der Server bei jedem Backupversuch das Event 513 für CAPI2:

event513_CAPI2

Damit ließ sich schon mehr anfangen. CAPI2 ist die Crypto API die vom Cryptographic Services Dienst benutzt wird. Offensichtlich ein Permission Problem, dass durch ein Windows Update verursacht wurde. Der NETWORK_SERVICE darf hier nicht zugreifen. Das ist der Account mit dem der VSS System Writer versucht ein Backup zu machen.

Um das gerade zu biegen benötigen schauen wir uns mit Hilfe von sc sdshow MSLLDP die Permissions des Microsoft Link-Layer Discovery Protocols an. Parallel schauen wir uns mit sc sdshow MUP die funktionierenden Permissions an. Daraus kopieren wir den String für den NETWORK_Service und setzen ihn dann mit Hilfe sc sdset. Dabei kopieren wir aus dem vorhergehenden sdshow von MSLLDP alle Security Informationen und fügen den Code für den NETWORK_SERVICE hinzu (A;;CCLCSWLOCRRC;;;SU) und setzen ihn vor S: in dem String von MSLLDP.

Zusammengefasst sieht das dann so aus:

sc_sdshow_mslldp

Jetzt noch den Dienst neustarten mit net stop cryptsvc und net start cryptsvc und schon ist der Fehler behoben und es gibt keine CAPI2 Error Events mehr im Eventlog.

Lässt man nun einen Recovery Point in DPM erstellen, dann läuft dieser ohne Probleme durch.

Ich gehe davon aus, dass das ein Bug in einem der Windows Updates für Server 2012R2 ist, denn ein ungepatchter 2012R2 läuft nicht in dieses Problem. Auf der anderen Seite laufen auch nicht alle gepatchten 2012R2 in dieses Problem hinein. Ist vermutlich eine magische Kombination aus mehreren Faktoren die hier die Permissions durcheinander bringt.

 

SystemState & BMR Recovery Points lassen sich nicht mehr erstellen nach Installation von KB2919355 auf einem Domaincontroller mit Windows Server 2012R2

Ich hatte die Tage zu kämpfen mit der Installation bei einem Kunden.

Eingesetzt wird DPM 2012 R2 UR2. Gesichert werden damit diverse physikalische Server und diverse Hyper-V VMs. Nach einem Patch-Day und der Installation von KB2919355 konnten von zwei Server das System nicht mehr gesichert werden – System State & Baremetal. Der eine, ein physikalischer Windows Server 2012R2 und der andere, eine Hyper-V VM unter Windows Server 2012R2. Alle anderen Server (gemischt physik und hyper-v) auch mit Windows Server 2012R2 liessen sich einwandfrei sichern. Der einzige Unterschied war hier die Rolle Domain-Controller.

DPM steigt beim Erstellen eines Recovery Points mit dem Fehler 0x80990ED0 aus. Ein lokales Backup hingegen mit Windows Server Backup funktionierte einwandfrei.

Diverse Anläufe mit den gängigen Lösungsansätzen schlugen leider fehl.

Erst eine Deinstallation von KB2919355 löste das Problem.
Nachdem UR2 ja von Microsoft zurückgezogen wurde, kann ich nicht ausschließen dass es an UR2 in Kombination mit KB2919355 liegt.

Falls also jemand da draussen von euch über das gleiche Problem stolpert, schaut mal nach den installierten Updates auf dem protected server.

Ich werde den Blogeintrag aktualisieren wenn ich mehr über die eigentlichen Ursachen in Erfahrung gebracht habe.