De fout BugCheck D1 wordt voor mfefirek.sys weergegeven in een blauw scherm na de installatie van Host Intrusion Prevention 8.0 Patch 2
Technische artikelen ID:
KB76593
Laatst gewijzigd: 13-2-2014
Laatst gewijzigd: 13-2-2014
Omgeving
McAfee Host Intrusion Prevention 8.0
Probleem
Het systeem loopt vast (blauw scherm) voor mfefirek.sys, nadat u Host Intrusion Prevention (Host IPS) 8.0 Patch 2 hebt geïnstalleerd.
De volgende fout wordt weergegeven in de bijbehorende dumpanalyse:
BugCheck D1
De volgende fout wordt weergegeven in de bijbehorende dumpanalyse:
BugCheck D1
Probleem
Metawaarden van het pakket zijn onjuist ingesteld op 0 voor de transportlengte en de lengte van de IP-header. Daardoor wordt de validatie van het McAfee-firewallpakket niet correct geïnitialiseerd en kan er een D1-foutcontrole optreden voor het filterstuurpogramma Mfefirek.sys van McAfee.
OPMERKING: dit probleem treedt niet op bij alle VPN-versies, maar kan optreden bij sommige VPN-versies. McAfee raadt klanten aan om hun specifieke VPN-versies onder Host IPS Patch 2 (8.0.0.2151) te valideren vóór de implementatie op productiesystemen.
McAfee heeft bevestigd dat dit probleem kan optreden bij de volgende VPN-versies:
OPMERKING: dit probleem treedt niet op bij alle VPN-versies, maar kan optreden bij sommige VPN-versies. McAfee raadt klanten aan om hun specifieke VPN-versies onder Host IPS Patch 2 (8.0.0.2151) te valideren vóór de implementatie op productiesystemen.
McAfee heeft bevestigd dat dit probleem kan optreden bij de volgende VPN-versies:
| Windows 7 x86 | Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Win | vpnva.sys | 3.0.7012.0 |
| Windows 7 x64 | Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Win x64 | vpnva64.sys | 3.0.7012.0 |
| Windows 7 SP1 x64 | Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Win x64 | vpnva64.sys | 3.0.2032.0 |
| Windows 7 SP1 x64 | Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Win x64 | vpnva64.sys | 3.1.234.0 |
| Windows 7 SP1 x64 | Research In Motion VPN | rimvndis_amd64.sys | 1.1.0.3 |
| Windows 7 SP1 x86 | F5 networks VPN Adapter/Citrix ICA for XenApp | covpnwlh.sys | 6030.2009.514.2218 |
| Win7 SP1 x64 | Juniper Network Connect Virtual Adapter | dsncadapt.sys | 7.2.0.7478 |
Systeemwijziging
Installed Host IPS Patch 2, version (8.0.0.2151).
Oorzaak
Analyse van McAfee geeft aan dat dit probleem optreedt in het WFP-framework (Windows Filter Platform) tijdens het filteren van netwerkpakketten door het WFP-stuurprogramma van McAfee.
McAfee heeft een tijdelijke oplossing voor dit probleem geïmplementeerd, terwijl het probleem verder wordt onderzocht in de specificatie van de Windows Filter Platform-architectuur van Microsoft.
McAfee heeft een tijdelijke oplossing voor dit probleem geïmplementeerd, terwijl het probleem verder wordt onderzocht in de specificatie van de Windows Filter Platform-architectuur van Microsoft.
Oplossing
Voor systemen waarop Host IPS Patch 2 (8.0.0.2151) wordt uitgevoerd:
Het systeem kan af en toe minder stabiel zijn op clientsystemen. Klanten kunnen dit probleem volledig oplossen door hun systemen direct bij te werken met het Patch 2 Hotfix 803520-pakket. Hotfix 803520 is momenteel een beheerde release en beschikbaar bij de ondersteuning van McAfee. Zie KB77323 voor de releaseopmerkingen van Hotfix 803520.
Voor systemen waarop Host IPS Patch 2 niet wordt uitgevoerd:
Dit probleem kan optreden met Patch 2 (8.0.0.2151). McAfee raadt klanten aan hun specifieke VPN-versies (of andere producten die gebruikmaken van het WFP-stuurprogramma voor de Windows Filter Platform-architectuur) te valideren en te testen met Patch 2 (8.0.0.2151) voordat ze deze in productiesystemen implementeren, om er zeker van te zijn dat dit probleem niet optreedt.
Als testen of valideren vooraf niet mogelijk is, raadt McAfee klanten met bovenstaande VPN-versies (of andere producten die gebruikmaken van WFP) aan het volgende te doen:
Het systeem kan af en toe minder stabiel zijn op clientsystemen. Klanten kunnen dit probleem volledig oplossen door hun systemen direct bij te werken met het Patch 2 Hotfix 803520-pakket. Hotfix 803520 is momenteel een beheerde release en beschikbaar bij de ondersteuning van McAfee. Zie KB77323 voor de releaseopmerkingen van Hotfix 803520.
Voor systemen waarop Host IPS Patch 2 niet wordt uitgevoerd:
Dit probleem kan optreden met Patch 2 (8.0.0.2151). McAfee raadt klanten aan hun specifieke VPN-versies (of andere producten die gebruikmaken van het WFP-stuurprogramma voor de Windows Filter Platform-architectuur) te valideren en te testen met Patch 2 (8.0.0.2151) voordat ze deze in productiesystemen implementeren, om er zeker van te zijn dat dit probleem niet optreedt.
Als testen of valideren vooraf niet mogelijk is, raadt McAfee klanten met bovenstaande VPN-versies (of andere producten die gebruikmaken van WFP) aan het volgende te doen:
- Pas Hotfix 833271 toe vóór de upgrade naar Host IPS 8.0 Patch 2. Zie KB77324 voor de releaseopmerkingen en aanvullende informatie over het oplossen van dit probleem.
- Na de upgrade naar Host IPS 8.0 Patch 2 is het bovenstaande probleem opgelost.
OPMERKING: McAfee raadt u aan om systemen naar HF803520 te upgraden, zodat gebruik wordt gemaakt van alle beschikbare oplossingen in die hotfixupdate. Dit is echter niet vereist voor het oplossen van dit specifieke probleem als HF833271 is toegepast vóór de upgrade naar Patch 2. Zie KB77323 voor de releaseopmerkingen van Hotfix 803520.
OPMERKINGEN:
- Hotfix 833271 kan op systemen met Host IPS 8.0 RTW (8.0.0.1741) of Patch 1 (8.0.0.1919) worden geïnstalleerd, voordat Patch 2 (8.0.0.2151) wordt geïnstalleerd.
- HF833271 voorkomt dat op systemen waarop bepaalde VPN-filterstuurprogramma's zijn geïnstalleerd een D1-foutcontrole wordt uitgevoerd na de upgrade naar Patch 2. Neem contact op met de technische ondersteuning van McAfee en vraag om Hotfix HostIPS_Client800_HotFix833271.zip voor dit probleem.
Als u contact wilt opnemen met de technische ondersteuning, moet u zich aanmelden bij de ServicePortal en naar de pagina Een serviceaanvraag aanmaken gaan op https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR:- Als u een geregistreerde gebruiker bent, voert u uw gebruikers-id en wachtwoord in en klikt u op Aanmelden.
- Als u nog geen geregistreerde gebruiker bent, klikt u op Registreren en vult u de verplichte velden in. Het wachtwoord en de aanmeldingsinstructies worden u per e-mail toegezonden.
BELANGRIJK: de volgende bestanden zijn vereist voordat een ondersteuningsvraag kan worden geëscaleerd:
- MER-bestanden (Minimum Escalation Requirements) voor uw specifieke product. Zie KB59385 voor informatie over het downloaden van de MER-bestanden voor elk McAfee-product.
- Andere bestanden/logboekbestanden waar de technische ondersteuning om vraagt.
Oplossing
Aanbevolen procedure voor het inchecken van opslagplaatsen
Deze implementatietaak voor de productupdate wordt voor meerdere updatepakketten geconfigureerd in een enkel beheerd product. Bij het inchecken van meerdere productupdatepakketten (hotfixes en/of patchupdates) voor een enkel beheerd product, moetenalle verwante updatepakketten worden ingecheckt in de gewenste vertakking van de ePO-opslagplaats (ePolicy Orchestrator) in de juist implementatievolgorde.
Deze implementatietaak voor de productupdate wordt voor meerdere updatepakketten geconfigureerd in een enkel beheerd product. Bij het inchecken van meerdere productupdatepakketten (hotfixes en/of patchupdates) voor een enkel beheerd product, moetenalle verwante updatepakketten worden ingecheckt in de gewenste vertakking van de ePO-opslagplaats (ePolicy Orchestrator) in de juist implementatievolgorde.
Bovendien mogen meerdere pakketten die worden gebruikt voor de updatetaak van een enkele beheerd product niet van de ene ePO-vertakking naar een andere ePO-vertakking worden verplaatst of gekopieerd.
Ga als volgt te werk om ePO-implementatievertakkingen te wijzigen bij het beheren van meerdere pakketimplementaties (bijvoorbeeld van Evaluation naar Current):
Ga als volgt te werk om ePO-implementatievertakkingen te wijzigen bij het beheren van meerdere pakketimplementaties (bijvoorbeeld van Evaluation naar Current):
- Verwijder alle verwante pakketten uit de eerste implementatievertakking.
OPMERKING: het verwijderen van bestaande pakketten uit een opslagplaatsvertakking is de enige effectieve manier om te zorgen dat de juiste volgorde in het script voor detectie van implementaties behouden blijft voor meerdere pakketimplementaties.
- Check de meerdere pakketten opnieuw in bij de nieuwe opslagplaatsvertakking in de gewenste implementatievolgorde.
Voor het bijwerken van specifieke clientsystemen uit specifieke vertakkingen van een ePO-opslagplaats moet u bovendien de beleidsinstellingen van McAfee Agent voor die systemen wijzigen (in McAfee Agent, General, My Default, Updates), zodat Host IPS-updates worden opgehaald uit de vertakking Evaluation in plaats van de vertakking Current.
Aanbevolen stappen voor de upgrade van het ePO-product voor systemen waarop Host IPS 8.0 RTW, (8.0.0.1741) of Patch 1 (8.0.0.1919) wordt uitgevoerd:
- Check Host IPS 8.0 HF833271 in bij een toegewezen vertakking van de ePO-opslagplaats.
- Check Host IPS 8.0 Patch 2 (incrementeel updatepakket) in bij een toegewezen vertakking van de ePO-opslagplaats.
Procedure voor productupdatetaak
Configureer een productupdatetaak.
OPMERKING: als de lijst met te selecteren Patches and Service Packs (onder het item Products, patches, service packs enzovoorts voor Package types) meerdere items bevat voor Host IPS 8.0, moet u zorgen dat al deze items zijn geselecteerd. Zie Afbeelding 1a hieronder voor meer informatie:
OPMERKING: als de lijst met te selecteren Patches and Service Packs (onder het item Products, patches, service packs enzovoorts voor Package types) meerdere items bevat voor Host IPS 8.0, moet u zorgen dat al deze items zijn geselecteerd. Zie Afbeelding 1a hieronder voor meer informatie:
Afbeelding 1a:
De productupdatetaak moet mogelijk een of twee keer worden uitgevoerd om de systemen volledig bij te werken met alle pakketten. Productupdatetaken voldoen aan de volgende regels bij het bijwerken van een beheerd product:
- Inhoudsupdates worden geïnstalleerd.
- Er wordt een beschikbare hotfixupdate geïnstalleerd.
- Er wordt een beschikbare patchupdate geïnstalleerd.
Met de eerste productupdatetaak worden Hotfix 833271 en Patch 2 (en alleen Hotfix 833271 voor sommige netwerken) geïnstalleerd. Met de volgende updatetaak wordt Patch 2 geïnstalleerd.
Klanten kunnen hiervoor een enkele productupdatetaak configureren op de volgende manieren:
- Een dagelijkse productupdatetaak configureren die één keer per dag wordt uitgevoerd. Alle pakketten zijn geïmplementeerd na 1 dag of 2 opeenvolgende dagen (of 1 of 2 uitvoeringen van de productupdatetaak).
- Meerdere geplande tijdstippen configureren voor een enkele updatetaak. Alle pakketten zijn geïmplementeerd nadat 1 of 2 opeenvolgende productupdatetaken zijn voltooid.
- Een productupdatetaak configureren die wordt herhaald (McAfee raadt u aan de taak te herhalen na een interval van 30 minuten of meer). Alle pakketten zijn geïmplementeerd nadat 2 of 3 opeenvolgende productupdatetaken zijn voltooid.
OPMERKING: McAfee raadt u ook aan om in grote omgevingen gebruik te maken van randomisering van taken om lange perioden met een hoog bandbreedtegebruik te voorkomen.Zie Afbeelding 1b hieronder voor meer informatie:
Afbeelding 1b:
Afbeelding 1b:
Productupdatetaken moeten opnieuw worden uitgevoerd op clientsystemen die niet de juiste productversie rapporteren voor Patch 2 (8.0.0.2151).
Als clientsystemen productversie 8.0.0.2481 (HF833271) rapporteren, moet de productupdatetaak opnieuw op de clientsystemen worden uitgevoerd om Patch 2 te installeren. Neem voor meer hulp contact op met de ondersteuning van McAfee als u problemen met productupdates hebt nadat u hebt geverifieerd dat er meerdere productupdatetaken zijn uitgevoerd op de systemen.
Als u contact wilt opnemen met de technische ondersteuning, moet u zich aanmelden bij de ServicePortal en naar de pagina Een serviceaanvraag aanmaken gaan op https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR:
- Als u een geregistreerde gebruiker bent, voert u uw gebruikers-id en wachtwoord in en klikt u op Aanmelden.
- Als u nog geen geregistreerde gebruiker bent, klikt u op Registreren en vult u de verplichte velden in. Het wachtwoord en de aanmeldingsinstructies worden u per e-mail toegezonden.
Gerapporteerde versie:
U kunt de productversie van Host IPS controleren door het uitvoeren van de rapportsjabloon Host IPS: Client Versions onder ePO Queries and Reports. Zie Afbeelding 1c hieronder voor meer informatie:
Afbeelding 1c:
In Afbeelding 1d (hieronder) wordt een rapport weergegeven waarin op een systeem alleen HF833271 (8.0.0.2481) is geïnstalleerd en ander een systeem volledig is bijgewerkt naar Patch 2 (8.0.0.2151). De updatetaak moet op het systeem dat (8.0.0.2481) rapporteert opnieuw worden uitgevoerd voor een volledige upgrade naar Patch 2 (8.0.0.2151).
Afbeelding 1d:
Gerapporteerde hotfixgegevens:
Systemen moeten na de installaties de volledige eigenschappen hebben gerapporteerd, voordat de meest recente rapportgegevens beschikbaar zijn. Zie KB67406 voor het rechtstreeks opvragen van hotfixgegevens voor Host IPS en VirusScan Enterprise in de SQL-database.
In Afbeelding 1e hieronder wordt een voorbeeld weergegeven van een SQL-query die voor de ePO-database wordt uitgevoerd om hotfixgegevens weer te geven voor systemen waarop Host IPS 8.0 wordt uitgevoerd.
Afbeelding 1e:
U kunt de productversie van Host IPS controleren door het uitvoeren van de rapportsjabloon Host IPS: Client Versions onder ePO Queries and Reports. Zie Afbeelding 1c hieronder voor meer informatie:
Afbeelding 1c:
BELANGRIJK: op systemen waarop wordt weergegeven dat versie 8.0.0.2481 is toegepast, is de upgrade naar Patch 2 niet geslaagd. De implementatietaak moet daarom opnieuw worden uitgevoerd voor een juiste upgrade naar versie 8.0.0.2151.
In Afbeelding 1d (hieronder) wordt een rapport weergegeven waarin op een systeem alleen HF833271 (8.0.0.2481) is geïnstalleerd en ander een systeem volledig is bijgewerkt naar Patch 2 (8.0.0.2151). De updatetaak moet op het systeem dat (8.0.0.2481) rapporteert opnieuw worden uitgevoerd voor een volledige upgrade naar Patch 2 (8.0.0.2151).
Afbeelding 1d:
Gerapporteerde hotfixgegevens:
Systemen moeten na de installaties de volledige eigenschappen hebben gerapporteerd, voordat de meest recente rapportgegevens beschikbaar zijn. Zie KB67406 voor het rechtstreeks opvragen van hotfixgegevens voor Host IPS en VirusScan Enterprise in de SQL-database.
In Afbeelding 1e hieronder wordt een voorbeeld weergegeven van een SQL-query die voor de ePO-database wordt uitgevoerd om hotfixgegevens weer te geven voor systemen waarop Host IPS 8.0 wordt uitgevoerd.
Afbeelding 1e:
Oplossing
Technische ondersteuning onderzoekt momenteel dit probleem. Als u dit probleem ondervindt, moet u zich aanmelden bij de ServicePortal en een serviceaanvraag aanmaken op https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR. Voer dit artikelnummer in het veld Beschrijving van probleem in.
BELANGRIJK: voor Technische ondersteuning zijn de volgende bestanden vereist:
- MER-bestanden (Minimum Escalation Requirements) voor uw specifieke product. Zie KB59385 voor informatie over het downloaden van de MER-bestanden voor elk McAfee-product.
- Andere bestanden en logboekbestanden waar de technische ondersteuning om vraagt.
Als u contact wilt opnemen met de technische ondersteuning, moet u zich aanmelden bij de ServicePortal en naar de pagina Een serviceaanvraag aanmaken gaan op https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR:
- Als u een geregistreerde gebruiker bent, voert u uw gebruikers-id en wachtwoord in en klikt u op Aanmelden.
- Als u nog geen geregistreerde gebruiker bent, klikt u op Registreren en vult u de verplichte velden in. Het wachtwoord en de aanmeldingsinstructies worden u per e-mail toegezonden.
Bijlage
ontkenning
De inhoud van dit artikel is oorspronkelijk in het Engels uitgebracht. Als er verschillen zijn tussen de Engelse inhoud en de vertaling, is de Engelse inhoud altijd het meest accuraat. Een deel van deze inhoud is het resultaat van het gebruik van de machinevertaling van Microsoft.
Betrokken producten
Talen:
Dit artikel is beschikbaar in de volgende talen:
GermanEnglish United States
Spanish Spain
French
Italian
Japanese
Korean
Dutch
Portuguese Brasileiro
Chinese Simplified
Chinese Traditional
