AVVISO: client ha generato il messaggio irreversibile (2) internal_error (80) avviso: Impossibile leggere il record
Articoli tecnici ID:
KB91304
Ultima modifica: 06/11/2020
Ambiente
McAfee ePolicy Orchestrator (ePO) 5.10.0
Problema
L'installazione non riesce quando si prova uno dei seguenti ePO 5.10 azioni
- Installa
- Aggiornamento
- Ripristino di un ePO 5.10 ambiente da un disaster recovery snapshot
L'installazione esegue il rollback durante il Esecuzione del programma di installazione componenti di base fase del processo.
Il Core-install.log (pulisci installazione), Core-upgrade.log (upgrade) o Core-Restore. log (disaster recovery) registra più volte i seguenti messaggi nel registro:
org. bouncycastle. JSSE. provider. ProvTlsClient notifyAlertRaised
[test-DB] AVVISO: client ha generato il messaggio irreversibile (2) internal_error (80) avviso: Impossibile leggere il record
[test-DB] Java. io. IOException
Causa
ePO 5.10 è possibile utilizzare una delle tre suite di crittografia per stabilire una connessione TLS al SQL Server:
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
Un problema con il programma di installazione di ePO significa che potrebbe non presentare correttamente il TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 suite cifratura.
L'installazione non riesce se il TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA e TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA le suite di crittografia sono disattivate nella SQL Server. L'installazione non riesce anche se il TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 è attivato sul SQL Server.
Soluzione
Attivare una delle seguenti suite di crittografia nella SQL Server. Idealmente, attiva entrambi:
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
Riavviare il SQL Server e applicare la modifica, quindi installare di nuovo ePO.
Le suite di cifratura sono necessarie per le operazioni quotidiane di ePO, non solo per l'installazione. Non disattivarli al termine dell'installazione.
Soluzione alternativa
Se TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 è attivata, ma è non è possibile attivare le seguenti suite di crittografia nella SQL Server:
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
Quindi, quando ePO 5.10 Aggiornamento 7 o versione successiva applicata, attenersi alla procedura riportata di seguito per eseguire una delle seguenti operazioni:
- Installazione o upgrade di ePO 5.10
- Ripristina ePO 5.10 da un disaster recovery snapshot
Se si sta ripristinando ePO da un snapshot di disaster recovery e si dispone di un ePO 5.20 Aggiornamento 6 o versione precedente applicata, utilizzare la soluzione alternativa illustrata di seguito.
- Avvia ePO 5.10 installazione. Esegui setup.exe con i seguenti switch con distinzione tra maiuscole e minuscole:
Setup.exe PAUSEAFTERFILECOPY=1
- Continua con l'installazione. Una volta copiati i file nella directory di installazione, il programma di installazione interrompe e visualizza il messaggio seguente:
Copia file completata. Per continuare con l'installazione, premere OK.
IMPORTANTE Fare non fare clic su OK a questo punto.
- Aprire il seguente file in un editor di testo:
\Installer\Core\server\conf\orion\epo.java.security
- Individuare la riga che inizia con:
jtds.enabledCipherSuites=
- Rimuovere le virgolette dall'inizio e dalla fine dell'elenco di suite di crittografia.
La riga completata recita come segue (una singola riga senza spazi o interruzioni di riga):
jtds.enabledCipherSuites=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA,
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA,
TLS_DHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA,TLS_ECDH_RSA_WITH_AES_256_CBC_SHA,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
Nota Per la formattazione di questo articolo, le interruzioni di riga sono state incluse nella stringa sopra riportata.
- Salvare il file.
- Per continuare l'installazione, fare clic su OK nel messaggio di pausa.
L'installazione viene completata correttamente.
Soluzione alternativa
Se TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 è attivata, ma è non è possibile attivare le seguenti suite di crittografia nella SQL Server:
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
Quindi, quando ePO 5.10 Aggiornamento 6 o versione precedente applicata, attenersi alla seguente procedura per eseguire una delle seguenti operazioni:
- Installazione o upgrade di ePO 5.10
- Ripristina ePO 5.10 da un snapshot di disaster recovery.
- Avvia ePO 5.10 installazione. Esegui setup.exe con i seguenti switch con distinzione tra maiuscole e minuscole:
Setup.exe PAUSEAFTERFILECOPY=1 DEBUGOUTPUT=1
- Continua con l'installazione. Una volta copiati i file nella directory di installazione, il programma di installazione interrompe e visualizza il messaggio seguente:
Copia file completata. Per continuare con l'installazione, premere OK.
IMPORTANTE Fare non fare clic su OK a questo punto.
- Aprire il file epo.java.security in un editor di testo (Notepad. exe):
\Installer\Core\server\conf\orion\epo.java.security
- Individuare la riga che inizia con:
jtds.enabledCipherSuites=
- Rimuovere le virgolette dall'inizio e dalla fine dell'elenco di suite di crittografia.
La riga completata recita come segue (una singola riga senza spazi o interruzioni di riga):
jtds.enabledCipherSuites=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA,
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA,
TLS_DHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA,TLS_ECDH_RSA_WITH_AES_256_CBC_SHA,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
Nota Per la formattazione di questo articolo, le interruzioni di riga sono state incluse nella stringa sopra riportata.
- Salvare il file.
- Per continuare l'installazione, fare clic su OK nel messaggio di pausa.
- Viene visualizzato il seguente messaggio, fare clic su OK per continuare.
About to run MFS restore script
- Quando viene visualizzato il seguente messaggio, Non fare clic su OK:
About to start Tomcat (MCAFEETOMCATSRV5100) service
- Aprire il file epo.java.security in un editor di testo:
\server\conf\orion\epo.java.security
- Come in precedenza, individuare la riga che inizia con jtds.enabledCipherSuites=. Rimuovere le virgolette dall'inizio e terminare l'elenco di suite di crittografia.
- Salvare il file.
- Quando viene visualizzato il seguente messaggio, fare clic su OK:
About to start Tomcat (MCAFEETOMCATSRV5100) service
- È possibile che venga visualizzato il seguente messaggio contenente la stringa. Quando si esegue l'esecuzione, attendere due minuti, quindi fare clic su OK. Y
Nota È possibile che venga visualizzato lo stesso messaggio, in tal caso, attendere altri due minuti, quindi fare clic su OK.
CustomAction: MerMod_StartCurrentServices
L'installazione viene completata correttamente.
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
|
