Les utilisateurs dupliqués Drive Encryption affichés après l’exécution de la requête’DE : Users’ou de’EE : Users'
Articles techniques ID:
KB76111
Date de la dernière modification : 2024-01-09 09:02:29 Etc/GMT
Date de la dernière modification : 2024-01-09 09:02:29 Etc/GMT
Environnement
McAfee Drive Encryption (DE) 7.2.x
Pour plus d’informations sur les environnements pris en charge, voir KB79422.
Pour plus d’informations sur les environnements pris en charge, voir KB79422.
Problème
Les utilisateurs dupliqués s’affichent après l’exécution du rapport DE requête. DE: Users .
CetteMfeEpe.log enregistre les erreurs suivantes :
Cette
S'
|
SatusService
|
|
S'
|
EpoPlugin
|
Modification du système
Plusieurs serveurs enregistrés au même domaine ont été créés.
Cause
Il est possible de créer des utilisateurs en double dans le scénario suivant :
- Si plusieurs points d’entrée existent dans la même forêt Active Directory, et
- Si ePolicy Orchestrator (ePO) peut interroger les mêmes objets utilisateur à partir de deux serveurs LDAP enregistrés ePO différents
Le problème survient souvent lorsque deux serveurs LDAP enregistrés sont dirigés vers le même domaine. Toutefois, cela peut également se produire dans les cas suivants :
- Plusieurs serveurs LDAP enregistrés sont dirigés vers des domaines enfants
Et - L’option catalogue global ou références de poursuites est activée.
DE autoriser les utilisateurs en double si le même domaine est enregistré deux fois avec différents serveurs LDAP enregistrés.
Solution 1
FAUT Une nouvelle requête, Drive Encryption : utilisateurs en double, a été inclus dans l’écran DE 7.1 Mise à jour 3 Release et ultérieure pour localiser et supprimer les utilisateurs en double. Il est possible de créer des utilisateurs en double dans les cas suivants :
- Les serveurs Active Directory ont été mal configurés.
- Vous avez utilisé des références de poursuite LDAP.
- ePO vous permet également d’enregistrer plusieurs fois le même serveur Active Directory.
Pour obtenir de l’aide sur la manière d’identifier et de résoudre les utilisateurs en double, voir KB84531.
Notre logiciel produit, les mises à niveau, les versions de maintenance et la documentation sont disponibles sur le site de téléchargement de produits.
REMARQUE : vous devez posséder un Grant Number valide pour l'accès. Reportez -vous à KB56057-comment télécharger les mises à jour de produits et la documentation de l’entreprise pour obtenir plus d’informations sur le site de téléchargement de produits et d’autres emplacements pour certains produits.
REMARQUE : vous devez posséder un Grant Number valide pour l'accès. Reportez -vous à KB56057-comment télécharger les mises à jour de produits et la documentation de l’entreprise pour obtenir plus d’informations sur le site de téléchargement de produits et d’autres emplacements pour certains produits.
Solution 2
Pour empêcher les utilisateurs en double :
- Ne créez pas plus d’un serveur LDAP enregistré dans le même domaine racine (RootDN).
Si des domaines enfants sont utilisés :- McAfee suggère que le serveur enregistré est configuré pour être dirigé vers le niveau supérieur de la forêt.
- Utilisez un catalogue global ou des références pour accéder aux objets utilisateur qui existent dans les domaines enfants.
- Pour une haute disponibilité, configurez le serveur LDAP enregistré de sorte qu’il soit dirigé vers le RootDN utilisation de l’option « nom de domaine ». Cette disposition est préférée sur le LDAP enregistré qui est dirigé vers un seul contrôleur de domaine à l’aide de l’option "nom du serveur".
Solution 3
Pour résoudre le problème d’utilisateur en double existant :
AVERTISSEMENT: Les actions suivantes entraînent la non-initialisation de tous les utilisateurs dupliqués ou orphelins. Ces utilisateurs perdent les informations suivantes associées :
- Datacenter
- Son
- Authentification unique (SSO)
- Informations sur la récupération
- Mise à niveau des extensions Drive Encryption ePO vers 7.2.0, en suivant les étapes de la Guide produit DE.
- Arrêtez le service du serveur ePolicy Orchestrator (Apache) sur le serveur ePO et tous les gestionnaires de l'agent.
- Cliquez sur Menu, Serveur Automation, Tâches serveur et désactivez la Synchronisation : synchroniser entre les utilisateurs et LDAP tâche.
- Identifiez le serveur LDAP enregistré en double et remplacez son nom par Dupliqué:
- Cliquez sur Menu, Système, Serveurs enregistrés.
- Sélectionnez le serveur LDAP enregistré en double.
- Cliquez sur Actions, Modifier.
- Renommez le serveur LDAP en Dupliqué.
- Pour identifier l’ID LDAP des serveurs enregistrés et l’ID Orion, exécutez la requête suivante dans SQL :
Sélectionnez OrionLdapServers.ID en tant que LdapID, OrionRegisteredServers.Name à partir de OrionLdapServers
JOINTURE interne OrionRegisteredServers
SUR OrionLdapServers. RegisteredServerId = OrionRegisteredServers. ID
- Corrigez les points de synchronisation Arborescence des systèmes :
- Dans Arborescence des systèmes, cliquez sur le bouton Détails sur le groupe onglet et afficher la Type de synchronisation option pour chaque sous-groupe.
- Si le type de synchronisation indique configuré, modifiez la configuration.
- Si le domaine Active Directory est configuré pour utiliser le serveur LDAP enregistré, sélectionnez le serveur enregistré approprié. Assurez-vous que le serveur enregistré en double n’est pas sélectionné.
- Cliquez sur Enregistrer.
- Corrigez les règles d’affectation de stratégie basées sur l’utilisateur :
- Cliquez sur Menu, Stratégie, Règles d’affectation de stratégie.
- Pour toutes les règles marquées comme Utilisateur, cliquez sur le nom pour modifier la règle.
- Cliquez sur l' Sélectionner les critères onglet.
- Cliquez sur l' + Dossier en regard de l’option Utilisateur/groupe/unité organisationnelle fixés.
- Cliquez sur l' Rechercher dans liste déroulante et sélectionnez le serveur LDAP enregistré correct.
- Identifier et sélectionner les mêmes Utilisateur, groupe ou UNITÉ organisationnelle qui a été configuré précédemment.
- Cliquez sur OK.
- Répétez la procédure pour tous les utilisateurs, groupes ou unités organisationnelles supplémentaires.
- Si nécessaire, modifiez la configuration du serveur LDAP enregistré d’origine pour que le domaine soit dirigé vers RootDN du domaine. Activez également Catalogue global ou Rechercher des références. Pour plus d’informations, voir KB79047.
- Pour corriger les AD groupes et unités organisationnelles affectés, procédez comme suit :
- Exécutez la requête suivante dans SQL :
Select EPOBranchNode.NodeName, OrionLdapItems.ServerId, OrionLdapItems.Dn, EPOBranchNodeID
From EPEBranchGroups
INNER JOIN OrionLdapItems
ON EPEBranchGroups.GroupID=OrionLdapItems.ID
INNER JOIN ePOBranchNode
ON EPOBranchNode.AutoID=EPEBranchGroups.EPOBranchNodeID
- Créer un sous-groupe dans Perdu et trouvé.
- Cliquez sur Utilisateurs de chiffrement et d’ajouter tous les groupes répertoriés au nouveau sous-groupe.
- Dans la section utilisateurs de chiffrement, supprimez le groupe ou l’unité organisationnelle de chaque emplacement de la liste et rajoutez-le à l’aide du serveur LDAP enregistré approprié.
- Supprimez le sous-groupe qui a été créé dans le groupe Lost et found.
- Exécutez la requête suivante dans SQL :
- Activer Démarrage automatique et Utilisateur du domaine local actif (ALDU) dans la stratégie paramètres du produit Drive Encryption :
- Modifiez la stratégie de produit Drive Encryption que vous utilisez.
- Cliquez sur l'
Log On onglet et sélectionnezEnable automatic booting. - Activer Ajouter des utilisateurs du domaine local pour l’une des deux options suivantes :
Tous les utilisateurs connectés précédents
Or
Utilisateur actuellement connecté - Cliquez sur Enregistrer.
- Pour activer Ne pas demander le mot de passe par défaut:
- Modifier la Utilisateur Drive Encryption stratégies de base.
- Cliquez sur l' Son onglet.
- Désélectionnez l’option Modifier le mot de passe par défaut, si cette option est sélectionnée.
- Sélectionnez Ne pas demander le mot de passe par défaut.
Veuillez L’option modifier le mot de passe par défaut ne peut pas être utilisée avec l’option Ne pas demander le mot de passe par défaut. Pour empêcher tout accès non autorisé aux systèmes à l’aide du mot de passe par défaut, utilisez l’optionExpire users who do not login dans la stratégie paramètres du produit.
- Supprimez le EE : ALDU marqueur de tous les systèmes :
- Accédez à Arborescence des systèmes.
- Cliquez sur Ce groupe uniquement Brouillard et sélectionnez Ce groupe et tous les sous-groupes.
- Sélectionnez tous les systèmes. Pour tout sélectionner, sélectionnez le premier système de la liste, faites défiler la liste jusqu’à la fin de la liste et, tout en maintenant la touche Maj enfoncée, sélectionnez le dernier système.
- Cliquez sur Actions, Tag, Effacer le marqueur.
- Sélectionnez le
EE:ALDU marqueur, puis cliquez sur OK.
- Création d’une requête utilisateur en double dans requêtes et rapports :
- Cliquez sur
Menu, Reporting, Queries and Reports. - Cliquez sur Actions, Nouveau.
- Cliquez sur Drive Encryption, Drive Encryption : utilisateurs en double, puis cliquez sur Suivant.
- Sélectionnez - et cliquez sur Suivant.
- Assurez-vous que les colonnes nom d’utilisateur (DE), ID DE serveur LDAP et nom du serveur LDAP enregistré sont ajoutées, puis cliquez sur Flèche.
- Dans la Automatiques onglet, cliquez sur Enregistrer.
- Nommer la requête DE : utilisateurs en double.
- Cliquez sur
- Pour modifier le tableau epeAdLookupCache, suivez les conseils dans KB85872 et contactez Support technique pour obtenir de l’aide concernant les modifications apportées à la base de données SQL.
- Annuler l’affectation de tous les utilisateurs :
- Cliquez sur
Menu, Reporting, Queries & Reports. - Exécutez la commande DE : requête utilisateurs.
- Sélectionnez tous les systèmes en sélectionnant le premier système de la liste, faites défiler la liste jusqu’à la fin de la liste et, tout en maintenant la touche Maj enfoncée, sélectionnez le dernier système.
- Cliquez sur
Actions, Drive Encryption, Deassign user(s) from all systems. - Lorsque vous y êtes invité, cliquez sur Oui.
Veuillez Une erreur est affichée, car tous les utilisateurs affectés via le groupe ne sont pas supprimés.
- Cliquez sur
- Exécutez à nouveau la requête SQL pour les utilisateurs en double et identifiez si des utilisateurs en double existent encore.
- Activer la Synchronisation : synchroniser entre les utilisateurs et LDAP liées.
- Supprimez le serveur LDAP enregistré en double des serveurs ePO enregistrés :
- Cliquez sur Menu, Système, Serveurs enregistrés.
- Identifiez le serveur LDAP enregistré en double.
- Configurez l’original à diriger vers RootDN de la forêt.
- Démarrez le service serveur McAfee ePolicy Orchestrator (Apache) sur le serveur ePO et tous les gestionnaires d’Agent.
- Lorsqu’un système est marqué avec
EE:ALDU , l’utilisateur a été réaffecté et la stratégie d’origine peut être réappliquée au système.
Informations connexes
Pour soumettre une nouvelle idée de produit, accédez à la page des idées produit client entreprise.
Cliquez sur connexion et saisissez votre ID d' utilisateur et votre mot de passe ServicePortal . Si vous ne disposez pas encore d’un compte ServicePortal ou d’un compte de communauté, cliquez sur Enregistrer pour vous inscrire pour un nouveau compte sur l’un des sites Web.
Pour plus d’informations sur les idées de produits, voir la section l’article kb60021-Comment soumettre une idée de produit.
Cliquez sur connexion et saisissez votre ID d' utilisateur et votre mot de passe ServicePortal . Si vous ne disposez pas encore d’un compte ServicePortal ou d’un compte de communauté, cliquez sur Enregistrer pour vous inscrire pour un nouveau compte sur l’un des sites Web.
Pour plus d’informations sur les idées de produits, voir la section l’article kb60021-Comment soumettre une idée de produit.
Remarque : Le Forum idées remplace le système de demande d’amélioration de produit précédent.
Pour les documents relatifs aux produits, accédez au portail de la documentation produit.
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
Produits affectés
Langues :
Cet article est disponible dans les langues suivantes :