Duplica Drive Encryption utenti visualizzati dopo l'esecuzione del query ' DE: Users ' o ' EE: Users '
Articoli tecnici ID:
KB76111
Ultima modifica: 09/01/2024
Ambiente
McAfee Drive Encryption (DE) 7.2.x
Per informazioni dettagliate sugli ambienti supportati da, consultare KB79422.
Problema
Gli utenti duplicati vengono visualizzati dopo aver eseguito il rapporto DE query DE: Users.
Il MfeEpe.log registra i seguenti errori:
ERRORE
|
SatusService
|
Failed to add Drive Encryption users |
ERRORE
|
EpoPlugin
|
userHandler: failed to process batched user data response: [0xEE050006] [0xEE050006] Following exceptions were raised when processing user list class EPE_user_exists_exception: [0xEE050001] The user already exists: Code :3993305089 |
Modifica di sistema
È stato creato più di un server registrato allo stesso dominio.
Causa
Gli utenti duplicati possono essere creati nel seguente scenario:
- Se sono presenti più punti di ingresso nella stessa foresta Active Directory e
- Se ePolicy Orchestrator (ePO) può query gli stessi oggetti utente di due server LDAP registrati di ePO diversi
Il problema si verifica spesso quando due server LDAP registrati vengono indirizzati allo stesso dominio. Tuttavia, può verificarsi anche se:
- Più server LDAP registrati vengono indirizzati ai domini figlio
E
- L'opzione catalogo globale o Chase referrals è attivata.
DE consente agli utenti duplicati se lo stesso dominio viene registrato due volte con server LDAP registrati diversi.
Soluzione
1
IMPORTANTE Un nuovo query, Drive Encryption – utenti duplicati, è stato incluso nel DE 7.1 Aggiornare 3 Release e versioni successive per individuare e rimuovere gli utenti duplicati. Gli utenti duplicati possono essere creati quando si applica una delle seguenti opzioni:
- I server Active Directory sono stati configurati in modo errato.
- Sono stati utilizzati i riferimenti a Chase LDAP.
- ePO consente inoltre di registrare lo stesso server di Active Directory più volte.
Per assistenza su come identificare e risolvere gli utenti duplicati, consultare KB84531.
Soluzione
2
Per impedire gli utenti duplicati:
- Non creare più di un server LDAP registrato nello stesso dominio root (RootDN).
Se vengono utilizzati domini figlio:
- McAfee indica che il server registrato è impostato per essere indirizzato al livello superiore della foresta.
- Utilizzare un catalogo globale o inseguire i riferimenti per accedere agli oggetti utente presenti nei domini figlio.
- Per una disponibilità elevata, configurare il server LDAP registrato in modo che venga indirizzato a RootDN utilizzando l'opzione "nome dominio". Questa disposizione è preferibile rispetto al protocollo LDAP registrato indirizzato a un singolo controller di dominio utilizzando l'opzione "nome server".
Soluzione
3
Per risolvere il problema esistente dell'utente duplicato:
AVVISO Le azioni riportate di seguito causano la non inizializzazione di utenti duplicati o orfani. Questi utenti perdono le seguenti informazioni associate:
- Dati
- Password
- Accesso singolo (SSO)
- Informazioni di ripristino
- Effettuare l'upgrade delle estensioni Drive Encryption ePO a 7.2.0, seguendo i passaggi del Guida del prodotto di DE.
- Arrestare il servizio server di ePolicy Orchestrator (Apache) sul server ePO e tutti i gestori di Agent.
- Fare clic su Menu, Server di automazione, Attività server e disattivare il LdapSync: sincronizzazione tra gli utenti di LDAP attività.
- Identificare il server LDAP registrato duplicato e modificare il nome in Duplicato:
- Fare clic su Menu, Configurazione, Server registrati.
- Selezionare il server LDAP registrato duplicato.
- Fare clic su Azioni, Modifica.
- Rinominare il server LDAP in Duplicato.
- Per identificare i server registrati ID LDAP e ID Orion, eseguire le seguenti query in SQL:
Selezionare OrionLdapServers.ID come LdapID, OrionRegisteredServers.Name da OrionLdapServers
INNER JOIN OrionRegisteredServers
IN OrionLdapServers. RegisteredServerId = OrionRegisteredServers. ID
- Correggere i punti di sincronizzazione Struttura dei sistemi:
- Da Struttura dei sistemi, fare clic sul pulsante Dettagli gruppo e visualizzare la scheda Tipo di sincronizzazione opzione per ogni gruppo secondario.
- Se il tipo di sincronizzazione Mostra configurato, modificare la configurazione.
- Se il dominio Active Directory è configurato per l'utilizzo del server LDAP registrato, selezionare il server registrato corretto. Assicurarsi che il server registrato duplicato non sia selezionato.
- Fare clic su Salva.
- Correggere le regole di assegnazione di policy basate sull'utente:
- Fare clic su Menu, Politica, Regole di assegnazione di policy.
- Per tutte le regole contrassegnate come Utente, fare clic sul nome per modificare la regola.
- Fare clic sul pulsante Selezionare i criteri scheda.
- Fare clic sul pulsante + Cartella opzione accanto a Utente/gruppo/OU criteri.
- Fare clic sul pulsante Cerca in elenco a discesa e selezionare il server LDAP registrato corretto.
- Identifica e seleziona lo stesso Utente, gruppo o OU precedentemente configurato.
- Fare clic su Ok.
- Ripetere il processo per tutti gli utenti, i gruppi o le unità organizzative aggiuntive.
- Se necessario, modificare la configurazione del server LDAP originale registrato per il dominio da indirizzare a RootDN del dominio. Inoltre, attiva Catalogo globale o Inseguimento di riferimenti. Per ulteriori informazioni, consultare KB79047.
- Per correggere i gruppi AD assegnati e le unità organizzative:
- Eseguire la query seguente in SQL:
Select ePOBranchNode.NodeName, OrionLdapItems.ServerId, OrionLdapItems.Dn, ePOBranchNodeID
From EPEBranchGroups
INNER JOIN OrionLdapItems
ON EPEBranchGroups.GroupID=OrionLdapItems.ID
INNER JOIN ePOBranchNode
ON ePOBranchNode.AutoID=EPEBranchGroups.ePOBranchNodeID
- Creare un gruppo secondario in Smarriti e rilevati.
- Fare clic su Utenti di crittografia e aggiungere tutti i gruppi elencati al nuovo gruppo secondario.
- Da utenti di crittografia, eliminare il gruppo o l'unità organizzativa da ogni percorso elencato e aggiungerlo nuovamente utilizzando il server LDAP registrato corretto.
- Eliminare il gruppo secondario creato in smarriti e trovati.
- Attivare Avvio automatico reattivo e Utente di dominio locale attivo (ALDU) nelle impostazioni del prodotto Drive Encryption policy:
- Modificare il prodotto Drive Encryption policy in uso.
- Fare clic sul pulsante Log On scheda e selezionare Enable automatic booting.
- Attivare Aggiunta di utenti di dominio locale per entrambi:
Tutti gli utenti registrati precedenti
O
Utente attualmente connesso
- Fare clic su Salva.
- Per attivare Non richiedere la password predefinita:
- Modificare il Drive Encryption utente policy basate su.
- Fare clic sul pulsante Password scheda.
- Deselezionare l'opzione Modifica password predefinita, se selezionato.
- Selezionare Non richiedere l'impostazione predefinita password.
Nota L'opzione Modifica impostazione predefinita password non può essere utilizzata con l'opzione Non richiedere l'impostazione predefinita password. Per impedire l'accesso non autorizzato ai sistemi con il password predefinito, utilizzare l'opzione Expire users who do not login nella Policy Impostazioni prodotto.
- Rimuovi il EE: ALDU Tag da tutti i sistemi:
- Passare a Struttura dei sistemi.
- Fare clic su Solo questo gruppo Preimpostazione e selezionare Questo gruppo e tutti i gruppi secondari.
- Selezionare tutti i sistemi. Per selezionare tutto, selezionare il primo sistema nell'elenco, scorrere fino alla fine dell'elenco e, tenendo premuto il tasto MAIUSC, selezionare l'ultimo sistema.
- Fare clic su Azioni, Tag, Cancella tag.
- Selezionare il EE:ALDU Tag, quindi fare clic su Ok.
- Creare una query utente duplicata in query e rapporti:
- Fare clic su Menu, Reporting, Queries and Reports.
- Fare clic su Azioni, Nuovo.
- Fare clic su Drive Encryption, Drive Encryption – utenti duplicati, quindi fare clic su Avanti.
- Selezionare tavolo e fare clic su Avanti.
- Verificare che le colonne nome utente (DE), ID server LDAP e nome server LDAP registrato siano state aggiunte, quindi fare clic su Avanti.
- Nella pagina Filtro , fare clic su Salva.
- Assegnare un nome al query DE: utenti duplicati.
- Per modificare la tabella epeAdLookupCache, seguire i consigli in KB85872 e contattare Assistenza tecnica per assistenza con le modifiche al database SQL.
- De-assegnare tutti gli utenti:
- Fare clic su Menu, Reporting, Queries & Reports.
- Eseguire il DE: utenti query.
- Selezionare tutti i sistemi selezionando il primo sistema nell'elenco, scorrere fino alla fine dell'elenco e tenendo premuto MAIUSC, selezionare l'ultimo sistema.
- Fare clic su Actions, Drive Encryption, Deassign user(s) from all systems.
- Quando richiesto, fare clic su Sì.
Nota Viene visualizzato un errore perché gli utenti assegnati tramite il gruppo non vengono rimossi.
- Eseguire nuovamente il query SQL degli utenti duplicati e identificare se sono ancora presenti utenti duplicati.
- Attiva il LdapSync: sincronizzazione tra gli utenti di LDAP attività.
- Eliminare il server LDAP registrato duplicato dai server registrati di ePO:
- Fare clic su Menu, Configurazione, Server registrati.
- Identifica il server LDAP registrato duplicato.
- Configurare l'originale in modo che venga indirizzato al RootDN della foresta.
- Avviare il servizio di McAfee ePolicy Orchestrator Server (Apache) sul server ePO e tutti i gestori di Agent.
- Quando un sistema è taggato con EE:ALDU, l'utente è stato riassegnato e il policy originale può essere riapplicato al sistema.
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
|