Usuários duplicados Drive Encryption mostrados após a execução da consulta ' DE: usuários ' ou ' EE: usuários '
Artigos técnicos ID:
KB76111
Última modificação: 2024-01-09 09:01:18 Etc/GMT
Ambiente
McAfee Drive Encryption (DE) 7.2.x
Para obter detalhes de ambientes compatíveis, consulte KB79422.
Problema
Os usuários duplicados são mostrados após a execução do relatório DE consulta DE: Users.
O MfeEpe.log registra os seguintes erros:
ERRO
|
SatusService
|
Failed to add Drive Encryption users |
ERRO
|
EpoPlugin
|
userHandler: failed to process batched user data response: [0xEE050006] [0xEE050006] Following exceptions were raised when processing user list class EPE_user_exists_exception: [0xEE050001] The user already exists: Code :3993305089 |
Alteração de sistema
Foi criado mais de um servidor registrado para o mesmo domínio.
Causa
Usuários duplicados podem ser criados no cenário a seguir:
- Se existirem vários pontos de entrada no mesmo Active Directory floresta e
- Se o ePolicy Orchestrator (ePO) puder consultar os mesmos objetos de usuário de dois servidores LDAP registrados do ePO diferentes
O problema geralmente ocorre quando dois servidores LDAP registrados são direcionados para o mesmo domínio. No entanto, ele também pode ocorrer se:
- Vários servidores LDAP registrados são direcionados para domínios filho
E
- A opção catálogo global ou referências de busca está ativada.
DE permitir usuários duplicados, se o mesmo domínio for registrado duas vezes com servidores LDAP registrados diferentes.
Solução
1
IMPORTANTE: Uma nova consulta, Drive Encryption-duplicar usuários, foi incluída em DE 7.1 Atualização 3 e posterior para localizar e remover usuários duplicados. Usuários duplicados podem ser criados quando qualquer uma das seguintes opções se aplicar:
- Os servidores de Active Directory foram configurados incorretamente.
- Você usou referências de busca de LDAP.
- o ePO também permite que você registre o mesmo servidor de Active Directory várias vezes.
Para obter assistência sobre como identificar e resolver usuários duplicados, consulte KB84531.
Solução
2
Para evitar usuários duplicados:
- Não crie mais de um servidor LDAP registrado para o mesmo domínio raiz (RootDN).
Se forem usados domínios filho:
- McAfee sugere que o servidor registrado esteja definido para ser direcionado para o nível superior da floresta.
- Use um catálogo global ou buscar referências para acessar objetos de usuário que existem nos domínios filho.
- Para alta disponibilidade, configure o servidor LDAP registrado para que ele seja direcionado para o RootDN usando a opção "nome do domínio". Essa organização é preferível sobre o LDAP registrado que está sendo direcionado a um único controlador de domínio usando a opção "nome do servidor".
Solução
3
Para resolver o problema do usuário duplicado existente:
ADVERTÊNCIA As ações a seguir fazem com que quaisquer usuários duplicados ou órfãos não sejam inicializados. Esses usuários perdem as seguintes informações associadas:
- Dados
- senha
- Login único (SSO)
- Informações de recuperação
- Faça o upgrade do ePO Drive Encryption Extensions para 7.2.0, seguindo as etapas do DE guia DE produto.
- Interrompa o serviço do servidor ePolicy Orchestrator (Apache) no servidor ePO e em qualquer manipulador de Agent.
- Clique Menu, Servidor de automação, Tarefas do servidor e desative o LdapSync: sincronização pelos usuários a partir do LDAP TaskId.
- Identifique o servidor LDAP registrado duplicado e altere o nome para Duplicado:
- Clique em Menu, Configuração, Servidores registrados.
- Selecione o servidor LDAP registrado duplicado.
- Clique Ações, Editar.
- Renomear o servidor LDAP para Duplicado.
- Para identificar os servidores registrados ID LDAP e ID de Orion, execute a seguinte consulta no SQL:
Selecione OrionLdapServers.ID como Ldapid, OrionRegisteredServers.Name de OrionLdapServers
OrionRegisteredServers de junção interna
EM OrionLdapServers. RegisteredServerid = OrionRegisteredServers. ID
- Corrija quaisquer Árvore de sistemas pontos de sincronização:
- Em Árvore de sistemas, clique no botão Detalhes do grupo Tab e exiba o Tipo de sincronização opção para cada subgrupo.
- Se o tipo de sincronização mostrar configurado, edite a configuração.
- Se o Active Directory domínio estiver configurado para usar o servidor LDAP registrado, selecione o servidor registrado correto. Verifique se o servidor registrado duplicado não está selecionado.
- Clique Salvar.
- Corrija todas as regras de atribuição de políticas baseadas no usuário:
- Clique AdicionarMenu, Policy, Regras de atribuição de políticas.
- Para todas as regras marcadas como Usuário, clique no nome para editar a regra.
- Clique no botão Selecionar critérios na.
- Clique no botão + Pasta opção ao lado do Usuário/grupo/unidade organizacional critério.
- Clique no botão Procurar em e selecione o servidor LDAP registrado correto.
- Identificar e selecionar o mesmo Usuário, grupo ou RECIPIENTE que foi configurada anteriormente.
- Clique em OK.
- Repita o processo para qualquer usuário, grupo ou unidade organizacionais adicional.
- Se necessário, modifique a configuração do servidor LDAP registrado original para o domínio a ser direcionado para o RootDN do domínio. Além disso, ative Catálogo global ou Buscar referências. Para obter mais informações, consulte KB79047.
- Para corrigir os grupos de AD atribuídos e as UOs:
- Execute a seguinte consulta no SQL:
Select EPOBranchNode.NodeName, OrionLdapItems.ServerId, OrionLdapItems.Dn, EPOBranchNodeID
From EPEBranchGroups
INNER JOIN OrionLdapItems
ON EPEBranchGroups.GroupID=OrionLdapItems.ID
INNER JOIN ePOBranchNode
ON EPOBranchNode.AutoID=EPEBranchGroups.EPOBranchNodeID
- Criar um subgrupo em Perdidos e encontrados.
- Clique Usuários de criptografia e adicione todos os grupos listados ao novo subgrupo.
- Em usuários de criptografia, exclua o grupo ou unidade organizacional de cada local listado e adicione-o novamente usando o servidor LDAP registrado correto.
- Exclua o subgrupo que foi criado em achados e perdidos.
- Ativar AutoBoot em Usuário de domínio local ativo (ALDU) na política configurações de produto da Drive Encryption:
- Edite a política de produto Drive Encryption que você está usando.
- Clique no botão Log On guia e selecione Enable automatic booting.
- Ativar Adicionar usuários do domínio local para:
Todos os usuários conectados anteriormente
Quanto
Usuário conectado no momento
- Clique Salvar.
- Para ativar Não pedir senha padrão:
- Edite o Drive Encryption usuário políticas baseadas.
- Clique no botão senha na.
- Desmarque a opção Alterar senha padrão, se essa opção for selecionada.
- Selecionados Não pedir senha padrão.
OBSERVAÇÃO: A opção Alterar senha padrão não pode ser usada com a opção Não pedir senha padrão. Para impedir o acesso não autorizado a sistemas com a senha padrão, use a opção Expire users who do not login na política de configurações do produto.
- Remover o EE: ALDU marca de todos os sistemas:
- Navegue até Árvore de sistemas.
- Clique Somente este grupo Predefinição e selecione Este grupo e todos os subgrupos.
- Selecione todos os sistemas. Para selecionar tudo, selecione o primeiro sistema da lista, role até o final da lista e, ao mesmo tempo, mantenha a tecla Shift pressionada, selecione o último sistema.
- Clique Action, Inserir, Limpar marca.
- Selecione o EE:ALDU e, em seguida, clique em OK.
- Criar uma consulta de usuário duplicada em consultas e relatórios:
- Clique Menu, Reporting, Queries and Reports.
- Clique em Ações, Novo.
- Clique Drive Encryption, Drive Encryption – usuários duplicados, em seguida, clique em Próximas.
- Selecionados Índice e clique em Próximas.
- Verifique se as colunas nome do usuário (DE), ID do servidor LDAP e nome do servidor LDAP registrado foram adicionadas e clique em Próximas.
- Na guia Filtrá , clique em Salvar.
- Nomear a consulta DE: usuários duplicados.
- Para modificar a tabela epeAdLookupCache, siga as orientações em KB85872 e entre em contato com o Suporte técnico para obter assistência com as alterações no banco de dados SQL.
- Cancelar a atribuição de todos os usuários:
- Clique Menu, Reporting, Queries & Reports.
- Execute o DE: consulta DE usuários.
- Selecione todos os sistemas selecionando o primeiro sistema da lista, role até o final da lista e, mantendo a tecla Shift pressionada, selecione o último sistema.
- Clique Actions, Drive Encryption, Deassign user(s) from all systems.
- Quando solicitado, clique em Sim.
OBSERVAÇÃO: Um erro é exibido porque qualquer usuário atribuído por meio do grupo não é removido.
- Execute a consulta SQL de usuários duplicados novamente e identifique se algum usuário duplicado ainda existe.
- Ativar o LdapSync: sincronização pelos usuários a partir do LDAP las.
- Exclua o servidor LDAP registrado duplicado dos servidores registrados do ePO:
- Clique em Menu, Configuração, Servidores registrados.
- Identifique o servidor LDAP registrado duplicado.
- Configure o original a ser direcionado para o RootDN da floresta.
- Inicie o serviço do servidor da McAfee ePolicy Orchestrator (Apache) no servidor ePO e em qualquer manipulador de Agent.
- Quando um sistema é marcado com EE:ALDU, o usuário foi reatribuído e a política original pode ser reaplicada ao sistema.
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
|