未能从镜像服务器获取存储库代理服务（镜像任务在更新后间歇性McAfee Agent5.5.x)

技术文章 ID: KB91069
上次修改时间: 2021/10/19

环境

McAfee Agent (MA) 5.5.x

Microsoft Windows Server 2012-2008

问题

镜像任务执行间歇性失败。

使用 MA 时可能会发生故障5.5.x使用镜像镜像文件SuperAgent镜像位置执行镜像任务。

McAfee Agent记录以下错误：

#3888 mirror& 镜像任务 开始参数 - 目标目录： c：\mcafee，日志文件路径： C：\ProgramData\McAfee\Agent\\logs\marepomirror，目录版本： 20180920144354，代理模式： 1，日志大小： 2，最大滚动更新数： 1
#3888 crypto RSA version : 4.0.1.0
#3888 crypto RSA crypto role : User Role
#3888 crypto RSA crypto mode : NON-FIPS Mode
#3888 crypto RSA rand algo : HMAC Random
#3888 ma_client ma client is started.
#4760 msgbus Allowing <1160> onto msgbus
#3888 creposi 未能从数据库获取存储库代理服务。
#3888 ma_client stopping ma client.

原因

缺少以下一个或多个证书：

UTN-USERFirst-Object
Verisign通用根证书颁发机构
Verisign 3 类公共主要证书颁发机构 - G5

最新的 McAfee 二进制文件已使用更新的 SHA-1 和 SHA-256 证书签名。需要这些根证书才能验证数字签名。 Microsoft分发这些证书。

缺少根证书的原因包括，但不仅限于：

该证书已被管理员从系统中删除。
系统未连接 Internet，执行根 AutoUpdate（自动根更新）时需要该连接。
生效的组策略会阻止根证书更新：
- 系统注册表值HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate设置为 1。
- 验证是否注册表项以下内容：HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\ProtectedRoots.

解决方案 1

安装缺少的UTN-USERFirst-Object, Verisign通用根证书颁发机构和Verisign 3 类公共主要证书颁发机构 - G5物理证书第三方受信任的根证书颁发机构商店。

安装缺少的COMODO RSA 代码签名 CA和Verisign 3 类代码签名 2010 CA物理证书中间证书颁发机构 商店。

安装证书后，可以成功安装或升级产品。

McAfee 建议您使用"分组Active Directory来安装证书，进行广泛的部署。有关如何使用组策略部署注册表更改的信息，请参阅Microsoft文章，位于：https://technet.microsoft.com/en-us/library/cc753092（v=ws.11）.aspx.

部署对的注册表更改。计算机策略，而不是用户政策。而非使用证书组策略对象，请使用注册表对策略进行分组，以直接更改端点注册表，从而将证书放在正确的存储中。（使用证书组策略将证书放在错证书存储。）

或者，使用以下任一方法直接在系统安装证书，或使用任何适当的管理部署方法远程安装证书：

若要安装Verisign 3 类公共主要证书颁发机构 - G5、UTN-USERFirst-Object、 Verisign通用根证书颁发机构,COMODO RSA 代码签名 CA和Verisign 3 类代码签名 2010 CA证书：
- 下载文章的 USERFirst_and_VeriSign_and_Comodo.bat.txt 在 附件部分。将文件重命名为USERFirst_and_VeriSign.bat并运行该脚本。
- 下载文件 USERFirst_and_VeriSign_and_Comodo.reg.txt 在附件部分。将文件重命名为USERFirst_and_VeriSign.reg并导入。

或者，如果您具有单个系统或仅有几个系统，则仅安装Verisign 3 类公共主要证书颁发机构 - G5要手动修复的证书：

请联系Verisign 客户支持以获取缺少的证书：
https://www.verisign.com/en_US/support-services/index.xHtml
复制包装箱中显示的证书的内容（包括 -----BEGIN 证书 -----和 -----END CERTIFICATE-----行）。
将复制的内容粘贴到纯文本编辑器中，例如记事本。
将文件保存为.cer扩展，例如：C:\Temp\VeriSign.cer
打开提升的命令提示符，右键单击命令提示符并选择以管理员角色运行.
运行以下命令：

certutil -addstore root C:\Temp\VeriSign.cer

解决方案 2

解决阻止系统自动更新根证书的问题。

Microsoft许多组策略对象和自动更新，但系统允许管理根证书。有关详细信息，请参阅https://technet.microsoft.com/en-us/library/cc749331（v=ws.10）.aspx. 证书存储的管理不在其技术支持。

使用以下解决方案只如果生效的组策略阻止了根证书更新：

注意：： 本文包含有关打开或修改注册表的信息。

以下信息供系统管理员使用。注册表修改是不可逆的，如果执行不正确可能会导致系统故障。
执行前，技术支持强烈建议您先备份注册表并了解还原过程。有关详细信息，请参阅高级用户文章的 Microsoft Windows 注册表信息。
请不要运行未确认为真正的注册表导入文件的 REG 文件。

更改注册表值 HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate从1自0:

注意：如果您要使用组策略进行广泛的部署更改，则此设置的组策略对象（GPO）为：计算机配置,管理模板,系统,Internet 通信管理,Internet 通信设置,关闭自动根证书更新.
改变关闭自动根证书更新从启用自禁用.
1. 按 Windows+R键，键入 regedit，然后单击确定。
2. 导航至：HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate
3. 更改以下值：1自0.
4. 退出注册表编辑器。
如果存在，请删除注册表项ProtectedRoots，位于HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\ProtectedRoots:
1. 按 Windows+R键，键入 regedit，然后单击确定。
2. 导航至：HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root
3. 右键单击ProtectedRoots选择出口，然后选择备份副本的保存位置。
4. 右键单击ProtectedRoots选择删除，然后单击是的何时提示。
5. 退出注册表编辑器。

免责声明

本文内容源于英文。如果英文内容与其翻译内容之间存在差异，应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。

受影响的产品

语言:

此文章有以下语言版本：

Knowledge Center

未能从镜像服务器获取存储库代理服务（镜像任务在更新后间歇性McAfee Agent5.5.x)

环境

问题

原因

解决方案 1

解决方案 2

相关信息

免责声明

受影响的产品

语言:

Title

Title

Knowledge Center

未能从镜像服务器获取存储库代理服务 （镜像任务在更新后间歇性McAfee Agent5.5.x)

环境

问题

原因

解决方案 1

解决方案 2

相关信息

免责声明

受影响的产品

语言:

选择您的区域

Title

Title

未能从镜像服务器获取存储库代理服务（镜像任务在更新后间歇性McAfee Agent5.5.x)