AVVISO: client ha generato il messaggio irreversibile (2) internal_error (80) avviso: Impossibile leggere il record
Articoli tecnici ID:
KB91304
Ultima modifica: 2022-10-03 18:49:22 Etc/GMT
Ambiente
McAfee ePolicy Orchestrator (ePO) 5.10.0
Problema
L'installazione non riesce quando si tenta una delle seguenti azioni di ePO 5.10 :
- Installa
- Upgrade
- Ripristino di un ambiente ePO 5.10 da un disaster recovery snapshot
L'installazione esegue il rollback durante la fase di installazione del componente core in esecuzione del processo.
L' Core-install.log (installazione pulita), Core-upgrade.log (upgrade) o Core-Restore.log (Disaster Recovery) registra più volte i seguenti messaggi nel registro:
org.bouncycastle.jsse.provider.ProvTlsClient notifyAlertRaised
[test-db] WARNING: Client raised fatal(2) internal_error(80) alert: Failed to read record
[test-db] java.io.IOException
Causa
ePO 5.10 può utilizzare una delle tre suite di crittografia per stabilire una connessione TLS al SQL Server:
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
Un problema con il programma di installazione di ePO significa che potrebbe non presentare correttamente il TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 suite di cifratura.
L'installazione non riesce se le TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA suite e TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA cipher sono disattivate nella SQL Server. L'installazione non riesce anche se l' TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 opzione è attivata nel SQL Server.
Soluzione
Attivare una delle seguenti suite di crittografia nella SQL Server. Idealmente, attiva entrambi:
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
Riavviare il SQL Server e applicare la modifica. Quindi installare di nuovo ePO.
Le suite di cifratura sono necessarie per le operazioni quotidiane di ePO, non solo per l'installazione. Non disattivarli al termine dell'installazione.
Soluzione alternativa
1
Utilizzare la procedura descritta in questa sezione:
- Se TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 è attivato, ma non è possibile attivare le seguenti suite di crittografia nella SQL Server:
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- E, per una delle condizioni elencate di seguito:
- Nuova installazione di ePO 5.10.
- Effettuare l'upgrade di un'installazione precedente di ePO a ePO 5.10.
- Ripristinare ePO 5.10 da un snapshot di Disaster Recovery, in cui è stato applicato l' aggiornamento di ePO 5.10 7 o versione successiva.
NOTA: Se si ripristina ePO da un disaster recovery snapshot in cui è stato applicato l' aggiornamento 6 o versioni precedenti, utilizzare la soluzione alternativa 2.
- Avviare l'installazione di ePO 5.10 . Esegui setup.exe con i seguenti switch con distinzione tra maiuscole e minuscole:
Setup.exe PAUSEAFTERFILECOPY=1
- Procedere con l'installazione. Una volta copiati i file nella directory di installazione, il programma di installazione interrompe e visualizza il messaggio seguente:
File copying completed. Press OK to continue with installation.
IMPORTANTE:Non fare clic su OK a questo punto.
- Aprire il seguente file in un editor di testo:
<ePO_installation_folder>\Installer\Core\server\conf\orion\epo.java.security
- Individuare la riga che inizia con:
jtds.enabledCipherSuites=
- Rispostare le virgolette dall'inizio e dalla fine dell'elenco di suite di crittografia.
La riga completata recita come segue (una singola riga senza spazi o interruzioni di riga):
jtds.enabledCipherSuites=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA,
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA,
TLS_DHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA,TLS_ECDH_RSA_WITH_AES_256_CBC_SHA,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
Nota: per la formattazione di questo articolo, le interruzioni di riga sono state incluse nella stringa sopra riportata.
- Salvare il file.
- Per continuare l'installazione, fare clic su OK nel messaggio di pausa.
L'installazione viene completata correttamente.
Soluzione alternativa
2
Utilizzare la procedura descritta in questa sezione:
- Se TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 è attivato, ma non è possibile attivare le seguenti suite di crittografia nella SQL Server:
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- E, se si desidera ripristinare ePO da un disaster recovery snapshot con l' aggiornamento ePO 5.10 6 o versioni precedenti ,
Procedura
- Avviare l'installazione di ePO 5.10 . Esegui setup.exe con i seguenti switch con distinzione tra maiuscole e minuscole:
Setup.exe PAUSEAFTERFILECOPY=1 DEBUGOUTPUT=1
- Procedere con l'installazione. Una volta copiati i file nella directory di installazione, il programma di installazione interrompe e visualizza il messaggio seguente:
File copying completed. Press OK to continue with installation.
IMPORTANTE:Non fare clic su OK a questo punto.
- Aprire il file epo.java.security in un editor di testo ( notepad.exe ):
<ePO_installation_folder>\Installer\Core\server\conf\orion\epo.java.security
- Individuare la riga che inizia con:
jtds.enabledCipherSuites=
- Rispostare le virgolette dall'inizio e dalla fine dell'elenco di suite di crittografia.
La riga completata recita come segue (una singola riga senza spazi o interruzioni di riga):
jtds.enabledCipherSuites=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA,
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA,
TLS_DHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA,TLS_ECDH_RSA_WITH_AES_256_CBC_SHA,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
Nota: per la formattazione di questo articolo, le interruzioni di riga sono state incluse nella stringa sopra riportata.
- Salvare il file.
- Per continuare l'installazione, fare clic su OK nel messaggio di pausa.
- Viene visualizzato il seguente messaggio, fare clic su OK per continuare.
About to run MFS restore script
- Quando viene visualizzato il seguente messaggio, non fare clic su OK:
About to start Tomcat (MCAFEETOMCATSRV5100) service
- Aprire il file epo.java.security in un editor di testo:
<ePO_installation_folder>\server\conf\orion\epo.java.security
- Come in precedenza, individuare la riga che inizia con jtds.enabledCipherSuites= . Rispostare le virgolette dall'inizio e terminare l'elenco di suite di crittografia.
- Salvare il file.
- Quando viene visualizzato il seguente messaggio, fare clic su OK:
About to start Tomcat (MCAFEETOMCATSRV5100) service
- È possibile che venga visualizzato il seguente messaggio contenente la stringa. Quando si esegue l'esecuzione, attendere due minuti, quindi fare clic su OK.
NOTA: È possibile che venga visualizzato lo stesso messaggio, in tal caso, attendere altri due minuti, quindi fare clic su OK.
CustomAction: MerMod_StartCurrentServices
L'installazione viene completata correttamente.
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
|