WARNING: Client raised fatal(2) internal_error(80) alert: Failed to read record (ePO 5.10 のインストールに失敗しました)
技術的な記事 ID:
KB91304
最終更新: 2022-01-13 22:02:48 Etc/GMT
環境
McAfee ePolicy Orchestrator (ePO) 5.10.0
問題
次の ePO 5.10 アクションのいずれかを試行すると、インストールが失敗します。
- インストール
- アップグレード
- 障害時復旧スナップ ショットから ePO 5.10 環境を復元する
プロセスの コア コンポーネント インストーラーの実行 段階で、インストールがロールバックされます。
Core-install.log (クリーン インストール)、 Core-upgrade.log (アップグレード)、または Core-Restore.log (障害時復旧) は、ログ全体に次のメッセージを数回記録します。
org.bouncycastle.jsse.provider.ProvTlsClient notifyAlertRaised
[test-db] WARNING: Client raised fatal(2) internal_error(80) alert: Failed to read record
[test-db] java.io.IOException
原因
ePO 5.10 は、次の 3 つの暗号スイートのいずれかを使用して SQL Server への TLS 接続を確立できます。
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
ePO インストーラーの問題は、 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 暗号スイートを正しく提示しない可能性があることを意味します。
SQL Server で TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA および TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA 暗号スイートが無効になっている場合、インストールは失敗します。 SQL Server で TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 が有効になっている場合でも、インストールは失敗します。
解決策
SQL Server で、次のいずれかの暗号スイートを有効にします。 次の両方を有効にするのが理想的です。
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
SQL Server を再起動して、変更を適用します。 次に、ePO を再度インストールします。
暗号スイートは、インストールだけでなく、ePO の日常的な運用にも必要です。 インストールの完了後にそれらを無効にしないでください。
回避策
1
このセクションの手順を使用します。
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 が有効になっているが、SQL Server で次の暗号スイートを有効に できない 場合:
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- また、以下にリストされている条件のいずれか:
- ePO 5.10. の新規インストール。
- 以前にインストールした ePO を ePO 5.10. にアップグレードします。
- ePO 5.10 を ePO 5.10 Update 7 以降が適用されていた障害時復旧スナップショットから復元します。
注: Update 6 以前が適用された障害時復旧スナップショットから ePO を復元する場合は、代替の回避策 2 を使用してください。
- ePO 5.10 のインストールを開始します。 次の大文字と小文字を区別するスイッチを使用して setup.exe を実行します。
Setup.exe PAUSEAFTERFILECOPY=1
- インストールを続行します。 インストーラーがファイルをインストール ディレクトリにコピーすると、一時停止して次のメッセージが表示されます。
File copying completed. Press OK to continue with installation.
重要: この時点では OK をクリックしない でください。
- 次のファイルをテキストエディタで開きます。
\Installer\Core\server\conf\orion\epo.java.security
- 次で始まる行を見つけます。
jtds.enabledCipherSuites=
- 暗号スイートのリストの最初と最後から引用符を削除します。
完成した行は次のようになります(スペースや改行のない単一の行)。
jtds.enabledCipherSuites=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA,
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA,
TLS_DHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA,TLS_ECDH_RSA_WITH_AES_256_CBC_SHA,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
注: この記事のフォーマットでは、上記の文字列に改行が含まれています。
- ファイルを保存します。
- インストールを続行するには、一時停止メッセージで OK をクリックします。
インストールが正常に完了します。
回避策
2
このセクションの手順を使用します。
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 が有効になっているが、SQL Server で次の暗号スイートを有効に できない 場合:
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- また、ePO 5.10 Update 6 以前 が適用されている障害時復旧スナップショットから ePO を復元する必要があります。
手順:
- ePO 5.10 のインストールを開始します。 次の大文字と小文字を区別するスイッチを使用して setup.exe を実行します。
Setup.exe PAUSEAFTERFILECOPY=1 DEBUGOUTPUT=1
- インストールを続行します。 インストーラーがファイルをインストール ディレクトリにコピーすると、一時停止して次のメッセージが表示されます。
File copying completed. Press OK to continue with installation.
重要: この時点では OK をクリック しない でください。
- ファイル epo.java.security をテキスト エディタ (notepad.exe) で開きます。
\Installer\Core\server\conf\orion\epo.java.security
- 次で始まる行を見つけます。
jtds.enabledCipherSuites=
- 暗号スイートのリストの最初と最後から引用符を削除します。
完成した行は次のようになります(スペースや改行のない単一の行)。
jtds.enabledCipherSuites=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA,
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA,
TLS_DHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA,TLS_ECDH_RSA_WITH_AES_256_CBC_SHA,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
注: この記事のフォーマットでは、上記の文字列に改行が含まれています。
- ファイルを保存します。
- インストールを続行するには、一時停止メッセージで OK をクリックします。
- 次のメッセージが表示されたら、OK をクリックして続行します。
About to run MFS restore script
- 次のメッセージが表示された場合は、[OK] をクリックしない でください。
About to start Tomcat (MCAFEETOMCATSRV5100) service
- ファイル epo.java.security をテキスト エディタで開きます。
\server\conf\orion\epo.java.security
- 前と同じように、jtds.enabledCipherSuites= で始まる行を見つけます。 暗号スイートのリストの最初と最後から引用符を削除します。
- ファイルを保存します。
- 次のメッセージが表示されたら、OK をクリックします。
About to start Tomcat (MCAFEETOMCATSRV5100) service
- 文字列を含む次のメッセージが表示される場合があります。 その場合は、2 分間待ってから、OK をクリックします。
注: 同じメッセージが再度表示される場合があります。その場合は、さらに 2 分待ってから、OK をクリックしてください。
CustomAction: MerMod_StartCurrentServices
インストールが正常に完了します。
免責事項
この記事の内容のオリジナルは英語です。英語の内容と翻訳に相違がある場合、常に英語の内容が正確です。一部の内容は Microsoft の機械翻訳による訳文となっています。
|