AVERTISSEMENT : le client a généré une erreur fatale (2) internal_error (80) alerte : Echec de la lecture de l’enregistrement
Articles techniques ID:
KB91304
Date de la dernière modification : 2022-10-03 18:49:25 Etc/GMT
Environnement
McAfee ePolicy Orchestrator (ePO) 5.10.0
Problème
L’installation échoue lorsque vous essayez d’effectuer l’une des actions ePO 5.10 suivantes :
- Installer
- Mise à niveau
- Restauration d’un environnement ePO 5.10 à partir d’une capture instantanée pour la reprise sur sinistre
L’installation est restaurée au cours de l’étape d' exécution du programme d’installation des composants centraux du processus.
La Core-install.log (nouvelle installation), Core-upgrade.log (mise à niveau), ou Core-Restore.log (reprise sur sinistre) enregistre les messages suivants plusieurs fois dans le journal :
org.bouncycastle.jsse.provider.ProvTlsClient notifyAlertRaised
[test-db] WARNING: Client raised fatal(2) internal_error(80) alert: Failed to read record
[test-db] java.io.IOException
Cause
ePO 5.10 peut utiliser l’une des trois suites de chiffrement pour établir une connexion TLS avec le SQL Server :
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
Un problème lié au programme d’installation d’ePO signifie qu’il peut ne pas présenter correctement les TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 suite de chiffrement.
L’installation échoue si les TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA suites de chiffrement et TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA de chiffrement sont désactivées sur le SQL Server. L’installation échoue même si l' TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 option est activée sur le SQL Server.
Solution
Activez l’une des suites de chiffrement suivantes sur le SQL Server. Idéalement, activez les deux options suivantes :
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
Redémarrez le SQL Server et appliquez la modification. Ensuite, installez à nouveau ePO.
Les suites de chiffrement sont nécessaires pour le fonctionnement quotidien d’ePO, et pas seulement pour l’installation. Ne les désactivez pas une fois l’installation terminée.
Résolution
1
Utilisez la procédure décrite dans cette section :
- Si TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 est activé, mais il n’est pas possible d’activer les suites de chiffrement suivantes sur le SQL Server :
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- Et, pour l’une des conditions répertoriées ci-dessous :
- Nouvelle installation d’ePO 5.10.
- Mise à niveau d’une installation précédente d’ePO vers ePO 5.10.
- Restaurez ePO 5.10 à partir d’une capture instantanée pour la reprise sur sinistre, dans laquelle ePO 5.10 Update 7 ou version ultérieure avait été appliqué.
REMARQUE : Si vous restaurez ePO à partir d’une capture instantanée de reprise sur sinistre pour laquelle la mise à jour 6 ou antérieure était appliquée, utilisez l’autre solution de contournement 2.
- Démarrez l’installation d’ePO 5.10 . Exécuter setup.exe avec le commutateur respectant la casse suivant :
Setup.exe PAUSEAFTERFILECOPY=1
- Poursuivez l'installation. Une fois que le programme d’installation a copié les fichiers dans le répertoire d’installation, il s’arrête et affiche le message suivant :
File copying completed. Press OK to continue with installation.
IMPORTANT :Ne cliquez pas sur OK à ce stade.
- Ouvrez le fichier suivant dans un éditeur de texte :
<ePO_installation_folder>\Installer\Core\server\conf\orion\epo.java.security
- Recherchez la ligne commençant par :
jtds.enabledCipherSuites=
- Supprimez les guillemets à partir du début et de la fin de la liste des suites de chiffrement.
La ligne terminée se présente comme suit (une ligne unique sans espaces ni sauts de ligne) :
jtds.enabledCipherSuites=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA,
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA,
TLS_DHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA,TLS_ECDH_RSA_WITH_AES_256_CBC_SHA,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
Remarque : pour le formatage de cet article, les sauts de ligne ont été inclus dans la chaîne ci-dessus.
- Enregistrez le fichier.
- Pour poursuivre l’installation, cliquez sur OK dans le message de suspension.
L’installation se termine correctement.
Résolution
2
Utilisez la procédure décrite dans cette section :
- Si TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 est activé, mais il n’est pas possible d’activer les suites de chiffrement suivantes sur le SQL Server :
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- Vous souhaitez restaurer ePO à partir d’un instantané de reprise sur sinistre sur lequel ePO 5.10 Update 6 ou une version antérieure est appliquée.
Prévue
- Démarrez l’installation d’ePO 5.10 . Exécuter setup.exe avec le commutateur respectant la casse suivant :
Setup.exe PAUSEAFTERFILECOPY=1 DEBUGOUTPUT=1
- Poursuivez l'installation. Une fois que le programme d’installation a copié les fichiers dans le répertoire d’installation, il s’arrête et affiche le message suivant :
File copying completed. Press OK to continue with installation.
IMPORTANT :Ne cliquez pas sur OK à ce stade.
- Ouvrez le fichier epo.java.security dans un éditeur de texte ( notepad.exe ) :
<ePO_installation_folder>\Installer\Core\server\conf\orion\epo.java.security
- Recherchez la ligne commençant par :
jtds.enabledCipherSuites=
- Supprimez les guillemets à partir du début et de la fin de la liste des suites de chiffrement.
La ligne terminée se présente comme suit (une ligne unique sans espaces ni sauts de ligne) :
jtds.enabledCipherSuites=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA,
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA,
TLS_DHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA,TLS_ECDH_RSA_WITH_AES_256_CBC_SHA,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
Remarque : pour le formatage de cet article, les sauts de ligne ont été inclus dans la chaîne ci-dessus.
- Enregistrez le fichier.
- Pour poursuivre l’installation, cliquez sur OK dans le message de suspension.
- Le message suivant s’affiche, cliquez sur OK pour continuer.
About to run MFS restore script
- Lorsque le message suivant s’affiche, ne cliquez pas sur OK :
About to start Tomcat (MCAFEETOMCATSRV5100) service
- Ouvrez le fichier epo.java.security dans un éditeur de texte :
<ePO_installation_folder>\server\conf\orion\epo.java.security
- Comme précédemment, recherchez la ligne commençant par jtds.enabledCipherSuites= . Supprimez les guillemets à partir du début et de la fin de la liste des suites de chiffrement.
- Enregistrez le fichier.
- Lorsque le message suivant s’affiche, cliquez sur OK:
About to start Tomcat (MCAFEETOMCATSRV5100) service
- Le message suivant peut s’afficher et contenir la chaîne. Dans ce cas, patientez pendant deux minutes, puis cliquez sur OK.
REMARQUE : Vous verrez peut-être le même message, si tel est le cas, attendez une autre minute, puis cliquez sur OK.
CustomAction: MerMod_StartCurrentServices
L’installation se termine correctement.
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
|