Risoluzione dei problemi relativi alle voci della struttura del sistema duplicate in ePolicy Orchestral
Articoli tecnici ID:
KB93591
Ultima modifica: 18/07/2022
Ultima modifica: 18/07/2022
Ambiente
McAfee ePolicy Orchestrator (ePO) 5.x
Riepilogo
In ePO, è possibile che si disponga di una situazione in cui sono presenti più voci per un determinato sistema nella struttura dei sistemi ePO. Queste voci sono comunemente note come sistemi duplicati . Questo articolo descrive i diversi tipi di sistemi duplicati, come vengono creati nella struttura dei sistemi e come risolvere il problema.
Gestito rispetto a non gestito (primo tipo)
Quando si gestiscono sistemi duplicati in ePO, la prima domanda da porsi è: tutte le voci duplicate vengono visualizzate come gestite o alcune di esse vengono visualizzate come non gestite?
Più righe per una singola voce della struttura dei sistemi (secondo tipo)
Il secondo tipo di sistema duplicato non parla affatto di un duplicato. Si tratta di uno scenario in cui la struttura dei sistemi Visualizza più righe per lo stesso sistema, anche se esiste un solo sistema effettivo in ePO.
I sintomi di questo scenario sono:
Nel caso di cui sopra, ePO ritiene che il sistema sia VirusScan Enterprise 8.8.0.2232 e 8.8.0.2233 installato, il che è impossibile. È possibile aggirare il problema rimuovendo la colonna pertinente dalla visualizzazione struttura dei sistemi. Nel caso, la colonna 'Product Version (VirusScan Enterprise)'.
NOTA: Quanto sopra è solo una correzione cosmetica e non risolve il problema sottostante: per risolvere correttamente la causa principale, vedere KB93129-voci di prodotti gestiti duplicati mostrati per un singolo sistema.
Nuove voci della struttura dei sistemi create quando non devono essere (terzo tipo)
Il terzo tipo di sistema duplicato è il più complesso da diagnosticare. Questo problema si verifica quando un sistema gestito dispone già di una voce nella struttura dei sistemi. Che poi comunica con ePO, anziché aggiornare la voce esistente. In questa situazione, ePO ritiene che si tratti di un nuovo sistema e ne crei una voce.
I sintomi del Giveaway per questo scenario sono i seguenti:
Un esempio di questo scenario potrebbe essere simile al seguente:
Nota: L'immagine sopra mostra l'ultima comunicazione, e Agent valori GUID, sono tutte diverse.
Per risolvere correttamente i sistemi duplicati per questo scenario, è necessario comprendere in che modo ePO decide quando è necessario creare una nuova voce per un sistema.
Ogni volta che un sistema comunica con ePO, ePO ha due corsi di azione:
ePO richiede diverse domande per determinare se il sistema è noto:
Se ePO avesse verificato che il GUID era noto, ogni volta che un sistema otteneva legittimamente un nuovo GUID, ePO creava una nuova voce.
NOTA: Questo fatto è il modo in cui le versioni precedenti di ePO venivano utilizzate. Negli ambienti in cui i sistemi venivano ricostruiti di frequente, questo comportamento causava la creazione di un numero inaccettabile di voci duplicate. Pertanto, il comportamento di ePO è stato modificato.
È stato aggiunto un altro controllo come primo passaggio nelcreate a new entry' percorso. Quando un sistema comunica con ePO, il primo messaggio che invia contiene (tra le altre cose):
Quanto sopra è un punto importante. Il controllo indirizzo MAC sta solo cercando di verificare se il indirizzo MAC specifico segnalato dal client esiste in qualsiasi altro punto del database. ePO memorizza solo un indirizzo MAC per un determinato sistema e lo aggiorna ogni volta che il sistema comunica. Il indirizzo MAC memorizzato da ePO è l'indirizzo segnalato dal client l'ultima volta che ha comunicato.
Esistono alcuni scenari in cui più sistemi possono avere lo stesso indirizzo MAC. In comune esempi sono:
Si supponga che il controllo indirizzo MAC non sia stato disattivato. Che il OUI del sistema non è incluso nell'elenco noto a ePO. Quindi, se la risposta al controllo indirizzo MAC è No, ePO decide che il computer è un nuovo sistema e completa il percorso 'create a new entry '. Se il sistema dispone effettivamente di una voce nella struttura dei sistemi, è il punto in cui viene creato il duplicato.
Un esempio per mostrare la situazione di cui sopra:
Quanto sopra è il punto importante da notare. Per creare un duplicato, il sistema non deve segnalare un nuovo indirizzo MAC. Solo uno diverso dall'ultima volta che ha comunicato con ePO.
Caso speciale con i client in modalità VDI
Per gli ambienti VDI non persistenti, il agent può funzionare in una modalità speciale nota come modalità VDI. Questa modalità consente a ePO di assicurarsi che il client VDI utilizzi sempre lo stesso GUID. Che consente a ePO di rintracciare il client specifico mediante il ciclo di deprovisioning e provisioning.
Per informazioni sulla modalità VDI, vedere KB87654-McAfee Agent il provisioning e la distribuzione sui sistemi di infrastruttura desktop virtuali.
Riepilogo
Il diagramma di flusso riportato di seguito mostra la struttura delle decisioni che ePO segue ogni volta che un sistema comunica con esso:
Risoluzione dei problemi
Ora comprendiamo come ePO decide quando creare una nuova voce. Ora è possibile risolvere il motivo per cui vengono creati.
Come sappiamo, affinché ePO decida di creare una nuova voce, non deve conoscere il GUID. Quindi la prima domanda è: "perché il GUID del client è cambiato?"
Di seguito sono riportate le modalità più comuni di creazione di un nuovo GUID da parte di un client:
La prima domanda di risoluzione dei problemi è "è prevista questa modifica del GUID? ".
Esempio: sappiamo che viene creato un nuovo GUID quando:
Se il nuovo GUID non era previsto, il primo passaggio consiste nell'esaminare il motivo per cui è stato modificato.
Il passaggio successivo per la risoluzione dei problemi consiste nell'identificare il motivo per cui ePO non è riuscito a far coincidere il indirizzo MAC con la voce precedente.
La prima cosa da fare è assicurarsi che ePO non sia configurato per ignorare il controllo MAC:
Supponendo che nessuno dei precedenti sia vero, il indirizzo MAC fornito dal sistema client non è stato trovato nel database ePO. Che causa la creazione di una nuova voce da ePO.
Gestito rispetto a non gestito (primo tipo)
Quando si gestiscono sistemi duplicati in ePO, la prima domanda da porsi è: tutte le voci duplicate vengono visualizzate come gestite o alcune di esse vengono visualizzate come non gestite?
- Gestito
Un sistema Mostra solo come gestito in ePO, se dispone di un agent installato e ha comunicato almeno una volta con ePO.
- Non gestito
Questi sistemi sono voci create nella struttura dei sistemi tramite un altro metodo. Ad esempio, mediante un'attività di sincronizzazione Active Directory o aggiunta manualmente tramite la nuova funzionalità sistemi.
Quando un sistema comunica con ePO per la prima volta, ePO tenta di associarlo a una voce non gestita esistente nella struttura. Quando esiste una voce non gestita, ma ePO non è in grado di coincidere con esso, crea una nuova voce nella struttura dei sistemi. Si dispone ora di un sistema duplicato con due voci, una delle quali non è gestita.
Per ulteriori dettagli, consultare la guida del prodotto ePO nella sezione: modalità di aggiunta di un sistema al struttura dei sistemi.
Per risolvere il problema di cui sopra, è necessario esaminare il modo in cui i sistemi vengono aggiunti alla struttura.
Esempio: se si utilizza un'attività di sincronizzazione Active Directory, verificare che le impostazioni di sincronizzazione siano configurate correttamente. I sistemi delle opzioni che esistono altrove nella struttura dei sistemi possono creare voci duplicate.
Per risolvere il problema di cui sopra, è necessario esaminare il modo in cui i sistemi vengono aggiunti alla struttura.
Esempio: se si utilizza un'attività di sincronizzazione Active Directory, verificare che le impostazioni di sincronizzazione siano configurate correttamente. I sistemi delle opzioni che esistono altrove nella struttura dei sistemi possono creare voci duplicate.
Più righe per una singola voce della struttura dei sistemi (secondo tipo)
Il secondo tipo di sistema duplicato non parla affatto di un duplicato. Si tratta di uno scenario in cui la struttura dei sistemi Visualizza più righe per lo stesso sistema, anche se esiste un solo sistema effettivo in ePO.
I sintomi di questo scenario sono:
- Il GUID agent e le ultime colonne temporali di comunicazione per tutte le voci sono identiche.
- Se si seleziona la casella di controllo di uno dei sistemi, anche gli altri sistemi vengono selezionati automaticamente.
Nel caso di cui sopra, ePO ritiene che il sistema sia VirusScan Enterprise 8.8.0.2232 e 8.8.0.2233 installato, il che è impossibile. È possibile aggirare il problema rimuovendo la colonna pertinente dalla visualizzazione struttura dei sistemi. Nel caso, la colonna 'Product Version (VirusScan Enterprise)'.
NOTA: Quanto sopra è solo una correzione cosmetica e non risolve il problema sottostante: per risolvere correttamente la causa principale, vedere KB93129-voci di prodotti gestiti duplicati mostrati per un singolo sistema.
Nuove voci della struttura dei sistemi create quando non devono essere (terzo tipo)
Il terzo tipo di sistema duplicato è il più complesso da diagnosticare. Questo problema si verifica quando un sistema gestito dispone già di una voce nella struttura dei sistemi. Che poi comunica con ePO, anziché aggiornare la voce esistente. In questa situazione, ePO ritiene che si tratti di un nuovo sistema e ne crei una voce.
I sintomi del Giveaway per questo scenario sono i seguenti:
- Il GUID Agent e l'ora dell'ultima comunicazione sono diversi per ciascuna voce.
- Se si seleziona la casella di controllo di uno dei sistemi, gli altri sistemi non verranno selezionati automaticamente.
- Solo una delle voci è attiva. Ad esempio, quando il sistema client comunica, l'ultimo tempo di comunicazione viene aggiornato solo su uno dei sistemi duplicati.
Un esempio di questo scenario potrebbe essere simile al seguente:
Nota: L'immagine sopra mostra l'ultima comunicazione, e Agent valori GUID, sono tutte diverse.
Per risolvere correttamente i sistemi duplicati per questo scenario, è necessario comprendere in che modo ePO decide quando è necessario creare una nuova voce per un sistema.
Ogni volta che un sistema comunica con ePO, ePO ha due corsi di azione:
- Il sistema è già noto a ePO. In questo caso, ePO deve aggiornare le proprie proprietà e verificare se sono presenti nuove policy o attività.
- Il sistema non è noto a ePO. In questo caso, ePO deve creare una nuova voce per essa nella struttura dei sistemi.
ePO richiede diverse domande per determinare se il sistema è noto:
- La prima domanda è "questo sistema è un client in modalità VDI? "
- Se la risposta è sì, ePO tratta il sistema in modo diverso. Questo argomento è più dettagliato più avanti in questo articolo.
- Se la risposta è sì, ePO tratta il sistema in modo diverso. Questo argomento è più dettagliato più avanti in questo articolo.
- Se il sistema non è un client VDI, la prossima domanda più importante è "è il GUID Agent già presente nel database? "
- Se il GUID si trova nel database, il sistema è già noto a ePO e segue la linea di azione 'Aggiorna proprietà'.
- Se il GUID non è presente nel database, potrebbe trattarsi di un nuovo sistema, pertanto ePO inizierà a seguire il percorso '
create a new entry '.
- La agent viene disinstallata e reinstallata o reinstallata con l'opzione
/forceinstall di comando. - Il sistema è stato ricompilato da un'immagine.
- Il sistema ha avuto una modifica hardware. Ad esempio, il disco rigido è stato preso da un laptop e inserito in un altro chassis. Questa azione causerebbe una
SMBiosUUID diversa differenza al successivo avvio del Agent. Di conseguenza, il agent crea un nuovo GUID Agent.
Se ePO avesse verificato che il GUID era noto, ogni volta che un sistema otteneva legittimamente un nuovo GUID, ePO creava una nuova voce.
NOTA: Questo fatto è il modo in cui le versioni precedenti di ePO venivano utilizzate. Negli ambienti in cui i sistemi venivano ricostruiti di frequente, questo comportamento causava la creazione di un numero inaccettabile di voci duplicate. Pertanto, il comportamento di ePO è stato modificato.
È stato aggiunto un altro controllo come primo passaggio nel
- Il GUID Agent.
- Indirizzo MAC rilevati dal Agent.
Quanto sopra è un punto importante. Il controllo indirizzo MAC sta solo cercando di verificare se il indirizzo MAC specifico segnalato dal client esiste in qualsiasi altro punto del database. ePO memorizza solo un indirizzo MAC per un determinato sistema e lo aggiorna ogni volta che il sistema comunica. Il indirizzo MAC memorizzato da ePO è l'indirizzo segnalato dal client l'ultima volta che ha comunicato.
Esistono alcuni scenari in cui più sistemi possono avere lo stesso indirizzo MAC. In comune esempi sono:
- Sistemi che si connettono tramite un concentratore di rete privata virtuale (VPN)
- Sistemi che presentano un indirizzo MAC virtuale, ad esempio cluster di server, con schede di interfaccia di rete (NIC, Network Interface Card).
- In primo luogo, è possibile disattivare temporaneamente il controllo MAC a livello globale in ePO, impostando una chiave di registro e riavviando i servizi ePO. Questo metodo è più comunemente utilizzato nello scenario di NIC teamed. Il controllo indirizzo MAC è disattivato ed entrambi i nodi del cluster NIC teamed sono autorizzati a comunicare con ePO. Poiché dispongono di GUID diversi, ogni nodo presenta una voce creata nella struttura dei sistemi. Quindi il controllo indirizzo MAC viene riattivato in modo che altri sistemi che modificano GUID non creino voci duplicate.
Per disattivare il controllo indirizzo MAC, vedere KB57886-Impossibile visualizzare entrambi i nodi di un cluster nella directory ePolicy Orchestrator quando condividono un indirizzo Mac.
- Per i sistemi che si connettono tramite VPN, è possibile configurare ePO in modo da ignorare selettivamente il controllo MAC in base all'identificatore univoco dell'organizzazione (OUI).
NOTA:Il OUI è il pugno di sei caratteri del indirizzo MAC, utilizzato per identificare il fornitore del dispositivo di rete.
È possibile aggiungere più gli Oui a ePO, quando un sistema con un GUID sconosciuto comunica con ePO, il OUI del sistema viene confrontato con l'elenco nel database. Se viene rilevata una corrispondenza, ePO ignora il controllo MAC e crea una nuova voce per il sistema. Per ulteriori informazioni, consultare la sezione aggiunta del fornitore di Mac virtuale nella guida del prodotto ePO.
Si supponga che il controllo indirizzo MAC non sia stato disattivato. Che il OUI del sistema non è incluso nell'elenco noto a ePO. Quindi, se la risposta al controllo indirizzo MAC è No, ePO decide che il computer è un nuovo sistema e completa il percorso '
Un esempio per mostrare la situazione di cui sopra:
- Immaginate di avere un laptop con un agent installato. Il agent sta parlando con ePO senza problemi.
- Dispone di un GUID agent di 1111111111.
- È collegato alla rete tramite Wi-Fi, con un indirizzo MAC di 11:11:11:11:11:11. A questo punto, nel database ePO, il sistema dispone di un GUID di 1111111111. Poiché l'ultima volta che ha comunicato, stava utilizzando wireless NIC ePO ha registrato il indirizzo MAC per questo sistema come 11:11:11:11:11:11.
- Improvvisamente subisce un crash software fatale e il reparto IT deve essere riimmaginato.
- L'ingegnere IT collega il laptop alla rete utilizzando la scheda NIC cablata del laptop. La scheda NIC ha un indirizzo MAC di 22:22:22:22:22:22. L'ingegnere reinstalla il sistema operativo e agent.
- La prima volta che inizia il agent, dal momento che si tratta di un'installazione nuovissima, genera un nuovo GUID agent di 2222222222 e comunica con ePO.
- ePO Cerca per la prima volta il database per una voce con un GUID di 2222222222. Non ne trova uno, quindi continua il controllo MAC.
- ePO cerca quindi nel database una voce con un indirizzo MAC di 22:22:22:22:22:22. Inoltre, non ne trova uno, pertanto ePO crea una nuova voce con GUID 2222222222 e indirizzo MAC 22:22:22:22:22:22. Ora disponiamo di una voce duplicata. Due voci per lo stesso sistema, solo una delle quali è attiva.
Quanto sopra è il punto importante da notare. Per creare un duplicato, il sistema non deve segnalare un nuovo indirizzo MAC. Solo uno diverso dall'ultima volta che ha comunicato con ePO.
Caso speciale con i client in modalità VDI
Per gli ambienti VDI non persistenti, il agent può funzionare in una modalità speciale nota come modalità VDI. Questa modalità consente a ePO di assicurarsi che il client VDI utilizzi sempre lo stesso GUID. Che consente a ePO di rintracciare il client specifico mediante il ciclo di deprovisioning e provisioning.
Per informazioni sulla modalità VDI, vedere KB87654-McAfee Agent il provisioning e la distribuzione sui sistemi di infrastruttura desktop virtuali.
Riepilogo
- Quando un client VDI viene arrestato, il agent Invia un messaggio specifico a ePO.
- ePO quindi tag il sistema come deprovisioned nel database.
- Quando gli Agent in modalità VDI comunicano con ePO, informano ePO che sono in modalità VDI all'inizio della comunicazione.
- ePO verifica se nel database è presente una voce con lo stesso nome di dominio completo. ePO, quindi, lo etichetta come deprovisioned.
- Se non ne trova uno, ePO crea una nuova voce per il sistema.
- ePO non cerca di vedere se il GUID o indirizzo MAC esiste. In un ambiente VDI non persistente, entrambi non sono rilevanti.
- Tutto ciò che impedisce a ePO di ricevere il messaggio di deprovisioning, la volta successiva in cui viene fornito il provisioning del client, ePO crea una voce duplicata.
- La causa più comune è se il client VDI non viene chiuso in modo pulito. Ad esempio, se si blocca o se il host chiude il sistema con la forza.
Il diagramma di flusso riportato di seguito mostra la struttura delle decisioni che ePO segue ogni volta che un sistema comunica con esso:
Risoluzione dei problemi
Ora comprendiamo come ePO decide quando creare una nuova voce. Ora è possibile risolvere il motivo per cui vengono creati.
Come sappiamo, affinché ePO decida di creare una nuova voce, non deve conoscere il GUID. Quindi la prima domanda è: "perché il GUID del client è cambiato?"
Di seguito sono riportate le modalità più comuni di creazione di un nuovo GUID da parte di un client:
- Agent stata disinstallata e reinstallata.
- Agent è stato eseguito l'upgrade utilizzando il
/forceinstall switch o distribuito da ePO con l'Force installation over existing version opzione selezionata. - Agent rilevato un nuovo
SMBiosUUID , che indica una modifica hardware. Ad esempio, il disco rigido è stato spostato da un laptop a un altro. - Agent controllo di integrità non riuscito. Che ha causato la rigenerazione dei file di database e la creazione di un nuovo GUID Agent.
La prima domanda di risoluzione dei problemi è "è prevista questa modifica del GUID? ".
Esempio: sappiamo che viene creato un nuovo GUID quando:
- Il sistema è stato ricompilato.
Oppure - La agent è stata disinstallata e reinstallata.
Se il nuovo GUID non era previsto, il primo passaggio consiste nell'esaminare il motivo per cui è stato modificato.
- Esaminare i registri di installazione di agent (
frminst.log ).- Il agent è stato installato di recente con l'
/forceinstall opzione? - In tal caso, McAfee sconsiglia l'uso generale di questa opzione. Deve essere utilizzato solo in determinate circostanze. Ad esempio, se si sta tentando di effettuare l'upgrade del agent in una nuova posizione con il
/instdir Switch.
- Il agent è stato installato di recente con l'
- Cercare nel
mascvc log file.- Cercare le prove della modifica del GUID.
- Ad esempio, se il MA
healthcheck non è riuscito. Verrà visualizzato un messaggio di errore che indicamaconfig.Error: MA databases integrity check failed .
Il passaggio successivo per la risoluzione dei problemi consiste nell'identificare il motivo per cui ePO non è riuscito a far coincidere il indirizzo MAC con la voce precedente.
La prima cosa da fare è assicurarsi che ePO non sia configurato per ignorare il controllo MAC:
- Assicurarsi che il agent non sia stato installato in modalità VDI per errore.
- Visualizzare le proprietà di sistema per il sistema in ePO. Esaminare la parte inferiore dell'elenco di proprietà, in cui si trova la proprietà VDI. Deve essere sì, se il agent è stato installato in modalità VDI.
- Se il agent non dovrebbe essere in modalità VDI, disinstallarlo e reinstallarlo senza utilizzare il
/EnableVDIMode Switch. - Assicurarsi che la ricerca MAC non sia stata disattivata a livello globale. Vedi KB57886-Impossibile individuare entrambi i nodi di un cluster nella directory ePolicy Orchestrator quando condividono un indirizzo Mac.
Nota: L'impostazione di cui sopra si applica in base al agent gestore. Pertanto, se si dispone di più gestori di Agent, esaminarli tutti e assicurarsi che la ricerca MAC non sia disattivata. - Se il sistema non si connette tramite VPN, verificare che l'OUI del indirizzo MAC del agent venga aggiunto per errore all'elenco dei fornitori di MAC virtuali di ePO. In caso di rimozione, rispostare il OUI pertinente.
Supponendo che nessuno dei precedenti sia vero, il indirizzo MAC fornito dal sistema client non è stato trovato nel database ePO. Che causa la creazione di una nuova voce da ePO.
- Esaminare il registro di verifica di ePO e immettere il nome del sistema client nel filtro ricerca rapida. Viene visualizzato un
ASCI - New System evento quando ePO ha creato la voce. I dettagli dell'evento visualizzato sono i indirizzo MAC segnalati dal client. - Confrontare i dettagli con il indirizzo MAC nelle proprietà di sistema per la voce duplicata più recente. Questa voce è il indirizzo MAC utilizzato dal sistema prima della creazione del duplicato.
Quanto sopra potrebbe aiutare a spiegare perché ePO non è stato in grado di far coincidere il indirizzo MAC. Ad esempio, la voce precedente potrebbe avere il indirizzo MAC per l'adattatore senza fili e la voce del registro di verifica ha l'indirizzo dell'adattatore della docking station.
- Per concludere, di gran lunga la causa più comune delle voci duplicate in ePO è la creazione non necessaria di un nuovo GUID sui sistemi client.
- A sua volta, la causa più comune di questo problema sono le cose come reinstallare il agent utilizzando il
/forceinstall Switch. Visto come parte di un'attività server pianificata o script di accesso. - La chiave per comprendere la provenienza di voci duplicate è la prima di scoprire il motivo per cui il GUID sta cambiando. Quando si sa perché, l'identificazione dell'origine del problema è notevolmente semplificata.
- Non è necessario utilizzare il switch McAfee Agent /forceinstall , a meno che non venga indicato in un articolo della Knowledge base per risolvere un problema.
- L'utilizzo di /forceinstall switch come processo regolare può causare problemi con il McAfee Agent, che porta a voci duplicate nella struttura dei sistemi di ePolicy Orchestrator. Potrebbe portare a sistemi che ottengono un'assegnazione di policy errata.
- Modificare la directory
di installazione O - Downgrade del McAfee Agent
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
Prodotti interessati
Lingue:
Questo articolo è disponibile nelle seguenti lingue: