1 2 3 Previous Next 22 Replies Latest reply on Feb 3, 2015 11:12 PM by palex

    Несколько вопросов по DLP

    xyatel

      Добрый день!

       

      Мы являемся счаствливыми обладателями продукта Mcafee DLP

       

      Изначально была установлена версия 4.5.0, и обновления серверной части не производились, апдейтили только Агента.

      И вот настал долгожданный момент, когда после очередного апгрейда Агента до в. 9.3 (+4.5 на 4.8) на нескольких клиентских машинах, его связь с сервером пропала. (на 9.2 +4.5 все было и есть хорошо). Причем пропала не полностью, из оркестратора в списке систем агент как бы виден и пингуется, а вот в монитор от него события не приходят вообще.

       

      Собственно вопрос первый:

      Поможет ли апдейт серверной части восстановить общение агента с сервером?

       

      Вопрос второй: сейчас на копии сервера обновляем версию. На данный момент почти корректно прошло обновление 4.5.0 - 4.5.3 - 4.6.4, оркестратор открывается, (вроде бы все работает корректно), но(!) монитор удаленных систем не загружается, выдает ошибку, что EPO 4.6.4 не поддерживает версию HPST DLP 9.1 , в доступных нам продуктах Mcafee HOST DLP мной не обнаружен. Вопрос где его взять, и как корректно установить? Агента 9.3 ставили через проверку пакета на входе в главный репозитарий.

       

      Вопрос третий: как корректно откатить на клиентских машинах версию агента с 9.3 на 9.2? При запуске инсталлятора 9.2, выдает разумеется ошибку, что уже установлена более свежая версия и установка прерывается.

       

      Заранее благодарен за ответы!

        • 1. Re: Несколько вопросов по DLP
          apellepa

          Прежде чем откатываться, посмотрите, что пишет в логах (больше агента, сервера).

          Пробовали смотреть kc.mcafee.com ?

          • 2. Re: Несколько вопросов по DLP
            xyatel

            kc.mcafee.com смотрел. по-существу моего вопроса там нет ничего, и хотелось бы найти что-то на русском.

             

            системы с Агентом v 9.3 дают в оркестраторе вот такую картинку:

            Безымянный.jpg

             

             

            а с агентом 9.2 и старше , такую:

             

            Clipboard01.jpg

             

            В логах только информация по обращениям к серверу и обратно.

            • 3. Re: Несколько вопросов по DLP
              xyatel

              untitled.JPG

              вот такая вот ошибка, при попытке входа в монитор или в консоль настройки политик.

               

              нашел в англоязычной ветке ту же проблему у человека:

               

              https://community.mcafee.com/message/183324

               

              Вопрос , что делать.. как апдейтится?

               

              Message was edited by: xyatel on 9/20/13 4:47:09 AM CDT
              • 4. Re: Несколько вопросов по DLP
                igarek

                @Собственно вопрос первый:...восстановить общение агента с сервером?  ....в монитор от него события не приходят вообще@

                - на клиентских пк должна быть запущена "служба mcafee netframework" для того, чтобы в монитор приходили события;

                - запустите консоль агента на клиентском пк ("C:\Program Files\McAfee\Common Framework\CmdAgent.exe" -s) посмотрите, что он напишет.

                 

                @Вопрос второй:@

                - инициатива с обновлениями очень опасна пока не прочитаешь инструкции по продуктам...после прочтения, здравый смысл подсказывает, что лучше ничего не трогать ))).

                Если нечего не путаю, то схема должна быть такая: на сервере установлено - консоль еРО + расширение НостДЛП + всевозможные агенты и пакеты для клиентских пк; на клиентах - агент мкафее + агент длп. Совместимость версий в описании продуктов.

                 

                @Вопрос третий: как корректно откатить на клиентских машинах версию агента с 9.3 на 9.2?@

                - удалить агент "длп" с пк через консоль еРО и установить другой (через задачи агента в дереве систем).

                 

                Message was edited by: igarek on 9/25/13 12:40:07 AM CDT
                • 5. Re: Несколько вопросов по DLP
                  xyatel

                  Благодарю, что ответили!

                   

                   

                  На указанной вами службе стоял запуск "Вручную почему-то", а так же что странно, в оснатске служб числится еще один клон этой же службы для х86 версии.. (системы у нас х64).

                  Службу для х64 стартовал в ручном режиме.

                  Но отправка событий через консоль агента (кнопка отправить события) не удалась..

                   

                   

                  Вот скрин консоли агета.. пишет что нет связи с сервером:

                   

                  ypypy.jpg

                   

                  На вопрос, как корректно обновить версию HOST DLP ответ я нашел сам. Страшного ничего нет..

                  Но честно говоря выпадаю в осадок, от способа обновления такого серьезного продукта, к которому нужно как бонус-сувенир в подарок дарить шаманский бубен.

                   

                   

                   

                  @Вопрос третий: как корректно откатить на клиентских машинах версию агента с 9.3 на 9.2?@

                  - удалить агент "длп" с пк через консоль еРО и установить другой (через задачи агента в дереве систем).

                  Дело в том, что нет связи агента с сервером, и создать ключ удаления корректный не получается.
                  • 6. Re: Несколько вопросов по DLP
                    igarek

                    скрин, кстати, такой как нужно - где пишет, что нет связи с сервером?

                    На скрине видно, что агент мкафее связывается с сервером. Можно проверить в дереве систем время связи агента с сервером - оно должно обновится.

                    Вероятно проблема с агентом длп?!

                     

                    "создать ключ удаления корректный не получается" - это при удалении с клиента через панель управления, правильно?....при удалении через консоль еРО (в дереве систем) ключи не нужны. Какой агент то пытаетесь удалить - агент мкафее или длп?

                    п.с.

                    Заметил на 1-ом скрине в 3 посте, что в установленных продуктах, нет длп.

                     

                    Пока, что мысль такая:

                    - Если в дереве систем, пк отображается как управляемый, и журнал агента активный (в дереве систем выбрать "дествия"-"агент"-"показать журнал агента") - можно считать, что агент мкафее установлен и работает.

                         Тогда нужно развернуть агент длп на клиентском пк снуля или запустить на клиенте задачу удаления длп , а потом установить агент длп по новой (все из-под консоли еРО).

                     

                    Message was edited by: igarek on 9/25/13 7:42:32 AM CDT

                     

                    Message was edited by: igarek on 9/25/13 7:44:10 AM CDT
                    • 7. Re: Несколько вопросов по DLP
                      xyatel

                      igarek wrote:

                       

                      скрин, кстати, такой как нужно - где пишет, что нет связи с сервером?

                      от сервера epo не принят ни один пакет.. (и это сообщение почти на все кнопки консоли выдается)

                       

                       

                      "создать ключ удаления корректный не получается" - это при удалении с клиента через панель управления, правильно?....при удалении через консоль еРО (в дереве систем) ключи не нужны. Какой агент то пытаетесь удалить - агент мкафее или длп?

                      Если уточнить, то выходит вот как: при удалении, клиент создает ключ запроса на удаление.. ввожу в консоль ЕПО, он выдает ключ на удаление, НО этот ключ агентом не принимается (пишет неверный ключ).

                       

                       

                      п.с.

                      Заметил на 1-ом скрине в 3 посте, что в установленных продуктах, нет длп.

                       

                       

                      А вот тут можно подробней.. ибо под v 9.2. картинка совершенно другая, тоесть я вполне допускаю, что 9.3 установлена не полностью.. хотя процесс установки запускали на клиенте в ручную. (с 9.2. такой вариант прокатывал, с последующей привязкой в ЕПО).

                       

                      меня тоже смутило , что в продуктах агент как-то иначе стал называться.

                       

                      Может быть что-то нужно доустановить? Хотя ставили и 9.3., и самого агента 4.8.

                      • 8. Re: Несколько вопросов по DLP
                        igarek

                        от сервера epo не принят ни один пакет.. (и это сообщение почти на все кнопки консоли выдается)

                        - это нормально...просто от сервера нет никаких обновлений в политиках и с клиента нет чего-то, что могло быть отправлено на сервер..в пример скрин с 100% рабочей конфигурацииcmdagent.JPG

                        • 9. Re: Несколько вопросов по DLP
                          igarek

                          Если уточнить, то выходит вот как: при удалении, клиент создает ключ запроса на удаление.. ввожу в консоль ЕПО, он выдает ключ на удаление, НО этот ключ агентом не принимается (пишет неверный ключ).

                           

                          тут я хотел спросить: процес удаления агента запускаете с клиентской машины или с консоли? здесь есть разница, потому что:

                          обычно ключ запрашивает, когда удаление инициируется с клиентской машины...когда же задача запускается с консоли не должно быть никаких вопросов по ключам. Если удаляете с консоли и оно запрашивает ключ, то это, наверно, нездоровая ситуация и возникает вопрос:

                          - в дереве систем проблемный пк числится как управляемый и когда был последний сеанс связи?

                          1 2 3 Previous Next