0 返信 最新の回答 日時: Jan 7, 2015 11:13 PM ユーザー:jfurukaw

    【TIPS】McAfee Agent 4.5 から4.6/4.8 へのアップグレード後、初回のASCI通信をしてもクライアントのプロパティ情報が更新されない

    jfurukaw

      こんにちは

      マカフィーテクニカルサポートセンターです。

       

      McAfee Agent (MA) 4.5 から MA4.6/4.8 へのアップグレード後に、 ePolicy Orchestrator (ePO) へ

      初回のASCI通信をしてもクライアントの情報が更新されず、設定しているポリシーが反映されないという

      事象について、複数のユーザ様よりお問い合わせをいただきましたので、この動作についてご説明させていただきます。

       

      こちらは MA4.5 から MA4.6/4.8 へアップグレードをした場合の仕様上の動作となります。

      MA4.6/4.8 へアップグレードした後、初回の ePO との通信時に MA4.6/4.8 で利用される

      2048bit のセキュリティキーを読み込ませる為に、McAfee Framework Service の再起動が

      行われます。このセキュリティキーの読み込みが完了した後に ePO との通信が行われると、

      クライアントのプロパティ情報が ePO に反映されるようになります。

       

      この動作の要因となっているのは、MA4.5 と MA4.6/4.8 で利用されるセキュリティキーの

      Bit数の違いです。 MA4.5 では ePO との通信に1024bitのセキュリティキーが利用されています。

      一方 MA4.6 以降では (ePO4.6以降と組み合わせて利用した場合)ePO との通信で利用される

      セキュリティキーが 2048bit のキーを利用するようになっております。この情報は

      以下のコミュニティや KB でもご案内させていただいております。

       

      [URL]【TIPS】ePolicy Orchestrator (ePO) 4.5 から 5.1 へのアップグレード情報のご案内

      https://community.mcafee.com/message/313855

       

      抜粋

      --------------------------------

      8. アップグレード後にePO4.5へ切り戻しを行った場合の注意点

       

      ePO4.5では、Agent-Server間の通信に1024bitのセキュリティキーを利用しています。

      一方、アップグレード後のePO4.6(5.1)では2048bitのセキュリティキーを利用するように

      なりました。(クライアントがMA4.6以降を利用している場合)

      --------------------------------

       

      [URL]GetPrivateKeyFromBuffer error -2147483640 (issue: Agent-to-server communication fails on non-Windows clients after initial agent installation)

      https://kc.mcafee.com/corporate/index?page=content&id=KB74194

       

      抜粋

      --------------------------------

      McAfee Agent 4.5 can only use a 1024-bit encryption key while McAfee Agent 4.6 can use either a 1024-bit or 2048-bit encryption key. ePO4.6 by default has two master keys, one 1024-bit and one 2048-bit key. ePO4.5 only has a 1024-bit key because 2048-bit encryption is introduced in ePO4.6 and McAfee Agent 4.6.

      --------------------------------

       

      そのため、 MA4.5 から MA4.6/4.8 へのアップグレード後、一度も ePO と通信していない状態では

      クライアント側で 2048bit のセキュリティキーを取り扱っていない状態であるため、ePO 側の情報は

      更新されず、ポリシーも反映されません。次回の通信時から ePO 側の情報が更新されるという挙動になります。

       

      以下は一部省略していますが、以下はクライアントを MA4.5 からMA4.8へアップグレードした後の

      1度目のAgent Wakeupコール実行時のAgentログ (C:\ProgramData\McAfee\Common Framework\DB\Agent_<hostname>.log)です。


      Agentログ抜粋

      --------------------------------

      2014-04-24 19:35:03.270    i #1552    Sched    スケジューラー: タスク [AgentWakeupCall] を呼び出しています...

      2014-04-24 19:35:03.301    I #2568    Sched    >>--RunTask

      2014-04-24 19:35:03.301    I #2568    Manage    Running task SoftwareID:EPOAGENT3000, TaskID:158

      2014-04-24 19:35:03.473   i #1920    Agent    ASCI の実行を開始しました。

      2014-04-24 19:35:04.239   i #1968    Agent    エージェントが通信セッションを開始しました。

      2014-04-24 19:35:04.239   i #1968    Agent    ePOサーバーに PROPS VERSION パッケージを送信しています。

      2014-04-24 19:35:04.254   i #1968    Agent    ePOサーバーに接続しています。

      2014-04-24 19:35:04.270    I #1968   imutils    Tryingwithsite: 192.168.0.***:80

      2014-04-24 19:35:04.270    I #1968   naInet    HTTP Session initialized

      2014-04-24 19:35:04.270    I #1968   imsite        Upload from: C:\ProgramData\McAfee\Common Framework\Unpack\pkg00130428093042080000_2841591827.spkg

      2014-04-24 19:35:04.270    I #1968   imsite        Upload response target: C:\ProgramData\McAfee\Common Framework\Unpack\pkg00130428093042390000_978864777.spkg

      2014-04-24 19:35:04.270    I #1920    Agent    Forwarding all events

      2014-04-24 19:35:04.270    I #1920    Agent    Forwardalleventsrequestreceived

      2014-04-24 19:35:04.270    I #1484    Agent    Agenteventwakeup, processing events

      2014-04-24 19:35:04.270   i #1484    Agent    アップロードするイベントを探しています。

      2014-04-24 19:35:04.286    I #1484    Agent    アップロードするイベントが見つかりません。

      2014-04-24 19:35:04.286    I #1968    naInet   ePO server reports access denied;agent to update keys

       >MA4.8が利用するべき2048bitのセキュリティキーを取り扱っていないため、ePO側でアクセスが拒否されています。

       

      2014-04-24 19:35:04.286    E #1968    insight    Error traces:

      2014-04-24 19:35:04.286    E #1968    imsite [uploadFile,,/spipe/pkg?AgentGuid={33E08DC0-BA1C-449A-B5E6-B7DFFA49E22B}&Source =Agent_3.0.0,pkg00130428093042080000_2841591827.spkg,C:\ProgramData\McAfee\Commo n Framework\Unpack,C:\ProgramData\McAfee\Common Framework\Unpack\pkg00130428093042390000_978864777.spkg]->

      2014-04-24 19:35:04.286    E #1968   imsite      NaInet library returned code == -96

      2014-04-24 19:35:04.286    E #1968   imsite    Errortrace:

      2014-04-24 19:35:04.286    E #1968    imsite [uploadFile,,/spipe/pkg?AgentGuid={33E08DC0-BA1C-449A-B5E6-B7DFFA49E22B}&Source =Agent_3.0.0,pkg00130428093042080000_2841591827.spkg,C:\ProgramData\McAfee\Commo n Framework\Unpack,C:\ProgramData\McAfee\Common Framework\Unpack\pkg00130428093042390000_978864777.spkg]->

      2014-04-24 19:35:04.286    E #1968   imsite      NaInet library returned code == -96

      2014-04-24 19:35:04.286    E #1968   imsite    Errortrace:

      2014-04-24 19:35:04.286    E #1968    imsite [uploadFile,,/spipe/pkg?AgentGuid={33E08DC0-BA1C-449A-B5E6-B7DFFA49E22B}&Source =Agent_3.0.0,pkg00130428093042080000_2841591827.spkg,C:\ProgramData\McAfee\Commo n Framework\Unpack,C:\ProgramData\McAfee\Common Framework\Unpack\pkg00130428093042390000_978864777.spkg]->

      2014-04-24 19:35:04.286    E #1968   imsite      ThenaInetlibrary returned an error. [Parent error: NaInet library returned code == -96]

      2014-04-24 19:35:04.286    I #1968   naInet    HTTP Session closed

      2014-04-24 19:35:04.348    I #1968    SpiPkgr    Signature length is 44

      2014-04-24 19:35:04.348   i #1968    Agent    エージェントが通信セッションを終了しました。

      2014-04-24 19:35:04.379    I #1968    Agent    Package typeisKeyUpdate

      2014-04-24 19:35:04.379    I #1968    Agent    Started processing a package..

      2014-04-24 19:35:04.379    I #1968    Agent    Processing [KeyUpdate] fromserver

       >MA4.8が利用する2048bitのキーをePOへリクエストしています。ePO側のAgent Key Updater

        パッケージにより、2048bitのキーがクライアントへ受け渡されています。

          

      2014-04-24 19:35:04.379    I #1968    Agent    Processing key update package

      2014-04-24 19:35:04.379    I #1968    Agent    Invokingmsaconfigto update keys

      2014-04-24 19:35:18.301   i #3868    Sched    タスク AgentWakeupCall が正常に終了しました。

      2014-04-24 19:35:18.317    i #3868    Sched    スケジューラー: タスク [AgentWakeupCall] が完了しました。

      2014-04-24 19:35:24.504    I #3328    FrmSvc    SERVICE_CONTROL_STOP

      2014-04-24 19:35:24.504    I #4040    FrmSvc    Stopping Subsystem <User Space Controller>

       >タスク実行後、サービスの再起動が行われています。この後のePOとのASCI通信から2048bitのキーを利用して

        通信をするようになります。

      --------------------------------

       

      こちらは MA4.6/4.8 アップグレード後の仕様となりますので、インストール後すぐに

      ePO との通信をさせてポリシーの反映、クライアントのプロパティ情報の反映を行う場合、

      Agent Wakeup コールのタスクを2回実行するように設定するか、クライアントからの

      「プロパティの収集と送信」(コマンドで実行する場合は、C:\Program Files(x86)\McAfee\Common Framework\cmdagent /p)

      を2回実行するようにしてください。

      1回目の通信で、 MA4.6/4.8 で利用するための 2048bit のキーが読み込まれるようになり、

      2回目の通信をするタイミングで ePO へ情報が反映され、クライアントへポリシーが適用されるようになります。

       

      以上、今後ともマカフィー製品をご愛顧くださいますよう宜しくお願い致します。

       

      マカフィーテクニカルサポートセンター