tobias-hartmann.net - IT Blog

McAfee ePO – Error 401 bei Serverumzug

26. September 2013

McAfee Logo

Ich bin bei einer McAfee ePolicy Orchestrator Servermigration nach diesem KB Artikel vorgegangen. Da der alte ePO noch auf einem Server 2003 R2 32-bit lief, wollte ich den ePO Server auf 2008 R2 umziehen. Hintergrund der Aktion war, dass der neue ePO in ab Version 5.0 nur noch 64-bit Betriebssysteme unterstützt! Bei der Migration vom alten Server bin ich immer wieder an nachfolgender Konfiguration hängen geblieben.

…………………..

Rundll32.exe ahsetup.dll RunDllGenCerts <eposervername> <console HTTPS port> <admin username> <password> <„installdir\Apache2\conf\ssl.crt“>

Where:
<eposervername> is your ePO server’s NetBios Name
<console HTTPS port> is your ePO Console Port (default is 8443)
<admin username> is admin (use the default ePO admin account)
<password> is the password to the ePO Admin console account
<installdir\Apache2\conf\ssl.crt> is your installation path to the Apache folder (this would now be: C:\Program Files (x86)\McAfee\ePolicy Orchestrator\APACHE2\CONF\SSL.CRT)

Example:
Rundll32.exe ahsetup.dll RunDllGenCerts eposervername 8443 administrator password „C:\Program Files (x86)\McAfee\ePolicy Orchestrator\APACHE2\CONF\SSL.CRT“

NOTE: The RunDllGenCerts switch in this command is case-sensitive. The ahsetup.log (found in the <installdir\Apache2\conf\ssl.crt>) provides information about whether the command succeeded or failed. It will state if it used the files located in the ssl.crt folder.

…………………..

 

In diesem Schritt soll ein neues Zertifikat für den Apache ausgestellt werden, da sich der Hostname geändert hat und das alte Zertifikat somit nicht mehr gültig war. Dies ist notwendig, damit die Clients auf den ePO Server (AgentHandler) zugreifen dürfen bzw. können. Bei mir tauchten in der ahsetup.log folgende Einträge auf:

 

20130926140956    I    #03812    AHSETUP     Creating Agent Handler Certs.
20130926140956    I    #03812    AHSETUP     Checking to see if the ePO server is available.  We will try 5 times.
20130926140956    E    #03812    MCUPLOAD    Failed to process the secure communication request (error=401)
20130926141006    E    #03812    MCUPLOAD    Failed to process the secure communication request (error=401)
20130926141016    E    #03812    MCUPLOAD    Failed to process the secure communication request (error=401)
20130926141026    E    #03812    MCUPLOAD    Failed to process the secure communication request (error=401)
20130926141036    E    #03812    MCUPLOAD    Failed to process the secure communication request (error=401)
20130926141046    W    #03812    AHSETUP     The Agent Handler failed to connect to the ePO server.
20130926141046    E    #03812    AHSETUP     Failed to connect to the ePO server ‚SERVERNAME:8443‘

 

Nach einiger Zeit bin ich dank des McAfee Forums darauf gekommen, dass der Fehler 401 durch den falschen Benutzer bzw. durch das falsche Kennwort verursacht wird. Jetzt war die Frage, welcher Benutzer ist der richtige. Davon abgesehen war mir nur ein Administrator für den ePO bekannt.

Abhilfe schaffte die Datenbanktabelle OrionUsers. Für das anlegen des Zertifikates müsst ihr den User mit der ID 1 verwenden!  Beim Befehl selber reicht es aus, wenn nur der User ohne Domäne angegeben wird, falls es sich um einen Domänenuser handelt!

Siehe da, kaum verwendet man den richtigen User und schon wird das Zertifikat erstellt:

ePO Zertifikat



Ähnliche Artikel