Introdução
Este documento descreve as etapas para resolver problemas de falha de definições TETRA com erro 3000.
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
Componentes Utilizados
As informações neste documento são baseadas em:
- Conector Cisco Secure Endpoint (qualquer versão)
- Wireshark (qualquer versão)
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Problema
- No endpoint, a atualização das Definições TETRA falha com a mensagem de erro "Não é possível instalar atualizações.Tente novamente mais tarde".
- No Cisco Secure Endpoint Console, é observado o erro de falha mencionado:
"Falha na atualização devido a um tempo limite da rede. Verifique suas configurações de rede, firewall ou proxy para verificar a conectividade entre os pontos de extremidade e o servidor de atualização. Entre em contato com o suporte da Cisco se o problema persistir."
- No debug sfc.exe.log, as definições atualizadas falharam com o erro 3000, que significa Unknown_Error como documentado.
(978223515, +0 ms) Aug 04 07:30:23 [11944]: TETRAUpdateInterface::update updateDir: C:\Program Files\Cisco\AMP\tetra, 20, -3000, -3000, 0, 0, 0
(978223515, +0 ms) Aug 04 07:30:23 [11944]: ERROR: TETRAUpdateInterface::update Update failed with error -3000
(978223515, +0 ms) Aug 04 07:30:23 [11944]: PipeSend: sending message to user interface: 26, id: 0
(978223515, +0 ms) Aug 04 07:30:23 [860]: PipeWrite: waiting on pipe event handle
(978223515, +0 ms) Aug 04 07:30:23 [11944]: TETRAUpdaterInit defInit: 0, bUpdate: 0
(978223515, +0 ms) Aug 04 07:30:23 [11944]: TETRAUpdaterInit bUpdate: 0, bReload: 0
(978223515, +0 ms) Aug 04 07:30:23 [11944]: FASharedPtr<class TETRAUpdateInterface>::ReleaseInstance count: 1
(978223515, +0 ms) Aug 04 07:30:23 [11944]: PerformTETRAUpdate: bUpdated = FALSE, state: 20, status: -3000
(978223515, +0 ms) Aug 04 07:30:23 [11944]: PerformTETRAUpdate: sig count: 0, version: 0
(978223515, +0 ms) Aug 04 07:30:23 [11944]: Config::IsUploadEventEnabled: returns 1, 1
(978223515, +0 ms) Aug 04 07:30:23 [11944]: AVStat::CopyInternal : engine - 2, defs - 0, first failure - never, last err code - 4294964296, last upd success - never
(978223515, +0 ms) Aug 04 07:30:23 [11944]: AVStat::CopyInternal : engine - 2, defs - 0, first failure - Thu Aug 4 06:35:16 2022, last err code - 4294964296, last upd success - never
Solução
- Habilite a opção Permitir que o usuário atualize as definições TETRA na Política AMP > Interface de usuário do cliente no Console. Com esse parâmetro, você pode acionar a atualização TETRA conforme necessário durante a solução de problemas.
- Além disso, habilite o debug Connector e o log no nível da bandeja no endpoint ou através da política AMP.
- Retire as capturas de pacotes tanto na atualização TETRA bem-sucedida como no ponto final com falha para Definições TETRA enquanto clica em Atualizar TETRA no ponto final.
- No endpoint bem-sucedido de atualização de TETRA, na captura de pacotes, filtre os pacotes com http.host == "tetra-defs.amp.cisco.com:443" e depois "siga o tcp.stream" de cada pacote para analisar o tráfego relacionado.
- No pacote Server Hello, você pode ver que o servidor aceita a cifra "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384" no pacote Server Hello.
- O servidor TETRA do Cisco Secure Endpoint aceita apenas cifras mencionadas:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_AES_128_GCM_SHA256
- No endpoint com falha de atualização TETRA, na captura de pacotes, um erro fatal no handshake SSL é visto após o pacote Hello do cliente.
- No pacote Hello do cliente, você pode ver as Cifras oferecidas do ponto final.
- Além disso, você pode verificar as Cifras habilitadas no endpoint com o Get-TlsCipherSuite | ft name Comando do PowerShell.
- Caso as cifras mencionadas na Etapa 6 não estejam listadas aqui, esse é o motivo da falha de handshake SSL.
- Para corrigir isso, verifique a Ordem do Conjunto de Cifras SSL na Política de Grupo:
Run -> gpedit.msc -> Local Computer Policy -> Computer Configuration -> Administrative Templates -> Network -> SSL Configuration Settings -> SSL Cipher Suite Order -> Edit policy setting
- A ordem do conjunto de cifras deve ser Não configurado ou Desativado e, se estiver definida como Ativado, adicione as cifras mencionadas na Etapa 6 na lista.
- Aplique essas alterações e reinicie o endpoint para disponibilizar essas alterações para os aplicativos.
- Tente novamente Atualizar TETRA quando a reinicialização estiver concluída.
- Caso o problema das definições TETRA persista, analise os registros e as capturas novamente.
Informações Relacionadas