はじめに
このドキュメントでは、エラー3000エラーでTETRA定義の障害をトラブルシューティングする手順について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
使用するコンポーネント
このドキュメントの情報は、次のハードウェアに基づくものです。
- Cisco Secure Endpointコネクタ(任意のバージョン)
- Wireshark(任意のバージョン)
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
問題
- エンドポイントで、TETRA定義の更新が「Unable to install updates.Please try again later」というエラーメッセージで失敗します。
- Cisco Secure Endpoint Consoleで、前述の障害エラーが表示されます。
“ネットワークのタイムアウトのため、更新に失敗しました。ネットワーク、ファイアウォール、またはプロキシの設定を確認して、エンドポイントと更新サーバー間の接続を確認してください。問題が解決しない場合は、Ciscoサポートにお問い合わせください」
- debug sfc.exe.logで、「definitions updated failed with error 3000」エラーが表示されます。これは、文書化されているUnknown_Errorを意味します。
(978223515, +0 ms) Aug 04 07:30:23 [11944]: TETRAUpdateInterface::update updateDir: C:\Program Files\Cisco\AMP\tetra, 20, -3000, -3000, 0, 0, 0
(978223515, +0 ms) Aug 04 07:30:23 [11944]: ERROR: TETRAUpdateInterface::update Update failed with error -3000
(978223515, +0 ms) Aug 04 07:30:23 [11944]: PipeSend: sending message to user interface: 26, id: 0
(978223515, +0 ms) Aug 04 07:30:23 [860]: PipeWrite: waiting on pipe event handle
(978223515, +0 ms) Aug 04 07:30:23 [11944]: TETRAUpdaterInit defInit: 0, bUpdate: 0
(978223515, +0 ms) Aug 04 07:30:23 [11944]: TETRAUpdaterInit bUpdate: 0, bReload: 0
(978223515, +0 ms) Aug 04 07:30:23 [11944]: FASharedPtr<class TETRAUpdateInterface>::ReleaseInstance count: 1
(978223515, +0 ms) Aug 04 07:30:23 [11944]: PerformTETRAUpdate: bUpdated = FALSE, state: 20, status: -3000
(978223515, +0 ms) Aug 04 07:30:23 [11944]: PerformTETRAUpdate: sig count: 0, version: 0
(978223515, +0 ms) Aug 04 07:30:23 [11944]: Config::IsUploadEventEnabled: returns 1, 1
(978223515, +0 ms) Aug 04 07:30:23 [11944]: AVStat::CopyInternal : engine - 2, defs - 0, first failure - never, last err code - 4294964296, last upd success - never
(978223515, +0 ms) Aug 04 07:30:23 [11944]: AVStat::CopyInternal : engine - 2, defs - 0, first failure - Thu Aug 4 06:35:16 2022, last err code - 4294964296, last upd success - never
解決方法
- コンソールでAMP Policy > Client User Interfaceの順に選択し、Allow user to update TETRA definitionsオプションを有効にしてください。このパラメータを使用すると、トラブルシューティング中に必要に応じてTETRAアップデートをトリガーできます。
- また、エンドポイントで、またはAMPポリシーを介して、コネクタとトレイレベルのデバッグログを有効にします。
- エンドポイントでUpdate TETRAをクリックしながら、TETRA DefinitionsのTETRA更新の成功と失敗したエンドポイントの両方でパケットキャプチャを取得してください。
- TETRAアップデートが成功したエンドポイントでは、パケットキャプチャでhttp.host == "tetra-defs.amp.cisco.com:443"を含むパケットをフィルタリングし、次に各パケットの"tcp.stream"を追跡して、関連するトラフィックを分析します。
- Server Helloパケットで、Server accepts "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384"という暗号がServer Helloパケットで確認できます。
- Cisco Secure Endpoint TETRAサーバは、言及された暗号のみを受け入れます。
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_AES_128_GCM_SHA256
- TETRAアップデートが失敗したエンドポイントでは、パケットキャプチャで、Client Helloパケットの後にSSLハンドシェイクの致命的なエラーが表示されます。
- Client Helloパケットでは、エンドポイントから提供される暗号を確認できます。
- また、エンドポイントで有効になっている暗号をGet-TlsCipherSuiteで相互検証できます | ft name PowerShellコマンドを使用します。
- ステップ6で説明した暗号がここにリストされていない場合は、SSLハンドシェイクが失敗する理由です。
- これを修正するには、グループポリシーでSSL暗号スイートの順序を確認してください。
Run -> gpedit.msc -> Local Computer Policy -> Computer Configuration -> Administrative Templates -> Network -> SSL Configuration Settings -> SSL Cipher Suite Order -> Edit policy setting
- 暗号スイートの順序はNot ConfiguredまたはDisabledである必要があります。Enabledに設定されている場合は、ステップ6で説明した暗号をリストに追加します。
- これらの変更を適用し、エンドポイントを再起動して、アプリケーションで使用できるようにします。
- 再起動が完了したら、Update TETRAを再試行してください。
- TETRA定義の問題が解決しない場合は、ログを分析して再度キャプチャしてください。
関連情報