[KB6374] MDMCore Fehlerbehebung (6.5 und neuer)

Problem

  • Mobile Device Management-Server zeigt Warnungen/Fehler in der ESET Remote Administrator Web-Konsole (ERA Web-Konsole) an

  • Mobile Geräte werden nach dem Löschen erneut in der ERA Web-Konsole angezeigt.

  • Das iOS-Gerät führt keine Tasks aus, wenn es gesperrt ist

  • Ich habe vom Apple Push Certification Portal eine E-Mail erhalten, dass mein APNS-Zertifikat bald abläuft

Lösung

Wenn MDMCore einen der folgenden Schutzstatus-Probleme meldet, folgen Sie den entsprechenden Informationen zur Fehlerbehebung:

Schutzstatus von MDMCore in der ERA Web-Konsole Schritte zur Fehlerbehebung
Der MDM-Hostname stimmt nicht mit dem HTTPS-Zertifikat überein Der Hostname im HTTPS-Zertifikat (Android / iOS) muss mit dem Hostnamen in der ESET Mobile Device Connector-Policy (Android / iOS) übereinstimmen. Wenn sie nicht übereinstimmen, ändern Sie eine davon und wenden Sie die Policy erneut auf das MDM-Hostgerät an.
Das HTTPS-Zertifikat ist nicht gültig Überprüfen Sie die Gültigkeit Ihres HTTPS-Zertifikats. Wenn es abgelaufen ist, generieren Sie ein neues, laden Sie es in Ihre MDM-Policy hoch und speichern Sie die Änderungen. Möglicherweise müssen Sie eine erneute Registrierung Ihrer mobilen Geräte veranlassen.
Das HTTPS-Zertifikat läuft bald ab Überprüfen Sie die Gültigkeit Ihres HTTPS-Zertifikats. Wenn das Ablaufdatum erreicht ist, generieren Sie ein neues HTTPS-Zertifikat und initiieren Sie einen Zertifikataustausch.
Das HTTPS-Zertifikat ist abgelaufen Erstellen Sie ein neues HTTPS-Zertifikat und initiieren Sie eine erneute Registrierung Ihrer mobilen Geräte.
Die HTTPS-Zertifikatkette ist unvollständig. Die Anmeldung ist nicht erlaubt Um die Zertifikatkette zu vervollständigen, exportieren Sie Ihr aktuelles HTTPS-Zertifikat, das von der MDM-Policy verwendet wird und importieren Sie es in den Zertifikatspeicher auf dem MDM-Hostgerät gemäß den folgenden Schritten für Windows oder Linux.
Fehlendes APNS-Zertifikat Generieren Sie ein neues APNS-Zertifikat und importieren Sie es in die MDC-Policy.
Fehlender APNS-Schlüssel
APNS-Zertifikat oder APNS-Schlüssel nicht gültig
Änderung des HTTPS-Zertifikats wird noch ausgeführt. Das alte Zertifikat wird noch verwendet Nicht alle Mobilgeräte verwenden das neue HTTPS-Zertifikat. Stellen Sie sicher, dass alle mobilen Geräte während der Zertifikatsänderung eine Verbindung zum MDM-Server herstellen.
Multiagent ist überlastet. Einige Clients haben ihren Status in der letzten Stunde nicht gemeldet Dies ist nur eine informative Nachricht. Wenn diese Warnung häufig angezeigt wird, sollten Sie in Erwägung ziehen, dem MDM-Hostgerät weitere Ressourcen hinzuzufügen.
Überprüfung des APNS-Dienstzertifikats fehlgeschlagen

Das MDM-Hostgerät verfügt nicht über die neueste Apple / Google-Zertifizierungsstelle. Laden Sie die erforderliche CA herunter (Download Apple CADownload GCM CA) und importieren Sie sie gemäß dieser Schritte in den Zertifikatspeicher auf dem MDM-Hostgerät.

 
Überprüfung des GCM-Dienstzertifikats fehlgeschlagen
Überprüfung des APNS Feedback Service-Zertifikats fehlgeschlagen
APNS-Dienstverbindungsprobleme

Erstellen Sie eine neue Firewallregel, um die APNS-Dienstverbindung (gateway.push.apple.com and feedback.push.apple.com) oder die Verbindung zum GCM-Dienst (android.googleapis.com) zuzulassen. Wenn die Fehlernachricht weiterhin vorhanden ist, führen Sie die Schritte aus, die unter Das APNS-Zertifikat läuft bald ab erwähnt werden.

 
GCM-Dienstverbindungsprobleme
APNS Feedback-Dienst Verbindungsprobleme
Das APNS-Zertifikat läuft bald ab Führen Sie die folgenden Schritte aus: Ich habe vom Apple Push-Zertifizierungsportal eine E-Mail erhalten, dass mein APNMS-Zertifikat bald abläuft.
Die MDM-Richtlinie enthält ein ungültiges https-Zertifikat. Das alte Zertifikat wird noch verwendet. Ersetzen Sie das HTTPS-Zertifikat in der MDMCore-Policy durch ein gültiges.
Es besteht ein Problem bei der Verbindung mit der Gegenstelle Folgen Sie den Anweisungen unten.

 

So entfernen Sie ein Mobilgerät manuell vom ERA MDM.

Warnung:

Denken Sie daran, dass die einzige Möglichkeit zum Entfernen (Abmelden) eines mobilen Geräts mit dem Task Verwalten beenden besteht. Die folgenden Schritte sind nur die "letzte Lösung".

Warnung:

Außerdem müssen Sie iOS MDM-Sitzplätze manuell im ELA deaktivieren, da der Sitz nicht freigegeben wird, nachdem Sie das Gerät manuell aus der ERA MDM DB entfernt haben.

Nachdem Sie eine "Verwaltungs-Task beenden" ausgeführt haben, kann es bis zu 3 * (2 + Anzahl aller Mobilgeräte / 20) Minuten dauern, bis die Geräte aus der ERA Web-Konsole entfernt werden. Wenn die Geräte nach dieser Zeit weiterhin angezeigt werden oder Sie die Geräte früher entfernen müssen, gehen Sie folgendermaßen vor:

Windows :

  1. Stellen Sie sicher, dass der MDM-Core nicht ausgeführt wird. Um es ihn stoppen, stoppen Sie den MDMCore-Dienst. (EraMDMCoreSvc).
  2. Öffnen Sie die MDMCore-Datenbank mit Ihrem DB-Tool Ihrer Wahl (HeidiSQL, MySQL Workbench, MS SQL Server Studio ...).
  3. Suchen Sie die Geräte-Tabelle in der DB.
  4. Löschen Sie die Zeile, die Ihrem Gerät entspricht. Mit den Feldern DeviceID, DeviceName und SerialNumber (für iOS) können Sie das Gerät identifizieren.
  5. Starten Sie den MDMCore-Dienst (EraMDMCoreSvc). 
  6. Wählen Sie das mobile Gerät in der Web-Konsole aus und löschen Sie es.

Linux (Virtual Appliance): 

  1. Stoppen Sie den ERA MDMCore-Dienst:
    /etc/init.d/eramdmcore stop
  2. Stellen Sie eine Verbindung zur MySQL-Datenbank her:
    mysql -u USERNAME -p
  3. Führen Sie den folgenden Befehl aus (Sie können IDs mit dem Trennzeichen hinzufügen)
    delete from era_mdm_db.dbo.device where DeviceId = 'XXXXXXXXXXXX'
  4. Starten Sie den ERA MDMCore-Dienst:
    /etc/init.d/eramdmcore start
  5. Wählen Sie das mobile Gerät in der Web-Konsole aus und löschen Sie es.

Wenn die oben beschriebenen Schritte zur Problembehebung das Problem nicht beheben, sammeln Sie die Protokolle mit dem ESET Log Collector (gemäß dieser Schritte) und wenden Sie sich an den ESET Support.


iOS-Gerät checkt nicht ein, wenn es gesperrt ist

Wenn ein iOS-Gerät die angeforderten Tasks nicht ausführt, kann dies durch die iOS-Sperrbildschirmeinstellung verursacht werden: Datenschutz. Wenn diese Einstellung aktiviert ist, wird der Speicher des iOS-Geräts verschlüsselt, während der Bildschirm gesperrt ist. Daher kann das iOS-Gerät keine Tasks ausführen, die von diesem Speicher abhängen.

Sobald der Nutzer sein iOS-Gerät entsperrt, wird er einchecken und alle Aufgaben ausführen.

Dieses Verhalten wird in MDMCore-Logs wie folgt dargestellt:

Received a NotNow response from device "xxxxxxxxxxxx" for command "a1b2c3e4f5". Stopping command delivery to device until a reconnect.

Abbildung 1-1


MDMCore Warnung: "Es besteht ein Problem mit der Verbindung zur Gegenstelle".

Diese Warnung gibt an, dass MDMCore keine Verbindung zum ERA-Server herstellen kann. Wir empfehlen, dass Sie die Fehlerbehebung lokal auf dem MDM-Hostgerät durchführen.

Überprüfen Sie die neuesten MDM-Logs und handeln Sie entsprechend.

Windows C:\ProgramData\ESET\RemoteAdministrator\MDMCore\Logs\Proxy
Linux /var/log/eset/RemoteAdministrator/MDMCore/Proxy/

HINWEIS:

Um die vollständige Protokollierung zu aktivieren, erstellen Sie eine Dummy-Datei mit dem Namen "traceAll" ohne Erweiterung im selben Ordner wie "trace.log" und starten Sie anschließend den ESET Remote Administrator-Dienst für mobile Geräte neu. Dies ermöglicht die vollständige Protokollierung der Datei trace.log.

  • last-error.html - Protokoll (Tabelle), das den letzten Fehler anzeigt, der während der Ausführung des MDM Core aufgezeichnet wurde.
  • status.html - eine Tabelle, die den aktuellen Status der Kommunikation (Synchronisation) von MDMCore und ERA Server zeigt.
  • trace.log - ein detaillierter Bericht über alle Aktivitäten von MDMCore, einschließlich aller aufgezeichneten Fehler.

Die möglichen Lösungen (basierend auf dem, was Sie in den Protokolldateien finden):

  • Ihr Netzwerk ist nicht richtig konfiguriert. Stellen Sie sicher, dass das Host-Gerät des ERA-Servers und das Host-Gerät vom MDMCore kommunizieren können.

Ich habe vom Apple Push Certification Portal eine E-Mail erhalten, dass mein APNS-Zertifikat bald abläuft.

Diese Benachrichtigung erfordert Ihre Aufmerksamkeit. Sie müssen die Gültigkeit Ihres Zertifikats im APNS-Zertifikatsportal gemäß den folgenden Schritten erneuern:

  1. Öffnen Sie das Apple Push Certificate Portal und melden Sie sich mit Ihrer Apple ID an.
     
  2. Klicken Sie neben dem Zertifikat, das kurz vor dem Ablaufdatum liegt, auf Erneuern.
     
  3. Folgen Sie den Schritten in der MDM Dokumentation.

Warnung:

Wenn die oben genannten Schritte nicht durchgeführt werden, läuft Ihr Zertifikat ab, was zur erneuten Registrierung aller betroffenen iOS-Geräte führt.


Importieren Sie die HTTPS-Zertifikatskette für MDM - Linux

Gehen Sie folgendermaßen vor, um das HTTPS-Zertifikat in den OpenSSL-Zertifikatsspeicher auf CentOS zu importieren:

  1. Kopieren Sie die Zertifikatsdatei nach /etc/pki/ca-trust/source/anchors/
     
  2. Führen Sie folgenden Systembefehl aus: update-ca-trust
     
  3. Starten Sie den ERA MDMCore-Dienst mit folgendem Systembefehl neu /etc/init.d/eramdmcore restart

Zusätzliche Hilfestellung