[KB6374] Rozwiązywanie problemów z MDMCore (6.5 i nowsze)

Problem

  • Serwer Mobile Device Management zgłasza błędy/ostrzeżenia do  ESET Remote Administrator Webconsole (ERA Webconsole)

  • Urządzenia mobilne pojawiają się ponownie po usunięciu w  konsoli ERA (ERA Web Console). 

  • Urządzenia z systemem iOS nie uruchamiają zadań po zablokowaniu.

  • Otrzymałem wiadomość od Apple Push Certification Portal o tym, że mój certyfikat APNS wygasa.

Rozwiązanie

 

W momencie gdy moduł MDMCore zgłasza jeden z poniższych problemów, postępuj zgodnie z poniższymi instrukcjami:
 

Status ochrony MDMCore w ERA Web Console Rozwiązanie problemu
Nazwa hosta MDM nie odpowiada certyfikatowi HTTPS Nazwa hosta w Certyfikacie HTTPS (Android / iOS) musi być identyczna jak nazwa hosta w Polityce ESET Mobile Device Connector (Android / iOS). Jeżeli nazwy nie są identyczne, zmien je i zastosuj ponownie politykę dla modułu MDM.
Certyfikat HTTPS jest nieprawidłowy. Sprawdź ważność swojego certyfikatu HTTPS. Jeżeli wygasł, wygeneruj nowy, załaduj go do polityki modułu MDM i zapisz zmiany. Wymagane może być ponowne wdrożenie urządzeń mobilnych.
Certyfikat HTTPS wkrótce wygaśnie. Sprawdź ważność swojego certyfikatu HTTPS i jeśli zbliża się jego data wygaśnięcia, utwórz nowy i rozpocznij zmianę certyfikatu.
Certyfikat HTTPS wygasł. Wygeneruj nowy certyfikat HTTPS i wdróź ponownie swoje urządzenia mobilne.
Łańcuch certyfikatów HTTPS jest niepełny. Rejestracja nie jest dozwolona. Aby łańcuch certyfikatów był kompletny, wyeksportuj obecny certyfikat HTTPS, wykorzystywany w polityce MDM i zaimportuj go zgodnie z instrukcjami dla systemów Windows lub Linux.
Brakujący certyfikat APNS. Wygeneruj nowy certyfikat APNS i zaimportuj go do polityki MDM. 
Brakujący klucz publiczny APNS.
Nieprawidłowy certyfikat lub klucz APNS.
Nadal trwa zmienianie certyfikatu HTTPS. Stary certyfikat nadal jest używany. Nie wszystkie urządzenia mobilne wykorzystują nowy certyfikat HTTPS. Upewnij się, że wszystkie urządzenia mobilne podłączą się do modułu MDM w trakcie zmiany certyfikatu.
Multiagent jest przeciążony. Niektórzy klienci nie przesłali swojego statusu. Ta wiadomość jest wiadomością informacyjną. Jeżeli ten komunikat pojawia się częściej, rozważ dodanie większej ilości zasobów do maszyny z modułem MDM.
Weryfikacja certyfikatu usługi APNS zakończyła się błędem

Komputer z modułem MDM nie posiada najnowszych urzędów certyfikacji dla Apple / Google. Pobierz wymagane urzędy certyfikacji (Pobierz Apple CAPobierz GCM CA) i zaimportuj go do Magazynu certyfikatów na hoście MDM zgodnie z tą instrukcją.

 
Weryfikacja certyfikatu usługi GCM zakończyła się błędem
Weryfikacja certyfikatu usługi APNS Feedback zakończyła się błędem
Problem z połączeniem do usługi APNS

Utwórz regułę dla zapory pozwalającą na połączenie do Usług APNS (gateway.push.apple.com oraz feedback.push.apple.com) lub GCM service connection (android.googleapis.com). Jeżeli problem będzie dalej występował postępuj z instrukcją z sekcji Certyfikat APNS wkrótce wygaśnie.

 
Problem z połączeniem do usługi GCM 
Problem z połączeniem do usługi APNS Feedback 
Certyfikat APNS wkrótce wygaśnie Postępuj zgodnie z instrukcją Otrzymałem wiadomość z Apple Push Certification Portal, że mój certyfikat APNS wkrótce wygaśnie.
Polityka MDM zawiera nieprawidłowy certyfikat. Stary certyfikat nadal jest używany. Zastąp certyfikat HTTPS w polityce MDM na prawidłowy.
Wystąpił problem z połączeniem z zdalnym elementem równorzędnym. Postępuj zgodnie z instrukcjami poniżej.

Ręczne usuwanie urządzenia z ERA MDM. 

Uwaga:

Pamiętaj, że jedyną prawidłową metodą usunięcia urządzenia mobilnego jest zadanie Zatrzymania zarządzania. Poniższe kroki należy wykonać tylko w ostateczności.

Uwaga:

 Dodatkowo należy ręcznie dezaktywować urządzenia iOS MDM z poziomu serwera ELA, ponieważ ręczne usunięcie urządzenia z bazy ERA MDM DB nie spowoduje zwolnienia licencji.

Po uruchomieniu zadania "Zatrzymanie zarządzania" może być wymagane odczekania 3*(2+ilość urządzeń mobilnych/20) minut za nim urządzenie zostanie usunięte z ERA Web Console. Jeżeli urządzenie stale się pojawia po tym czasie lub urządzenie zostało usunięte wcześniej wykonaj poniższe instrukcje: 

Windows :

  1.  Upewnij się, że moduł MDM Core nie działa. Aby zatrzymać moduł zatrzymaj usługę MDCore. (EraMDMCoreSvc).
  2.  Otwórz bazę danych MDM (HeidiSQL, MySQL Workbench, MS SQL Server Studio...).
  3.  Zlokalizuj tabelę Device.
  4.  Usuń wierz dotyczący odpowiedniego urządzenia. Możesz posłużyć się kolumną DeviceID, DeviceName lub SerialNumber(dla iOS) aby odszukać urządzenie.
  5.  Uruchom usługę MDMCore (EraMDMCoreSvc). 
  6.  Usuń urządzenie z poziomu Web Console.

Linux (Virtual Appliance): 

  1.  Zatrzymaj usługę ERA MDMCore:
    systemctl stop eramdmcore.service
  2.  Podłącz się do bazy MySQL DB:
    mysql -u USERNAME -p
  3.  Uruchom poniższe polecenie (możesz użyć IDs z seperatorami)
    delete from era_mdm_db.Device where DeviceId = 'XXXXXXXXXXXX'
  4.  Uruchom usługę ERA MDMCore:
    systemctl start eramdmcore.service
  5.  Usuń urządzenie z poziomu Web Console.

Jeżeli powyższe instrukcję nie okażą się pomocne wygeneruj log ESET Log Collector (zgodnie z instrukcją) i skontaktuj się z Pomocą techniczną ESET


Alert MDMCore: "Wystąpił problem z połączeniem z zdalnym elementem równorzędnym.".

Alarm ten oznacza, że moduł MDMCore nie jest w stanie połączyć się z serwerem ERA. Zalecamy wykonanie poniższych operacji na stacji gdzie zainstalowany jest moduł MDM. 

Należy sprawdzić logi modułu MDM w poszukiwaniu błędów. 

Windows C:\ProgramData\ESET\RemoteAdministrator\MDMCore\Logs\Proxy
Linux /var/log/eset/RemoteAdministrator/MDMCore/Proxy/

NOTATKA:

Aby uruchomić zawansowane logowanie, należy utworzyć pusty plik traceAll bez rozszerzenia, w tym samy folderze co plik trace.log i wykonać restart usługi ESET Remote Administrator Mobile Device Connector. Opcja ta uruchomi zaawansowane logowanie do pliku trace.log.

  • last-error.html - tabela zawierająca informacje o ostatnim błędzie, który pojawił się podczas pracy modułu MDM.
  • status.html - tabela pokazująca status komunikacji pomiędzy moduł MDM a serwerem ERA.
  • trace.log - szczegółowy raport dotyczący aktywności modułu MDM. 

Możliwe rozwiązania w zależności od komunikatu: 

  • Twoja sieć nie jest skonfigurowana prawidłowo. Upewnij się, że połączenie do serwera ERA z modułu MDM jest możliwe.

Otrzymałem wiadomość z Apple Push Certification Portal, że mój certyfikat APNS wkrótce wygaśnie

To powiadomienie wymaga Twojej uwagi. Należy odnowić ważność certyfikatu APNS w portalu certyfikacji: 

  1. Otwórz Apple Push Certificate Portal i zaloguj się przy użyciu Apple ID.
  2. Kliknij Renew obok certyfikatu, który wkrótce wygaśnie.
  3. Postępuj zgodnie z instrukcją z Dokumentacji MDM.

Uwaga: 

Jeżeli powyższe kroki nie zostaną wykonane, Twój certyfikat wygaśnie i będzie wymagane ponowne wdrożenie urządzeń z systemem iOS.


Import łańcucha certyfikatu HTTPS - Linux

Aby zaimportować certyfikat HTTPS do magazynu certyfikatów OpenSSL na systemie CentOS należy wykonać poniższe kroki:

  1. Skopiuj certyfikat do /etc/pki/ca-trust/source/anchors/
  2. Uruchom polecenie:update-ca-trust
  3. Uruchom ponownie usługę ERA MDMCore za pomocą polcenia: systemctl start eramdmcore.service

Dodatkowa pomoc