Wenn Sie nach Befolgung der Anweisungen zur Agenteninstallation Probleme mit der Stabilität des Agenten, der Konsistenz der Warnungen, der Nichtverfügbarkeit des Agenten oder der Instabilität der Remoteverbindung haben, überprüfen Sie bitte Folgendes:
Unterstützte Versionen
Schauen Sie sich bitte den Hauptartikel an, um zu sehen, welche Windows-Versionen mit dem Atera-Agenten kompatibel sind.
.NET Framework
Bestätigen Sie zunächst auf Ihrer Seite, dass die Geräte, die Probleme haben, .NET Framework 4.5 oder eine neuere Version installiert haben.
Um zu überprüfen, ob .NET Framework 4.5 oder höher auf Ihren Geräten installiert ist, führen Sie das folgende Skript mit Powershell ISE und Administratorrechten aus:
# Ermitteln der installierten .NET Framework-Version
$dotNetVersion = Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\NET Framework Setup\NDP\v4\Full\' -Name Version | Select-Object -ExpandProperty Version
# Überprüfen, ob die .NET Framework-Version gefunden wurde
if ($dotNetVersion) {
Write-Host "Installierte .NET Framework-Version: $dotNetVersion"
} else {
Write-Host "Kein .NET Framework installiert oder Version konnte nicht ermittelt werden."
}
Wenn .NET Framework installiert ist, erhalten Sie eine ähnliche Ausgabe. Beachten Sie, dass die Version 4.5 oder höher sein muss, damit der Atera-Agent ordnungsgemäß funktioniert.
Serverliste und Ports
Zusätzlich zur Installation des .NET Frameworks auf Ihrem Gerät ist es unerlässlich, Ihre Netzwerkeinstellungen zu konfigurieren, um die Kommunikation zwischen Ihren Geräten und unseren Servern zu ermöglichen.
Liste der Server, mit denen der Agent kommuniziert; stellen Sie sicher, dass diese Server in Ihrem Netzwerk freigegeben sind.
- pubsub.atera.com
- pubsub.pubnub.com
- app.atera.com
- agenthb.atera.com
- packagesstore.blob.core.windows.net
- ps.pndsn.com
- agent-api.atera.com
- cacerts.thawte.com
- agentreportingstore.blob.core.windows.net
- atera-agent-heartbeat.servicebus.windows.net
- ps.atera.com
- atera.pubnubapi.com
- appcdn.atera.com
- atera-agent-heartbeat-cus.servicebus.windows.net
- ticketingitemsstoreeu.blob.core.windows.net
- download.visualstudio.microsoft.com
- a32dl55qcodech-ats.iot.eu-west-1.amazonaws.com
- agentspoliciesprod.blob.core.windows.net
Wichtiger Hinweis: Das Freigeben unserer Server basiert nicht auf IP-Adressen; der Freigabeprozess muss ausschließlich den Servernamen verwenden.
Ports
Neben dem Freigeben der oben genannten Server in Ihrem Netzwerk müssen Sie auch:
- Den ausgehenden Datenverkehr über die Ports 443 und 8883 (TCP/UDP) in den Antivirenprogrammen, Firewalls und Proxyservern zulassen.
Serververbindung überprüfen (ps1.)
Um die Verbindung zwischen Ihrem Gerät und unseren Servern zu überprüfen, führen Sie das bereitgestellte PowerShell-Skript auf Ihrem betroffenen Endpunkt mit administrativen Rechten aus. Das Skript generiert eine Liste, die blockierte und freigegebene Server in Ihrem Netzwerk anzeigt. Das Freigeben eines blockierten Servers ist für die ordnungsgemäße Funktionalität unerlässlich.
# Definieren Sie die Liste der Zielserver und deren entsprechenden Ports (TCP und UDP)
$targets = @{
"pubsub.atera.com" = @(443)
"pubsub.pubnub.com" = @(443)
"app.atera.com" = @(443)
"agenthb.atera.com" = @(443)
"packagesstore.blob.core.windows.net" = @(443)
"ps.pndsn.com" = @(443)
"agent-api.atera.com" = @(443)
"cacerts.thawte.com" = @(443)
"agentreportingstore.blob.core.windows.net" = @(443)
"atera-agent-heartbeat.servicebus.windows.net" = @(443)
"ps.atera.com" = @(443)
"atera.pubnubapi.com" = @(443)
"appcdn.atera.com" = @(443)
"atera-agent-heartbeat-cus.servicebus.windows.net" = @(443)
"ticketingitemsstoreeu.blob.core.windows.net" = @(443)
"download.visualstudio.microsoft.com" = @(443)
"a32dl55qcodech-ats.iot.eu-west-1.amazonaws.com" = @(443, 8883)
}
# Funktion zur Auflösung aller IP-Adressen für einen bestimmten Server
function Get-AllIPAddresses {
param (
[string]$server
)
try {
$ipAddresses = [System.Net.Dns]::GetHostAddresses($server)
$resolvedIPs = $ipAddresses | ForEach-Object { $_.IPAddressToString }
return $resolvedIPs
}
catch {
return $null
}
}
# Funktion zum Testen der TCP-Verbindung zu einem bestimmten Port
function Test-TcpConnection {
param (
[string]$server,
[int]$port
)
$resolvedIPs = Get-AllIPAddresses -server $server
if ($resolvedIPs) {
foreach ($resolvedIP in $resolvedIPs) {
try {
$tcpClient = New-Object System.Net.Sockets.TcpClient
$tcpClient.Connect($resolvedIP, $port)
$tcpClient.Close()
Write-Host ("TCP-Verbindung zu $server ($resolvedIP) auf Port $port erfolgreich.") -ForegroundColor Green
}
catch {
Write-Host ("TCP-Verbindung zu $server ($resolvedIP) auf Port $port fehlgeschlagen. Fehler: $($_.Exception.Message)") -ForegroundColor Red
}
}
} else {
Write-Host "IP-Adressen für $server konnten nicht aufgelöst werden." -ForegroundColor Red
}
}
# Schleife durch die Ziele und Testen von TCP- und UDP-Verbindungen
foreach ($target in $targets.GetEnumerator()) {
$server = $target.Key
$ports = $target.Value
Write-Host "Verbindungen zu $server testen..."
# Testen von TCP-Verbindungen
foreach ($port in $ports) {
Test-TcpConnection -server $server -port $port
}
# Testen von UDP-Verbindungen (Sie können bei Bedarf spezifische UDP-Tests hinzufügen)
# foreach ($port in $ports) {
# Test-UdpConnection -server $server -port $port
# }
Write-Host "" # Fügen Sie eine leere Zeile nach dem Testen jedes Servers hinzu
}
Potenzielle Software/Geräte für Blockaden
Je nach den Einstellungen Ihrer Organisation müssen Sie möglicherweise Einstellungen für Ihr Antivirus, Ihre Firewall, Ihren Proxy oder Ihr Geo-Blocking anpassen. Hier ist eine Liste von Konfigurationen, die auf alle relevanten Anwendungen angewendet werden müssen.
Antivirus
Fügen Sie die folgenden Pfade zur Antivirus-Whitelist hinzu:
- C:\Program Files\Atera Networks (oder C:\Program Files (x86)\ATERA Networks für 32-Bit)
- C:\Windows\Temp\AteraUpgradeAgentPackage
Sie müssen möglicherweise eine Ausnahmeregel für das Scannen von passwortgeschützten ZIP-Dateien hinzufügen/aktivieren (oder unscannbare Inhalte passieren lassen).
Zu Testzwecken erwägen Sie das Hinzufügen des Ordners zur Whitelist: C:\Windows\Installer
Nach Abschluss des Whitelisting-Prozesses fahren Sie mit einer weiteren Installation fort. Denken Sie daran, das Whitelisten zu entfernen, sobald die Testphase abgeschlossen ist.
Firewall
In bestimmten Netzwerkumgebungen, in denen HTTPS-Verkehr eingeschränkt ist, stellen Sie sicher, dass eine Regel hinzugefügt wird, die HTTPS-Verkehr von LAN nach WAN erlaubt, speziell für die Atera-Adresse:
- agent-api.atera.com
Zusätzlich kann HTTPS-Inspektion (Deep Packet Inspection/SSL-Inspektion) zu Blockaden führen. Es ist entscheidend, entweder HTTPS-Scannen zu deaktivieren oder Atera und seine Server in die Inspektions-Whitelist aufzunehmen.
Wichtiger Hinweis: Die Große Chinesische Firewall blockiert derzeit bestimmte Server, die für die Meldung der Geräteverfügbarkeit (Online-/Offline-Status) durch AteraAgent unerlässlich sind. Daher können sich Maschinen in diesem Land möglicherweise nicht über die Konsole verwalten lassen. Die Verwendung einer VPN-Verbindung könnte diese Beschränkungen möglicherweise umgehen, jedoch möchten wir darauf hinweisen, dass wir keine spezifischen Anweisungen oder Unterstützung für die Konfiguration solcher Setups anbieten können.
Proxy
Proxy- und Webfilter-Systeme werden häufig eingesetzt und können das stabile Verhalten des Agents beeinträchtigen.
Stellen Sie sicher, dass ausgehender Verkehr auf den Ports 443 und 8883 sowie Dateierweiterungen ZIP und EXE von unserer Website (Atera-Adresse: agent-api.atera.com) erlaubt sind.
Wichtiger Hinweis: Bitte beachten Sie, dass Atera keine Unterstützung oder Anleitung für die Proxy-Konfiguration bietet.
Geo-Blocking
Beispielsweise erfordern SonicWall-Router, die für ihre Geo-Blocking-Funktionen bekannt sind, möglicherweise spezifische Konfigurationen.
Stellen Sie die Erlaubnis für Inhaltsverkehr sicher, zusätzlich zur Erlaubnis von TCP-Verkehr auf den Ports 443 und 8883, für optimale Funktionalität.
Proxy unter lokalem Systemkonto
Das Aktivieren von Proxies lokal auf Ihrem Gerät, innerhalb eines lokalen Systemkontos, kann die ordnungsgemäße Funktion des Atera-Agents beeinträchtigen. Zu Testzwecken ist es entscheidend, den Proxy im lokalen Systemkonto zu deaktivieren.
Um den Proxy-Status zu überprüfen, führen Sie den folgenden Befehl in CMD mit administrativen Rechten aus.
bitsadmin /util /getieproxy localsystem
Um den Proxy auf Ihrem lokalen Systemkonto zu deaktivieren, führen Sie den folgenden Befehl in CMD als Administrator aus.
bitsadmin /util /setieproxy localsystem no_proxy
TLS-Konfigurationen implementiert mit dem Drittanbieter-Tool IIS Crypto
IIS Crypto ist berüchtigt dafür, TLS-Kommunikation zu stören, indem unkonventionelle Werte für Registrierungsschlüssel eingeführt werden. Für optimale Sicherheit sollten alle TLS-Schlüssel (Enabled/DisabledByDefault) streng Werte von 0 oder 1 einhalten, die deaktivierte oder aktivierte Zustände anzeigen, wie in der offiziellen Microsoft-Dokumentation zu TLS-Registrierungseinstellungen beschrieben:
Die Änderungen, die von IIS Crypto vorgenommen werden, führen zu nicht standardmäßigen Werten, die die Kommunikation über das Protokoll beeinträchtigen.
.NET-Einstellungen für TLS
Gelegentlich kann .NET angewiesen werden, mit einem deaktivierten TLS zu interagieren, was die Kommunikation mit Atera stört, da es sich um eine .NET-Anwendung handelt.
Um dieses Problem zu beheben, führen Sie die folgenden Befehle in einer erhöhten CMD-Instanz aus:
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319" /v SystemDefaultTlsVersions /t REG_DWORD /d 00000001 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319" /v SystemDefaultTlsVersions /t REG_DWORD /d 00000001 /f
FIPS
Derzeit unterstützt der AteraAgent kein FIPS. Wenn dieses Protokoll aktiviert ist, wird die Kommunikation zwischen dem Agenten und der Konsole behindert.
Um den FIPS-Status zu überprüfen:
Navigieren Sie zum Registrierungseditor und überprüfen Sie das Vorhandensein der folgenden DWORDs:
- HKLM\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy\Enabled
- HKLM\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy\MDMEnabled
Wenn aktiviert, sollten die DWORD-Werte auf '1' gesetzt sein.
Um FIPS zu deaktivieren, ändern Sie die Werte auf '0', um die ordnungsgemäße Funktionalität des Agenten zu ermöglichen.
Alternativ können Sie das folgende PowerShell-Skript mit Administratorrechten auf Ihrem Gerät ausführen, um zu überprüfen, ob FIPS aktiviert ist.
# Funktion zur Überprüfung, ob FIPS aktiviert ist
function CheckFIPS {
$fipsRegistryKey = "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy"
$mdmEnabledRegistryKey = "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy"
# Überprüfen, ob der Wert "Enabled" existiert
$enabledValue = Get-ItemProperty -Path $fipsRegistryKey -Name "Enabled" -ErrorAction SilentlyContinue
# Überprüfen, ob der Wert "MDMEnabled" existiert
$mdmEnabledValue = Get-ItemProperty -Path $mdmEnabledRegistryKey -Name "MDMEnabled" -ErrorAction SilentlyContinue
# FIPS-Status basierend auf dem Wert "Enabled" anzeigen
if ($null -ne $enabledValue) {
if ($enabledValue.Enabled -eq 1) {
Write-Host "FIPS ist aktiviert."
} elseif ($enabledValue.Enabled -eq 0) {
Write-Host "FIPS ist deaktiviert."
} else {
Write-Host "FIPS-Status kann nicht bestimmt werden."
}
} else {
Write-Host "FIPS-Registrierungswert nicht gefunden."
}
# MDMEnabled-Status anzeigen
if ($null -ne $mdmEnabledValue) {
if ($mdmEnabledValue.MDMEnabled -eq 1) {
Write-Host "MDMEnabled ist aktiviert."
} elseif ($mdmEnabledValue.MDMEnabled -eq 0) {
Write-Host "MDMEnabled ist deaktiviert."
} else {
Write-Host "MDMEnabled-Status kann nicht bestimmt werden."
}
} else {
Write-Host "MDMEnabled-Registrierungswert nicht gefunden."
}
}
# Funktion aufrufen, um FIPS- und MDMEnabled-Status zu überprüfen
CheckFIPS
Klone von Maschinen
Atera rät davon ab, den AteraAgent als Teil eines Klonabbilds zu installieren, da dies dazu führen kann, dass duplizierte Geräte an die Konsole berichten. Für Anleitungen zur Einrichtung eines Golden Images mit Atera und zur Behebung potenzieller Probleme im Zusammenhang mit Golden Images und geklonten Maschinen, lesen Sie den folgenden Artikel.
Veraltete Atera-Agent-Installer
Die Verwendung eines veralteten Installationsprogramms kann zu Problemen während des Atera-Agent-Installationsprozesses führen. Es wird empfohlen, ein aktuelles Installationsprogramm zu verwenden, wenn der Agent auf einem neuen Gerät installiert wird. Um ein aktuelles Installationsprogramm zu generieren, befolgen Sie einfach die Schritte, die in unserem Hauptartikel beschrieben sind.