Si, después de seguir las instrucciones de instalación del agente, experimentas problemas de estabilidad del agente, consistencia de alertas, no disponibilidad del agente o inestabilidad en la conexión remota, por favor verifica lo siguiente:
Versiones compatibles
Por favor, consulta el artículo principal para ver qué versiones de Windows son compatibles con el agente de Atera.
.NET Framework
Primero, por favor confirma que los dispositivos con problemas tengan instalado .NET Framework 4.5 o una versión posterior.
Para verificar si .NET Framework 4.5 o superior está instalado en tus dispositivos, ejecuta el siguiente script usando Powershell ISE con permisos de administrador:
# Obtener la versión de .NET Framework instalada
$dotNetVersion = Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\NET Framework Setup\NDP\v4\Full\' -Name Version | Select-Object -ExpandProperty Version
# Verificar si se encuentra la versión de .NET Framework
if ($dotNetVersion) {
Write-Host "Versión de .NET Framework instalada: $dotNetVersion"
} else {
Write-Host "No se ha instalado .NET Framework o no se puede determinar la versión."
}
Si .NET Framework está instalado, obtendrás una salida similar. Ten en cuenta que la versión debe ser 4.5 o superior para que el agente de Atera funcione correctamente.
Lista de servidores y puertos
Además de instalar el .NET Framework en tu dispositivo, es imperativo configurar los ajustes de red para habilitar la comunicación entre tus dispositivos y nuestros servidores.
Lista de servidores con los que el agente se comunica, asegúrate de tener estos servidores en la lista blanca de tu red.
- pubsub.atera.com
- pubsub.pubnub.com
- app.atera.com
- agenthb.atera.com
- packagesstore.blob.core.windows.net
- ps.pndsn.com
- agent-api.atera.com
- cacerts.thawte.com
- agentreportingstore.blob.core.windows.net
- atera-agent-heartbeat.servicebus.windows.net
- ps.atera.com
- atera.pubnubapi.com
- appcdn.atera.com
- atera-agent-heartbeat-cus.servicebus.windows.net
- ticketingitemsstoreeu.blob.core.windows.net
- download.visualstudio.microsoft.com
- a32dl55qcodech-ats.iot.eu-west-1.amazonaws.com
- agentspoliciesprod.blob.core.windows.net
Nota importante: La inclusión en la lista blanca de nuestros servidores no se puede hacer basándose en direcciones IP; el proceso de inclusión en la lista blanca debe emplear exclusivamente el nombre del servidor.
Puertos
Además de incluir en la lista blanca los servidores mencionados anteriormente en tu red, también necesitarás:
- Permitir el tráfico saliente sobre los puertos 443 y 8883 (TCP/UDP) en los servidores de Antivirus, Cortafuegos y Proxy.
Verificar conexión con el servidor (ps1.)
htmlPara evaluar la conexión entre su dispositivo y nuestros servidores, ejecute el script de PowerShell proporcionado en su punto final afectado con privilegios administrativos. El script generará una lista que indica los servidores bloqueados y en lista blanca en su red. Es esencial incluir en la lista blanca un servidor bloqueado para un funcionamiento adecuado.
# Defina la lista de servidores objetivo y sus puertos correspondientes (TCP y UDP)
$targets = @{
"pubsub.atera.com" = @(443)
"pubsub.pubnub.com" = @(443)
"app.atera.com" = @(443)
"agenthb.atera.com" = @(443)
"packagesstore.blob.core.windows.net" = @(443)
"ps.pndsn.com" = @(443)
"agent-api.atera.com" = @(443)
"cacerts.thawte.com" = @(443)
"agentreportingstore.blob.core.windows.net" = @(443)
"atera-agent-heartbeat.servicebus.windows.net" = @(443)
"ps.atera.com" = @(443)
"atera.pubnubapi.com" = @(443)
"appcdn.atera.com" = @(443)
"atera-agent-heartbeat-cus.servicebus.windows.net" = @(443)
"ticketingitemsstoreeu.blob.core.windows.net" = @(443)
"download.visualstudio.microsoft.com" = @(443)
"a32dl55qcodech-ats.iot.eu-west-1.amazonaws.com" = @(443, 8883)
}
# Función para resolver todas las direcciones IP de un servidor dado
function Get-AllIPAddresses {
param (
[string]$server
)
try {
$ipAddresses = [System.Net.Dns]::GetHostAddresses($server)
$resolvedIPs = $ipAddresses | ForEach-Object { $_.IPAddressToString }
return $resolvedIPs
}
catch {
return $null
}
}
# Función para probar la conexión TCP a un puerto específico
function Test-TcpConnection {
param (
[string]$server,
[int]$port
)
$resolvedIPs = Get-AllIPAddresses -server $server
if ($resolvedIPs) {
foreach ($resolvedIP in $resolvedIPs) {
try {
$tcpClient = New-Object System.Net.Sockets.TcpClient
$tcpClient.Connect($resolvedIP, $port)
$tcpClient.Close()
Write-Host ("Conexión TCP a $server ($resolvedIP) en el puerto $port exitosa.") -ForegroundColor Green
}
catch {
Write-Host ("La conexión TCP a $server ($resolvedIP) en el puerto $port falló. Error: $($_.Exception.Message)") -ForegroundColor Red
}
}
} else {
Write-Host "No se pueden resolver las direcciones IP para $server." -ForegroundColor Red
}
}
# Recorrer los objetivos y probar las conexiones TCP y UDP
foreach ($target in $targets.GetEnumerator()) {
$server = $target.Key
$ports = $target.Value
Write-Host "Probando conexiones a $server..."
# Probar conexiones TCP
foreach ($port in $ports) {
Test-TcpConnection -server $server -port $port
}
# Probar conexiones UDP (puede agregar pruebas UDP específicas si es necesario)
# foreach ($port in $ports) {
# Test-UdpConnection -server $server -port $port
# }
Write-Host "" # Agregar una línea vacía después de probar cada servidor
}
Posibles software/dispositivos para bloqueo
De acuerdo con la configuración de su organización, es posible que necesite ajustar la configuración de su Antivirus, Cortafuegos, Proxy o Bloqueo geográfico. A continuación se muestra una lista de configuraciones que deben aplicarse a todas las aplicaciones relevantes.
Antivirus
Incluya las siguientes rutas en la lista blanca del Antivirus:
- C:\Program Files\Atera Networks (o C:\Program Files (x86)\ATERA Networks para 32 bits)
- C:\Windows\Temp\AteraUpgradeAgentPackage
Puede que necesite habilitar/agregar una política de exención para escanear archivos ZIP protegidos con contraseña (o permitir que pase contenido no escaneable).
Para fines de prueba, considere incluir en la lista blanca la carpeta: C:\Windows\Installer
Después de completar el proceso de lista blanca, proceda a iniciar otra instalación. Recuerde eliminar la lista blanca una vez concluida la fase de pruebas.
Cortafuegos
En ciertos entornos de red donde el tráfico HTTPS está restringido, asegúrese de agregar una regla que permita el tráfico HTTPS de LAN a WAN, específicamente para la dirección de Atera:
- agent-api.atera.com
Además, la inspección HTTPS (Inspección Profunda de Paquetes/Inspección SSL) puede provocar bloqueos, por lo que es crucial desactivar el escaneo HTTPS o incluir a Atera y sus servidores en la lista blanca de inspección.
Nota importante: El Gran Cortafuegos de China actualmente está bloqueando ciertos servidores esenciales para que AteraAgent informe la disponibilidad de dispositivos (estado en línea/fuera de línea). En consecuencia, las máquinas ubicadas en este país pueden no ser gestionables desde la consola. Si bien el uso de una conexión VPN puede potencialmente eludir estas restricciones, tenga en cuenta que no podemos ofrecer instrucciones específicas o soporte para configurar dichas instalaciones.
Proxy
Los sistemas de proxy y filtrado web se encuentran con frecuencia y pueden afectar el comportamiento estable del agente.
Asegúrese de que el tráfico saliente en los puertos 443 y 8883, así como las extensiones de archivo ZIP y EXE desde nuestro sitio web (dirección de Atera: agent-api.atera.com), estén permitidos.
Nota importante: Tenga en cuenta que Atera no brinda soporte ni orientación para la configuración de proxy.
Bloqueo geográfico
Como ejemplo, los enrutadores SonicWall, conocidos por sus funciones de bloqueo geográfico, pueden requerir configuraciones específicas.
Asegúrese de permitir el tráfico de contenido, además de permitir tráfico TCP en los puertos 443 y 8883, para un funcionamiento óptimo.
Proxy bajo cuenta de sistema local
Habilitar proxies localmente en su dispositivo, dentro de una cuenta de sistema local, puede afectar el correcto funcionamiento del agente de Atera. Para fines de prueba, es crucial desactivar el proxy dentro de la cuenta de sistema local.
Para verificar el estado del proxy, ejecute el siguiente comando en CMD con privilegios de administrador.
bitsadmin /util /getieproxy localsystem
Para desactivar el proxy que se ejecuta en su cuenta de sistema local, ejecute el siguiente comando en CMD como administrador.
bitsadmin /util /setieproxy localsystem no_proxy
Configuraciones de TLS implementadas utilizando la herramienta de terceros IIS Crypto
IIS Crypto es conocido por interrumpir las comunicaciones TLS al introducir valores no convencionales para las claves del registro. Para una seguridad óptima, todas las claves TLS (Habilitado/DeshabilitadoPorDefecto) deben adherirse estrictamente a los valores de 0 o 1, que indican estados deshabilitados o habilitados, según lo establecido en la documentación oficial de Microsoft sobre la configuración del registro TLS:
Las alteraciones realizadas por IIS Crypto resultan en valores no estándar que comprometen la comunicación a través del protocolo.
Configuraciones de .NET para TLS
En ocasiones, .NET puede estar configurado para interactuar con un TLS deshabilitado, lo que interrumpe la comunicación de Atera, dado que es una aplicación .NET.
Para solucionar este problema, ejecuta los siguientes comandos en una instancia de CMD elevada:
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319" /v SystemDefaultTlsVersions /t REG_DWORD /d 00000001 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319" /v SystemDefaultTlsVersions /t REG_DWORD /d 00000001 /f
FIPS
Actualmente, el AteraAgent no es compatible con FIPS. Si este protocolo está habilitado, se dificulta la comunicación entre el agente y la consola.
Para verificar el estado de FIPS:
Accede al Editor del Registro e inspecciona la existencia de los siguientes DWORDs:
- HKLM\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy\Enabled
- HKLM\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy\MDMEnabled
Si está habilitado, los valores DWORD deben establecerse en '1'.
Para desactivar FIPS, modifica los valores a '0', lo que permite el correcto funcionamiento del agente.
Alternativamente, puedes ejecutar el siguiente script de PowerShell con derechos de administrador en tu dispositivo para verificar si FIPS está habilitado.
# Función para verificar si FIPS está habilitado
function CheckFIPS {
$fipsRegistryKey = "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy"
$mdmEnabledRegistryKey = "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy"
# Comprobar si existe el valor "Enabled"
$enabledValue = Get-ItemProperty -Path $fipsRegistryKey -Name "Enabled" -ErrorAction SilentlyContinue
# Comprobar si existe el valor "MDMEnabled"
$mdmEnabledValue = Get-ItemProperty -Path $mdmEnabledRegistryKey -Name "MDMEnabled" -ErrorAction SilentlyContinue
# Mostrar el estado de FIPS basado en el valor "Enabled"
if ($null -ne $enabledValue) {
if ($enabledValue.Enabled -eq 1) {
Write-Host "FIPS está habilitado."
} elseif ($enabledValue.Enabled -eq 0) {
Write-Host "FIPS está deshabilitado."
} else {
Write-Host "No se puede determinar el estado de FIPS."
}
} else {
Write-Host "No se encontró el valor del registro de FIPS."
}
# Mostrar el estado de MDMEnabled
if ($null -ne $mdmEnabledValue) {
if ($mdmEnabledValue.MDMEnabled -eq 1) {
Write-Host "MDMEnabled está habilitado."
} elseif ($mdmEnabledValue.MDMEnabled -eq 0) {
Write-Host "MDMEnabled está deshabilitado."
} else {
Write-Host "No se puede determinar el estado de MDMEnabled."
}
} else {
Write-Host "No se encontró el valor del registro de MDMEnabled."
}
}
# Llamar a la función para verificar el estado de FIPS y MDMEnabled
CheckFIPS
Máquinas clonadas
Atera recomienda no instalar el AteraAgent como parte de una imagen clonada, ya que hacerlo puede provocar que los dispositivos duplicados informen a la consola. Para obtener orientación sobre cómo configurar una imagen dorada con Atera y solucionar problemas potenciales relacionados con imágenes doradas y máquinas clonadas, consulta el siguiente artículo.
Instaladores desactualizados de Atera agent
El uso de un instalador desactualizado puede provocar problemas durante el proceso de instalación del agente de Atera. Se recomienda utilizar un instalador actualizado al instalar el agente en un nuevo dispositivo. Para generar un instalador actualizado, simplemente siga los pasos detallados en nuestro artículo principal.