Si, après avoir suivi les instructions d'installation de l'agent, vous rencontrez des problèmes de stabilité de l'agent, de cohérence des alertes, d'indisponibilité de l'agent ou d'instabilité de la connexion à distance, veuillez vérifier les éléments suivants :
Versions prises en charge
Veuillez consulter l'article principal pour savoir quelles versions de Windows sont compatibles avec l'agent Atera.
.NET Framework
Tout d'abord, veuillez confirmer de votre côté que les appareils rencontrant des problèmes ont installé .NET Framework 4.5 ou une version ultérieure.
Pour vérifier si .NET Framework 4.5 ou une version supérieure est installé sur vos appareils, exécutez le script suivant en utilisant Powershell ISE avec des droits d'administrateur,
# Obtenir la version de .NET Framework installée
$dotNetVersion = Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\NET Framework Setup\NDP\v4\Full\' -Name Version | Select-Object -ExpandProperty Version
# Vérifier si la version de .NET Framework est trouvée
if ($dotNetVersion) {
Write-Host "Version de .NET Framework installée : $dotNetVersion"
} else {
Write-Host "Aucun .NET Framework installé ou impossible de déterminer la version."
}
Si .NET Framework est installé, vous obtiendrez une sortie similaire. Gardez à l'esprit que la version doit être 4.5 ou supérieure pour que l'agent Atera fonctionne correctement.
Liste des serveurs et ports
En plus d'installer le .NET Framework sur votre appareil, il est impératif de configurer vos paramètres réseau pour permettre la communication entre vos appareils et nos serveurs.
Liste des serveurs avec lesquels l'agent communique, assurez-vous d'avoir ces serveurs en liste blanche sur votre réseau.
- pubsub.atera.com
- pubsub.pubnub.com
- app.atera.com
- agenthb.atera.com
- packagesstore.blob.core.windows.net
- ps.pndsn.com
- agent-api.atera.com
- cacerts.thawte.com
- agentreportingstore.blob.core.windows.net
- atera-agent-heartbeat.servicebus.windows.net
- ps.atera.com
- atera.pubnubapi.com
- appcdn.atera.com
- atera-agent-heartbeat-cus.servicebus.windows.net
- ticketingitemsstoreeu.blob.core.windows.net
- download.visualstudio.microsoft.com
- a32dl55qcodech-ats.iot.eu-west-1.amazonaws.com
- agentspoliciesprod.blob.core.windows.net
Note importante : La mise en liste blanche de nos serveurs n'est pas réalisable en fonction des adresses IP ; le processus de mise en liste blanche doit exclusivement utiliser le nom du serveur.
Ports
En plus de mettre en liste blanche les serveurs ci-dessus sur votre réseau, vous devrez également :
- Autoriser le trafic sortant sur les ports 443 et 8883 (TCP/UDP) dans les serveurs Antivirus, Pare-feu et Proxy.
Vérifier la connexion au serveur (ps1.)
Pour évaluer la connexion entre votre appareil et nos serveurs, exécutez le script PowerShell fourni sur votre point d'extrémité affecté avec des privilèges administratifs. Le script générera une liste indiquant les serveurs bloqués et autorisés sur votre réseau. Autoriser un serveur bloqué est essentiel pour un bon fonctionnement.
# Définir la liste des serveurs cibles et de leurs ports correspondants (TCP et UDP)
$targets = @{
"pubsub.atera.com" = @(443)
"pubsub.pubnub.com" = @(443)
"app.atera.com" = @(443)
"agenthb.atera.com" = @(443)
"packagesstore.blob.core.windows.net" = @(443)
"ps.pndsn.com" = @(443)
"agent-api.atera.com" = @(443)
"cacerts.thawte.com" = @(443)
"agentreportingstore.blob.core.windows.net" = @(443)
"atera-agent-heartbeat.servicebus.windows.net" = @(443)
"ps.atera.com" = @(443)
"atera.pubnubapi.com" = @(443)
"appcdn.atera.com" = @(443)
"atera-agent-heartbeat-cus.servicebus.windows.net" = @(443)
"ticketingitemsstoreeu.blob.core.windows.net" = @(443)
"download.visualstudio.microsoft.com" = @(443)
"a32dl55qcodech-ats.iot.eu-west-1.amazonaws.com" = @(443, 8883)
}
# Fonction pour résoudre toutes les adresses IP pour un serveur donné
function Get-AllIPAddresses {
param (
[string]$server
)
try {
$ipAddresses = [System.Net.Dns]::GetHostAddresses($server)
$resolvedIPs = $ipAddresses | ForEach-Object { $_.IPAddressToString }
return $resolvedIPs
}
catch {
return $null
}
}
# Fonction pour tester la connexion TCP à un port spécifique
function Test-TcpConnection {
param (
[string]$server,
[int]$port
)
$resolvedIPs = Get-AllIPAddresses -server $server
if ($resolvedIPs) {
foreach ($resolvedIP in $resolvedIPs) {
try {
$tcpClient = New-Object System.Net.Sockets.TcpClient
$tcpClient.Connect($resolvedIP, $port)
$tcpClient.Close()
Write-Host ("Connexion TCP à $server ($resolvedIP) sur le port $port réussie.") -ForegroundColor Green
}
catch {
Write-Host ("La connexion TCP à $server ($resolvedIP) sur le port $port a échoué. Erreur : $($_.Exception.Message)") -ForegroundColor Red
}
}
} else {
Write-Host "Impossible de résoudre les adresses IP pour $server." -ForegroundColor Red
}
}
# Parcourir les cibles et tester les connexions TCP et UDP
foreach ($target in $targets.GetEnumerator()) {
$server = $target.Key
$ports = $target.Value
Write-Host "Test des connexions vers $server..."
# Tester les connexions TCP
foreach ($port in $ports) {
Test-TcpConnection -server $server -port $port
}
# Tester les connexions UDP (vous pouvez ajouter des tests UDP spécifiques si nécessaire)
# foreach ($port in $ports) {
# Test-UdpConnection -server $server -port $port
# }
Write-Host "" # Ajouter une ligne vide après avoir testé chaque serveur
}
Logiciels/appareils potentiellement bloqués
Conformément aux paramètres de votre organisation, vous devrez peut-être ajuster les paramètres de votre Antivirus, Pare-feu, Proxy ou Blocage géographique. Voici une liste de configurations qui doivent être appliquées à toutes les applications pertinentes.
Antivirus
Inclure les chemins suivants dans la liste blanche de l'antivirus:
- C:\Program Files\Atera Networks (ou C:\Program Files (x86)\ATERA Networks pour 32 bits)
- C:\Windows\Temp\AteraUpgradeAgentPackage
Vous devrez peut-être activer/ajouter une politique d'exemption pour analyser les fichiers ZIP protégés par mot de passe (ou autoriser le contenu non analysable à passer).
Pour des fins de test, envisagez d'ajouter à la liste blanche le dossier : C:\Windows\Installer
Après avoir terminé le processus de liste blanche, procédez à une autre installation. N'oubliez pas de supprimer la liste blanche une fois la phase de test terminée.
Pare-feu
Dans certains environnements réseau où le trafic HTTPS est restreint, assurez-vous d'ajouter une règle permettant le trafic HTTPS du LAN vers le WAN, spécifiquement pour l'adresse Atera :
- agent-api.atera.com
De plus, l'inspection HTTPS (Inspection approfondie des paquets/Inspection SSL) peut entraîner des blocages, il est crucial de soit désactiver l'analyse HTTPS soit inclure Atera et ses serveurs dans la liste blanche d'inspection.
Note importante : Le Grand Firewall de Chine bloque actuellement certains serveurs essentiels pour que AteraAgent signale la disponibilité des appareils (statut en ligne/hors ligne). Par conséquent, les machines situées dans ce pays peuvent ne pas être gérables depuis la console. Bien qu'une connexion VPN puisse potentiellement contourner ces restrictions, veuillez noter que nous ne pouvons pas fournir d'instructions spécifiques ou de support pour la configuration de telles installations.
Proxy
Les systèmes de proxy et de filtrage web sont fréquemment rencontrés et peuvent affecter le comportement stable de l'agent.
Assurez-vous que le trafic sortant sur les ports 443 et 8883, ainsi que les extensions de fichiers ZIP et EXE depuis notre site web (adresse Atera : agent-api.atera.com), sont autorisés.
Note importante : Veuillez noter qu'Atera ne fournit pas de support ou de guidance pour la configuration de proxy.
Geo-blocking
Par exemple, les routeurs SonicWall, réputés pour leurs fonctionnalités de blocage géographique, peuvent nécessiter des configurations spécifiques.
Assurez-vous de permettre le trafic de contenu, en plus de permettre le trafic TCP sur les ports 443 et 8883, pour une fonctionnalité optimale.
Proxy sous le compte système local
Activer des proxys localement sur votre appareil, dans un compte système local, peut affecter le bon fonctionnement de l'agent Atera. À des fins de test, il est crucial de désactiver le proxy dans le compte système local.
Pour vérifier l'état du proxy, exécutez la commande suivante dans CMD avec des privilèges administratifs.
bitsadmin /util /getieproxy localsystem
Pour désactiver le proxy s'exécutant sur votre compte système local, exécutez la commande suivante dans CMD en tant qu'administrateur.
bitsadmin /util /setieproxy localsystem no_proxy
Configurations TLS mises en œuvre à l'aide de l'outil tiers IIS Crypto
IIS Crypto est tristement célèbre pour perturber les communications TLS en introduisant des valeurs non conventionnelles pour les clés de registre. Pour une sécurité optimale, toutes les clés TLS (Enabled/DisabledByDefault) doivent strictement respecter les valeurs de 0 ou 1, indiquant des états désactivés ou activés, comme indiqué dans la documentation officielle de Microsoft sur les paramètres de registre TLS :
Les modifications apportées par IIS Crypto entraînent des valeurs non standard qui compromettent la communication sur le protocole.
Paramètres .NET pour TLS
De temps en temps, .NET peut être dirigé pour interagir avec un TLS désactivé, perturbant la communication Atera, étant donné qu'il s'agit d'une application .NET.
Pour résoudre ce problème, exécutez les commandes suivantes dans une instance CMD élevée :
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319" /v SystemDefaultTlsVersions /t REG_DWORD /d 00000001 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319" /v SystemDefaultTlsVersions /t REG_DWORD /d 00000001 /f
FIPS
Actuellement, l'AteraAgent ne prend pas en charge le FIPS. Si ce protocole est activé, la communication entre l'agent et la console est entravée.
Pour vérifier l'état de FIPS :
Accédez à l'Éditeur du Registre et inspectez l'existence des DWORD suivants :
- HKLM\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy\Enabled
- HKLM\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy\MDMEnabled
Si activé, les valeurs DWORD doivent être définies sur '1'.
Pour désactiver FIPS, modifiez les valeurs en '0', permettant le bon fonctionnement de l'agent.
Alternativement, vous pouvez exécuter le script PowerShell suivant avec des droits d'administration sur votre appareil pour vérifier si FIPS est activé.
# Fonction pour vérifier si FIPS est activé
function CheckFIPS {
$fipsRegistryKey = "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy"
$mdmEnabledRegistryKey = "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy"
# Vérifier si la valeur "Enabled" existe
$enabledValue = Get-ItemProperty -Path $fipsRegistryKey -Name "Enabled" -ErrorAction SilentlyContinue
# Vérifier si la valeur "MDMEnabled" existe
$mdmEnabledValue = Get-ItemProperty -Path $mdmEnabledRegistryKey -Name "MDMEnabled" -ErrorAction SilentlyContinue
# Afficher l'état de FIPS en fonction de la valeur "Enabled"
if ($null -ne $enabledValue) {
if ($enabledValue.Enabled -eq 1) {
Write-Host "FIPS est activé."
} elseif ($enabledValue.Enabled -eq 0) {
Write-Host "FIPS est désactivé."
} else {
Write-Host "Impossible de déterminer l'état de FIPS."
}
} else {
Write-Host "Valeur du registre FIPS non trouvée."
}
# Afficher l'état de MDMEnabled
if ($null -ne $mdmEnabledValue) {
if ($mdmEnabledValue.MDMEnabled -eq 1) {
Write-Host "MDMEnabled est activé."
} elseif ($mdmEnabledValue.MDMEnabled -eq 0) {
Write-Host "MDMEnabled est désactivé."
} else {
Write-Host "Impossible de déterminer l'état de MDMEnabled."
}
} else {
Write-Host "Valeur du registre MDMEnabled non trouvée."
}
}
# Appeler la fonction pour vérifier l'état de FIPS et MDMEnabled
CheckFIPS
Machines clonées
Atera déconseille d'installer l'AteraAgent en tant que partie d'une image clonée, car cela pourrait entraîner des appareils dupliqués signalant à la console. Pour des conseils sur la configuration d'une image dorée avec Atera et le dépannage des problèmes potentiels liés aux images dorées et aux machines clonées, consultez l'article suivant.
Installateurs d'agents Atera obsolètes
L'utilisation d'un programme d'installation obsolète peut entraîner des problèmes lors du processus d'installation de l'agent Atera. Il est conseillé d'utiliser un programme d'installation à jour lors de l'installation de l'agent sur un nouveau périphérique. Pour générer un programme d'installation à jour, il suffit de suivre les étapes décrites dans notre article principal.