Se dopo aver seguito le istruzioni per l'installazione dell'agente, riscontri problemi di stabilità dell'agente, coerenza degli alert, indisponibilità dell'agente o instabilità della connessione remota, ti preghiamo di verificare quanto segue:
Versioni Supportate
Consulta l'articolo principale per vedere quali versioni di Windows sono compatibili con l'agente Atera.
Framework .NET
Per prima cosa, conferma che i dispositivi che riscontrano problemi abbiano installato .NET Framework 4.5 o una versione successiva.
Per verificare se .NET Framework 4.5 o una versione successiva è installato sui tuoi dispositivi, esegui lo script seguente utilizzando Powershell ISE con diritti di amministratore,
# Ottieni la versione di .NET Framework installata
$dotNetVersion = Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\NET Framework Setup\NDP\v4\Full\' -Name Version | Select-Object -ExpandProperty Version
# Verifica se la versione di .NET Framework è stata trovata
if ($dotNetVersion) {
Write-Host "Versione di .NET Framework installata: $dotNetVersion"
} else {
Write-Host "Nessun .NET Framework installato o impossibile determinare la versione."
}
Se .NET Framework è installato, otterrai un output simile. Ricorda che la versione deve essere 4.5 o superiore affinché l'agente Atera funzioni correttamente.
Elenco dei Server e delle Porte
Oltre all'installazione del Framework .NET sul tuo dispositivo, è fondamentale configurare le impostazioni di rete per consentire la comunicazione tra i tuoi dispositivi e i nostri server.
Elenco dei server con cui l'agente comunica, assicurati di avere questi server in whitelist sulla tua rete.
- pubsub.atera.com
- pubsub.pubnub.com
- app.atera.com
- agenthb.atera.com
- packagesstore.blob.core.windows.net
- ps.pndsn.com
- agent-api.atera.com
- cacerts.thawte.com
- agentreportingstore.blob.core.windows.net
- atera-agent-heartbeat.servicebus.windows.net
- ps.atera.com
- atera.pubnubapi.com
- appcdn.atera.com
- atera-agent-heartbeat-cus.servicebus.windows.net
- ticketingitemsstoreeu.blob.core.windows.net
- download.visualstudio.microsoft.com
- a32dl55qcodech-ats.iot.eu-west-1.amazonaws.com
- agentspoliciesprod.blob.core.windows.net
Nota Importante: L'inserimento in whitelist dei nostri server non è possibile basandosi sugli indirizzi IP; il processo di inserimento in whitelist deve impiegare esclusivamente il nome del server.
Porte
Oltre ad inserire in whitelist i server sopra menzionati sulla tua rete, dovrai anche:
- Consentire il traffico in uscita sulle porte 443 e 8883 (TCP/UDP) nei server Antivirus, Firewall e Proxy.
Verifica connessione al server (ps1.)
htmlPer valutare la connessione tra il tuo dispositivo e i nostri server, esegui lo script PowerShell fornito sul tuo endpoint interessato con privilegi amministrativi. Lo script genererà un elenco che indica i server bloccati e quelli in whitelist sulla tua rete. Includere un server bloccato in whitelist è essenziale per un corretto funzionamento.
# Definire l'elenco dei server di destinazione e delle relative porte corrispondenti (TCP e UDP)
$targets = @{
"pubsub.atera.com" = @(443)
"pubsub.pubnub.com" = @(443)
"app.atera.com" = @(443)
"agenthb.atera.com" = @(443)
"packagesstore.blob.core.windows.net" = @(443)
"ps.pndsn.com" = @(443)
"agent-api.atera.com" = @(443)
"cacerts.thawte.com" = @(443)
"agentreportingstore.blob.core.windows.net" = @(443)
"atera-agent-heartbeat.servicebus.windows.net" = @(443)
"ps.atera.com" = @(443)
"atera.pubnubapi.com" = @(443)
"appcdn.atera.com" = @(443)
"atera-agent-heartbeat-cus.servicebus.windows.net" = @(443)
"ticketingitemsstoreeu.blob.core.windows.net" = @(443)
"download.visualstudio.microsoft.com" = @(443)
"a32dl55qcodech-ats.iot.eu-west-1.amazonaws.com" = @(443, 8883)
}
# Funzione per risolvere tutti gli indirizzi IP per un determinato server
function Get-AllIPAddresses {
param (
[string]$server
)
try {
$ipAddresses = [System.Net.Dns]::GetHostAddresses($server)
$resolvedIPs = $ipAddresses | ForEach-Object { $_.IPAddressToString }
return $resolvedIPs
}
catch {
return $null
}
}
# Funzione per testare la connessione TCP a una porta specifica
function Test-TcpConnection {
param (
[string]$server,
[int]$port
)
$resolvedIPs = Get-AllIPAddresses -server $server
if ($resolvedIPs) {
foreach ($resolvedIP in $resolvedIPs) {
try {
$tcpClient = New-Object System.Net.Sockets.TcpClient
$tcpClient.Connect($resolvedIP, $port)
$tcpClient.Close()
Write-Host ("Connessione TCP a $server ($resolvedIP) sulla porta $port riuscita.") -ForegroundColor Green
}
catch {
Write-Host ("Connessione TCP a $server ($resolvedIP) sulla porta $port non riuscita. Errore: $($_.Exception.Message)") -ForegroundColor Red
}
}
} else {
Write-Host "Impossibile risolvere gli indirizzi IP per $server." -ForegroundColor Red
}
}
# Scorrere gli obiettivi e testare le connessioni TCP e UDP
foreach ($target in $targets.GetEnumerator()) {
$server = $target.Key
$ports = $target.Value
Write-Host "Test delle connessioni a $server..."
# Test delle connessioni TCP
foreach ($port in $ports) {
Test-TcpConnection -server $server -port $port
}
# Test delle connessioni UDP (puoi aggiungere test UDP specifici se necessario)
# foreach ($port in $ports) {
# Test-UdpConnection -server $server -port $port
# }
Write-Host "" # Aggiungi una riga vuota dopo il test di ciascun server
}
Software/dispositivi potenziali per il blocco
In conformità con le impostazioni della tua organizzazione, potresti dover regolare le impostazioni del tuo Antivirus, Firewall, Proxy o Geo-blocking. Di seguito è riportato un elenco di configurazioni che devono essere applicate a tutte le applicazioni pertinenti.
Antivirus
Includere i seguenti percorsi nella whitelist dell'Antivirus:
- C:\Program Files\Atera Networks (o C:\Program Files (x86)\ATERA Networks per 32 bit)
- C:\Windows\Temp\AteraUpgradeAgentPackage
Potresti dover abilitare/aggiungere una policy di esenzione per la scansione di file ZIP protetti da password (o consentire il passaggio di contenuti non scansionabili).
Per scopi di test, considera di includere in whitelist la cartella: C:\Windows\Installer
Dopo aver completato il processo di whitelisting, procedere con l'avvio di un'altra installazione. Ricordarsi di rimuovere il whitelist una volta conclusa la fase di test.
Firewall
In determinati ambienti di rete in cui il traffico HTTPS è limitato, assicurarsi di aggiungere una regola che permetta il traffico HTTPS da LAN a WAN, specificamente per l'indirizzo Atera:
- agent-api.atera.com
Inoltre, l'ispezione HTTPS (Ispezione Deep Packet/Ispezione SSL) potrebbe causare blocchi, è fondamentale disabilitare la scansione HTTPS o includere Atera e i suoi server nella whitelist di ispezione.
Nota importante: Il Grande Firewall cinese attualmente sta bloccando alcuni server essenziali affinché AteraAgent possa segnalare la disponibilità dei dispositivi (stato online/offline). Di conseguenza, le macchine situate in questo paese potrebbero non essere gestibili dalla console. Anche se l'utilizzo di una connessione VPN potrebbe potenzialmente aggirare queste restrizioni, si prega di notare che non possiamo offrire istruzioni specifiche o supporto per la configurazione di tali impostazioni.
Proxy
I sistemi di proxy e di filtraggio web sono spesso incontrati e possono influenzare il comportamento stabile dell'agente.
Assicurarsi che il traffico in uscita sulle porte 443 e 8883, così come le estensioni dei file ZIP e EXE dal nostro sito web (indirizzo Atera: agent-api.atera.com), siano consentiti.
Nota importante: Si prega di notare che Atera non fornisce supporto o indicazioni per la configurazione del proxy.
Geo-blocking
Come esempio, i router SonicWall, noti per le loro funzionalità di Geo-Blocking, potrebbero richiedere configurazioni specifiche.
Assicurarsi di permettere il traffico di contenuti, oltre a consentire il traffico TCP sulle porte 443 e 8883, per un funzionamento ottimale.
Proxy con account di sistema locale
Abilitare i proxy localmente sul dispositivo, all'interno di un account di sistema locale, potrebbe influenzare il corretto funzionamento dell'agente Atera. Per scopi di test, è fondamentale disabilitare il proxy all'interno dell'account di sistema locale.
Per verificare lo stato del proxy, eseguire il seguente comando in CMD con privilegi amministrativi.
bitsadmin /util /getieproxy localsystem
Per disattivare il proxy in esecuzione sul tuo account di sistema locale, eseguire il seguente comando in CMD come Amministratore.
bitsadmin /util /setieproxy localsystem no_proxy
Configurazioni TLS implementate utilizzando lo strumento di terze parti IIS Crypto
IIS Crypto è noto per interrompere le comunicazioni TLS introducendo valori non convenzionali per le chiavi di registro. Per una sicurezza ottimale, tutte le chiavi TLS (Abilitato/DisabilitatoPerDefault) dovrebbero aderire rigorosamente ai valori 0 o 1, indicando stati disabilitati o abilitati, come indicato nella documentazione ufficiale di Microsoft sulle impostazioni del registro TLS:
Le modifiche apportate da IIS Crypto risultano in valori non standard che compromettono la comunicazione tramite il protocollo.
Impostazioni .NET per TLS
A volte, .NET potrebbe essere indirizzato a interagire con un TLS disabilitato, interrompendo la comunicazione con Atera, dato che si tratta di un'applicazione .NET.
Per risolvere questo problema, eseguire i seguenti comandi in un'istanza CMD elevata:
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319" /v SystemDefaultTlsVersions /t REG_DWORD /d 00000001 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319" /v SystemDefaultTlsVersions /t REG_DWORD /d 00000001 /f
FIPS
Attualmente, l'AteraAgent non supporta FIPS. Se questo protocollo è abilitato, la comunicazione tra l'agente e la console è ostacolata.
Per verificare lo stato di FIPS:
Accedere all'Editor del Registro e verificare l'esistenza dei seguenti DWORD:
- HKLM\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy\Enabled
- HKLM\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy\MDMEnabled
Se abilitati, i valori DWORD dovrebbero essere impostati su '1'.
Per disattivare FIPS, modificare i valori in '0', abilitando il corretto funzionamento dell'agente.
In alternativa, è possibile eseguire lo script PowerShell seguente con privilegi amministrativi sul dispositivo per verificare se FIPS è abilitato.
# Funzione per verificare se FIPS è abilitato
function CheckFIPS {
$fipsRegistryKey = "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy"
$mdmEnabledRegistryKey = "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy"
# Verifica se il valore "Enabled" esiste
$enabledValue = Get-ItemProperty -Path $fipsRegistryKey -Name "Enabled" -ErrorAction SilentlyContinue
# Verifica se il valore "MDMEnabled" esiste
$mdmEnabledValue = Get-ItemProperty -Path $mdmEnabledRegistryKey -Name "MDMEnabled" -ErrorAction SilentlyContinue
# Mostra lo stato di FIPS in base al valore "Enabled"
if ($null -ne $enabledValue) {
if ($enabledValue.Enabled -eq 1) {
Write-Host "FIPS è abilitato."
} elseif ($enabledValue.Enabled -eq 0) {
Write-Host "FIPS è disabilitato."
} else {
Write-Host "Impossibile determinare lo stato di FIPS."
}
} else {
Write-Host "Valore del registro FIPS non trovato."
}
# Mostra lo stato di MDMEnabled
if ($null -ne $mdmEnabledValue) {
if ($mdmEnabledValue.MDMEnabled -eq 1) {
Write-Host "MDMEnabled è abilitato."
} elseif ($mdmEnabledValue.MDMEnabled -eq 0) {
Write-Host "MDMEnabled è disabilitato."
} else {
Write-Host "Impossibile determinare lo stato di MDMEnabled."
}
} else {
Write-Host "Valore del registro MDMEnabled non trovato."
}
}
# Chiama la funzione per verificare lo stato di FIPS e MDMEnabled
CheckFIPS
Macchine clonate
Atera sconsiglia di installare l'AteraAgent come parte di un'immagine clonata, poiché ciò potrebbe portare a dispositivi duplicati che riportano alla console. Per indicazioni su come configurare un'immagine golden con Atera e risolvere potenziali problemi legati alle immagini golden e alle macchine clonate, fare riferimento al seguente articolo.
Installatori dell'agente Atera obsoleti
Utilizzare un programma di installazione obsoleto potrebbe causare problemi durante il processo di installazione dell'agente Atera. Si consiglia di utilizzare un programma di installazione aggiornato quando si installa l'agente su un nuovo dispositivo. Per generare un programma di installazione aggiornato, seguire semplicemente i passaggi descritti nel nostro articolo principale.