Risoluzione dei problemi dell'agente Windows di Atera

Se dopo aver seguito le istruzioni per l'installazione dell'agente, riscontri problemi con la stabilità dell'agente, la coerenza degli avvisi, l'indisponibilità dell'agente o l'instabilità della connessione remota, verifica quanto segue:

Limitazione della prova

Durante il periodo di prova, potresti incontrare problemi nell'installazione dell'agente Atera su dispositivi su cui è stato installato da un altro account. Questa limitazione non può essere risolta per gli account di prova. Dopo aver acquistato un abbonamento Atera, puoi installare l'agente su questi dispositivi contattando il nostro team di supporto per assistenza.

Errore 2753

Potresti incontrare l'errore 2753 quando tenti di installare l'agente Atera su un dispositivo. Questo errore si verifica quando i file di una precedente installazione dell'agente Atera sono ancora presenti sul dispositivo. Per risolvere questo problema, fai riferimento a questo articolo, che fornisce tutti i passaggi necessari per risolvere il problema.

Impossibile installare il pacchetto MSI di AteraAgent con il codice di errore 2753

Versioni supportate

Consulta l'articolo principale per vedere quali versioni di Windows sono compatibili con l'agente Atera.

Installa un agente - Versioni e distribuzioni supportate

.NET Framework

Innanzitutto, conferma che i dispositivi che riscontrano problemi abbiano installato .NET Framework 4.5 o una versione successiva.

Per verificare se .NET Framework 4.5 o superiore è installato sui tuoi dispositivi, esegui il seguente script utilizzando Powershell ISE con diritti di amministratore,

# Ottieni la versione installata di .NET Framework
$dotNetVersion = Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\NET Framework Setup\NDP\v4\Full\' -Name Version | Select-Object -ExpandProperty Version

# Controlla se è stata trovata la versione di .NET Framework
if ($dotNetVersion) {
Write-Host "Versione di .NET Framework installata: $dotNetVersion"
} else {
Write-Host "Nessun .NET Framework installato o impossibile determinare la versione."
}

Se il .NET Framework è installato, otterrai un output simile. Tieni presente che la versione deve essere 4.5 o superiore affinché l'agente Atera funzioni correttamente.

Elenco dei server e porte

Oltre a installare il .NET framework sul tuo dispositivo, è fondamentale configurare le impostazioni di rete per abilitare la comunicazione tra i tuoi dispositivi e i nostri server.

Elenco dei server con cui l'agente comunica, assicurati di avere questi server nella whitelist della tua rete.

pubsub.atera.com
pubsub.pubnub.com
app.atera.com
agenthb.atera.com
packagesstore.blob.core.windows.net
ps.pndsn.com
agent-api.atera.com
cacerts.thawte.com
agentreportingstore.blob.core.windows.net
atera-agent-heartbeat.servicebus.windows.net
ps.atera.com
atera.pubnubapi.com
appcdn.atera.com
atera-agent-heartbeat-cus.servicebus.windows.net
ticketingitemsstoreeu.blob.core.windows.net
download.visualstudio.microsoft.com
a32dl55qcodech-ats.iot.eu-west-1.amazonaws.com
agentspoliciesprod.blob.core.windows.net
dotnetcli.azureedge.net

Nota importante: Non è possibile inserire nella whitelist i nostri server in base agli indirizzi IP; il processo di whitelist deve utilizzare esclusivamente il nome del server.

Porte

Oltre a inserire nella whitelist i server sopra elencati nella tua rete, sarà necessario anche:

Consentire il traffico in uscita sulle porte 443 e 8883 (TCP/UDP) nei server Antivirus, Firewall e Proxy.

Verifica connessione server (ps1.)

Per valutare la connessione tra il tuo dispositivo e i nostri server, esegui lo script PowerShell fornito sul tuo endpoint interessato con privilegi amministrativi. Lo script genererà un elenco che indica i server bloccati e quelli nella whitelist sulla tua rete. Inserire nella whitelist un server bloccato è essenziale per il corretto funzionamento.

# Definisci l'elenco dei server di destinazione e delle loro porte corrispondenti (TCP e UDP)
$targets = @{
"pubsub.atera.com" = @(443)
"pubsub.pubnub.com" = @(443)
"app.atera.com" = @(443)
"agenthb.atera.com" = @(443)
"packagesstore.blob.core.windows.net" = @(443)
"ps.pndsn.com" = @(443)
"agent-api.atera.com" = @(443)
"cacerts.thawte.com" = @(443)
"agentreportingstore.blob.core.windows.net" = @(443)
"atera-agent-heartbeat.servicebus.windows.net" = @(443)
"ps.atera.com" = @(443)
"atera.pubnubapi.com" = @(443)
"appcdn.atera.com" = @(443)
"atera-agent-heartbeat-cus.servicebus.windows.net" = @(443)
"ticketingitemsstoreeu.blob.core.windows.net" = @(443)
"download.visualstudio.microsoft.com" = @(443)
"a32dl55qcodech-ats.iot.eu-west-1.amazonaws.com" = @(443, 8883)
}

# Funzione per risolvere tutti gli indirizzi IP per un dato server
function Get-AllIPAddresses {
param (
[string]$server
)

try {
$ipAddresses = [System.Net.Dns]::GetHostAddresses($server)
$resolvedIPs = $ipAddresses | ForEach-Object { $_.IPAddressToString }
return $resolvedIPs
}
catch {
return $null
}
}

# Funzione per testare la connessione TCP a una porta specifica
function Test-TcpConnection {
param (
[string]$server,
[int]$port
)

$resolvedIPs = Get-AllIPAddresses -server $server
if ($resolvedIPs) {
foreach ($resolvedIP in $resolvedIPs) {
try {
$tcpClient = New-Object System.Net.Sockets.TcpClient
$tcpClient.Connect($resolvedIP, $port)
$tcpClient.Close()
Write-Host ("Connessione TCP a $server ($resolvedIP) sulla porta $port riuscita.") -ForegroundColor Green
}
catch {
Write-Host ("Connessione TCP a $server ($resolvedIP) sulla porta $port fallita. Errore: $($_.Exception.Message)") -ForegroundColor Red
}
}
} else {
Write-Host "Impossibile risolvere gli indirizzi IP per $server." -ForegroundColor Red
}
}

# Ciclo attraverso i target e testa le connessioni TCP e UDP
foreach ($target in $targets.GetEnumerator()) {
$server = $target.Key
$ports = $target.Value

Write-Host "Test delle connessioni a $server..."

# Test delle connessioni TCP
foreach ($port in $ports) {
Test-TcpConnection -server $server -port $port
}

# Test delle connessioni UDP (puoi aggiungere test UDP specifici se necessario)
# foreach ($port in $ports) {
# Test-UdpConnection -server $server -port $port
# }

Write-Host "" # Aggiungi una riga vuota dopo il test di ogni server
}

Software/dispositivi potenziali per il blocco

Nel contesto delle impostazioni della tua organizzazione, potrebbe essere necessario regolare le impostazioni per il tuo Antivirus, Firewall, Proxy o Geo-blocco. Di seguito è riportato un elenco di configurazioni che devono essere applicate a tutte le applicazioni pertinenti.

Antivirus

Includi i seguenti percorsi nella whitelist dell'antivirus:

C:\Program Files\Atera Networks (o C:\Program Files (x86)\ATERA Networks per 32bit)
C:\Windows\Temp\AteraUpgradeAgentPackage

Potrebbe essere necessario abilitare/aggiungere una politica di esenzione per la scansione di file ZIP protetti da password (o consentire il passaggio di contenuti non scansionabili).

Per scopi di test, considera di inserire nella whitelist la cartella: C:\Windows\Installer

Dopo aver completato il processo di whitelist, procedi a iniziare un'altra installazione. Ricorda di rimuovere la whitelist una volta conclusa la fase di test.

Firewall

In determinati ambienti di rete dove il traffico HTTPS è limitato, assicurarsi di aggiungere una regola che permetta il traffico HTTPS da LAN a WAN, specificamente per l'indirizzo Atera:

agent-api.atera.com

Inoltre, l'ispezione HTTPS (Deep Packet Inspection/SSL Inspection) può causare blocchi, è fondamentale disabilitare la scansione HTTPS o includere Atera e i suoi server nella lista bianca dell'ispezione.

Nota Importante: Il Great Firewall of China sta attualmente bloccando alcuni server essenziali affinché AteraAgent possa segnalare la disponibilità dei dispositivi (stato online/offline). Di conseguenza, le macchine situate in questo paese potrebbero non essere gestibili dalla console. Sebbene l'uso di una connessione VPN possa potenzialmente aggirare queste restrizioni, si prega di notare che non possiamo offrire istruzioni specifiche o supporto per la configurazione di tali impostazioni.

Proxy

I sistemi di proxy e filtraggio web sono frequentemente incontrati e possono influenzare il comportamento stabile dell'agente.

Assicurarsi che il traffico in uscita sulle porte 443 e 8883, così come le estensioni di file ZIP e EXE dal nostro sito web (indirizzo Atera: agent-api.atera.com), siano consentiti.

Nota Importante: Si prega di essere consapevoli che Atera non fornisce supporto o guida per la configurazione del proxy.

Geo-blocking

Ad esempio, i router SonicWall, rinomati per le loro funzionalità di Geo-Blocking, potrebbero richiedere configurazioni specifiche.

Assicurarsi di consentire il traffico di contenuti, oltre a permettere il traffico TCP sulle porte 443 e 8883, per un funzionamento ottimale.

Proxy sotto account di sistema locale

Abilitare i proxy localmente sul tuo dispositivo, all'interno di un account di sistema locale, può influenzare il corretto funzionamento dell'agente Atera. Per scopi di test, è fondamentale disabilitare il proxy all'interno dell'account di sistema locale.

Per verificare lo stato del proxy, eseguire il seguente comando in CMD con privilegi amministrativi.

bitsadmin /util /getieproxy localsystem

Per disattivare il proxy in esecuzione sul tuo account di sistema locale, eseguire il seguente comando in CMD come Amministratore.

bitsadmin /util /setieproxy localsystem no_proxy

Configurazioni TLS implementate utilizzando lo strumento di terze parti IIS Crypto

IIS Crypto è noto per interrompere le comunicazioni TLS introducendo valori non convenzionali per le chiavi di registro. Per una sicurezza ottimale, tutte le chiavi TLS (Enabled/DisabledByDefault) dovrebbero aderire strettamente ai valori di 0 o 1, indicando stati disabilitati o abilitati, come delineato nella documentazione ufficiale di Microsoft sulle impostazioni del registro TLS:

https://docs.microsoft.com/en-us/windows-server/security/tls/tls-registry-settings

Le modifiche apportate da IIS Crypto risultano in valori non standard che compromettono la comunicazione tramite il protocollo.

Impostazioni .NET per TLS

Occasionalmente, .NET può essere diretto a interagire con un TLS disabilitato, interrompendo la comunicazione di Atera, dato che è un'applicazione .NET.

https://docs.microsoft.com/en-us/dotnet/framework/network-programming/tls

Per risolvere questo problema, eseguire i seguenti comandi in un'istanza CMD con privilegi elevati:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319" /v SystemDefaultTlsVersions /t REG_DWORD /d 00000001 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319" /v SystemDefaultTlsVersions /t REG_DWORD /d 00000001 /f

FIPS

Attualmente, l'AteraAgent non supporta FIPS. Se questo protocollo è abilitato, la comunicazione tra l'agente e la console è ostacolata.

Per verificare lo stato di FIPS:

Accedere all'Editor del Registro di sistema e controllare l'esistenza dei seguenti DWORD:

HKLM\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy\Enabled
HKLM\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy\MDMEnabled

Se abilitati, i valori DWORD dovrebbero essere impostati su '1'.

Per disattivare FIPS, modificare i valori su '0', consentendo il corretto funzionamento dell'agente.

In alternativa, è possibile eseguire il seguente script PowerShell con diritti amministrativi sul dispositivo per verificare se FIPS è abilitato.

# Funzione per verificare se FIPS è abilitato
function CheckFIPS {
    $fipsRegistryKey = "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy"
    $mdmEnabledRegistryKey = "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy"


    # Controlla se il valore "Enabled" esiste
    $enabledValue = Get-ItemProperty -Path $fipsRegistryKey -Name "Enabled" -ErrorAction SilentlyContinue


    # Controlla se il valore "MDMEnabled" esiste
    $mdmEnabledValue = Get-ItemProperty -Path $mdmEnabledRegistryKey -Name "MDMEnabled" -ErrorAction SilentlyContinue


    # Mostra lo stato di FIPS basato sul valore "Enabled"
    if ($null -ne $enabledValue) {
        if ($enabledValue.Enabled -eq 1) {
            Write-Host "FIPS è abilitato."
        } elseif ($enabledValue.Enabled -eq 0) {
            Write-Host "FIPS è disabilitato."
        } else {
            Write-Host "Impossibile determinare lo stato di FIPS."
        }
    } else {
        Write-Host "Valore del registro FIPS non trovato."
    }


    # Mostra lo stato di MDMEnabled
    if ($null -ne $mdmEnabledValue) {
        if ($mdmEnabledValue.MDMEnabled -eq 1) {
            Write-Host "MDMEnabled è abilitato."
        } elseif ($mdmEnabledValue.MDMEnabled -eq 0) {
            Write-Host "MDMEnabled è disabilitato."
        } else {
            Write-Host "Impossibile determinare lo stato di MDMEnabled."
        }
    } else {
        Write-Host "Valore del registro MDMEnabled non trovato."
    }
}


# Chiama la funzione per controllare lo stato di FIPS e MDMEnabled
CheckFIPS

Macchine clonate

Atera sconsiglia di installare l'AteraAgent come parte di un'immagine clone, poiché ciò potrebbe portare a dispositivi duplicati che segnalano alla console. Per indicazioni su come configurare un'immagine golden con Atera e risolvere potenziali problemi relativi a immagini golden e macchine clonate, fare riferimento al seguente articolo.

Setup golden image with AteraAgent installed

Installatori agent Atera obsoleti

L'utilizzo di un installatore obsoleto può causare problemi durante il processo di installazione dell'agente Atera. Si consiglia di utilizzare un installatore aggiornato quando si installa l'agente su un nuovo dispositivo. Per generare un installatore aggiornato, seguire semplicemente i passaggi descritti nel nostro articolo principale.

Installa un agente - Agente Windows

Come possiamo aiutarvi?

Argomenti comuni:

Related articles