Ansichten:
Ein Computer Status von "Offline" oder "Verwaltet (Offline)" bedeutet, dass Server- und Workload Protection seit einiger Zeit nicht mit der Instanz des Agenten kommuniziert hat und die Schwelle für verpasste Heartbeats überschritten wurde. Die Statusänderung kann auch in Warnungen und Ereignissen erscheinen.

Ursachen Übergeordnetes Thema

Heartbeat-Verbindungen können fehlschlagen, weil:
  • Der Agent ist auf einem Arbeitsplatz oder einem anderen Computer installiert, der heruntergefahren wurde. Wenn Sie den Computer wieder einschalten, wird der Fehler im nächsten Heartbeat-Intervall behoben.
  • Firewall-, IPS-Regeln oder Sicherheitsgruppen sperren die Heartbeat-Portnummer.
  • Ausgehende (temporäre) Ports wurden versehentlich gesperrt. Siehe Aktivierung fehlgeschlagen - Gesperrter Port für Fehlerbehebungstipps.
  • Die bidirektionale Kommunikation ist aktiviert, aber nur eine Richtung ist erlaubt oder zuverlässig.
  • Computer ist ausgeschaltet.
  • Computer hat den Kontext des privaten Netzwerks verlassen. Dies kann auftreten, wenn roaming Endpunkte (wie ein Laptop) an ihrem aktuellen Standort keine Verbindung zu Server- und Workload Protection herstellen können. Gäste-Wi-Fi beispielsweise beschränkt oft offene Ports und verwendet NAT, wenn der Datenverkehr über das Internet geht.
  • Amazon WorkSpace-Computer wird ausgeschaltet, und das Herzschlagintervall ist schnell, zum Beispiel eine Minute; in diesem Fall warten Sie, bis der WorkSpace vollständig ausgeschaltet ist, und zu diesem Zeitpunkt sollte sich der Status von 'Offline' zu 'VM gestoppt' ändern.
  • DNS war ausgefallen oder konnte den Hostnamen Server- und Workload Protection nicht auflösen.
  • Server- und Workload Protection, der Agent oder beide sind einer sehr hohen Systemressourcenauslastung ausgesetzt.
  • Der Agentenprozess läuft möglicherweise nicht.
  • Die Systemzeit des Agents ist falsch (erforderlich für SSL/TLS-Verbindungen).
  • Regelaktualisierung ist noch nicht abgeschlossen, wodurch die Konnektivität vorübergehend unterbrochen wird.
  • Auf AWS EC2 ist ICMP-Verkehr erforderlich, aber er ist gesperrt.
Tipp
Tipp
Wenn Sie managerinitiierte oder bidirektionale Kommunikation verwenden und Kommunikationsprobleme haben, empfehlen wir dringend, auf agenteninitiierte Aktivierung umzusteigen (siehe Aktivieren und schützen Sie Agenten mit agenteninitiierter Aktivierung und Kommunikation). Um den Fehler zu beheben, überprüfen Sie, ob der Agent läuft und ob er mit Server- und Workload Protection (dem Manager) kommunizieren kann.

Überprüfen Sie, ob der Agent läuft Übergeordnetes Thema

Überprüfen Sie auf dem Computer mit dem Agenten, ob der Agentendienst läuft. Die Methode variiert je nach Betriebssystem.
  • Öffnen Sie unter Windows die Microsoft Windows-Dienste-Konsole (services.msc) oder den Task-Manager. Suchen Sie nach dem Dienst mit dem Namen ds_agent.
  • Öffnen Sie unter Linux ein Terminal und geben Sie den Befehl für eine Prozessliste ein. Suchen Sie nach dem Dienst mit dem Namen ds_agent oder ds-agent, wie zum Beispiel:
sudo ps -aux | grep ds_agent
sudo service ds_agent status
  • Öffnen Sie auf Solaris ein Terminal und geben Sie den Befehl für eine Prozessliste ein. Suchen Sie nach dem Dienst mit dem Namen ds_agent, zum Beispiel:
sudo ps -ef | grep ds_agent
sudo svcs -l svc:/application/ds_agent:default

DNS überprüfen Übergeordnetes Thema

Wenn Agenten eine Verbindung zu Server- und Workload Protection über seinen Domänennamen oder Hostnamen herstellen, nicht über seine IP-Adresse, testen Sie die DNS-Auflösung:
nslookup [manager domain name]
DNS service must be reliable.
Wenn der Test fehlschlägt, überprüfen Sie, ob der Agent den richtigen DNS-Proxy oder Server verwendet (interne Domänennamen können nicht von einem öffentlichen DNS-Server wie Google oder Ihrem ISP aufgelöst werden). Wenn ein Name wie dsm.example.com nicht in seine IP-Adresse aufgelöst werden kann, wird die Kommunikation fehlschlagen, selbst wenn korrekte Routen und Firewall-Richtlinien für die IP-Adresse existieren.
Wenn der Computer DHCP verwendet, müssen Sie möglicherweise im Bereich Advanced Network Engine in den Computer- oder Richtlinieneinstellungen Force Allow DHCP DNS aktivieren (siehe Computer- und Richtlinieneinstellungseditor).

Ausgehende Ports erlauben (agenteninitiierter Herzschlag) Übergeordnetes Thema

Telnet zu erforderlichen Portnummern auf dem Manager, um zu überprüfen, ob eine Route existiert und der Port offen ist:
telnet agents.deepsecurity.trendmicro.com:443
Wenn Telnet fehlschlägt, verfolgen Sie die Route, um herauszufinden, welcher Punkt im Netzwerk die Verbindung unterbricht.
Passen Sie Firewall-Richtlinien, Routen, NAT-Portweiterleitung oder alle drei an, um das Problem zu beheben. Überprüfen Sie sowohl netzwerk- als auch hostbasierte Firewalls, wie die Windows-Firewall und Linux iptables. Für eine AWS EC2-Instanz sehen Sie sich die Amazon-Dokumentation zu Amazon EC2-Sicherheitsgruppen für Linux-Instanzen oder Amazon EC2-Sicherheitsgruppen für Windows-Instanzen an. Für eine Azure-VM-Instanz sehen Sie sich die Microsoft Azure-Dokumentation zum Ändern einer Netzwerksicherheitsgruppe an.

ICMP auf Amazon AWS EC2-Instanzen zulassen Übergeordnetes Thema

In der AWS-Cloud benötigen Router ICMP-Typ 3 Code 4. Wenn dieser Datenverkehr gesperrt ist, kann die Verbindung zwischen den Agenten und dem Manager unterbrochen werden.
Sie können diesen Datenverkehr in Server- und Workload Protection erzwingen. Erstellen Sie entweder eine Firewall-Richtlinie mit einer Erzwingungserlaubnis oder aktivieren Sie im Bereich Advanced Network Engine in den Computer- oder Richtlinieneinstellungen Force Allow ICMP type3 code4 (siehe Computer- und Richtlinieneinstellungseditor).

Beheben Sie das Upgrade-Problem auf Solaris 11 Übergeordnetes Thema

Ein Problem kann auftreten, wenn Sie zuvor die Version 9.0 des Agents auf Solaris 11 installiert haben und dann die Agent-Software direkt auf 11.0 aktualisiert haben, ohne zuerst 9.0.0-5616 oder einen späteren 9.0-Agent zu installieren. In diesem Szenario kann es sein, dass der Agent nach dem Upgrade nicht startet und in Server- und Workload Protection als offline angezeigt wird. Um dieses Problem zu beheben:

Prozedur

  1. Deinstallieren Sie den Agenten vom Server. Siehe Deinstallieren Sie Server & Workload Protection von Endpunkten.
  2. Installieren Sie einen 11.0-Agenten. Siehe Agent manuell installieren.
  3. Reaktivieren Sie den Agenten in Server- und Workload Protection. Siehe Agenten aktivieren.

Nächste Schritte