檢視次數:
電腦防護狀態為「離線」或「已管理(離線)」表示Server & Workload Security保護已經有一段時間沒有與代理程式的實例進行通信,並且已超過錯過的心跳閾值。狀態變更也可能出現在警報和事件中。

原因 上層主題

心跳連線可能會因為以下原因失敗:
  • 代理程式已安裝在已關機的工作站或其他電腦防護上。當您重新開啟電腦防護時,錯誤將在下一個心跳間隔中解決。
  • 防火牆、IPS 規則或安全群組封鎖了心跳 通訊埠號碼
  • 輸出(臨時)端口被意外封鎖。請參閱 啟動失敗 - 已封鎖端口 以獲取疑難排解提示。
  • 雙向通信已啟動,但僅允許或可靠一個方向。
  • 電腦防護已關機。
  • 電腦防護已離開私人網路的範圍。這可能發生在漫遊數據端點(例如筆記型電腦)無法在其當前位置連接到Server & Workload Security保護時。例如,訪客Wi-Fi通常會限制開放端口,並在流量經過網路時使用NAT。
  • Amazon WorkSpace 電腦防護正在關機,且心跳間隔很快,例如一分鐘;在這種情況下,請等待 WorkSpace 完全關機,此時狀態應從離線變為VM 已停止。
  • DNS 當機,或無法解析 Server & Workload Security保護 主機名稱。
  • Server & Workload Security保護、代理程式或兩者的系統資源負載非常高。
  • 代理程式可能未在執行。
  • 代理程式的系統時間不正確(SSL/TLS 連線所需)。
  • 規則更新尚未完成,暫時中斷連接。
  • 在 AWS EC2 上,需要 ICMP 流量,但已封鎖。
秘訣
秘訣
如果您使用的是管理者發起或雙向通信,並且遇到通信問題,我們強烈建議您改用代理發起的啟動(請參閱 使用代理發起的啟動和通信來啟動和保護代理)。要排除錯誤,請確認代理正在運行,然後確認它可以與 Server & Workload Security保護(管理者)通信。

驗證代理程式是否正在執行 上層主題

在安裝代理程式的電腦上,確認代理服務正在運行。方法因作業系統而異。
  • 在 Windows 上,打開 Microsoft Windows 服務控制台 (services.msc) 或任務管理器。尋找名為 ds_agent 的服務。
  • 在 Linux 上,打開終端並輸入列出進程的命令。查找名為 ds_agent 或 ds-agent 的服務,例如:
sudo ps -aux | grep ds_agent
sudo service ds_agent status
  • 在 Solaris 上,打開終端機並輸入顯示進程列表的命令。查找名為 ds_agent 的服務,例如:
sudo ps -ef | grep ds_agent
sudo svcs -l svc:/application/ds_agent:default

驗證 DNS 上層主題

如果代理程式透過其網域名稱或主機名稱而非其 IP 位址連接到 Server & Workload Security保護,請測試 DNS 解析:
nslookup [管理員網域名稱]
DNS service must be reliable.
如果測試失敗,請確認代理程式正在使用正確的 DNS Proxy 或伺服器(內部域名無法由公共 DNS 伺服器(如 Google 或您的 ISP)解析)。如果像 dsm.example.com 這樣的名稱無法解析為其 IP 位址,即使存在正確的路由和防火牆策略,通信也會失敗。
如果電腦使用 DHCP,您可能需要在電腦或政策設定中的 進階網路引擎 區域啟用 強制允許 DHCP DNS(請參閱 電腦和政策編輯器設定)。

允許輸出端口(代理啟動的心跳) 上層主題

Telnet 到 所需的埠號 在管理器上以驗證路由是否存在,並且埠是否開啟:
telnet agents.deepsecurity.trendmicro.com:443
如果 Telnet 失敗,請追蹤路由以發現網路中斷連接的點。
調整防火牆策略、路由、NAT 端口轉發,或三者皆調整以解決問題。驗證網路和主機型防火牆,例如 Windows 防火牆和 Linux iptables。對於 AWS EC2 實例,請參閱 Amazon 的 Amazon EC2 Linux 實例的安全群組Amazon EC2 Windows 實例的安全群組 文件。對於 Azure VM 實例,請參閱 Microsoft 的 Azure 文件 修改網路安全群組

允許 ICMP 在 Amazon AWS EC2 實例上 上層主題

在 AWS 雲端中,路由器需要 ICMP 類型 3 代碼 4。如果此流量被已封鎖,代理和管理器之間的連接可能會中斷。
您可以在Server & Workload Security保護中強制允許此流量。可以創建一個具有強制允許的防火牆策略,或者在電腦防護或策略設定中的Advanced Network Engine區域啟用Force Allow ICMP type3 code4(請參閱電腦防護和策略編輯器設定)。

修復 Solaris 11 的升級問題 上層主題

如果您之前在 Solaris 11 上安裝了 9.0 版代理,然後直接將代理軟體升級到 11.0,而未先安裝 9.0.0-5616 或更高版本的 9.0 代理,則可能會發生問題。在此情況下,代理在升級後可能無法啟動,並且在 Server & Workload Security保護 中顯示為離線。要解決此問題:

步驟

  1. 從伺服器中卸載代理程式。請參閱 解除安裝Server & Workload Security保護代理程式
  2. 安裝 11.0 代理程式。請參閱 手動安裝代理程式
  3. Server & Workload Security保護 中重新啟用代理。請參閱 啟用代理

接下來需執行的動作