故障排除:“脱机”客户端
当计算机超过您通过管理中心配置的错过的波动信号阈值时,其状态会变为“脱机”或“被管理 (脱机)”。此消息还会显示在警报和事件中。
波动信号连接会因以下原因而不成功:
- 计算机已关闭电源
- 计算机已脱离专用网络的上下文
如果使用趋势科技服务器深度安全防护系统管理中心的本地安装,并且漫游终端(例如便携式计算机)无法通过公共 Internet 连接到您的专用内部网络上的管理中心,可能会出现这种情况。 - DNS 已关闭,或者无法解析管理中心的主机名
- 防火墙、IPS 规则或 AWS 安全组正在阻止波动信号端口号
- 已启用双向通信,但仅允许一个方向的通信,或者仅有一个方向的通信是可靠的
- 趋势科技服务器深度安全防护系统管理中心和/或客户端的系统资源负载非常高
- 趋势科技服务器深度安全防护系统客户端进程(在 Windows 上为 ds_agent 服务)可能未运行
- 用于 SSL 或 TLS 连接中的相互认证的证书已失效或已被吊销,或者系统时间不正确
- 趋势科技服务器深度安全防护系统 规则更新尚未完成,从而暂时中断了连接
检查服务、路由和端口号,以验证趋势科技服务器深度安全防护系统客户端是否正在运行以及是否能够与趋势科技服务器深度安全防护系统管理中心通信。
-
在具有趋势科技服务器深度安全防护系统客户端的计算机上,验证趋势科技服务器深度安全防护系统客户端服务是否正在运行。方法因操作系统而异。
- 在 Windows 上,打开 Microsoft Windows 服务控制台 (services.msc) 或任务管理器。
-
在 Linux 上,打开终端并输入如下命令以列出进程:
sudo ps -aux | grep ds_agent
sudo service ds_agent status
-
如果客户端通过趋势科技服务器深度安全防护系统管理中心的域名或主机名(而非其 IP 地址)连接到管理中心,请测试 DNS 解析:
nslookup [管理中心的域名]
如果测试不成功,请验证客户端是否使用正确的 DNS 代理或服务器(诸如 Google 或您的 ISP 等公共 DNS 服务器无法解析内部域名)。如果名称(例如 dsm.example.com)无法解析为其 IP 地址,通信将不成功,即使存在用于 IP 地址的正确路由和防火墙策略也不成功。
-
使用 Telnet 连接到趋势科技服务器深度安全防护系统管理中心的所需的端口号,以验证路由是否存在以及端口是否已打开:
telnet [管理中心 IP]:[波动信号端口]
在使用趋势科技服务器深度安全防护系统管理中心的缺省安全策略的计算机上,Ping 处于禁用状态。网络有时会阻止 ICMP ping 和 traceroute,以阻止攻击者的侦察扫描。因此,通常无法通过对管理中心使用 ping 来进行测试。但如果 telnet 成功,则证明情况大致相同:即存在路由和正确的防火墙策略,并且以太网帧大小是正确的。
但是,如果 telnet 不成功,则存在多个可能的原因。要在进行故障排除期间更快找到原因,您可能需要临时启用 ping 和 ICMP 流量。
如果 telnet 不成功,请跟踪路由以查找网络上哪个点中断了连接。方法因操作系统而异。
不适用于趋势科技服务器深度安全防护系统即服务
-
在 Linux 上,输入以下命令:
traceroute [客户端 IP]
-
在 Windows 上,输入以下命令:
tracert [客户端 IP]
调整防火墙策略、路由和/或 NAT 端口转发,以更正问题。
如果从客户端到管理中心的连接测试成功,则您接着必须测试另一个方向的连接。(防火墙和路由器通常需要策略-路由对以允许连接。如果仅存在两个必需的策略或路由的其中一个,则会允许其中一个方向的数据包,而不允许另一个方向的数据包。)
-
-
在趋势科技服务器深度安全防护系统管理中心上,对趋势科技服务器深度安全防护系统客户端使用 ping 并使用 telnet 连接到波动信号端口号,以验证波动信号流量和配置流量是否能够访问客户端:
ping [客户端 IP]
telnet [客户端 IP]:[波动信号端口]
如果 ping 和 telnet 都不成功,请使用以下命令:
traceroute [客户端 IP]
以查找网络上哪个点中断了连接。调整防火墙策略、路由和/或 NAT 端口转发,以更正问题。
-
如果 IPS 或防火墙规则正在阻止趋势科技服务器深度安全防护系统客户端和趋势科技服务器深度安全防护系统管理中心之间的连接,则在趋势科技服务器深度安全防护系统客户端上输入以下命令:
dsa_control -r
以重置趋势科技服务器深度安全防护系统客户端上的策略。(在这种情况下,由于客户端上的安全策略正在阻止与趋势科技服务器深度安全防护系统管理中心的通信,因此管理中心无法连接到客户端以取消分配导致出现该问题的策略。)
运行该命令之后,必须重新激活客户端。