Suchcomputer Fehlersuche und -behebung

Gilt für: WatchGuard Advanced EPDR Dieses Thema betrifft das WatchGuard Advanced EPDR Endpoint Security-Produkt., WatchGuard EPDR Dieses Thema betrifft das WatchGuard EPDR Endpoint Security-Produkt., WatchGuard EDR Dieses Thema betrifft das WatchGuard EDR Endpoint Security-Produkt.,WatchGuard EDR Core Dieses Thema betrifft das WatchGuard EDR Core Endpoint Security-Produkt., WatchGuard EPP Dieses Thema betrifft das WatchGuard EPP Endpoint Security-Produkt.

Suchcomputer suchen nach anderen Computern im Netzwerk, die noch nicht von WatchGuard Endpoint Security verwaltet werden. Der erste Windows-Computer, den Sie zu WatchGuard Endpoint Security hinzufügen, wird automatisch als der Erkennungscomputer festgelegt. Weitere Informationen finden Sie unter Erkennungscomputer festlegen.

Dieses Thema hilft Ihnen bei der Fehlersuche und -behebung von Problemen mit einem dafür vorgesehenen Suchcomputer oder dem Suchprozess.

Suchcomputer entdeckt keine Geräte

Wenn der Suchcomputer keine anderen Geräte im Netzwerk entdeckt, obwohl nachgewiesen ungeschützte Computer vorhanden sind, stellen Sie sicher, dass Ihr Computer die Mindestsystemanforderungen erfüllt. Weitere Informationen finden Sie unter Installationsanforderungen.

Der Suchcomputer entdeckt bereits gefundene Geräte

Wenn der Suchprozess einen Computer abfragt, enthalten die abgerufenen Informationen die MAC-Adresse, den Hostnamen und die IP-Adresse des Computers. Entsprechen die gefundenen Informationen keinem der bereits entdeckten Computer, dann könnte der Suchprozess den Computer als neu und ungeschützt betrachten.

Der Suchprozess könnte ein bereits entdecktes Gerät allerdings fälschlicherweise als ein neues Gerät identifizieren. Eine mögliche Ursache ist, dass beim Einrichten von Einstellungen > Netzwerkdienste > Suche > Suche konfigurieren > Suchumfang > Nur in den folgenden IP-Adressbereichen suchen die von Ihnen festgelegten Bereiche außerhalb der Broadcast-Domäne des Suchcomputers liegen.

Wenn Sie auf der Seite Computer im Netzwerk entdecken und Computer in Active Directory entdecken auf der Seite Suche konfigurieren aktivieren, könnte der Suchcomputer ein selbes Gerät im Netzwerk möglicherweise mehr als einmal identifizieren.

Falls die von Ihnen festgelegten Bereiche außerhalb der Broadcast-Domäne des Suchcomputers liegen, könnten Sie einen Router nutzen müssen, um eine Netzwerkverbindung aufzubauen. Falls ja, enthalten die vom Suchcomputer empfangenen Netzwerkinformationen die MAC-Adresse des Routers, und nicht die MAC-Adresse des mit dem Router verbundenen Computers. Der Suchprozess zeichnet die MAC-Adresse des Routers als die MAC-Adresse jedes Computers auf, den Sie mit dem Router verbinden. Aus diesem Grund betrachtet der Suchprozess den über den Router verbundenen Computer als neu.

So korrigieren Sie dieses Problem:

1. Stellen Sie sicher, dass Sie einen Suchcomputer für jedes Netzwerksegment nutzen. Weitere Informationen finden Sie unter Über Netzwerksegmentierung.
2. Wählen Sie Einstellungen > Netzwerkdienste > Suche > Suche konfigurieren > Suchumfang > Im gesamten Netzwerk suchen.
3. Klicken Sie auf Speichern.
4. Entfernen Sie alle vorher entdeckten Geräte.
5. Die nächste geplante Entdeckungssuche wird Geräte nun richtig identifizieren.

Hohe CPU-Auslastung auf dem Suchcomputer

Manchmal könnten Sie im Windows Task Manager eine hohe CPU-Auslastung des Suchcomputers im Prozess Agent Service.exe (der Kommunikationsagent) feststellen. Dies liegt daran, dass der Kommunikationsagent über das Netzwerk sendet, während er nach ungeschützten Computern sucht. Auch wenn dies ein Prozess mit niedriger Priorität ist, nutzt der Prozess CPU-Ressourcen.

Es könnte also vorkommen, dass alle Computer im Netzwerk einen Endpoint Security-Schutz haben, aber der Suchcomputer weiter nach ungeschützten Computern sucht und eine hohe CPU-Auslastung generiert. In diesem Fall verwenden Sie den Windows Task Manager, um den Prozentsatz der CPU-Auslastung des Agent Service.exe auf dem Erkennungscomputer anzuzeigen. Ist die CPU-Auslastung hoch und es wird zurzeit keine Endpoint Protection Software installiert, können Sie diesen Task auf dem Suchcomputer beenden. Dadurch wird die CPU-Auslastung auf dem Suchcomputer verringert. Weitere Informationen finden Sie unter Erkennungscomputer festlegen.

Persistente Probleme mit dem Erkennungscomputer

Falls ein Problem bei der Suche und Entdeckung nach der Problembehebung fortbesteht, sammeln Sie die folgenden Informationen, um den Supportfall zu unterstützen:

1. Aktivieren Sie das Advanced Logs-Tool aus.
2. Führen Sie das PSErrorTrace-Tool aus.
3. Führen Sie eine Suche nach unentdeckten Computern aus.
4. Warten Sie, bis das Dialogfeld Suchcomputer hinzufügen mit einer Liste aller Windows-Computer im Netzwerk geöffnet wird.
5. Stoppen Sie das PSErrorTrace-Tool.
6. Deaktivieren Sie das Advanced Logs-Tool.

Falls Sie den Support kontaktieren müssen, können Sie im PSInfo-Tool Diagnoseprotokolle für die spätere Fehlersuche und -behebung erstellen. Weitere Informationen finden Sie unter Erste Schritte mit PSInfo.