Řešení známých problémů s ATA
Platí pro: Advanced Threat Analytics verze 1.9
Tato část podrobně popisuje možné chyby v nasazeních ATA a kroky potřebné k jejich řešení.
Chyby ATA Gateway a Lightweight Gateway
| Error | Popis | Řešení |
|---|---|---|
| System.DirectoryServices.Protocols.LdapException: Došlo k místní chybě. | ATA Gateway se nepodařilo ověřit vůči řadiči domény. | 1. Ověřte, že je záznam DNS řadiče domény na serveru DNS správně nakonfigurovaný. 2. Ověřte, že čas ATA Gateway je synchronizovaný s časem řadiče domény. |
| System.IdentityModel.Tokens.SecurityTokenValidationException: Nepovedlo se ověřit řetěz certifikátů. | Službě ATA Gateway se nepodařilo ověřit certifikát komponenty ATA Center. | 1. Ověřte, že je certifikát kořenové certifikační autority nainstalovaný v úložišti certifikátů důvěryhodné certifikační autority ve službě ATA Gateway. 2. Ověřte, že je k dispozici seznam odvolaných certifikátů (CRL) a že je možné provést ověření odvolání certifikátu. |
| Microsoft.Common.ExtendedException: Nepovedlo se analyzovat vygenerovaný čas | Službě ATA Gateway se nepodařilo analyzovat zprávy syslogu, které se přeposílaly z SIEM. | Ověřte, že je siEM nakonfigurovaný tak, aby předával zprávy v jednom z formátů podporovaných ATA. |
| System.ServiceModel.FaultException: Při ověřování zabezpečení zprávy došlo k chybě. | AtA Gateway se nepodařilo ověřit v ATA Center. | Ověřte, že se čas komponenty ATA Gateway synchronizuje s časem komponenty ATA Center. |
| System.ServiceModel.EndpointNotFoundException: Nejde se připojit k net.tcp://center.ip.addr:443/IEntityReceiver | Službě ATA Gateway se nepodařilo navázat připojení k ATA Center. | Ujistěte se, že je nastavení sítě správné a že síťové připojení mezi ATA Gateway a ATA Center je aktivní. |
| System.DirectoryServices.Protocols.LdapException: Server LDAP není k dispozici. | ATA Gateway se nepodařilo dotazovat řadič domény pomocí protokolu LDAP. | 1. Ověřte, že uživatelský účet, který ATA používá pro připojení k doméně služby Active Directory, má přístup ke čtení ke všem objektům ve stromu služby Active Directory. 2. Ujistěte se, že řadič domény není posílený, aby se zabránilo dotazům LDAP z uživatelského účtu používaného ATA. |
| Microsoft.Tri.Infrastructure.ContractException: Výjimka kontraktu | Službě ATA Gateway se nepodařilo synchronizovat konfiguraci z KOMPONENTY ATA Center. | Dokončete konfiguraci KOMPONENTY ATA Gateway v konzole ATA. |
| System.Reflection.ReflectionTypeLoadException: Nelze načíst jeden nebo více požadovaných typů. Další informace získáte načtením vlastnosti LoaderExceptions. | Message Analyzer je nainstalovaný na ATA Gateway. | Odinstalujte analyzátor zpráv. |
| Chyba [Layout] System.OutOfMemoryException: Byla vyvolána výjimka typu System.OutOfMemoryException. | ATA Gateway nemá dostatek paměti. | Zvětšete velikost paměti na řadiči domény. |
| Selhání spuštění živého příjemce ---> Microsoft.Opn.Runtime.Monitoring.MessageSessionException: Poskytovatel událostí PEFNDIS není připravený | Funkce PEF (Message Analyzer) nebyla správně nainstalována. | Pokud používáte Hyper-V, zkuste upgradovat integrační služby Hyper-V, jinak se obraťte na podporu a požádejte o alternativní řešení. |
| Instalace selhala s chybou: 0x80070652 | V počítači jsou další čekající instalace. | Počkejte na dokončení ostatních instalací a v případě potřeby restartujte počítač. |
| System.InvalidOperationException: Instance Microsoft.Tri.Gateway neexistuje v zadané kategorii. | Pro názvy procesů ve službě ATA Gateway byly povoleny identifikátory PID. | Pokud chcete zakázat identifikátory PID v názvech procesů, přečtěte si téma Zpracování duplicitních názvů instancí . |
| System.InvalidOperationException: Kategorie neexistuje. | Čítače můžou být v registru zakázané. | Opětovné sestavení čítačů výkonu pomocí KB2554336 |
| System.ApplicationException: Nejde spustit relaci ETW MMA-ETW-Livecapture-a4f595bd-f567-49a7-b963-20fa4e370329 | V souboru HOSTS je položka hostitele odkazující na krátký název počítače. | Odeberte položku hostitele ze souboru C:\Windows\System32\drivers\etc\HOSTS nebo ji změňte na plně kvalifikovaný název domény. |
| System.IO.IOException: Ověřování selhalo, protože vzdálená strana zavřela datový proud přenosu nebo nemohla vytvořit zabezpečený kanál SSL/TLS. | Protokol TLS 1.0 je ve službě ATA Gateway zakázaný, ale .Net je nastavený tak, aby používal protokol TLS 1.2. | Povolte protokol TLS 1.2 pro .Net nastavením klíčů registru tak, aby používaly výchozí hodnoty operačního systému pro protokoly SSL a TLS, a to následujícím způsobem:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] " SchUseStrongCrypto"=dword:00000001
|
| System.TypeLoadException: Nelze načíst typ Microsoft.Opn.Runtime.Values.BinaryValueBufferManager ze sestavení Microsoft.Opn.Runtime, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35 | Službě ATA Gateway se nepodařilo načíst požadované parsovací soubory. | Zkontrolujte, jestli je aktuálně nainstalovaný Nástroj Microsoft Message Analyzer. Nástroj Message Analyzer se nepodporuje pro instalaci se službou ATA Gateway / Lightweight Gateway. Odinstalujte Analyzátor zpráv a restartujte službu Brány. |
| System.Net.WebException: Vzdálený server vrátil chybu: (407) Vyžaduje se ověření proxy serveru. | Komunikaci ATA Gateway s ATA Center narušuje proxy server. | Zakažte proxy server na počítači ATA Gateway. Mějte na paměti, že nastavení proxy serveru může být pro jednotlivé účty. |
| System.IO.DirectoryNotFoundException: Systém nemůže najít zadanou cestu. (Výjimka z HRESULT: 0x80070003) | Jedna nebo více služeb potřebných k provozu ATA se nespusilo. | Spusťte následující služby: Protokoly výkonu a upozornění (PLA), Plánovač úloh (plán) |
| System.Net.WebException: Vzdálený server vrátil chybu: (403) Zakázáno | ATA Gateway nebo Lightweight Gateway nemohly navázat připojení HTTP, protože ATA Center není důvěryhodný. | Přidejte název NetBIOS a plně kvalifikovaný název domény ATA Center do seznamu důvěryhodných webů a vymažte mezipaměť v Internet Exploreru (nebo název ATA Center zadaný v konfiguraci, pokud se nakonfigurovaný název liší od netBIOS/FQDN). |
| System.Net.Http.HttpRequestException: PostAsync failed [requestTypeName=StopNetEventSessionRequest] | ATA Gateway nebo ATA Lightweight Gateway nemůže zastavit a spustit relaci Trasování událostí pro Windows, která shromažďuje síťový provoz kvůli problému s rozhraním WMI. | Pokud chcete problém s rozhraním WMI vyřešit, postupujte podle pokynů v tématu WMI: Opětovné sestavení úložiště WMI . |
| System.Net.Sockets.SocketException: Došlo k pokusu o přístup k soketu způsobem zakázaným jeho přístupovým oprávněním. | Jiná aplikace používá port 514 ve službě ATA Gateway. | Slouží netstat -o k určení procesu, který tento port používá. |
Chyby nasazení
| Error | Popis | Řešení |
|---|---|---|
| Instalace rozhraní .Net Framework 4.6.1 selže s chybou 0x800713ec | Požadavky na rozhraní .Net Framework 4.6.1 nejsou na serveru nainstalovány. | Před instalací ATA ověřte, že jsou na serveru nainstalované aktualizace windows KB2919442 a KB2919355 . |
| System.Threading.Tasks.TaskCanceledException: Úloha byla zrušena. | Časový limit procesu nasazení vypršel, protože se nemohl spojit s ATA Center. | 1. Zkontrolujte síťové připojení k ATA Center tak, že k němu přejdete pomocí jeho IP adresy. 2. Zkontrolujte konfiguraci proxy serveru nebo brány firewall. |
| System.Net.Http.HttpRequestException: Při odesílání požadavku došlo k chybě. >--- System.Net.WebException: Vzdálený server vrátil chybu: (407) Vyžaduje se ověření proxy serveru. | Časový limit procesu nasazení vypršel, protože se kvůli chybné konfiguraci proxy serveru nemohl spojit s ATA Center. | Před nasazením zakažte konfiguraci proxy serveru a pak konfiguraci proxy serveru znovu povolte. Případně můžete nakonfigurovat výjimku v proxy serveru. |
| System.Net.Sockets.SocketException: Vzdálený hostitel vynutil ukončení existujícího připojení. | Povolte protokol TLS 1.2 pro .Net nastavením klíčů registru tak, aby používaly výchozí hodnoty operačního systému pro protokoly SSL a TLS, a to následujícím způsobem:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
|
|
| Chyba [\[]DeploymentModel[\]] Neúspěšné ověřování správy [\[]CurrentlyLoggedOnUser=<domain>\<username>Status=FailedAuthentication Exception=[\]] | Proces nasazení ATA Gateway nebo ATA Lightweight Gateway se nepodařilo úspěšně ověřit v ATA Center. | Otevřete prohlížeč z počítače, na kterém selhal proces nasazení, a podívejte se, jestli se můžete připojit ke konzole ATA.
Pokud ne, začněte řešit potíže a zjistěte, proč se prohlížeč nemůže ověřit ve službě ATA Center. Co je potřeba zkontrolovat: Konfigurace proxy serveru: Problémy s nastavením zásad skupiny pro ověřování na daném počítači, které se liší od ATA Center. |
| Chyba [\[]DeploymentModel[\]] Neúspěšné ověřování správy | Ověření certifikátu center se nezdařilo. | Certifikát Centra může pro ověření vyžadovat připojení k internetu. Ujistěte se, že služba brány má správnou konfiguraci proxy serveru, která umožňuje připojení a ověřování. |
| Při nasazování centra a výběru certifikátu se hlásí chyba Nepodporováno. | K tomu může dojít v případě, že vybraný certifikát nesplňuje požadavky nebo není dostupný privátní klíč certifikátu. | Ujistěte se, že spouštíte nasazení se zvýšenými oprávněními (Spustit jako správce) a že vybraný certifikát splňuje požadavky. |
Chyby ATA Center
| Error | Popis | Řešení |
|---|---|---|
| System.Security.Cryptography.CryptographicException: Přístup odepřen. | ATA Center nepovedlo k dešifrování použít vystavený certifikát. K tomu pravděpodobně došlo kvůli použití certifikátu s klíčem KeySpec (KeySpec) nastaveným na podpis (AT\_SIGNATURE), který není podporován pro dešifrování místo použití KeyExchange (AT\_KEYEXCHANGE). | 1. Zastavte službu ATA Center. 2. Odstraňte certifikát ATA Center z úložiště certifikátů centra. (Před odstraněním se ujistěte, že máte certifikát zálohovaný s privátním klíčem v souboru PFX.) 3. Otevřete příkazový řádek se zvýšenými oprávněními a spusťte příkaz certutil -importpfx "CenterCertificate.pfx" AT\_KEYEXCHANGE 4. Spusťte službu ATA Center. 5. Ověřte, že všechno teď funguje podle očekávání. |
Problémy s ATA Gateway a Lightweight Gateway
| Problém | Popis | Řešení |
|---|---|---|
| Z řadiče domény se nepřijímají žádné přenosy, ale pozorují se upozornění na stav. | Pomocí zrcadlení portů prostřednictvím ATA Gateway nebyl přijat žádný provoz z řadiče domény. | Na síťové kartě pro zachytávání ATA Gateway zakažte v upřesňujícím nastavení tyto funkce: Shodování příjmových segmentů (IPv4) Shodování příjmových segmentů (IPv6) |
| Zobrazí se toto upozornění na stav: Některé síťové přenosy se neanalybují. | Pokud máte ATA Gateway nebo Lightweight Gateway na virtuálních počítačích VMware, může se zobrazit toto upozornění na stav. K tomu dochází kvůli neshodě konfigurace ve VMware. | V konfiguraci síťové karty virtuálního počítače nastavte následující nastavení na 0 nebo Zakázáno: TsoEnable, LargeSendOffload, TSO Offload, Giant TSO Offload |
Režim skupiny více procesorů
V operačních systémech Windows 2008R2 a 2012 se ATA Gateway nepodporuje v režimu skupiny více procesorů .
Navrhovaná možná alternativní řešení:
Pokud je hyperthreading zapnutý, vypněte ho. To může snížit počet logických jader natolik, aby se nemuselo spouštět v režimu skupiny více procesorů .
Pokud má váš počítač méně než 64 logických jader a běží na hostiteli HP, můžete změnit nastavení systému BIOS Optimalizace velikosti skupiny NUMA z výchozí hodnoty Clustered na Ploché.