Fejlfinding af ATA-kendte problemer
Gælder for: Advanced Threat Analytics version 1.9
I dette afsnit beskrives mulige fejl i installationen af ATA og de trin, der kræves for at foretage fejlfinding af dem.
FEJL i ATA Gateway og Letvægtsgateway
| Error | Beskrivelse | Opløsning |
|---|---|---|
| System.DirectoryServices.Protocols.LdapException: Der opstod en lokal fejl | ATA Gateway kunne ikke godkendes i forhold til domænecontrolleren. | 1. Bekræft, at domænecontrollerens DNS-post er konfigureret korrekt på DNS-serveren. 2. Kontrollér, at tidspunktet for ATA-gatewayen er synkroniseret med tidspunktet for domænecontrolleren. |
| System.IdentityModel.Tokens.SecurityTokenValidationException: Certifikatkæden kunne ikke valideres | ATA Gateway kunne ikke validere CERTIFIKATET for ATA Center. | 1. Kontrollér, at rodnøglecentercertifikatet er installeret i certifikatlageret for nøglecenteret, der er tillid til, på ATA Gateway. 2. Kontrollér, at listen over tilbagekaldte certifikater er tilgængelig, og at valideringen af certifikat tilbagekald kan udføres. |
| Microsoft.Common.ExtendedException: Den genererede tid kunne ikke fortolkes | ATA Gateway kunne ikke fortolke syslog-meddelelser, der blev videresendt fra SIEM. | Kontrollér, at SIEM er konfigureret til at videresende meddelelserne i et af de formater, der understøttes af ATA. |
| System.ServiceModel.FaultException: Der opstod en fejl under kontrol af sikkerheden for meddelelsen. | ATA-gatewayen blev ikke godkendt mod ATA Center. | Kontrollér, at tidspunktet for ATA Gateway er synkroniseret med tidspunktet for ATA Center. |
| System.ServiceModel.EndpointNotFoundException: Der kunne ikke oprettes forbindelse til net.tcp://center.ip.addr:443/IEntityReceiver | ATA Gateway kunne ikke oprette forbindelse til ATA Center. | Kontrollér, at netværksindstillingerne er korrekte, og at netværksforbindelsen mellem ATA Gateway og ATA Center er aktiv. |
| System.DirectoryServices.Protocols.LdapException: LDAP-serveren er ikke tilgængelig. | ATA Gateway kunne ikke forespørge domænecontrolleren ved hjælp af LDAP-protokollen. | 1. Kontrollér, at den brugerkonto, der bruges af ATA til at oprette forbindelse til Active Directory-domænet, har læseadgang til alle objekterne i Active Directory-træet. 2. Sørg for, at domænecontrolleren ikke er hærdet for at forhindre LDAP-forespørgsler fra den brugerkonto, der bruges af ATA. |
| Microsoft.Tri.Infrastructure.ContractException: Kontraktundtagelse | ATA Gateway kunne ikke synkronisere konfigurationen fra ATA Center. | Fuldfør konfigurationen af ATA Gateway i ATA-konsollen. |
| System.Reflection.ReflectionTypeLoadException: En eller flere af de ønskede typer kunne ikke indlæses. Hent egenskaben LoaderExceptions for at få flere oplysninger. | Meddelelsesanalyse er installeret på ATA Gateway. | Fjern Meddelelsesanalyse. |
| Fejl [Layout] System.OutOfMemoryException: Undtagelse af typen 'System.OutOfMemoryException' blev udløst. | ATA-gatewayen har ikke tilstrækkelig hukommelse. | Forøg mængden af hukommelse på domænecontrolleren. |
| Liveforbruger ---> Microsoft.Opn.Runtime.Monitoring.MessageSessionException: PEFNDIS-hændelsesprovideren er ikke klar | PEF (Message Analyzer) er ikke installeret korrekt. | Hvis du bruger Hyper-V, kan du prøve at opgradere Hyper-V Integration-tjenester, ellers skal du kontakte support for at få en løsning. |
| Installationen mislykkedes med fejl: 0x80070652 | Der er andre ventende installationer på computeren. | Vent på, at de andre installationer fuldføres, og genstart om nødvendigt computeren. |
| System.InvalidOperationException: Forekomsten 'Microsoft.Tri.Gateway' findes ikke i den angivne kategori. | PID'er blev aktiveret for procesnavne i ATA Gateway | Se Håndtering af identiske forekomstnavne for at deaktivere PID'er i procesnavne |
| 'System.InvalidOperationException: Kategorien findes ikke. | Tællere kan være deaktiveret i registreringsdatabasen | Brug KB2554336 til at genopbygge ydelsestællere |
| System.ApplicationException: Etw-sessionen MMA-ETW-Livecapture-a4f595bd-f567-49a7-b963-20fa4e370329 | Der er en værtspost i HOSTS-filen, der peger på computerens korte navn | Fjern værtsposten fra C:\Windows\System32\drivers\etc\HOSTS-filen, eller skift den til et FQDN. |
| System.IO.IOException: Godkendelse mislykkedes, fordi fjernparten har lukket transportstrømmen eller ikke kunne oprette en SIKKER SSL/TLS-kanal | TLS 1.0 er deaktiveret på ATA Gateway, men .Net er indstillet til at bruge TLS 1.2 | Aktivér TLS 1.2 for .Net ved at angive registreringsdatabasenøglerne til at bruge operativsystemets standarder for SSL og TLS på følgende måde:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] " SchUseStrongCrypto"=dword:00000001
|
| System.TypeLoadException: Typen 'Microsoft.Opn.Runtime.Values.BinaryValueBufferManager' kunne ikke indlæses fra assemblyen 'Microsoft.Opn.Runtime, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35' | ATA Gateway kunne ikke indlæse de påkrævede fortolkningsfiler. | Kontrollér, om Microsoft Message Analyzer er installeret i øjeblikket. Meddelelsesanalyse understøttes ikke til at blive installeret sammen med ATA Gateway/Lightweight Gateway. Fjern Meddelelsesanalyse, og genstart gatewaytjenesten. |
| System.Net.WebException: Fjernserveren returnerede en fejl: (407) Proxygodkendelse er påkrævet | ATA Gateway-kommunikationen med ATA Center afbrydes af en proxyserver. | Deaktiver proxyen på ATA Gateway-computeren. Bemærk, at proxyindstillingerne kan være pr. konto. |
| System.IO.DirectoryNotFoundException: Systemet kan ikke finde den angivne sti. (Undtagelse fra HRESULT: 0x80070003) | En eller flere af de tjenester, der er nødvendige for at drive ATA, startede ikke. | Start følgende tjenester: Performance Logs and Alerts (PLA), Task Scheduler (Schedule). |
| System.Net.WebException: Fjernserveren returnerede en fejl: (403) Forbudt | ATA-gatewayen eller letvægtsgatewayen fik ikke adgang til at oprette en HTTP-forbindelse, fordi der ikke er tillid til ATA Center. | Føj NetBIOS-navnet og FQDN for ATA Center til listen over websteder, der er tillid til, og ryd cachen i Internet Explorer (eller navnet på ATA Center som angivet i konfigurationen, hvis den konfigurerede er anderledes end NetBIOS/FQDN). |
| System.Net.Http.HttpRequestException: PostAsync mislykkedes [requestTypeName=StopNetEventSessionRequest] | ATA Gateway eller ATA Lightweight Gateway kan ikke stoppe og starte den ETW-session, der indsamler netværkstrafik på grund af et WMI-problem | Følg vejledningen i WMI: Ombygning af WMI-lageret for at løse WMI-problemet |
| System.Net.Sockets.SocketException: Der blev gjort forsøg på at få adgang til en sokkel på en måde, der er forbudt af dens adgangstilladelser | Et andet program bruger port 514 på ATA Gateway | Bruges netstat -o til at bestemme, hvilken proces der bruger den pågældende port. |
Installationsfejl
| Error | Beskrivelse | Opløsning |
|---|---|---|
| Installationen af .Net Framework 4.6.1 mislykkes med fejl 0x800713ec | Forudsætninger for .Net Framework 4.6.1 er ikke installeret på serveren. | Før du installerer ATA, skal du kontrollere, at Windows-opdateringerne KB2919442 og KB2919355 er installeret på serveren. |
| System.Threading.Tasks.TaskCanceledException: En opgave blev annulleret | Udrulningsprocessen blev afbrudt pga. timeout, da den ikke kunne få forbindelse til ATA Center. | 1. Kontrollér netværksforbindelsen til ATA Center ved at gå til det ved hjælp af ip-adressen. 2. Kontrollér, om der er proxy- eller firewallkonfiguration. |
| System.Net.Http.HttpRequestException: Der opstod en fejl under afsendelse af anmodningen. >--- System.Net.WebException: Fjernserveren returnerede en fejl: (407) Proxygodkendelse er påkrævet. | Udrulningsprocessen blev afbrudt pga. timeout, da den ikke kunne få forbindelse til ATA Center på grund af en forkert konfiguration af proxyen. | Deaktiver proxykonfigurationen før udrulningen, og aktivér derefter proxykonfigurationen igen. Du kan også konfigurere en undtagelse i proxyen. |
| System.Net.Sockets.SocketException: En eksisterende forbindelse blev med tvang lukket af fjernværten | Aktivér TLS 1.2 for .Net ved at angive registreringsdatabasenøglerne til at bruge operativsystemets standarder for SSL og TLS på følgende måde:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
|
|
| Fejl [\[]DeploymentModel[\]] Godkendelse til administration mislykkedes [\[]CurrentlyLoggedOnUser=<domain>\<username>Status=FailedAuthentication Exception=[\]] | Installationsprocessen for ATA Gateway eller ATA Lightweight Gateway kunne ikke godkendes i forhold til ATA Center | Åbn en browser fra den computer, hvor installationsprocessen mislykkedes, og se, om du kan få adgang til ATA-konsollen.
Hvis det ikke er muligt, kan du starte fejlfindingen for at se, hvorfor browseren ikke kan godkende i forhold til ATA Center. Ting, du skal kontrollere: Proxykonfiguration Netværksproblemer Gruppepolitikindstillinger for godkendelse på den pågældende computer, der adskiller sig fra ATA Center. |
| Fejl [\[]DeploymentModel[\]] Godkendelse til administration mislykkedes | Valideringen af centercertifikatet mislykkedes | Center-certifikatet kan kræve en internetforbindelse til validering. Sørg for, at gatewaytjenesten har den korrekte proxykonfiguration for at aktivere forbindelsen og valideringen. |
| Under installationen af Center og valg af et certifikat rapporteres der en "Ikke understøttet"-fejl | Dette kan ske, hvis det valgte certifikat ikke opfylder kravene, eller hvis certifikatets private nøgle ikke er tilgængelig. | Sørg for, at du kører installationen med administratorrettigheder (Kør som administrator), og at det valgte certifikat opfylder kravene. |
ATA Center-fejl
| Error | Beskrivelse | Opløsning |
|---|---|---|
| System.Security.Cryptography.CryptographicException: Adgang nægtet. | ATA Center kunne ikke bruge det udstedte certifikat til dekryptering. Dette skyldes sandsynligvis brugen af et certifikat, hvor KeySpec (KeyNumber) er angivet til Signatur (AT\_SIGNATURE), som ikke understøttes til dekryptering, i stedet for at bruge KeyExchange (AT\_KEYEXCHANGE). | 1. Stop ATA Center-tjenesten. 2. Slet ATA Center-certifikatet fra centerets certifikatlager. Før du sletter, skal du sørge for, at certifikatet er sikkerhedskopieret med den private nøgle i en PFX-fil. 3. Åbn en kommandoprompt med administratorrettigheder, og kør certutil -importpfx "CenterCertificate.pfx" AT\_KEYEXCHANGE 4. Start ATA Center-tjenesten. 5. Kontrollér, at alt nu fungerer som forventet. |
Problemer med ATA Gateway og letvægtsgateway
| Problem | Beskrivelse | Opløsning |
|---|---|---|
| Der er ikke modtaget trafik fra domænecontrolleren, men tilstandsbeskeder observeres | Der blev ikke modtaget trafik fra en domænecontroller ved hjælp af portspejling via en ATA Gateway | På ATA Gateway-hentnings-NIC'et skal du deaktivere disse funktioner i Avancerede indstillinger: Modtag segment samling (IPv4) Modtag segment samling (IPv6) |
| Denne tilstandsbesked vises: Noget af netværkstrafikken analyseres ikke | Hvis du har en ATA Gateway eller Letvægtsgateway på virtuelle VMware-maskiner, modtager du muligvis denne tilstandsbesked. Dette sker på grund af en konfigurationsuoverensstemmelse i VMware. | Angiv følgende indstillinger til 0 eller Deaktiveret i NIC-konfigurationen for den virtuelle maskine: TsoEnable, LargeSendOffload, TSO Offload, Giant TSO Offload |
Gruppetilstand med flere processorer
For Windows-operativsystemer 2008R2 og 2012 understøttes ATA Gateway ikke i tilstanden Med flere processorgrupper .
Foreslåede mulige løsninger:
Hvis hypertreading er slået til, skal du slå det fra. Dette kan reducere antallet af logiske kerner nok til at undgå at skulle køre i flerprocessorgruppetilstand .
Hvis computeren har mindre end 64 logiske kerner og kører på en HP-vært, kan du muligvis ændre indstillingen FOR BIOS til optimering af NUMA-gruppestørrelse fra standarden Grupperet til Flad.