Microsoft Defender for Identity tilstandsproblemer
På siden Microsoft Defender for Identity tilstandsproblemer kan du se en liste over eventuelle aktuelle tilstandsproblemer i forbindelse med udrulningen af Defender for Identity og sensorer, så du får besked om eventuelle problemer i udrulningen af Defender for Identity.
Siden Tilstandsproblemer
På siden med problemer med Microsoft Defender for Identity-tilstand kan du se, når der er problemer med arbejdsområdet Defender for Identity, ved at løse et tilstandsproblem. Følg disse trin for at få adgang til siden:
Vælg Tilstandsproblemer under Identiteteri Microsoft Defender XDR.
Siden Tilstandsproblemer vises, hvor du kan se tilstandsproblemer for både dit generelle Defender for Identity-miljø og specifikke sensorer.
Defender for Identity understøtter følgende typer tilstandsbeskeder:
- Domænerelaterede eller aggregerede tilstandsproblemer, der er angivet under fanen Globale tilstandsproblemer
- Sensorspecifikke tilstandsproblemer, der er angivet på fanen Problemer med sensortilstand
Filtrer problemer efter status, problemnavn eller alvorsgrad for at hjælpe dig med at finde det problem, du leder efter.
Det kan f.eks. være:
Vælg et hvilket som helst problem for at få flere oplysninger og for at lukke eller undertrykke problemet. Det kan f.eks. være:
Tilstandsproblemer
I dette afsnit beskrives alle tilstandsproblemer for hver komponent, hvor du kan se en liste over årsagen og de trin, der er nødvendige for at løse problemet.
Sensorspecifikke tilstandsproblemer vises under fanen Problemer med sensortilstand , og domænerelaterede eller aggregerede tilstandsproblemer vises under fanen Globale tilstandsproblemer som beskrevet i følgende tabeller:
En domænecontroller kan ikke nås af en sensor
| Besked | Beskrivelse | Opløsning | Alvorlighed | Vises i |
|---|---|---|---|---|
| Defender for Identity-sensoren har begrænset funktionalitet på grund af forbindelsesproblemer med den konfigurerede domænecontroller. | Dette påvirker Defender for Identity's evne til at registrere mistænkelige aktiviteter, der er relateret til domænecontrollere, der overvåges af denne Defender for Identity-sensor. | Sørg for, at domænecontrollerne kører, og at denne Defender for Identity-sensor kan åbne LDAP-forbindelser til dem. I Indstillinger skal du desuden sørge for at konfigurere en katalogtjenestekonto for alle udrullede områder. | Middel | Fanen Tilstandsproblemer for sensorer |
Alle/nogle af hentningsnetværksadapterne på en sensor er ikke tilgængelige
| Besked | Beskrivelse | Opløsning | Alvorlighed | Vises i |
|---|---|---|---|---|
| Alle/nogle af de valgte hentningsnetværksadaptere på Defender for Identity-sensoren er deaktiveret eller afbrudt. | Netværkstrafik for nogle/alle domænecontrollere registreres ikke længere af Defender for Identity-sensoren. Dette problem påvirker muligheden for at registrere mistænkelige aktiviteter, der er relateret til disse domænecontrollere. | Sørg for, at disse valgte hentningsnetværksadaptere på Defender for Identity-sensoren er aktiveret og tilsluttet. | Middel | Fanen Tilstandsproblemer for sensorer |
Brugerlegitimationsoplysninger for katalogtjenester er forkerte
| Besked | Beskrivelse | Opløsning | Alvorlighed | Vises i |
|---|---|---|---|---|
| Legitimationsoplysningerne for katalogtjenestebrugerkontoen er forkerte. | Dette problem påvirker sensorernes evne til at registrere aktiviteter ved hjælp af LDAP-forespørgsler mod domænecontrollere. | – For en AD-standardkonto : Kontrollér, at brugernavnet, adgangskoden og domænet på konfigurationssiden for katalogtjenester er korrekt. – For gruppeadministrerede tjenestekonti: Kontrollér, at brugernavnet og domænet på konfigurationssiden for Directory Services er korrekt. Kontrollér også alle de andre forudsætninger for gMSA-konti , der er beskrevet på siden med anbefalinger til katalogtjenestekontoen . |
Middel | Fanen Globale tilstandsproblemer |
Lav succesrate for aktiv navnefortsættelse
| Besked | Beskrivelse | Opløsning | Alvorlighed | Vises i |
|---|---|---|---|---|
| De angivne Defender for Identity-sensorer kan ikke fortolke IP-adresser til enhedsnavne mere end 90 % af tiden ved hjælp af følgende metoder: - NTLM via RPC -NetBIOS - Omvendt DNS |
Dette påvirker defender for Identity's opdagelsesegenskaber og kan øge antallet af falske positive alarmer. | – For NTLM via RPC: Kontrollér, at port 135 er åben for indgående kommunikation fra Defender for Identity-sensorer på alle computere i miljøet. – For omvendt DNS: Kontrollér, at sensorerne kan nå DNS-serveren, og at Omvendte opslagszoner er aktiveret. - For NetBIOS: Kontrollér, at port 137 er åben for indgående kommunikation fra Defender for Identity-sensorer på alle computere i miljøet. Sørg desuden for, at netværkskonfigurationen (f.eks. firewalls) ikke forhindrer kommunikation til de relevante porte. |
Lav | Fanen Sensortilstandsproblemer og fanen Globale tilstandsproblemer |
Der er ikke modtaget trafik fra domænecontrolleren
| Besked | Beskrivelse | Opløsning | Alvorlighed | Vises i |
|---|---|---|---|---|
| Der blev ikke modtaget trafik fra domænecontrolleren via denne Defender for Identity-sensor. | Dette problem kan indikere, at portspejling fra domænecontrollere til Defender for Identity-sensoren endnu ikke er konfigureret eller ikke fungerer. | Kontrollér, at portspejling er konfigureret korrekt på dine netværksenheder. På Defender for Identity-sensorens registrerings-NIC skal du deaktivere disse funktioner i Avancerede indstillinger: Modtag segment samling (IPv4) Modtag segment samling (IPv6) |
Middel | Fanen Sensortilstandsproblemer og fanen Globale tilstandsproblemer |
Skrivebeskyttet brugeradgangskode udløber om et øjeblik
| Besked | Beskrivelse | Opløsning | Alvorlighed | Vises i |
|---|---|---|---|---|
| Den skrivebeskyttede brugeradgangskode, der bruges til at løse objekter mod Active Directory, er ved at udløbe om mindre end 30 dage. | Hvis adgangskoden for denne bruger udløber, holder alle Defender for Identity-sensorerne op med at køre, og der indsamles ingen nye data. | Skift adgangskoden til domæneforbindelsen, og opdater derefter adgangskoden til Directory Service-kontoen . | Middel | Fanen Globale tilstandsproblemer |
Skrivebeskyttet brugeradgangskode er udløbet
| Besked | Beskrivelse | Opløsning | Alvorlighed | Vises i |
|---|---|---|---|---|
| Den skrivebeskyttede brugeradgangskode, der bruges til at hente mappedata, er udløbet. | Alle Defender for Identity-sensorer holder op med at køre eller stopper snart, og der indsamles ingen nye data. | Skift adgangskoden til domæneforbindelsen, og opdater derefter adgangskoden til Directory Service-kontoen . | Høj | Fanen Globale tilstandsproblemer |
Sensor forældet
| Besked | Beskrivelse | Opløsning | Alvorlighed | Vises i |
|---|---|---|---|---|
| En Defender for Identity-sensor er forældet. | En Defender for Identity-sensor kører en version, der ikke kan kommunikere med cloudinfrastrukturen for Defender for Identity. | Opdater sensoren manuelt, og kontrollér, hvorfor sensoren ikke opdateres automatisk. Hvis denne indstilling ikke virker, skal du downloade den nyeste sensorinstallationspakke og fjerne og geninstallere sensoren. Du kan få flere oplysninger under Download Microsoft Defender for Identity-sensoren og Installér Microsoft Defender for Identity-sensoren. | Middel | Fanen Sensortilstandsproblemer og fanen Globale tilstandsproblemer |
Sensoren har nået en hukommelsesressourcegrænse
| Besked | Beskrivelse | Opløsning | Alvorlighed | Vises i |
|---|---|---|---|---|
| Defender for Identity-sensoren stoppede sig selv og genstarter automatisk for at beskytte domænecontrolleren mod en tilstand med for lidt hukommelse. | Defender for Identity-sensoren gennemtvinger hukommelsesbegrænsninger for sig selv for at forhindre, at domænecontrolleren oplever ressourcebegrænsninger. Dette problem opstår, når hukommelsesforbruget på domænecontrolleren er højt. Data fra denne domænecontroller overvåges kun delvist. | Forøg mængden af hukommelse (RAM) på domænecontrolleren, eller tilføj flere domænecontrollere på dette websted for bedre at distribuere belastningen af denne domænecontroller. | Middel | Fanen Tilstandsproblemer for sensorer |
Sensortjenesten kunne ikke startes
| Besked | Beskrivelse | Opløsning | Alvorlighed | Vises i |
|---|---|---|---|---|
| Defender for Identity-sensortjenesten kunne ikke starte i mindst 30 minutter. | Dette problem kan påvirke muligheden for at registrere mistænkelige aktiviteter, der stammer fra domænecontrollere, der overvåges af denne Defender for Identity-sensor. | Overvåg Defender for Identity-sensorlogge for at forstå hovedårsagen til fejlen i Defender for Identity-sensortjenesten. | Høj | Fanen Tilstandsproblemer for sensorer |
Sensoren stoppede kommunikationen
| Besked | Beskrivelse | Opløsning | Alvorlighed | Vises i |
|---|---|---|---|---|
| Der har ikke været nogen kommunikation fra Defender for Identity-sensoren. Standardtidsinterval for denne besked er 5 minutter. | Dette angiver, at sensoren ikke kunne sende data eller et keep-alive-signal til Defender for Identity-tjenesterne i en periode, der overstiger den tilladte tid. Dette antyder typisk enten et netværksproblem i miljøet, der forhindrede dataoverførsel eller en servergenstart, som tog længere tid end den acceptable tidsramme, og som påvirkede Defender for Identity's evne til at registrere mistænkelige aktiviteter. | Kontrollér, at kommunikationen mellem Defender for Identity-sensoren og Defender for Identity-cloudtjenesten ikke er blokeret af nogen routere eller firewalls. | Middel | Fanen Tilstandsproblemer for sensorer |
Nogle Windows-hændelser analyseres ikke
| Besked | Beskrivelse | Opløsning | Alvorlighed | Vises i |
|---|---|---|---|---|
| Defender for Identity-sensoren modtager flere hændelser, end den kan behandle. | Nogle Windows-hændelser analyseres ikke. Dette kan påvirke muligheden for at registrere mistænkelige aktiviteter, der stammer fra domænecontrollere, der overvåges af denne Defender for Identity-sensor. | Overvej at tilføje flere processorer og hukommelse efter behov. Hvis du bruger en separat Defender for Identity-sensor, skal du kontrollere, at det kun er de påkrævede hændelser, der videresendes til sensoren. Eller prøv at videresende nogle hændelser til en anden Defender for Identity-sensor. | Middel | Fanen Sensortilstandsproblemer og fanen Globale tilstandsproblemer |
Noget af netværkstrafikken kunne ikke analyseres
| Besked | Beskrivelse | Opløsning | Alvorlighed | Vises i |
|---|---|---|---|---|
| Defender for Identity-sensoren modtager mere netværkstrafik, end den kan behandle. | Noget af netværkstrafikken kunne ikke analyseres. Dette problem kan påvirke muligheden for at registrere mistænkelige aktiviteter, der stammer fra domænecontrollere, der overvåges af denne Defender for Identity-sensor. | Overvej at tilføje flere processorer og hukommelse efter behov. Hvis du bruger en separat Defender for Identity-sensor, skal du reducere antallet af domænecontrollere, der overvåges. Dette problem kan også opstå, hvis du bruger domænecontrollere på virtuelle VMware-maskiner. For at undgå disse problemer kan du kontrollere, at følgende indstillinger er angivet til 0 eller Deaktiveret på den virtuelle maskine (i Windows-operativsystemet, ikke i VMware-indstillingerne): - Stor send offload V2 (IPv4) - IPv4 TSO-aflastning Navnene kan variere afhængigt af din VMware-version. Du kan få flere oplysninger i din VMware-dokumentation. |
Middel | Fanen Sensortilstandsproblemer og fanen Globale tilstandsproblemer |
Nogle ETW-hændelser analyseres ikke
| Besked | Beskrivelse | Opløsning | Alvorlighed | Vises i |
|---|---|---|---|---|
| Defender for Identity-sensoren modtager flere Hændelsessporing til Windows (ETW)-hændelser, end den kan behandle. | Nogle hændelsessporingshændelser for Windows (ETW) analyseres ikke. Dette kan påvirke muligheden for at registrere mistænkelige aktiviteter, der stammer fra domænecontrollere, der overvåges af denne Defender for Identity-sensor. | Overvej at tilføje flere processorer og hukommelse efter behov. | Middel | Fanen Sensortilstandsproblemer og fanen Globale tilstandsproblemer |
Sensor, der kører på et operativsystem, som snart ikke understøttes
| Besked | Beskrivelse | Opløsning | Alvorlighed | Vises i |
|---|---|---|---|---|
| Defender for Identity-sensoren kører på et operativsystem, der snart ikke understøttes. | Windows Server 2012 og 2012 ophørte supporten den 10. oktober 2023. Du kan finde flere oplysninger på: https://aka.ms/mdi/oseos | Operativsystemet på serveren skal opgraderes til det senest understøttede operativsystem. Du kan finde flere oplysninger under: https://aka.ms/mdi/os | Middel | Fanen Tilstandsproblemer for sensorer |
Sensor, der kører på et operativsystem, der ikke understøttes
| Besked | Beskrivelse | Opløsning | Alvorlighed | Vises i |
|---|---|---|---|---|
| Defender for Identity-sensoren kører på et operativsystem, der ikke understøttes. | Windows Server 2012 og 2012 ophørte supporten den 10. oktober 2023. Du kan finde flere oplysninger på: https://aka.ms/mdi/oseos | Operativsystemet på serveren skal opgraderes til det senest understøttede operativsystem. Du kan finde flere oplysninger under: https://aka.ms/mdi/os | Høj | Fanen Tilstandsproblemer for sensorer |
Sensoren har problemer med komponenten til pakkesøgning
| Besked | Beskrivelse | Opløsning | Alvorlighed | Vises i |
|---|---|---|---|---|
| Defender for Identity-sensoren bruger WinPcap-drivere i stedet for Npcap-drivere. | Alle kunder skal bruge Npcap-drivere i stedet for WinPcap-drivere. Fra og med Defender for Identity version 2.184 installerer installationspakken Npcap 1.0 OEM. | Installér Npcap i henhold til vejledningen som beskrevet i: https://aka.ms/mdi/npcap | Høj | Fanen Tilstandsproblemer for sensorer |
| Defender for Identity-sensoren kører en Npcap-version, der er ældre end den version, der som minimum kræves. | Den mindste Npcap-version, der understøttes, er 1.0. Fra og med Defender for Identity version 2.184 installerer installationspakken Npcap 1.0 OEM. | Opgrader Npcap i henhold til vejledningen som beskrevet i: https://aka.ms/mdi/npcap | Middel | Fanen Tilstandsproblemer for sensorer |
| Defender for Identity-sensoren kører en Npcap-komponent, der ikke er konfigureret efter behov. | Npcap-installationen mangler de påkrævede konfigurationsindstillinger. | Installér Npcap i henhold til vejledningen som beskrevet i: https://aka.ms/mdi/npcap | Høj | Fanen Tilstandsproblemer for sensorer |
NTLM Auditing er ikke aktiveret
| Besked | Beskrivelse | Opløsning | Alvorlighed | Vises i |
|---|---|---|---|---|
| NTLM Auditing er ikke aktiveret. | NTLM Auditing (for hændelses-id 8004) er ikke aktiveret på serveren. (Denne konfiguration valideres én gang om dagen pr. sensor). | Aktivér NTLM Auditing-hændelser i henhold til vejledningen som beskrevet i afsnittet Hændelses-id 8004 på siden Konfigurer Windows-hændelsessamling . | Middel | Fanen Tilstandsproblemer for sensorer |
Avanceret overvågning af Directory Services er ikke aktiveret efter behov
| Besked | Beskrivelse | Opløsning | Alvorlighed | Vises i |
|---|---|---|---|---|
| Avanceret overvågning af Directory Services er ikke aktiveret efter behov. (Denne konfiguration valideres én gang om dagen pr. sensor). | Konfiguration af Avanceret overvågning af Directory Services indeholder ikke alle kategorier og underkategorier efter behov. | Aktivér Hændelserne for avanceret overvågning af Directory Services. Du kan finde flere oplysninger under Konfigurer overvågningspolitikker for Windows-hændelseslogge. | Middel | Fanen Tilstandsproblemer for sensorer |
Overvågning af Katalogtjenesters objekter er ikke aktiveret efter behov
| Besked | Beskrivelse | Opløsning | Alvorlighed | Vises i |
|---|---|---|---|---|
| Directory Services Object Auditing er ikke aktiveret efter behov. (Denne konfiguration valideres én gang om dagen pr. domæne). | Konfigurationen af Directory Services Object Auditing indeholder ikke alle objekttyper og tilladelser efter behov. | Aktivér Directory Services Object Auditing-hændelser i henhold til vejledningen som beskrevet i afsnittet Konfigurer overvågning af domæneobjekt på siden Konfigurer Windows-hændelsessamling . | Middel | Fanen Globale tilstandsproblemer |
Overvågning af konfigurationsobjektbeholderen er ikke aktiveret efter behov
| Besked | Beskrivelse | Opløsning | Alvorlighed | Vises i |
|---|---|---|---|---|
| Overvågning af konfigurationsobjektbeholderen er ikke aktiveret efter behov. (Denne konfiguration valideres én gang om dagen pr. domæne). | Directory Services Auditing på domænets konfigurationsobjektbeholder er ikke aktiveret efter behov. | Aktivér Directory Services Auditing på domænets konfigurationsobjektbeholder i henhold til vejledningen som beskrevet i afsnittet Konfigurer overvågningspolitikker på siden Konfigurer Windows-hændelsessamling . | Middel | Fanen Globale tilstandsproblemer |
Overvågning af ADFS-objektbeholderen er ikke aktiveret efter behov
| Besked | Beskrivelse | Opløsning | Alvorlighed | Vises i |
|---|---|---|---|---|
| Overvågning på ADFS-objektbeholderen er ikke aktiveret efter behov. (Denne konfiguration valideres én gang om dagen pr. domæne). | Directory Services Auditing på ADFS-objektbeholderen er ikke aktiveret efter behov. | Aktivér Directory Services Auditing på ADFS-objektbeholderen i henhold til vejledningen, som beskrevet i afsnittet Konfigurer overvågning på et Active Directory Federation Services (AD FS) på siden Konfigurer Windows-hændelsessamling. | Middel | Fanen Globale tilstandsproblemer |
Power-tilstand er ikke konfigureret til optimal processorydeevne
| Besked | Beskrivelse | Opløsning | Alvorlighed | Vises i |
|---|---|---|---|---|
| Power-tilstand er ikke konfigureret til optimal processorydeevne. (Denne konfiguration valideres én gang om dagen pr. sensor). | Operativsystemets strømtilstand er ikke konfigureret til de optimale indstillinger for processorydeevne. Dette problem kan påvirke serverens ydeevne og sensorernes evne til at registrere mistænkelige aktiviteter. | Gør et af følgende: – Konfigurer strømindstillingen for den maskine, der kører Defender for Identity-sensoren, til Høj ydeevne - Angiv både minimum- og maksimumprocessortilstanden til 100 Du kan få flere oplysninger i afsnittet Sensorkrav og -anbefalinger på siden Defender for Identity-forudsætninger . |
Lav | Fanen Tilstandsproblemer for sensorer |
Sensoren kunne ikke skrive til den brugerdefinerede logsti
| Besked | Beskrivelse | Opløsning | Alvorlighed | Vises i |
|---|---|---|---|---|
| Sensoren kunne ikke skrive til den brugerdefinerede logsti. | Den brugerdefinerede logsti, der er angivet i sensorkonfigurationen, kan ikke oprettes. | 1. Stop AATPSensorUpdater tjenesterne og AATPSensor . 2. Skift SensorCustomLogLocation konfigurationsfilen i sensoren til en gyldig sti, eller angiv den til null. 3. Start AATPSensorUpdater tjenesterne og AATPSensor igen. |
Lav | Fanen Tilstandsproblemer for sensorer |
Fejl ved dataindtagelse for radiusregnskab (VPN-integration)
| Besked | Beskrivelse | Opløsning | Alvorlighed | Vises i |
|---|---|---|---|---|
| Fejl i dataindtagelse for radiusregnskab (VPN-integration). | De angivne Defender for Identity-sensorer har dataindtagelsesfejl med radiusregnskab (VPN-integration). | Valider, at den delte hemmelighed i indstillingerne for Defender for Identity-konfigurationen stemmer overens med din VPN-server i henhold til den vejledning, der er beskrevet i afsnittet Konfigurer VPN i Defender for Identity på siden til integration af Defender for Identity VPN . | Lav | Siden Tilstandsproblemer |
Overvågning af AD CS-servere er ikke aktiveret efter behov
| Besked | Beskrivelse | Opløsning | Alvorlighed | Vises i |
|---|---|---|---|---|
| Overvågning af AD CS-servere er ikke aktiveret efter behov. (Denne konfiguration valideres én gang om dagen pr. sensor). | Konfiguration af avanceret overvågningspolitik eller AD CS-overvågning er ikke aktiveret efter behov. | Aktivér konfigurationen af avanceret overvågningspolitik og AD CS-overvågning i henhold til vejledningen som beskrevet i afsnittet Konfigurer overvågning på AD CS på siden Konfigurer Windows-hændelsessamling . | Middel | Fanen Tilstandsproblemer for sensorer |
Sensoren kunne ikke hente Microsoft Entra Konfiguration af Connect-tjenesten
| Besked | Beskrivelse | Opløsning | Alvorlighed | Vises i |
|---|---|---|---|---|
| Det lykkedes ikke at hente Microsoft Entra konfiguration af forbindelsestjenesten | Sensoren kan ikke hente konfigurationen fra Microsoft Entra Connect-tjenesten (også kendt som Microsoft Azure AD synkronisering). | Kontrollér, at Microsoft Entra connect service (Microsoft Azure AD Sync) kører, og følg vejledningen i Konfigurer tilladelser for ADSync-databasen (Microsoft Entra Connect) for at give sensoren de nødvendige tilladelser. Hvis problemet fortsætter, skal du følge fejlfindingsvejledningen ved problemer med SQL-forbindelse med Microsoft Entra Connect. | Middel | Fanen Tilstandsproblemer for sensorer |