Problembehandlung bei bekannten ATA-Problemen
Gilt für: Advanced Threat Analytics Version 1.9
In diesem Abschnitt werden mögliche Fehler in den Bereitstellungen von ATA und die schritte erläutert, die für deren Problembehandlung erforderlich sind.
ATA-Gateway- und Lightweight-Gatewayfehler
| Fehler | Beschreibung | Lösung |
|---|---|---|
| System.DirectoryServices.Protocols.LdapException: Lokaler Fehler aufgetreten | Das ATA-Gateway konnte sich nicht beim Domänencontroller authentifizieren. | 1. Vergewissern Sie sich, dass der DNS-Eintrag des Domänencontrollers auf dem DNS-Server ordnungsgemäß konfiguriert ist. 2. Überprüfen Sie, ob die Zeit des ATA-Gateways mit der Zeit des Domänencontrollers synchronisiert wird. |
| System.IdentityModel.Tokens.SecurityTokenValidationException: Fehler beim Überprüfen der Zertifikatkette | Das ATA-Gateway konnte das Zertifikat von ATA Center nicht überprüfen. | 1. Überprüfen Sie, ob das Zertifikat der Stammzertifizierungsstelle im Zertifikatspeicher der vertrauenswürdigen Zertifizierungsstelle auf dem ATA-Gateway installiert ist. 2. Überprüfen Sie, ob die Zertifikatsperrliste (Certificate Revocation List, CRL) verfügbar ist und dass die Zertifikatsperrüberprüfung durchgeführt werden kann. |
| Microsoft.Common.ExtendedException: Fehler beim Analysieren der generierten Zeit | Das ATA-Gateway konnte syslog-Nachrichten, die vom SIEM weitergeleitet wurden, nicht analysieren. | Vergewissern Sie sich, dass das SIEM so konfiguriert ist, dass die Nachrichten in einem der von ATA unterstützten Formate weitergeleitet werden. |
| System.ServiceModel.FaultException: Fehler beim Überprüfen der Sicherheit für die Nachricht. | Das ATA-Gateway konnte sich nicht bei ATA Center authentifizieren. | Vergewissern Sie sich, dass die Uhrzeit des ATA-Gateways mit der Zeit von ATA Center synchronisiert ist. |
| System.ServiceModel.EndpointNotFoundException: Es konnte keine Verbindung mit net.tcp://center.ip.addr:443/IEntityReceiver hergestellt werden. | Das ATA-Gateway konnte keine Verbindung mit ATA Center herstellen. | Stellen Sie sicher, dass die Netzwerkeinstellungen korrekt sind und dass die Netzwerkverbindung zwischen dem ATA-Gateway und dem ATA Center aktiv ist. |
| System.DirectoryServices.Protocols.LdapException: Der LDAP-Server ist nicht verfügbar. | Das ATA-Gateway konnte den Domänencontroller nicht mithilfe des LDAP-Protokolls abfragen. | 1. Überprüfen Sie, ob das Benutzerkonto, das von ATA zum Herstellen einer Verbindung mit der Active Directory-Domäne verwendet wird, über Lesezugriff auf alle Objekte in der Active Directory-Struktur verfügt. 2. Stellen Sie sicher, dass der Domänencontroller nicht gehärtet ist, um LDAP-Abfragen des von ATA verwendeten Benutzerkontos zu verhindern. |
| Microsoft.Tri.Infrastructure.ContractException: Vertragsausnahme | Das ATA-Gateway konnte die Konfiguration aus ATA Center nicht synchronisieren. | Schließen Sie die Konfiguration des ATA-Gateways in der ATA-Konsole ab. |
| System.Reflection.ReflectionTypeLoadException: Einer oder mehrere der angeforderten Typen kann nicht geladen werden. Rufen Sie die LoaderExceptions-Eigenschaft ab, um weitere Informationen zu erfahren. | Message Analyzer ist auf dem ATA-Gateway installiert. | Deinstallieren Sie Message Analyzer. |
| Fehler [Layout] System.OutOfMemoryException: Ausnahme vom Typ "System.OutOfMemoryException" wurde ausgelöst. | Das ATA-Gateway verfügt nicht über genügend Arbeitsspeicher. | Erhöhen Sie die Arbeitsspeichermenge auf dem Domänencontroller. |
| Fehler beim Starten von Liveconsumer ---> Microsoft.Opn.Runtime.Monitoring.MessageSessionException: Der PEFNDIS-Ereignisanbieter ist nicht bereit | PEF (Message Analyzer) wurde nicht ordnungsgemäß installiert. | Wenn Sie Hyper-V verwenden, versuchen Sie, hyper-V Integration Services zu aktualisieren. Wenden Sie sich andernfalls an den Support, um eine Problemumgehung zu erfragen. |
| Fehler bei der Installation: 0x80070652 | Es gibt weitere ausstehende Installationen auf Ihrem Computer. | Warten Sie, bis die anderen Installationen abgeschlossen sind, und starten Sie den Computer bei Bedarf neu. |
| System.InvalidOperationException: Die Instanz "Microsoft.Tri.Gateway" ist in der angegebenen Kategorie nicht vorhanden. | PIDs wurden für Prozessnamen im ATA-Gateway aktiviert. | Weitere Informationen finden Sie unter Behandeln doppelter Instanznamen zum Deaktivieren von PIDs in Prozessnamen. |
| 'System.InvalidOperationException: Die Kategorie ist nicht vorhanden. | Leistungsindikatoren sind möglicherweise in der Registrierung deaktiviert. | Verwenden von KB2554336 zum Neuerstellen von Leistungsindikatoren |
| System.ApplicationException: ETW-Sitzung MMA-ETW-Livecapture-a4f595bd-f567-49a7-b963-20fa4e370329 | Die HOSTS-Datei enthält einen Hosteintrag, der auf den Kurznamen des Computers verweist. | Entfernen Sie den Hosteintrag aus der Datei C:\Windows\System32\drivers\etc\HOSTS, oder ändern Sie ihn in einen FQDN. |
| System.IO.IOException: Fehler bei der Authentifizierung, weil die Remotepartei den Transportstream geschlossen hat oder keinen sicheren SSL/TLS-Kanal erstellen konnte | TLS 1.0 ist auf dem ATA-Gateway deaktiviert, aber .NET ist auf die Verwendung von TLS 1.2 festgelegt. | Aktivieren Sie TLS 1.2 für .NET, indem Sie die Registrierungsschlüssel so festlegen, dass die Betriebssystemstandardeinstellungen für SSL und TLS wie folgt verwendet werden:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] " SchUseStrongCrypto"=dword:00000001
|
| System.TypeLoadException: Der Typ "Microsoft.Opn.Runtime.Values.BinaryValueBufferManager" konnte nicht aus der Assembly "Microsoft.Opn.Runtime, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" geladen werden. | Das ATA-Gateway konnte die erforderlichen Analysedateien nicht laden. | Überprüfen Sie, ob Microsoft Message Analyzer derzeit installiert ist. Message Analyzer wird nicht unterstützt, um mit dem ATA-Gateway/Lightweight-Gateway installiert zu werden. Deinstallieren Sie Message Analyzer, und starten Sie den Gatewaydienst neu. |
| System.Net.WebException: Der Remoteserver hat einen Fehler zurückgegeben: (407) Proxyauthentifizierung erforderlich | Die ATA-Gateway-Kommunikation mit ATA Center wird durch einen Proxyserver unterbrochen. | Deaktivieren Sie den Proxy auf dem ATA-Gatewaycomputer. Beachten Sie, dass die Proxyeinstellungen kontobezogen sein können. |
| System.IO.DirectoryNotFoundException: Das System kann den angegebenen Pfad nicht finden. (Ausnahme von HRESULT: 0x80070003) | Mindestens einer der dienste, die für den Betrieb von ATA erforderlich sind, wurde nicht gestartet. | Starten Sie die folgenden Dienste: Leistungsprotokolle und -warnungen (PLA), Aufgabenplanung (Zeitplan). |
| System.Net.WebException: Der Remoteserver hat einen Fehler zurückgegeben: (403) Verboten | Dem ATA-Gateway oder Lightweight-Gateway wurde das Herstellen einer HTTP-Verbindung untersagt, da ATA Center nicht vertrauenswürdig ist. | Fügen Sie den NetBIOS-Namen und den FQDN von ATA Center der Liste der vertrauenswürdigen Websites hinzu, und löschen Sie den Cache im Internet Explorer (oder den Namen von ATA Center, wie in der Konfiguration angegeben, wenn sich der konfigurierte vom NetBIOS/FQDN unterscheidet). |
| System.Net.Http.HttpRequestException: PostAsync failed [requestTypeName=StopNetEventSessionRequest] | Das ATA-Gateway oder DAS ATA-Lightweight-Gateway kann die ETW-Sitzung, die Netzwerkdatenverkehr sammelt, aufgrund eines WMI-Problems nicht beenden und starten. | Befolgen Sie die Anweisungen unter WMI: Neuerstellen des WMI-Repositorys , um das WMI-Problem zu beheben. |
| System.Net.Sockets.SocketException: Es wurde versucht, auf einen Socket auf eine Weise zuzugreifen, die durch seine Zugriffsberechtigungen verboten ist. | Eine andere Anwendung verwendet Port 514 auf dem ATA-Gateway. | Verwenden Sie netstat -o , um festzulegen, welcher Prozess diesen Port verwendet. |
Bereitstellungsfehler
| Fehler | Beschreibung | Lösung |
|---|---|---|
| Fehler bei der Installation von .NET Framework 4.6.1 0x800713ec | Die Voraussetzungen für .NET Framework 4.6.1 sind nicht auf dem Server installiert. | Überprüfen Sie vor der Installation von ATA, ob die Windows-Updates KB2919442 und KB2919355 auf dem Server installiert sind. |
| System.Threading.Tasks.TaskCanceledException: Eine Aufgabe wurde abgebrochen | Der Bereitstellungsprozess hat ein Timeout erreicht, da das ATA Center nicht erreicht werden konnte. | 1. Überprüfen Sie die Netzwerkkonnektivität mit DEM ATA Center, indem Sie mit seiner IP-Adresse zu ihm navigieren. 2. Überprüfen Sie die Proxy- oder Firewallkonfiguration. |
| System.Net.Http.HttpRequestException: Fehler beim Senden der Anforderung. >--- System.Net.WebException: Der Remoteserver hat einen Fehler zurückgegeben: (407) Proxyauthentifizierung erforderlich. | Für den Bereitstellungsprozess ist ein Timeout erreicht, da das ATA Center aufgrund einer Fehlkonfiguration des Proxys nicht erreicht werden konnte. | Deaktivieren Sie die Proxykonfiguration vor der Bereitstellung, und aktivieren Sie dann die Proxykonfiguration erneut. Alternativ können Sie eine Ausnahme im Proxy konfigurieren. |
| System.Net.Sockets.SocketException: Eine vorhandene Verbindung wurde vom Remotehost erzwungen geschlossen. | Aktivieren Sie TLS 1.2 für .NET, indem Sie die Registrierungsschlüssel so festlegen, dass die Betriebssystemstandardeinstellungen für SSL und TLS wie folgt verwendet werden:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
|
|
| Fehler [\[]DeploymentModel[\]] Fehlgeschlagene Verwaltungsauthentifizierung [\[]CurrentlyLoggedOnUser=<domain>\<username>Status=FailedAuthentication Exception=[\]] | Der Bereitstellungsprozess des ATA-Gateways oder des ATA-Lightweight-Gateways konnte nicht erfolgreich bei ATA Center authentifiziert werden. | Öffnen Sie einen Browser auf dem Computer, auf dem der Bereitstellungsprozess fehlgeschlagen ist, und überprüfen Sie, ob Sie die ATA-Konsole erreichen können.
Wenn dies nicht der Fall ist, beginnen Sie mit der Problembehandlung, um zu ermitteln, warum sich der Browser nicht bei ATA Center authentifizieren kann. Zu überprüfende Punkte: Proxykonfiguration Netzwerkprobleme Gruppenrichtlinieneinstellungen für die Authentifizierung auf diesem Computer, die sich von ATA Center unterscheiden. |
| Fehler [\[]DeploymentModel[\]] Fehlgeschlagene Verwaltungsauthentifizierung | Fehler bei der Überprüfung des Centerzertifikats | Für das Center-Zertifikat ist möglicherweise eine Internetverbindung für die Überprüfung erforderlich. Stellen Sie sicher, dass Ihr Gatewaydienst über die richtige Proxykonfiguration verfügt, um die Verbindung und Überprüfung zu aktivieren. |
| Beim Bereitstellen des Centers und auswählen eines Zertifikats wird der Fehler "Nicht unterstützt" gemeldet. | Dies kann passieren, wenn entweder das ausgewählte Zertifikat die Anforderungen nicht erfüllt oder wenn auf den privaten Schlüssel des Zertifikats nicht zugegriffen werden kann. | Stellen Sie sicher, dass Sie die Bereitstellung mit erhöhten Rechten ausführen (Als Administrator ausführen), und dass das ausgewählte Zertifikat die Anforderungen erfüllt. |
ATA Center-Fehler
| Fehler | Beschreibung | Lösung |
|---|---|---|
| System.Security.Cryptography.CryptographicException: Zugriff verweigert. | Ata Center konnte das ausgestellte Zertifikat nicht für die Entschlüsselung verwenden. Dies ist wahrscheinlich auf die Verwendung eines Zertifikats zurückzuführen, bei dem KeySpec (KeyNumber) auf Signature (AT\_SIGNATURE) festgelegt ist, das für die Entschlüsselung nicht unterstützt wird, anstatt KeyExchange (AT\_KEYEXCHANGE) zu verwenden. | 1. Beenden Sie den ATA Center-Dienst. 2. Löschen Sie das ATA Center-Zertifikat aus dem Zertifikatspeicher des Centers. (Stellen Sie vor dem Löschen sicher, dass das Zertifikat mit dem privaten Schlüssel in einer PFX-Datei gesichert ist.) 3. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und führen Sie certutil -importpfx "CenterCertificate.pfx" AT\_KEYEXCHANGE 4. Starten Sie den ATA Center-Dienst. 5. Überprüfen Sie, ob alles jetzt wie erwartet funktioniert. |
Probleme mit ATA-Gateway und Lightweight Gateway
| Problem | Beschreibung | Lösung |
|---|---|---|
| Es wird kein Datenverkehr vom Domänencontroller empfangen, aber Integritätswarnungen werden beobachtet. | Es wurde kein Datenverkehr von einem Domänencontroller empfangen, der die Portspiegelung über ein ATA-Gateway verwendet. | Deaktivieren Sie auf der ATA-Gateway-Erfassungs-NIC diese Features unter Erweiterte Einstellungen: Receive Segment Coalescing (IPv4) Receive Segment Coalescing (IPv6) |
| Diese Integritätswarnung wird angezeigt: Ein Teil des Netzwerkdatenverkehrs wird nicht analysiert. | Wenn Sie über ein ATA-Gateway oder ein Lightweight Gateway auf virtuellen VMware-Computern verfügen, erhalten Sie möglicherweise diese Integritätswarnung. Dies geschieht aufgrund eines Konfigurationskonflikts in VMware. | Legen Sie die folgenden Einstellungen in der NIC-Konfiguration des virtuellen Computers auf 0 oder Deaktiviert fest: TsoEnable, LargeSendOffload, TSO Offload, Giant TSO Offload |
Multiprozessorgruppenmodus
Für die Windows-Betriebssysteme 2008R2 und 2012 wird DAS ATA-Gateway im Mehrprozessorgruppenmodus nicht unterstützt.
Mögliche Problemumgehungen vorgeschlagen:
Wenn Hyperthreading aktiviert ist, deaktivieren Sie es. Dadurch kann die Anzahl der logischen Kerne so reduziert werden, dass sie nicht im Multiprozessorgruppenmodus ausgeführt werden müssen.
Wenn Ihr Computer über weniger als 64 logische Kerne verfügt und auf einem HP-Host ausgeführt wird, können Sie möglicherweise die BIOS-Einstellung für die NUMA-Gruppengrößenoptimierung von der Standardeinstellung "Gruppiert " in "Flach" ändern.