Solución de problemas conocidos de ATA
Se aplica a: Advanced Threat Analytics versión 1.9
En esta sección se detallan los posibles errores en las implementaciones de ATA y los pasos necesarios para solucionarlos.
Errores de puerta de enlace de ATA y puerta de enlace ligera
| Error | Descripción | Solución |
|---|---|---|
| System.DirectoryServices.Protocols.LdapException: Error local | La puerta de enlace de ATA no pudo autenticarse en el controlador de dominio. | 1. Confirme que el registro DNS del controlador de dominio está configurado correctamente en el servidor DNS. 2. Compruebe que la hora de la puerta de enlace de ATA está sincronizada con la hora del controlador de dominio. |
| System.IdentityModel.Tokens.SecurityTokenValidationException: No se pudo validar la cadena de certificados | La puerta de enlace de ATA no pudo validar el certificado del Centro ATA. | 1. Compruebe que el certificado de ca raíz está instalado en el almacén de certificados de entidad de certificación de confianza en la puerta de enlace de ATA. 2. Valide que la lista de revocación de certificados (CRL) está disponible y que se puede realizar la validación de revocación de certificados. |
| Microsoft.Common.ExtendedException: no se pudo analizar el tiempo generado | La puerta de enlace de ATA no pudo analizar los mensajes de Syslog que se reenvían desde SIEM. | Compruebe que siem está configurado para reenviar los mensajes en uno de los formatos admitidos por ATA. |
| System.ServiceModel.FaultException: error al comprobar la seguridad del mensaje. | La puerta de enlace de ATA no pudo autenticarse en el Centro ATA. | Compruebe que la hora de la puerta de enlace de ATA está sincronizada con la hora del Centro ATA. |
| System.ServiceModel.EndpointNotFoundException: no se pudo conectar a net.tcp://center.ip.addr:443/IEntityReceiver | La puerta de enlace de ATA no pudo establecer una conexión con el Centro ATA. | Asegúrese de que la configuración de red es correcta y de que la conexión de red entre la puerta de enlace de ATA y el Centro ATA está activa. |
| System.DirectoryServices.Protocols.LdapException: el servidor LDAP no está disponible. | La puerta de enlace de ATA no pudo consultar el controlador de dominio mediante el protocolo LDAP. | 1. Compruebe que la cuenta de usuario usada por ATA para conectarse al dominio de Active Directory tiene acceso de lectura a todos los objetos del árbol de Active Directory. 2. Asegúrese de que el controlador de dominio no está protegido para evitar consultas LDAP de la cuenta de usuario que usa ATA. |
| Microsoft.Tri.Infrastructure.ContractException: excepción de contrato | La puerta de enlace de ATA no pudo sincronizar la configuración desde el Centro ATA. | Complete la configuración de la puerta de enlace de ATA en la consola de ATA. |
| System.Reflection.ReflectionTypeLoadException: no se puede cargar uno o varios de los tipos solicitados. Recupere la propiedad LoaderExceptions para obtener más información. | Message Analyzer está instalado en la puerta de enlace de ATA. | Desinstale el analizador de mensajes. |
| Error [Layout] System.OutOfMemoryException: Se produjo la excepción del tipo "System.OutOfMemoryException". | La puerta de enlace de ATA no tiene suficiente memoria. | Aumente la cantidad de memoria en el controlador de dominio. |
| No se puede iniciar el consumidor en directo ---> Microsoft.Opn.Runtime.Monitoring.MessageSessionException: El proveedor de eventos PEFNDIS no está listo | PEF (Analizador de mensajes) no se instaló correctamente. | Si usa Hyper-V, intente actualizar Los servicios de integración de Hyper-V de lo contrario, póngase en contacto con el soporte técnico para obtener una solución alternativa. |
| Error de instalación: 0x80070652 | Hay otras instalaciones pendientes en el equipo. | Espere a que se completen las demás instalaciones y, si es necesario, reinicie el equipo. |
| System.InvalidOperationException: la instancia "Microsoft.Tri.Gateway" no existe en la categoría especificada. | Los PIN se habilitaron para los nombres de proceso en la puerta de enlace de ATA. | Consulte Control de nombres de instancia duplicados para deshabilitar los PIN en los nombres de proceso. |
| 'System.InvalidOperationException: La categoría no existe. | Es posible que los contadores se deshabiliten en el registro | Uso de KB2554336 para volver a generar contadores de rendimiento |
| System.ApplicationException: No se puede iniciar la sesión ETW MMA-ETW-Livecapture-a4f595bd-f567-49a7-b963-20fa4e370329 | Hay una entrada de host en el archivo HOSTS que apunta al nombre corto de la máquina. | Quite la entrada de host del archivo C:\Windows\System32\drivers\etc\HOSTS o cámbiela a un FQDN. |
| System.IO.IOException: error de autenticación porque la entidad remota ha cerrado el flujo de transporte o no ha podido crear un canal seguro SSL/TLS. | TLS 1.0 está deshabilitado en la puerta de enlace de ATA, pero .Net está establecido para usar TLS 1.2. | Habilite TLS 1.2 para .Net estableciendo las claves del Registro para usar los valores predeterminados del sistema operativo para SSL y TLS, como se indica a continuación:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] " SchUseStrongCrypto"=dword:00000001
|
| System.TypeLoadException: no se pudo cargar el tipo "Microsoft.Opn.Runtime.Values.BinaryValueBufferManager" del ensamblado "Microsoft.Opn.Runtime, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" | La puerta de enlace de ATA no pudo cargar los archivos de análisis necesarios. | Compruebe si Microsoft Message Analyzer está instalado actualmente. No se admite la instalación del Analizador de mensajes con la puerta de enlace de ATA o la puerta de enlace ligera. Desinstale el Analizador de mensajes y reinicie el servicio puerta de enlace. |
| System.Net.WebException: el servidor remoto devolvió un error: (407) Se requiere autenticación de proxy | Un servidor proxy interrumpe la comunicación de la puerta de enlace de ATA con el Centro ATA. | Deshabilite el proxy en la máquina de puerta de enlace de ATA. Tenga en cuenta que la configuración del proxy puede ser por cuenta. |
| System.IO.DirectoryNotFoundException: el sistema no puede encontrar la ruta de acceso especificada. (Excepción de HRESULT: 0x80070003) | Uno o varios de los servicios necesarios para operar ATA no se iniciaron. | Inicie los siguientes servicios: Registros y alertas de rendimiento (PLA), programador de tareas (programación). |
| System.Net.WebException: el servidor remoto devolvió un error: (403) Prohibido | Se ha prohibido que la puerta de enlace de ATA o la puerta de enlace ligera establezcan una conexión HTTP porque el Centro de ATA no es de confianza. | Agregue el nombre NetBIOS y el FQDN del Centro ATA a la lista de sitios web de confianza y borre la memoria caché en Internet Explorer (o el nombre del Centro ATA tal como se especifica en la configuración si la configuración es diferente de NetBIOS/FQDN). |
| System.Net.Http.HttpRequestException: Error de PostAsync [requestTypeName=StopNetEventSessionRequest] | La puerta de enlace de ATA o la puerta de enlace ligera de ATA no pueden detener e iniciar la sesión ETW que recopila el tráfico de red debido a un problema de WMI. | Siga las instrucciones de WMI: Recompilación del repositorio WMI para corregir el problema de WMI. |
| System.Net.Sockets.SocketException: se intentó acceder a un socket de una manera prohibida por sus permisos de acceso. | Otra aplicación usa el puerto 514 en la puerta de enlace de ATA. | Use netstat -o para establecer qué proceso usa ese puerto. |
Errores de implementación
| Error | Descripción | Solución |
|---|---|---|
| Se produce un error en la instalación de .Net Framework 4.6.1 0x800713ec | Los requisitos previos para .Net Framework 4.6.1 no se instalan en el servidor. | Antes de instalar ATA, compruebe que las actualizaciones de Windows KB2919442 y KB2919355 están instaladas en el servidor. |
| System.Threading.Tasks.TaskCanceledException: se canceló una tarea. | El proceso de implementación agotó el tiempo de espera, ya que no pudo llegar al Centro ATA. | 1. Compruebe la conectividad de red con el Centro ATA; para ello, vaya a él con su dirección IP. 2. Compruebe si hay configuración de proxy o firewall. |
| System.Net.Http.HttpRequestException: error al enviar la solicitud. >--- System.Net.WebException: el servidor remoto devolvió un error: (407) Se requiere autenticación de proxy. | El proceso de implementación agotó el tiempo de espera, ya que no pudo llegar al Centro ATA debido a una configuración incorrecta del proxy. | Deshabilite la configuración del proxy antes de la implementación y vuelva a habilitar la configuración del proxy. Como alternativa, puede configurar una excepción en el proxy. |
| System.Net.Sockets.SocketException: el host remoto cerró forzadamente una conexión existente | Habilite TLS 1.2 para .Net estableciendo las claves del Registro para usar los valores predeterminados del sistema operativo para SSL y TLS, como se indica a continuación:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
|
|
| Error [\[]DeploymentModel[\]] Error de autenticación de administración [\[]CurrentlyLoggedOnUser=<domain>\<username>Status=FailedAuthentication Exception=[\]] | El proceso de implementación de la puerta de enlace de ATA o la puerta de enlace ligera de ATA no se pudo autenticar correctamente en el Centro ATA. | Abra un explorador desde la máquina en la que se produjo un error en el proceso de implementación y vea si puede acceder a la consola de ATA.
Si no es así, empiece a solucionar problemas para ver por qué el explorador no puede autenticarse en el Centro ATA. Cosas que hay que comprobar: Configuración de proxy Las redes emiten la configuración de directiva de grupo para la autenticación en esa máquina que difiere del Centro ATA. |
| Error [\[]DeploymentModel[\]] Error de autenticación de administración | Error en la validación del certificado del centro | El certificado del centro puede requerir una conexión a Internet para la validación. Asegúrese de que el servicio de puerta de enlace tiene la configuración de proxy adecuada para habilitar la conexión y la validación. |
| Al implementar el Centro y seleccionar un certificado, se notifica un error "No compatible". | Esto puede ocurrir si el certificado seleccionado no cumple los requisitos o la clave privada del certificado no es accesible. | Asegúrese de que está ejecutando la implementación con privilegios elevados (Ejecutar como administrador) y de que el certificado seleccionado cumple los requisitos. |
Errores del Centro ATA
| Error | Descripción | Solución |
|---|---|---|
| System.Security.Cryptography.CryptographicException: Acceso denegado. | El Centro ATA no pudo usar el certificado emitido para el descifrado. Esto probablemente se produjo debido al uso de un certificado con KeySpec (KeyNumber) establecido en Signature (AT\_SIGNATURE) que no se admite para el descifrado, en lugar de usar KeyExchange (AT\_KEYEXCHANGE). | 1. Detenga el servicio del Centro ATA. 2. Elimine el certificado del Centro ATA del almacén de certificados del centro. (Antes de eliminar, asegúrese de que tiene la copia de seguridad del certificado con la clave privada en un archivo PFX). 3. Abra un símbolo del sistema con privilegios elevados y ejecute certutil -importpfx "CenterCertificate.pfx" AT\_KEYEXCHANGE 4. Inicie el servicio del Centro ATA. 5. Compruebe que todo funciona según lo esperado. |
Problemas de puerta de enlace de ATA y puerta de enlace ligera
| Problema | Descripción | Solución |
|---|---|---|
| No se recibe tráfico del controlador de dominio, pero se observan alertas de estado | No se recibió tráfico de un controlador de dominio mediante la creación de reflejo del puerto a través de una puerta de enlace de ATA | En la NIC de captura de puerta de enlace de ATA, deshabilite estas características en Configuración avanzada: Fusión de segmentos de recepción (IPv4) Fusión de segmentos de recepción (IPv6) |
| Se muestra esta alerta de estado: no se está analizando el tráfico de red | Si tiene una puerta de enlace de ATA o una puerta de enlace ligera en máquinas virtuales de VMware, es posible que reciba esta alerta de estado. Esto sucede debido a una falta de coincidencia de configuración en VMware. | Establezca los valores siguientes en 0 o Deshabilitado en la configuración de NIC de la máquina virtual: TsoEnable, LargeSendOffload, TSO Offload, Giant TSO Offload |
Modo de grupo de varios procesadores
Para los sistemas operativos Windows 2008R2 y 2012, la puerta de enlace de ATA no se admite en el modo de grupo de varios procesadores .
Posibles soluciones alternativas sugeridas:
Si el hiperthreading está activado, apáquelo. Esto puede reducir el número de núcleos lógicos lo suficiente como para evitar la necesidad de ejecutarse en modo de grupo de varios procesadores .
Si la máquina tiene menos de 64 núcleos lógicos y se ejecuta en un host hp, es posible que pueda cambiar la configuración del BIOS de optimización de tamaño de grupo NUMA del valor predeterminado De clúster a Plano.