ATA:n tunnettujen ongelmien vianmääritys
Koskee: Advanced Threat Analytics -versio 1.9
Tässä osiossa kerrotaan mahdollisista virheistä ATA-käyttöönotoissa ja niiden vianmäärityksessä tarvittavista vaiheista.
ATA-yhdyskäytävän ja kevyen yhdyskäytävän virheet
| Error | Kuvaus | Ratkaisu |
|---|---|---|
| System.DirectoryServices.Protocols.LdapException: Paikallinen virhe | ATA-yhdyskäytävän todennus toimialueen ohjauskoneessa epäonnistui. | 1. Varmista, että toimialueen ohjauskoneen DNS-tietue on määritetty oikein DNS-palvelimessa. 2. Varmista, että ATA-yhdyskäytävän aika synkronoidaan toimialueen ohjauskoneen ajan kanssa. |
| System.IdentityModel.Tokens.SecurityTokenValidationException: Varmenneketjun vahvistaminen epäonnistui | ATA-yhdyskäytävä ei voinut vahvistaa ATA-keskuksen varmennetta. | 1. Varmista, että varmenteiden päämyöntäjän varmenne on asennettu ATA-yhdyskäytävän luotetun varmenteen myöntäjän varmennesäilöön. 2. Varmista, että varmenteen kumousluettelo (CRL) on käytettävissä ja että varmenteen kumoamisen vahvistus voidaan suorittaa. |
| Microsoft.Common.ExtendedException: Luodun ajan jäsentäminen epäonnistui | ATA-yhdyskäytävä ei voinut jäsentää järjestelmänlokiviestejä, jotka välitettiin SIEM:stä. | Varmista, että SIEM on määritetty välitämään viestit edelleen jossakin ATA:n tukemista muodoista. |
| System.ServiceModel.FaultException: Virhe varmistettaessa viestin suojausta. | ATA-yhdyskäytävän todentaminen ATA-keskuksessa epäonnistui. | Varmista, että ATA-yhdyskäytävän aika synkronoidaan ATA-keskuksen ajan kanssa. |
| System.ServiceModel.EndpointNotFoundException: Yhteyden muodostaminen kohteeseen net.tcp://center.ip.addr:443/IEntityReceiver ei onnistunut | ATA-yhdyskäytävä ei voinut muodostaa yhteyttä ATA-keskukseen. | Varmista, että verkkoasetukset ovat oikeat ja että ATA-yhdyskäytävän ja ATA-keskuksen välinen verkkoyhteys on aktiivinen. |
| System.DirectoryServices.Protocols.LdapException: LDAP-palvelin ei ole käytettävissä. | ATA-yhdyskäytävä ei voinut tehdä kyselyä toimialueen ohjauskoneeseen LDAP-protokollan avulla. | 1. Varmista, että käyttäjätilillä, jolla ATA muodostaa yhteyden Active Directory -toimialueeseen, on lukuoikeus kaikkiin Active Directory -puupuun objekteihin. 2. Varmista, että toimialueen ohjauskonetta ei ole kovettunut ATA:n käyttämän käyttäjätilin LDAP-kyselyiden estämiseksi. |
| Microsoft.Tri.Infrastructure.ContractException: Sopimuspoikkeus | ATA-yhdyskäytävä ei voinut synkronoida määrityksiä ATA-keskuksesta. | ATA-yhdyskäytävän viimeisteleminen ATA-konsolissa. |
| System.Reflection.ReflectionTypeLoadException: Vähintään yhtä pyydetyistä tyypeistä ei voi ladata. Saat lisätietoja noutamaan LoaderExceptions-ominaisuuden. | Viestin analysointi on asennettu ATA-yhdyskäytävään. | Poista viestien analysoinnin asennus. |
| Virhe [Layout] System.OutOfMemoryException: Palautettiin poikkeus, jonka tyyppi oli System.OutOfMemoryException. | ATA-yhdyskäytävän muisti ei riitä. | Lisää toimialueen ohjauskoneen muistin määrää. |
| Live-kuluttajan ---> Microsoft.Opn.Runtime.Monitoring.MessageSessionException ei käynnisty: PEFNDIS-tapahtumapalvelu ei ole valmis | PEF(Message Analyzer) ei ole asennettu oikein. | Jos käytät Hyper-V:tä, yritä päivittää Hyper-V-integrointipalvelut muussa tapauksessa ottamalla yhteyttä tukeen ongelman kiertämiseksi. |
| Asennus epäonnistui. Virhe: 0x80070652 | Tietokoneessa on muita odottavia asennuksia. | Odota muiden asennusten valmistumista ja käynnistä tietokone tarvittaessa uudelleen. |
| System.InvalidOperationException: Esiintymää Microsoft.Tri.Gateway ei ole määritetyssä luokassa. | PID-tunnukset otettiin käyttöön prosessien nimille ATA-yhdyskäytävässä | Katso Esiintymien nimien kaksoiskappaleiden käsittely , jos haluat poistaa PID-tunnukset käytöstä prosessien nimissä |
| 'System.InvalidOperationException: Luokkaa ei ole. | Laskurit on ehkä poistettu käytöstä rekisterissä | KB2554336 käyttäminen resurssilaskurien uudelleenrakentamiseen |
| System.ApplicationException: ETW-istunnon aloittaminen EI onnistu MMA-ETW-Livecapture-a4f595bd-f567-49a7-b963-20fa4e370329 | HOSTS-tiedostossa on isäntämerkintä, joka osoittaa koneen lyhyeen nimeen | Poista isäntämerkintä C:\Windows\System32\drivers\etc\HOSTS-tiedostosta tai muuta se FQDN:ksi. |
| System.IO.IOException: Todennus epäonnistui, koska etä osapuoli on sulkenut siirtovirran tai ei voinut luoda suojattua SSL-/TLS-kanavaa | TLS 1.0 on poistettu käytöstä ATA-yhdyskäytävässä, mutta .Net on määritetty käyttämään TLS 1.2:ta | Ota TLS 1.2 käyttöön .Netille asettamalla rekisteriavaimet käyttämään käyttöjärjestelmän oletusarvoja SSL: lle ja TLS: lle seuraavasti:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] " SchUseStrongCrypto"=dword:00000001
|
| System.TypeLoadException: Tyyppiä Microsoft.Opn.Runtime.Values.BinaryValueBufferManager ei voitu ladata kokoonpanosta Microsoft.Opn.Runtime, Versio=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35 | ATA-yhdyskäytävä ei voinut ladata vaadittuja jäsennystiedostoja. | Tarkista, onko Microsoft Message Analyzer asennettu. Viestien analysointia ei tueta asennettaessa ATA-yhdyskäytävän tai kevyen yhdyskäytävän kanssa. Poista Viestien analysointi ja käynnistä yhdyskäytäväpalvelu uudelleen. |
| System.Net.WebException: Etäpalvelin palautti virheen: (407) Välityspalvelimen todennus vaaditaan | Välityspalvelin häiritsee ATA-yhdyskäytävän viestintää ATA-keskuksen kanssa. | Poista välityspalvelin käytöstä ATA-yhdyskäytäväkoneessa. Huomaa, että välityspalvelimen asetukset voivat olla tilikohtaisia. |
| System.IO.DirectoryNotFoundException: Järjestelmä ei löydä määritettyä polkua. (HRESULT-poikkeus: 0x80070003) | Vähintään yksi ATA:n käyttämiseen tarvittavista palveluista ei käynnistynyt. | Käynnistä seuraavat palvelut: Suorituskykylokit ja ilmoitukset (PLA), tehtävien ajoitus (aikataulu). |
| System.Net.WebException: Etäpalvelin palautti virheen: (403) Kielletty | ATA-yhdyskäytävää tai kevyttä yhdyskäytävää kiellettiin muodostamasta HTTP-yhteyttä, koska ATA-keskukseen ei luoteta. | Lisää ATA-keskuksen NetBIOS-nimi ja FQDN luotettujen sivustojen luetteloon ja tyhjennä välimuisti Internet Explorerissa (tai ATA-keskuksen nimi määrityksessä määritetyllä tavalla, jos määritetty on eri kuin NetBIOS/FQDN). |
| System.Net.Http.HttpRequestException: PostAsync epäonnistui [requestTypeName=StopNetEventSessionRequest] | ATA-yhdyskäytävä tai ATA-kevyt yhdyskäytävä ei voi pysäyttää ja käynnistää ETW-istuntoa, joka kerää verkkoliikennettä WMI-ongelman vuoksi | Korjaa WMI-ongelma noudattamalla ohjeita kohdassa WMI: WMI-säilön uudelleenrakentaminen |
| System.Net.Sockets.SocketException: Yritettiin käyttää vastaketta tavalla, joka on kielletty sen käyttöoikeuksilla | Toinen sovellus käyttää porttia 514 ATA-yhdyskäytävässä | Käytä netstat -o sen määrittämiseen, mikä prosessi käyttää kyseistä porttia. |
Käyttöönottovirheet
| Error | Kuvaus | Ratkaisu |
|---|---|---|
| .Net Framework 4.6.1:n asennus epäonnistuu virheen 0x800713ec | .Net Framework 4.6.1:n edellytystä ei ole asennettu palvelimeen. | Varmista ennen ATA:n asentamista, että palvelimeen on asennettu KB2919442 ja KB2919355 . |
| System.Threading.Tasks.TaskCanceledException: Tehtävä peruutettiin | Käyttöönottoprosessi aikakatkaistiin, koska se ei päässyt ATA-keskukseen. | 1. Tarkista verkkoyhteys ATA-keskukseen selaamalla siihen IP-osoitteen avulla. 2. Tarkista välityspalvelimen tai palomuurin määritykset. |
| System.Net.Http.HttpRequestException: Virhe pyyntöä lähetettäessä. >--- System.Net.WebException: Etäpalvelin palautti virheen: (407) Välityspalvelimen todennus vaaditaan. | Käyttöönottoprosessi aikakatkaistiin, koska se ei päässyt ATA-keskukseen välityspalvelimen virheellisen määrityksen vuoksi. | Poista välityspalvelimen määritykset käytöstä ennen käyttöönottoa ja ota sitten välityspalvelimen määritykset uudelleen käyttöön. Vaihtoehtoisesti voit määrittää poikkeuksen välityspalvelimessa. |
| System.Net.Sockets.SocketException: Etäisäntä sulki aiemmin luodun yhteyden väkisin | Ota TLS 1.2 käyttöön .Netille asettamalla rekisteriavaimet käyttämään käyttöjärjestelmän oletusarvoja SSL: lle ja TLS: lle seuraavasti:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
|
|
| Virhe [\[]DeploymentModel[\]] Virheellinen hallinnan todennus [\[]NykyinenLogedOnUser=<toimialue>\<käyttäjänimi>Tila=FailedAuthentication Exception=[\]] | ATA-yhdyskäytävän tai ATA-kevyen yhdyskäytävän käyttöönottoprosessi ei onnistunut ATA-keskuksessa | Avaa selain tietokoneesta, jossa käyttöönottoprosessi epäonnistui, ja katso, pääsetkö ATA-konsoliin.
Jos näin ei ole, aloita vianmääritys nähdäksesi, miksi selain ei voi todentaa ATA-keskuksessa. Tarkistettavat asiat: Välityspalvelimen määritys Verkkopalvelut ongelmat ATA-keskuksesta poikkeavan todennuksen ryhmäkäytäntöasetukset kyseisessä tietokoneessa. |
| Virhe [\[]DeploymentModel[\]] Virheellinen hallinnan todennus | Keskitetty varmenteiden vahvistus epäonnistui | Keskitetty varmenne saattaa edellyttää Internet-yhteyttä vahvistusta varten. Varmista, että yhdyskäytäväpalvelussasi on asianmukaiset välityspalvelimen määritykset yhteyden ja vahvistuksen mahdollistamiseksi. |
| Kun Otat Centerin käyttöön ja valitset varmenteen, "Ei tueta" -virhe raportoidaan | Näin voi käydä, jos joko valittu varmenne ei täytä vaatimuksia tai varmenteen yksityinen avain ei ole käytettävissä. | Varmista, että suoritat käyttöönoton laajennetuilla oikeuksilla (Suorita järjestelmänvalvojana) ja että valittu varmenne täyttää vaatimukset. |
ATA Center -virheet
| Error | Kuvaus | Ratkaisu |
|---|---|---|
| System.Security.Cryptography.CryptographicException: Käyttö estetty. | ATA-keskus ei voinut käyttää myönnettyä varmennetta salauksen purkamiseen. Tämä johtuu todennäköisesti siitä, että KeySpec(KeyNumber) -varmenteen arvoksi on määritetty Allekirjoitus (AT\_SIGNATURE), jota ei tueta salauksen purkamisessa KeyExchangen (AT\_KEYEXCHANGE) käytön sijaan. | 1. Pysäytä ATA Center -palvelu. 2. Poista ATA Center -varmenne keskuksen varmennesäilöstä. (Varmista ennen poistamista, että varmenne on varmuuskopioidaan PFX-tiedoston yksityisellä avaimella.) 3. Avaa laajennettu komentokehote ja suorita certutil -importpfx "CenterCertificate.pfx" AT\_KEYEXCHANGE 4. Käynnistä ATA Center -palvelu. 5. Varmista, että kaikki toimii nyt odotetulla tavalla. |
ATA-yhdyskäytävän ja kevyen yhdyskäytävän ongelmat
| Ongelma | Kuvaus | Ratkaisu |
|---|---|---|
| Toimialueen ohjauskoneesta ei saatu liikennettä, mutta kuntoilmoituksia havaitaan | Toimialueen ohjauskoneesta ei vastaanotettu liikennettä porttien peilauksen avulla ATA-yhdyskäytävän kautta | Poista nämä ominaisuudet käytöstä ATA-yhdyskäytävän capture NIC -toiminnossa lisäasetuksissa: Vastaanota segmentin yhdistäminen (IPv4) Vastaanota segmentin yhdistäminen (IPv6) |
| Näyttöön tulee tämä kuntoilmoitus: Joitakin verkkoliikennettä ei analysoida | Jos sinulla on ATA-yhdyskäytävä tai kevyt yhdyskäytävä VMware-näennäiskoneissa, saatat saada tämän kuntoilmoituksen. Tämä tapahtuu VMware-määritysristiriidan vuoksi. | Määritä seuraavat asetukset arvoon 0 tai Disabled näennäiskoneen NIC-määrityksessä: TsoEnable, LargeSendOffload, TSO Offload, Giant TSO Offload |
Monisuorittimen ryhmätila
Windows-käyttöjärjestelmissä 2008R2 ja 2012 ATA-yhdyskäytävää ei tueta monisuoritinryhmätilassa .
Ehdotetut mahdolliset ratkaisutavat:
Jos hyperthreading on käytössä, poista se käytöstä. Tämä saattaa vähentää loogisten ytimien määrää niin paljon, ettei sitä tarvitse suorittaa monisuoritinryhmätilassa .
Jos koneessasi on alle 64 loogista ydintä ja se toimii HP-isännässä, voit ehkä muuttaa NUMA-ryhmän koon optimoinnin BIOS-asetuksen oletusarvosta Klusteroitu oletukseksiFlat.