次の方法で共有

ATA の既知の問題のトラブルシューティング

  • [アーティクル]

適用対象: Advanced Threat Analytics バージョン 1.9

このセクションでは、ATA のデプロイで発生する可能性のあるエラーと、それらのトラブルシューティングに必要な手順について詳しくは説明します。

ATA ゲートウェイとライトウェイト ゲートウェイのエラー

エラー 説明 解決方法
System.DirectoryServices.Protocols.LdapException: ローカル エラーが発生しました ATA ゲートウェイがドメイン コントローラーに対する認証に失敗しました。 1. ドメイン コントローラーの DNS レコードが DNS サーバーで正しく構成されていることを確認します。
2. ATA ゲートウェイの時刻がドメイン コントローラーの時刻と同期されていることを確認します。
System.IdentityModel.Tokens.SecurityTokenValidationException: 証明書チェーンの検証に失敗しました ATA ゲートウェイが ATA センターの証明書を検証できませんでした。 1. ルート CA 証明書が ATA ゲートウェイの信頼された証明機関の証明書ストアにインストールされていることを確認します。
2. 証明書失効リスト (CRL) が使用可能であり、証明書失効検証を実行できることを検証します。
Microsoft.Common.ExtendedException: 生成された時間を解析できませんでした ATA ゲートウェイは、SIEM から転送された syslog メッセージを解析できませんでした。 ATA でサポートされているいずれかの形式でメッセージを転送するように SIEM が構成されていることを確認します。
System.ServiceModel.FaultException: メッセージのセキュリティを確認するときにエラーが発生しました。 ATA ゲートウェイが ATA センターに対する認証に失敗しました。 ATA ゲートウェイの時刻が ATA センターの時刻と同期されていることを確認します。
System.ServiceModel.EndpointNotFoundException: net.tcp://center.ip.addr:443/IEntityReceiver に接続できませんでした ATA ゲートウェイが ATA センターへの接続を確立できませんでした。 ネットワーク設定が正しく、ATA ゲートウェイと ATA センターの間のネットワーク接続がアクティブであることを確認します。
System.DirectoryServices.Protocols.LdapException: LDAP サーバーは使用できません。 ATA ゲートウェイは、LDAP プロトコルを使用してドメイン コントローラーのクエリを実行できませんでした。 1. ACTIVE Directory ドメインに接続するために ATA によって使用されるユーザー アカウントが、Active Directory ツリー内のすべてのオブジェクトへの読み取りアクセス権を持っていることを確認します。
2. ATA によって使用されるユーザー アカウントからの LDAP クエリを防ぐために、ドメイン コントローラーがセキュリティで保護されていないことを確認します。
Microsoft.Tri.Infrastructure.ContractException: コントラクト例外 ATA ゲートウェイが ATA センターから構成を同期できませんでした。 ATA コンソールでの ATA ゲートウェイの完全な構成。
System.Reflection.ReflectionTypeLoadException: 要求された型の 1 つ以上を読み込むことができません。 詳細については、LoaderExceptions プロパティを取得します。 メッセージ アナライザーは ATA ゲートウェイにインストールされます。 Message Analyzer をアンインストールします。
エラー [レイアウト] System.OutOfMemoryException: 型 'System.OutOfMemoryException' の例外がスローされました。 ATA ゲートウェイに十分なメモリがありません。 ドメイン コントローラーのメモリ量を増やします。
Microsoft.Opn.Runtime.Monitoring.MessageSessionException ---> ライブ コンシューマーの起動に失敗する: PEFNDIS イベント プロバイダーの準備ができていない PEF (Message Analyzer) が正しくインストールされていません。 Hyper-V を使用している場合は、Hyper-V 統合サービスをアップグレードしてみてください。それ以外の場合は、サポートに問い合わせて回避策を確認してください。
エラーが発生してインストールに失敗しました: 0x80070652 お使いのコンピューターには、他にも保留中のインストールがあります。 他のインストールが完了するまで待ち、必要に応じてコンピューターを再起動します。
System.InvalidOperationException: インスタンス 'Microsoft.Tri.Gateway' が指定されたカテゴリに存在しません。 ATA ゲートウェイのプロセス名に対して PID が有効にされました プロセス名で PID を無効にするには、「 重複するインスタンス名の処理 」を参照してください
'System.InvalidOperationException: カテゴリが存在しません。 レジストリでカウンターが無効になっている可能性がある KB2554336を使用してパフォーマンス カウンターを再構築する
System.ApplicationException: ETW セッション MMA-ETW-Livecapture-a4f595bd-f567-49a7-b963-20fa4e370329 を開始できません HOSTS ファイルには、マシンの shortname を指すホスト エントリがあります C:\Windows\System32\drivers\etc\HOSTS ファイルからホスト エントリを削除するか、FQDN に変更します。
System.IO.IOException: リモート パーティがトランスポート ストリームを閉じたか、SSL/TLS セキュリティで保護されたチャネルを作成できなかったため、認証に失敗しました ATA ゲートウェイで TLS 1.0 が無効になっていますが、.Net は TLS 1.2 を使用するように設定されています 次のように、オペレーティング システムの既定値を SSL と TLS に使用するようにレジストリ キーを設定して、TLS 1.2 for .Net を有効にします。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] " SchUseStrongCrypto"=dword:00000001
System.TypeLoadException: アセンブリ 'Microsoft.Opn.Runtime, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35' から型 'Microsoft.Opn.Runtime.Values.BinaryValueBufferManager' を読み込めませんでした ATA ゲートウェイが必要な解析ファイルを読み込めませんでした。 Microsoft Message Analyzer が現在インストールされているかどうかを確認します。 メッセージ アナライザーは、ATA ゲートウェイ/ライトウェイト ゲートウェイと共にインストールすることはサポートされていません。 Message Analyzer をアンインストールし、ゲートウェイ サービスを再起動します。
System.Net.WebException: リモート サーバーからエラーが返されました: (407) プロキシ認証が必要です ATA センターとの ATA ゲートウェイ通信は、プロキシ サーバーによって中断されています。 ATA ゲートウェイ マシンでプロキシを無効にします。

プロキシ設定はアカウント単位である可能性があることに注意してください。
System.IO.DirectoryNotFoundException: 指定されたパスが見つかりません。 (HRESULT からの例外: 0x80070003) ATA の運用に必要な 1 つ以上のサービスが開始されませんでした。 次のサービスを開始します。

パフォーマンス ログとアラート (PLA)、タスク スケジューラ (スケジュール)。
System.Net.WebException: リモート サーバーからエラーが返されました: (403) 禁止 ATA ゲートウェイまたはライトウェイト ゲートウェイは、ATA センターが信頼されていないため、HTTP 接続の確立を禁止されました。 ATA センターの NetBIOS 名と FQDN を信頼済み Web サイトの一覧に追加し、インターネット エクスプローラー上のキャッシュ (または、構成が NetBIOS/FQDN と異なる場合は構成で指定されている ATA センターの名前) をクリアします。
System.Net.Http.HttpRequestException: PostAsync failed [requestTypeName=StopNetEventSessionRequest] ATA ゲートウェイまたは ATA ライトウェイト ゲートウェイは、WMI の問題が原因でネットワーク トラフィックを収集する ETW セッションを停止して開始できません WMI: WMI リポジトリの再構築に関するページの手順に従って WMI の問題を解決する
System.Net.Sockets.SocketException: アクセス許可によって禁止されている方法でソケットにアクセスしようとしました 別のアプリケーションでは、ATA ゲートウェイでポート 514 を使用しています netstat -oを使用して、そのポートを使用しているプロセスを確立します。

デプロイ エラー

エラー 説明 解決方法
.Net Framework 4.6.1 のインストールがエラー 0x800713ecで失敗する .Net Framework 4.6.1 の前提条件は、サーバーにインストールされていません。 ATA をインストールする前に、windows 更新プログラム KB2919442KB2919355 がサーバーにインストールされていることを確認します。
System.Threading.Tasks.TaskCanceledException: タスクが取り消されました ATA センターに到達できなかったため、デプロイ プロセスはタイムアウトしました。 1. IP アドレスを使用して ATA センターを参照して、ATA センターへのネットワーク接続を確認します。

2. プロキシまたはファイアウォールの構成を確認します。
System.Net.Http.HttpRequestException: 要求の送信中にエラーが発生しました。 ---> System.Net.WebException: リモート サーバーからエラーが返されました: (407) プロキシ認証が必要です。 プロキシの構成ミスが原因で ATA センターに到達できなかったため、デプロイ プロセスがタイムアウトしました。 デプロイ前にプロキシ構成を無効にしてから、プロキシ構成をもう一度有効にします。 または、プロキシで例外を構成することもできます。
System.Net.Sockets.SocketException: リモート ホストによって既存の接続が強制的に閉じられた 次のように、オペレーティング システムの既定値を SSL と TLS に使用するようにレジストリ キーを設定して、TLS 1.2 for .Net を有効にします。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
エラー [\[]DeploymentModel[\]] 管理認証の失敗 [\[]CurrentlyLoggedOnUser=<domain>\<username>Status=FailedAuthentication Exception=[\]] ATA ゲートウェイまたは ATA ライトウェイト ゲートウェイのデプロイ プロセスが ATA センターに対して正常に認証されませんでした デプロイ プロセスが失敗したコンピューターからブラウザーを開き、ATA コンソールに到達できるかどうかを確認します。
そうでない場合は、トラブルシューティングを開始して、ブラウザーが ATA センターに対して認証できない理由を確認します。
チェックすべきこと: ATA センターとは異なるそのコンピューターでの認証に関する
Proxy 構成
Networking の問題
Group ポリシー設定。
エラー [\[]DeploymentModel[\]] 管理認証に失敗しました センター証明書の検証に失敗しました センター証明書では、検証のためにインターネット接続が必要な場合があります。 ゲートウェイ サービスに、接続と検証を有効にする適切なプロキシ構成があることを確認します。
センターの展開と証明書の選択中に、"サポートされていません" エラーが報告されます これは、選択した証明書が要件を満たしていない場合、または証明書の秘密キーにアクセスできない場合に発生する可能性があります。 管理者特権 (管理者として実行) を使用してデプロイを実行していること、および選択した証明書が 要件を満たしていることを確認します。

ATA センターのエラー

エラー 説明 解決方法
System.Security.Encryptiony.EncryptionException: アクセスが拒否されました。 ATA センターは、発行された証明書を暗号化解除に使用できませんでした。 これは、KeyExchange (AT\_KEYEXCHANGE) を使用する代わりに、KeySpec (KeyNumber) が Signature (AT\_SIGNATURE) に設定されている証明書の使用が原因で発生した可能性があります。 1. ATA センター サービスを停止します。

2. ATA センター証明書をセンターの証明書ストアから削除します。 (削除する前に、証明書が PFX ファイル内の秘密キーでバックアップされていることを確認してください)。

3. 管理者特権でコマンド プロンプトを開き、certutil -importpfx "CenterCertificate.pfx" AT\_KEYEXCHANGE

4. ATA センター サービスを開始します。

5. すべてが期待どおりに動作することを確認します。

ATA ゲートウェイとライトウェイト ゲートウェイの問題

問題 説明 解決方法
ドメイン コントローラーから受信したトラフィックはありませんが、正常性アラートが観察されます ATA ゲートウェイを介したポート ミラーリングを使用して、ドメイン コントローラーからトラフィックが受信されませんでした ATA ゲートウェイ キャプチャ NIC で、[ 詳細設定] で次の機能を無効にします。

Receive Segment Coalescing (IPv4)

Receive Segment Coalescing (IPv6)
この正常性アラートが表示されます。一部のネットワーク トラフィックが分析されていません VMware 仮想マシンに ATA ゲートウェイまたはライトウェイト ゲートウェイがある場合は、この正常性アラートを受け取る可能性があります。 これは、VMware での構成の不一致が原因で発生します。 仮想マシンの NIC 構成で、次の設定を 0 または無効に設定します。TsoEnable、LargeSendOffload、TSO オフロード、Giant TSO オフロード

マルチ プロセッサ グループ モード

Windows オペレーティング システム 2008R2 および 2012 の場合、ATA ゲートウェイは マルチ プロセッサ グループ モードではサポートされていません。

推奨される回避策:

  • ハイパースレッディングがオンになっている場合は、オフにします。 これにより、 マルチ プロセッサ グループ モードで実行する必要がないように、論理コアの数が減る可能性があります。

  • マシンの論理コア数が 64 未満で、HP ホストで実行されている場合は、 NUMA グループ サイズの最適化 BIOS 設定を 既定の Clustered から Flat に変更できます。

関連項目