ATA 알려진 문제 해결
적용 대상: Advanced Threat Analytics 버전 1.9
이 섹션에서는 ATA 배포의 가능한 오류 및 문제 해결에 필요한 단계를 자세히 설명합니다.
ATA 게이트웨이 및 경량 게이트웨이 오류
| 오류 | 설명 | 해결 방법 |
|---|---|---|
| System.DirectoryServices.Protocols.LdapException: 로컬 오류가 발생했습니다. | ATA 게이트웨이가 도메인 컨트롤러에 대해 인증하지 못했습니다. | 1. 도메인 컨트롤러의 DNS 레코드가 DNS 서버에서 제대로 구성되었는지 확인합니다. 2. ATA 게이트웨이의 시간이 도메인 컨트롤러의 시간과 동기화되었는지 확인합니다. |
| System.IdentityModel.Tokens.SecurityTokenValidationException: 인증서 체인의 유효성을 검사하지 못했습니다. | ATA 게이트웨이가 ATA 센터의 인증서 유효성을 검사하지 못했습니다. | 1. 루트 CA 인증서가 ATA 게이트웨이의 신뢰할 수 있는 인증 기관 인증서 저장소에 설치되어 있는지 확인합니다. 2. CRL(인증서 해지 목록)을 사용할 수 있고 인증서 해지 유효성 검사를 수행할 수 있는지 확인합니다. |
| Microsoft.Common.ExtendedException: 생성된 시간을 구문 분석하지 못했습니다. | ATA 게이트웨이가 SIEM에서 전달된 syslog 메시지를 구문 분석하지 못했습니다. | SIEM이 ATA에서 지원하는 형식 중 하나로 메시지를 전달하도록 구성되어 있는지 확인합니다. |
| System.ServiceModel.FaultException: 메시지에 대한 보안을 확인할 때 오류가 발생했습니다. | ATA 게이트웨이가 ATA 센터에 대해 인증하지 못했습니다. | ATA 게이트웨이의 시간이 ATA 센터 시간과 동기화되었는지 확인합니다. |
| System.ServiceModel.EndpointNotFoundException: net.tcp://center.ip.addr:443/IEntityReceiver에 연결할 수 없습니다. | ATA 게이트웨이가 ATA 센터에 대한 연결을 설정하지 못했습니다. | 네트워크 설정이 올바르고 ATA 게이트웨이와 ATA 센터 간의 네트워크 연결이 활성 상태인지 확인합니다. |
| System.DirectoryServices.Protocols.LdapException: LDAP 서버를 사용할 수 없습니다. | ATA 게이트웨이가 LDAP 프로토콜을 사용하여 도메인 컨트롤러를 쿼리하지 못했습니다. | 1. ATA에서 Active Directory 도메인에 연결하는 데 사용하는 사용자 계정에 Active Directory 트리의 모든 개체에 대한 읽기 권한이 있는지 확인합니다. 2. ATA에서 사용하는 사용자 계정에서 LDAP 쿼리를 방지하기 위해 도메인 컨트롤러가 강화되지 않았는지 확인합니다. |
| Microsoft.Tri.Infrastructure.ContractException: 계약 예외 | ATA 게이트웨이가 ATA 센터에서 구성을 동기화하지 못했습니다. | ATA 콘솔에서 ATA 게이트웨이의 구성을 완료합니다. |
| System.Reflection.ReflectionTypeLoadException: 요청된 형식 중 하나 이상을 로드할 수 없습니다. 자세한 내용은 LoaderExceptions 속성을 검색합니다. | 메시지 분석기는 ATA 게이트웨이에 설치됩니다. | 메시지 분석기를 제거합니다. |
| 오류 [레이아웃] System.OutOfMemoryException: 'System.OutOfMemoryException' 형식의 예외가 throw되었습니다. | ATA 게이트웨이에 충분한 메모리가 없습니다. | 도메인 컨트롤러의 메모리 양을 늘입니다. |
| Microsoft.Opn.Runtime.Monitoring.MessageSessionException을 ---> 라이브 소비자를 시작하지 못했습니다. PEFNDIS 이벤트 공급자가 준비되지 않았습니다. | PEF(Message Analyzer)가 올바르게 설치되지 않았습니다. | Hyper-V를 사용하는 경우 Hyper-V 통합 서비스를 업그레이드해 보세요. 그렇지 않으면 지원팀에 문의하여 해결 방법을 문의하세요. |
| 오류로 설치 실패: 0x80070652 | 컴퓨터에 다른 보류 중인 설치가 있습니다. | 다른 설치가 완료되기를 기다렸다가 필요한 경우 컴퓨터를 다시 시작합니다. |
| System.InvalidOperationException: 인스턴스 'Microsoft.Tri.Gateway'가 지정된 범주에 없습니다. | ATA 게이트웨이에서 프로세스 이름에 대해 PID를 사용하도록 설정했습니다. | 프로세스 이름에서 PID를 사용하지 않도록 설정하려면 중복 인스턴스 이름 처리를 참조하세요. |
| 'System.InvalidOperationException: 범주가 없습니다. | 레지스트리에서 카운터를 사용하지 않도록 설정할 수 있습니다. | KB2554336 사용하여 성능 카운터 다시 작성 |
| System.ApplicationException: ETW 세션 MMA-ETW-Livecapture-a4f595bd-f567-49a7-b963-20fa4e370329를 시작할 수 없습니다. | HOSTS 파일에 컴퓨터의 짧은 이름을 가리키는 호스트 항목이 있습니다. | C:\Windows\System32\drivers\etc\HOSTS 파일에서 호스트 항목을 제거하거나 FQDN으로 변경합니다. |
| System.IO.IOException: 원격 당사자가 전송 스트림을 닫거나 SSL/TLS 보안 채널을 만들 수 없어 인증에 실패했습니다. | TLS 1.0은 ATA 게이트웨이에서 사용하지 않도록 설정되었지만 .Net은 TLS 1.2를 사용하도록 설정되어 있습니다. | 다음과 같이 SSL 및 TLS에 대한 운영 체제 기본값을 사용하도록 레지스트리 키를 설정하여 .Net용 TLS 1.2를 사용하도록 설정합니다.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] " SchUseStrongCrypto"=dword:00000001
|
| System.TypeLoadException: 'Microsoft.Opn.Runtime, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35' 어셈블리에서 'Microsoft.Opn.Runtime.Values.BinaryValueBufferManager' 형식을 로드할 수 없습니다. | ATA 게이트웨이가 필요한 구문 분석 파일을 로드하지 못했습니다. | Microsoft Message Analyzer가 현재 설치되어 있는지 확인합니다. 메시지 분석기는 ATA 게이트웨이/경량 게이트웨이와 함께 설치할 수 없습니다. Message Analyzer를 제거하고 게이트웨이 서비스를 다시 시작합니다. |
| System.Net.WebException: 원격 서버에서 (407) 프록시 인증 필요 오류를 반환했습니다. | ATA 센터와의 ATA 게이트웨이 통신이 프록시 서버에 의해 중단되고 있습니다. | ATA 게이트웨이 컴퓨터에서 프록시를 사용하지 않도록 설정합니다. 프록시 설정은 계정당일 수 있습니다. |
| System.IO.DirectoryNotFoundException: 시스템에서 지정된 경로를 찾을 수 없습니다. (HRESULT에서 예외: 0x80070003) | ATA를 운영하는 데 필요한 서비스 중 하나 이상이 시작되지 않았습니다. | 다음 서비스를 시작합니다. PLA(성능 로그 및 경고), 작업 스케줄러(일정). |
| System.Net.WebException: 원격 서버에서 오류를 반환했습니다. (403) 사용할 수 없음 | ATA 센터를 신뢰할 수 없으므로 ATA 게이트웨이 또는 경량 게이트웨이는 HTTP 연결을 설정할 수 없습니다. | ATA 센터의 NetBIOS 이름과 FQDN을 신뢰할 수 있는 웹 사이트 목록에 추가하고 인터넷 Explorer 캐시를 지웁니다(또는 구성된 가 NetBIOS/FQDN과 다른 경우 구성에 지정된 ATA 센터의 이름). |
| System.Net.Http.HttpRequestException: PostAsync 실패 [requestTypeName=StopNetEventSessionRequest] | ATA 게이트웨이 또는 ATA 경량 게이트웨이는 WMI 문제로 인해 네트워크 트래픽을 수집하는 ETW 세션을 중지하고 시작할 수 없습니다. | WMI: WMI 리포지토리 다시 빌드의 지침에 따라 WMI 문제를 해결합니다. |
| System.Net.Sockets.SocketException: 액세스 권한으로 금지된 방식으로 소켓에 액세스하려고 했습니다. | 다른 애플리케이션은 ATA 게이트웨이에서 포트 514를 사용하고 있습니다. | 를 사용하여 netstat -o 해당 포트를 사용하는 프로세스를 설정합니다. |
배포 오류
| 오류 | 설명 | 해결 방법 |
|---|---|---|
| .Net Framework 4.6.1 설치가 실패하고 오류 0x800713ec | .Net Framework 4.6.1의 필수 구성 요소는 서버에 설치되어 있지 않습니다. | ATA를 설치하기 전에 windows 업데이트 KB2919442 및 KB2919355 서버에 설치되어 있는지 확인합니다. |
| System.Threading.Tasks.TaskCanceledException: 작업이 취소되었습니다. | 배포 프로세스가 ATA 센터에 연결할 수 없으므로 시간이 초과되었습니다. | 1. IP 주소를 사용하여 ATA 센터에 대한 네트워크 연결을 확인합니다. 2. 프록시 또는 방화벽 구성을 확인합니다. |
| System.Net.Http.HttpRequestException: 요청을 보내는 동안 오류가 발생했습니다. > system.Net.WebException ---: 원격 서버에서 (407) 프록시 인증 필요 오류를 반환했습니다. | 프록시가 잘못 구성되어 ATA 센터에 연결할 수 없어 배포 프로세스가 시간 초과되었습니다. | 배포 전에 프록시 구성을 사용하지 않도록 설정한 다음 프록시 구성을 다시 사용하도록 설정합니다. 또는 프록시에서 예외를 구성할 수 있습니다. |
| System.Net.Sockets.SocketException: 기존 연결이 원격 호스트에 의해 강제로 닫혔습니다. | 다음과 같이 SSL 및 TLS에 대한 운영 체제 기본값을 사용하도록 레지스트리 키를 설정하여 .Net용 TLS 1.2를 사용하도록 설정합니다.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
|
|
| 오류 [\[]DeploymentModel[\]] 관리 인증 실패 [\[]CurrentlyLoggedOnUser=<domain>\<username>Status=FailedAuthentication Exception=[\]] | ATA 게이트웨이 또는 ATA 경량 게이트웨이의 배포 프로세스가 ATA 센터에 대해 성공적으로 인증되지 못했습니다. | 배포 프로세스가 실패한 컴퓨터에서 브라우저를 열고 ATA 콘솔에 연결할 수 있는지 확인합니다.
그렇지 않은 경우 문제 해결을 시작하여 브라우저가 ATA 센터에 대해 인증할 수 없는 이유를 확인합니다. 검사 사항: 프록시 구성 네트워킹은 ATA 센터와 다른 해당 컴퓨터의 인증에 대한 그룹 정책 설정을 발급 합니다. |
| 오류 [\[]DeploymentModel[\]] 관리 인증 실패 | 센터 인증서 유효성 검사 실패 | 센터 인증서는 유효성 검사를 위해 인터넷 연결이 필요할 수 있습니다. 게이트웨이 서비스에 연결 및 유효성 검사를 사용하도록 설정하는 적절한 프록시 구성이 있는지 확인합니다. |
| 센터를 배포하고 인증서를 선택하는 동안 "지원되지 않음" 오류가 보고됩니다. | 이 문제는 선택한 인증서가 요구 사항을 충족하지 않거나 인증서의 프라이빗 키에 액세스할 수 없는 경우에 발생할 수 있습니다. | 관리자 권한(관리자 권한으로 실행)을 사용하여 배포를 실행하고 있으며 선택한 인증서가 요구 사항을 충족하는지 확인합니다. |
ATA 센터 오류
| 오류 | 설명 | 해결 방법 |
|---|---|---|
| System.Security.Cryptography.CryptographicException: 액세스가 거부되었습니다. | ATA 센터에서 발급된 인증서를 암호 해독에 사용하지 못했습니다. 이는 KeyExchange(AT\_KEYEXCHANGE)를 사용하는 대신 암호 해독에 지원되지 않는 KeySpec(KeyNumber)이 서명(AT\_SIGNATURE)으로 설정된 인증서를 사용하여 발생했을 가능성이 큽니다. | 1. ATA 센터 서비스를 중지합니다. 2. 센터의 인증서 저장소에서 ATA 센터 인증서를 삭제합니다. (삭제하기 전에 PFX 파일의 프라이빗 키로 인증서를 백업했는지 확인합니다.) 3. 관리자 권한 명령 프롬프트를 열고 certutil -importpfx "CenterCertificate.pfx" AT\_KEYEXCHANGE 실행 4. ATA 센터 서비스를 시작합니다. 5. 이제 모든 것이 예상대로 작동하는지 확인합니다. |
ATA 게이트웨이 및 경량 게이트웨이 문제
| 문제 | 설명 | 해결 방법 |
|---|---|---|
| 도메인 컨트롤러에서 수신된 트래픽이 없지만 상태 경고가 관찰됩니다. | ATA 게이트웨이를 통해 포트 미러링을 사용하여 도메인 컨트롤러에서 트래픽이 수신되지 않았습니다. | ATA 게이트웨이 캡처 NIC에서 고급 설정에서 이러한 기능을 사용하지 않도록 설정합니다. 수신 세그먼트 병합(IPv4) 수신 세그먼트 병합(IPv6) |
| 이 상태 경고가 표시됩니다. 일부 네트워크 트래픽이 분석되지 않습니다. | VMware 가상 머신에 ATA 게이트웨이 또는 경량 게이트웨이가 있는 경우 이 상태 경고를 받을 수 있습니다. 이 문제는 VMware의 구성 불일치로 인해 발생합니다. | 가상 머신 NIC 구성에서 다음 설정을 0 또는 사용 안 함으로 설정합니다. TsoEnable, LargeSendOffload, TSO 오프로드, Giant TSO 오프로드 |
다중 프로세서 그룹 모드
Windows 운영 체제 2008R2 및 2012의 경우 ATA 게이트웨이는 다중 프로세서 그룹 모드에서 지원되지 않습니다.
제안된 해결 방법:
하이퍼스레딩이 켜진 경우 끕니다. 이렇게 하면 다중 프로세서 그룹 모드에서 실행할 필요가 없도록 논리 코어 수가 줄어들 수 있습니다.
컴퓨터에 64개 미만의 논리 코어가 있고 HP 호스트에서 실행 중인 경우 NUMA 그룹 크기 최적화 BIOS 설정을 기본 값인 클러스터형 에서 플랫으로 변경할 수 있습니다.