Feilsøking av kjente problemer med ATA
Gjelder for: Advanced Threat Analytics versjon 1.9
Denne delen beskriver mulige feil i distribusjonene av ATA og trinnene som kreves for å feilsøke dem.
ATA Gateway- og Lightweight Gateway-feil
| Feil | Beskrivelse | Løsning |
|---|---|---|
| System.DirectoryServices.Protocols.LdapException: Det oppstod en lokal feil | ATA-gatewayen kan ikke godkjenne mot domenekontrolleren. | 1. Kontroller at domenekontrollerens DNS-post er riktig konfigurert på DNS-serveren. 2. Kontroller at tidspunktet for ATA-gatewayen er synkronisert med tidspunktet for domenekontrolleren. |
| System.IdentityModel.Tokens.SecurityTokenValidationException: Kan ikke validere sertifikatkjeden | ATA-gatewayen kan ikke validere sertifikatet for ATA-senteret. | 1. Kontroller at rotsertifiseringsinstanssertifikatet er installert i sertifikatlageret for klarert sertifiseringsinstans på ATA Gateway. 2. Valider at sertifikatopphevelseslisten (CRL) er tilgjengelig, og at validering av sertifikatopphevelses kan utføres. |
| Microsoft.Common.ExtendedException: Kan ikke analysere tid generert | ATA Gateway kan ikke analysere syslog-meldinger som ble videresendt fra SIEM. | Kontroller at SIEM er konfigurert til å videresende meldingene i ett av formatene som støttes av ATA. |
| System.ServiceModel.FaultException: Det oppstod en feil under bekreftelse av sikkerheten for meldingen. | ATA Gateway kan ikke godkjenne mot ATA Center. | Kontroller at tidspunktet for ATA Gateway er synkronisert med tidspunktet for ATA-senteret. |
| System.ServiceModel.EndpointNotFoundException: Kan ikke koble til net.tcp://center.ip.addr:443/IEntityReceiver | ATA-gatewayen kan ikke opprette en tilkobling til ATA-senteret. | Kontroller at nettverksinnstillingene er riktige og at nettverkstilkoblingen mellom ATA Gateway og ATA Center er aktiv. |
| System.DirectoryServices.Protocols.LdapException: LDAP-serveren er ikke tilgjengelig. | ATA Gateway kan ikke spørre domenekontrolleren ved hjelp av LDAP-protokollen. | 1. Kontroller at brukerkontoen som brukes av ATA til å koble til Active Directory-domenet, har lesetilgang til alle objektene i Active Directory-treet. 2. Kontroller at domenekontrolleren ikke er herdet for å hindre LDAP-spørringer fra brukerkontoen som brukes av ATA. |
| Microsoft.Tri.Infrastructure.ContractException: Kontraktunntak | ATA-gatewayen kan ikke synkronisere konfigurasjonen fra ATA-senteret. | Fullfør konfigurasjonen av ATA Gateway i ATA-konsollen. |
| System.Reflection.ReflectionTypeLoadException: Kan ikke laste inn én eller flere av de forespurte typene. Hent LoaderExceptions-egenskapen for mer informasjon. | Message Analyzer er installert på ATA Gateway. | Avinstaller meldingsanalyse. |
| Feil [Layout] System.OutOfMemoryException: Det oppstod et unntak av typen System.OutOfMemoryException. | ATA-gatewayen har ikke nok minne. | Øk mengden minne på domenekontrolleren. |
| Kan ikke starte live-forbruker ---> Microsoft.Opn.Runtime.Monitoring.MessageSessionException: PEFNDIS-hendelsesleverandøren er ikke klar | PEF (Meldingsanalyse) ble ikke installert på riktig måte. | Hvis du bruker Hyper-V, kan du prøve å oppgradere Hyper-V-integreringstjenester ellers kan du kontakte kundestøtte for en midlertidig løsning. |
| Installasjonen mislyktes med feilen: 0x80070652 | Det finnes andre ventende installasjoner på datamaskinen. | Vent til de andre installasjonene fullføres, og start datamaskinen på nytt om nødvendig. |
| System.InvalidOperationException: Forekomsten Microsoft.Tri.Gateway finnes ikke i den angitte kategorien. | PIDer ble aktivert for prosessnavn i ATA Gateway | Se Behandle duplikatforekomstnavn for å deaktivere PIDer i prosessnavn |
| System.InvalidOperationException: Kategorien finnes ikke. | Tellere kan være deaktivert i registeret | Bruke KB2554336 til å gjenoppbygge ytelsestellere |
| System.ApplicationException: Kan ikke starte ETW-økt MMA-ETW-Livecapture-a4f595bd-f567-49a7-b963-20fa4e370329 | Det er en vertsoppføring i HOSTS-filen som peker til maskinens kortnavn | Fjern vertsoppføringen fra C:\Windows\System32\drivers\etc\HOSTS-fil eller endre den til en FQDN. |
| System.IO.IOException: Godkjenning mislyktes fordi den eksterne parten har lukket transportstrømmen eller ikke kan opprette en SSL/TLS-sikker kanal | TLS 1.0 er deaktivert på ATA Gateway, men .Net er satt til å bruke TLS 1.2 | Aktiver TLS 1.2 for .Net ved å angi at registernøklene skal bruke standardinnstillingene for operativsystemet for SSL og TLS, som følger:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] " SchUseStrongCrypto"=dword:00000001
|
| System.TypeLoadException: Kan ikke laste inn typen Microsoft.Opn.Runtime.Values.BinaryValueBufferManager fra samlingen Microsoft.Opn.Runtime, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35' | ATA Gateway kan ikke laste inn nødvendige analysefiler. | Kontroller om Microsoft Message Analyzer er installert. Message Analyzer støttes ikke for å installeres med ATA Gateway / Lightweight Gateway. Avinstaller Meldingsanalyse, og start Gateway-tjenesten på nytt. |
| System.Net.WebException: Den eksterne serveren returnerte en feil: (407) Proxy-godkjenning kreves | ATA Gateway-kommunikasjonen med ATA-senteret forstyrres av en proxy-server. | Deaktiver proxyen på ATA Gateway-maskinen. Vær oppmerksom på at proxy-innstillinger kan være per konto. |
| System.IO.DirectoryNotFoundException: Systemet finner ikke banen som er angitt. (Unntak fra HRESULT: 0x80070003) | En eller flere av tjenestene som trengs for å operere ATA startet ikke. | Start følgende tjenester: Ytelseslogger og varsler (PLA), Oppgaveplanlegger (tidsplan). |
| System.Net.WebException: Den eksterne serveren returnerte en feil: (403) Forbudt | ATA Gateway eller Lightweight Gateway ble forbudt fra å opprette en HTTP-tilkobling fordi ATA-senteret ikke er klarert. | Legg til NetBIOS-navnet og FQDN for ATA-senteret i listen over klarerte nettsteder, og tøm hurtigbufferen i Internet Explorer (eller navnet på ATA-senteret som angitt i konfigurasjonen hvis den konfigurerte er forskjellig fra NetBIOS/FQDN). |
| System.Net.http.httpRequestException: PostAsync mislyktes [requestTypeName=StopNetEventSessionRequest] | ATA Gateway eller ATA Lightweight Gateway kan ikke stoppe og starte ETW-økten som samler inn nettverkstrafikk på grunn av et WMI-problem | Følg instruksjonene i WMI: Gjenoppbygge WMI-repositoriet for å løse WMI-problemet |
| System.Net.Sockets.SocketException: Det ble gjort forsøk på å få tilgang til en stikkontakt på en måte som ble forbudt av tilgangstillatelsene | Et annet program bruker port 514 på ATA Gateway | Brukes netstat -o til å fastslå hvilken prosess som bruker denne porten. |
Distribusjonsfeil
| Feil | Beskrivelse | Løsning |
|---|---|---|
| Installasjonen av .Net Framework 4.6.1 mislykkes med feil 0x800713ec | Forutsetningene for .Net Framework 4.6.1 er ikke installert på serveren. | Før du installerer ATA, må du kontrollere at windows-oppdateringene KB2919442 og KB2919355 er installert på serveren. |
| System.Threading.Tasks.TaskCanceledException: En oppgave ble avbrutt | Distribusjonsprosessen ble tidsavbrutt fordi den ikke kunne nå ATA-senteret. | 1. Kontroller nettverkstilkoblingen til ATA-senteret ved å bla til den ved hjelp av IP-adressen. 2. Se etter proxy- eller brannmurkonfigurasjon. |
| System.Net.http.httpRequestException: Det oppstod en feil under sending av forespørselen. >--- System.Net.WebException: Den eksterne serveren returnerte en feil: (407) Proxy-godkjenning kreves. | Distribusjonsprosessen ble tidsavbrutt fordi den ikke kunne nå ATA-senteret på grunn av feil konfigurasjon av proxy. | Deaktiver proxy-konfigurasjonen før distribusjon, og aktiver proxy-konfigurasjonen på nytt. Du kan eventuelt konfigurere et unntak i proxyen. |
| System.Net.Sockets.SocketException: En eksisterende tilkobling ble tvunget til å lukkes av den eksterne verten | Aktiver TLS 1.2 for .Net ved å angi at registernøklene skal bruke standardinnstillingene for operativsystemet for SSL og TLS, som følger:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
|
|
| Feil [\[]DeploymentModel[\]] Mislykket administrasjonsgodkjenning [\[]CurrentlyLoggedOnUser=<domain>\<username>Status=FailedAuthentication Exception=[\]] | Distribusjonsprosessen for ATA Gateway eller ATA Lightweight Gateway kunne ikke godkjennes mot ATA Center | Åpne en nettleser fra maskinen der distribusjonsprosessen mislyktes, og se om du kan nå ATA-konsollen.
Hvis ikke, kan du starte feilsøking for å se hvorfor nettleseren ikke kan godkjenne mot ATA-senteret. Ting du bør kontrollere: Proxy-konfigurasjon nettverk utsteder gruppepolicyinnstillinger for godkjenning på den maskinen som er forskjellig fra ATA-senteret. |
| Feil [\[]DeploymentModel[\]] Mislykket administrasjonsgodkjenning | Validering av centersertifikat mislyktes | Center-sertifikatet kan kreve en Internett-tilkobling for validering. Kontroller at gateway-tjenesten har riktig proxy-konfigurasjon for å aktivere tilkoblingen og valideringen. |
| Når du distribuerer senteret og velger et sertifikat, rapporteres det en feil som ikke støttes | Dette kan skje hvis enten det valgte sertifikatet ikke oppfyller kravene, eller hvis den private nøkkelen til sertifikatet ikke er tilgjengelig. | Kontroller at du kjører distribusjonen med utvidede rettigheter (Kjør som administrator), og at det valgte sertifikatet oppfyller kravene. |
ATA Center-feil
| Feil | Beskrivelse | Løsning |
|---|---|---|
| System.Security.Cryptography.CryptographicException: Ingen tilgang. | ATA-senteret kan ikke bruke det utstedte sertifikatet for dekryptering. Dette skjedde mest sannsynlig på grunn av bruk av et sertifikat med KeySpec (KeyNumber) satt til Signatur (AT\_SIGNATURE) som ikke støttes for dekryptering, i stedet for å bruke KeyExchange (AT\_KEYEXCHANGE). | 1. Stopp ATA Center-tjenesten. 2. Slett ATA Center-sertifikatet fra senterets sertifikatlager. (Før du sletter, må du kontrollere at du har sikkerhetskopiert sertifikatet med den private nøkkelen i en PFX-fil.) 3. Åpne en hevet ledetekst og kjør certutil -importpfx "CenterCertificate.pfx" AT\_KEYEXCHANGE 4. Start ATA Center-tjenesten. 5. Kontroller at alt nå fungerer som forventet. |
PROBLEMER med ATA Gateway og Lightweight Gateway
| Problem | Beskrivelse | Løsning |
|---|---|---|
| Ingen trafikk mottatt fra domenekontrolleren, men tilstandsvarsler observeres | Ingen trafikk ble mottatt fra en domenekontroller ved hjelp av portspeiling gjennom en ATA Gateway | Deaktiver disse funksjonene i Avanserte innstillinger på ATA Gateway Capture NIC: Receive Segment Coalescing (IPv4) Receive Segment Coalescing (IPv6) |
| Dette tilstandsvarselet vises: Noe nettverkstrafikk analyseres ikke | Hvis du har en ATA Gateway eller Lightweight Gateway på virtuelle maskiner for VMware, kan det hende du får dette tilstandsvarselet. Dette skjer på grunn av en konfigurasjonskonflikt i VMware. | Angi følgende innstillinger til 0 eller Deaktivert i NIC-konfigurasjonen for den virtuelle maskinen: TsoEnable, LargeSendOffload, TSO Offload, Giant TSO Offload |
Gruppemodus for flere prosessorer
For Windows-operativsystemer 2008R2 og 2012 støttes ikke ATA Gateway i gruppemodus for flere prosessorer .
Foreslåtte mulige løsninger:
Hvis hypertreading er på, deaktiverer du den. Dette kan redusere antall logiske kjerner nok til å unngå å måtte kjøre i gruppemodus for flere prosessorer .
Hvis maskinen har mindre enn 64 logiske kjerner og kjører på en HP-vert, kan det hende du kan endre BIOS-innstillingen for OPTIMALisering av NUMA-gruppestørrelse fra standard for gruppert til flatt.