Bekende problemen met ATA oplossen
Van toepassing op: Advanced Threat Analytics versie 1.9
In deze sectie vindt u informatie over mogelijke fouten in de implementaties van ATA en de stappen die nodig zijn om deze op te lossen.
ATA Gateway- en Lightweight-gatewayfouten
| Error | Omschrijving | Oplossing |
|---|---|---|
| System.DirectoryServices.Protocols.LdapException: er is een lokale fout opgetreden | De ATA-gateway kan niet worden geverifieerd op basis van de domeincontroller. | 1. Controleer of de DNS-record van de domeincontroller correct is geconfigureerd op de DNS-server. 2. Controleer of de tijd van de ATA-gateway is gesynchroniseerd met de tijd van de domeincontroller. |
| System.IdentityModel.Tokens.SecurityTokenValidationException: kan certificaatketen niet valideren | De ATA-gateway kan het certificaat van het ATA Center niet valideren. | 1. Controleer of het basis-CA-certificaat is geïnstalleerd in het certificaatarchief van de vertrouwde certificeringsinstantie op de ATA-gateway. 2. Controleer of de certificaatintrekkingslijst (CRL) beschikbaar is en of de certificaatintrekkingsvalidatie kan worden uitgevoerd. |
| Microsoft.Common.ExtendedException: kan de gegenereerde tijd niet parseren | De ATA Gateway kan syslog-berichten die zijn doorgestuurd vanuit de SIEM niet parseren. | Controleer of de SIEM is geconfigureerd om de berichten door te sturen in een van de indelingen die worden ondersteund door ATA. |
| System.ServiceModel.FaultException: er is een fout opgetreden bij het controleren van de beveiliging van het bericht. | De ATA-gateway kan niet worden geverifieerd bij ATA Center. | Controleer of de tijd van de ATA Gateway is gesynchroniseerd met de tijd van het ATA Center. |
| System.ServiceModel.EndpointNotFoundException: kan geen verbinding maken met net.tcp://center.ip.addr:443/IEntityReceiver | De ATA-gateway kan geen verbinding maken met het ATA Center. | Zorg ervoor dat de netwerkinstellingen juist zijn en of de netwerkverbinding tussen de ATA-gateway en het ATA Center actief is. |
| System.DirectoryServices.Protocols.LdapException: de LDAP-server is niet beschikbaar. | De ATA Gateway kan geen query uitvoeren op de domeincontroller met behulp van het LDAP-protocol. | 1. Controleer of het gebruikersaccount dat door ATA wordt gebruikt om verbinding te maken met het Active Directory-domein leestoegang heeft tot alle objecten in de Active Directory-structuur. 2. Zorg ervoor dat de domeincontroller niet is beveiligd om LDAP-query's te voorkomen van het gebruikersaccount dat door ATA wordt gebruikt. |
| Microsoft.Tri.Infrastructure.ContractException: Contractuitzondering | De ATA-gateway kan de configuratie vanuit het ATA Center niet synchroniseren. | Voltooi de configuratie van de ATA-gateway in de ATA-console. |
| System.Reflection.ReflectionTypeLoadException: kan een of meer van de aangevraagde typen niet laden. Haal de eigenschap LoaderExceptions op voor meer informatie. | Message Analyzer is geïnstalleerd op de ATA-gateway. | Verwijder Message Analyzer. |
| Fout [Layout] System.OutOfMemoryException: Uitzondering van het type 'System.OutOfMemoryException' is gegenereerd. | De ATA-gateway heeft onvoldoende geheugen. | Verhoog de hoeveelheid geheugen op de domeincontroller. |
| Live consumer ---> Microsoft.Opn.Runtime.Monitoring.MessageSessionException kan niet worden gestart: de PEFNDIS-gebeurtenisprovider is niet gereed | PEF (Message Analyzer) is niet correct geïnstalleerd. | Als u Hyper-V gebruikt, probeert u anders hyper-V-integratieservices te upgraden, neemt u contact op met de ondersteuning voor een tijdelijke oplossing. |
| De installatie is mislukt met fout: 0x80070652 | Er zijn andere installaties die in behandeling zijn op uw computer. | Wacht tot de andere installaties zijn voltooid en start de computer zo nodig opnieuw op. |
| System.InvalidOperationException: Exemplaar 'Microsoft.Tri.Gateway' bestaat niet in de opgegeven categorie. | PID's zijn ingeschakeld voor procesnamen in de ATA-gateway | Zie Dubbele instantienamen verwerken om PID's in procesnamen uit te schakelen |
| 'System.InvalidOperationException: Categorie bestaat niet. | Tellers zijn mogelijk uitgeschakeld in het register | Gebruik KB2554336 om prestatiemeteritems opnieuw te bouwen |
| System.ApplicationException: KAN ETW-sessie niet starten MMA-ETW-Livecapture-a4f595bd-f567-49a7-b963-20fa4e370329 | Er is een hostvermelding in het HOSTS-bestand die verwijst naar de shortname van de computer | Verwijder de hostvermelding uit het bestand C:\Windows\System32\drivers\etc\HOSTS of wijzig deze in een FQDN. |
| System.IO.IOException: Verificatie is mislukt omdat de externe partij de transportstroom heeft gesloten of geen beveiligd SSL/TLS-kanaal kan maken | TLS 1.0 is uitgeschakeld op de ATA Gateway, maar .Net is ingesteld op het gebruik van TLS 1.2 | Schakel TLS 1.2 voor .Net in door de registersleutels als volgt in te stellen op het gebruik van de standaardinstellingen van het besturingssysteem voor SSL en TLS:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] " SchUseStrongCrypto"=dword:00000001
|
| System.TypeLoadException: kan het type 'Microsoft.Opn.Runtime.Values.BinaryValueBufferManager' niet laden vanuit assembly 'Microsoft.Opn.Runtime, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35' | ATA Gateway kan vereiste parseringsbestanden niet laden. | Controleer of Microsoft Message Analyzer momenteel is geïnstalleerd. Message Analyzer wordt niet ondersteund voor installatie met de ATA-gateway/lightweight-gateway. Verwijder Message Analyzer en start de gatewayservice opnieuw. |
| System.Net.WebException: De externe server heeft een fout geretourneerd: (407) Proxyverificatie vereist | De communicatie van de ATA Gateway met het ATA Center wordt verstoord door een proxyserver. | Schakel de proxy op de ATA Gateway-computer uit. Proxy-instellingen kunnen per account zijn. |
| System.IO.DirectoryNotFoundException: het systeem kan het opgegeven pad niet vinden. (Uitzondering van HRESULT: 0x80070003) | Een of meer services die nodig zijn om ATA te gebruiken, zijn niet gestart. | Start de volgende services: Prestatielogboeken en waarschuwingen (PLA), Taakplanner (Planning). |
| System.Net.WebException: De externe server heeft een fout geretourneerd: (403) Verboden | Het is de ATA-gateway of lightweight-gateway verboden om een HTTP-verbinding tot stand te brengen omdat het ATA Center niet wordt vertrouwd. | Voeg de NetBIOS-naam en FQDN van het ATA Center toe aan de lijst met vertrouwde websites en wis de cache in Internet Explorer (of de naam van het ATA Center zoals opgegeven in de configuratie als de geconfigureerde anders is dan de NetBIOS/FQDN). |
| System.net.http.httpRequestException: PostAsync failed [requestTypeName=StopNetEventSessionRequest] | De ATA Gateway of ATA Lightweight-gateway kan de ETW-sessie die netwerkverkeer verzamelt, niet stoppen en starten vanwege een WMI-probleem | Volg de instructies in WMI: De WMI-opslagplaats opnieuw opbouwen om het WMI-probleem op te lossen |
| System.Net.Sockets.SocketException: er is een poging gedaan om toegang te krijgen tot een socket op een manier die verboden is door de toegangsmachtigingen | Een andere toepassing gebruikt poort 514 op de ATA-gateway | Gebruik netstat -o om vast te stellen welk proces die poort gebruikt. |
Implementatiefouten
| Error | Omschrijving | Oplossing |
|---|---|---|
| Installatie van .Net Framework 4.6.1 mislukt met fout 0x800713ec | De vereisten voor .Net Framework 4.6.1 zijn niet geïnstalleerd op de server. | Voordat u ATA installeert, controleert u of de Windows-updates KB2919442 en KB2919355 op de server zijn geïnstalleerd. |
| System.Threading.Tasks.TaskCanceledException: een taak is geannuleerd | Er is een time-out opgetreden voor het implementatieproces omdat het ATA Center niet kan worden bereikt. | 1. Controleer de netwerkverbinding met het ATA Center door ernaar te bladeren met behulp van het IP-adres. 2. Controleer op proxy- of firewallconfiguratie. |
| System.Net.Http.HttpRequestException: er is een fout opgetreden tijdens het verzenden van de aanvraag. >--- System.Net.WebException: De externe server heeft een fout geretourneerd: (407) Proxyverificatie vereist. | Er is een time-out opgetreden voor het implementatieproces omdat ata Center niet kan worden bereikt vanwege een onjuiste proxyconfiguratie. | Schakel de proxyconfiguratie uit vóór de implementatie en schakel vervolgens de proxyconfiguratie opnieuw in. U kunt ook een uitzondering configureren in de proxy. |
| System.Net.Sockets.SocketException: Een bestaande verbinding is geforceerd gesloten door de externe host | Schakel TLS 1.2 voor .Net in door de registersleutels als volgt in te stellen op het gebruik van de standaardinstellingen van het besturingssysteem voor SSL en TLS:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
|
|
| Fout [\[]DeploymentModel[\]] Mislukte beheerverificatie [\[]CurrentlyLoggedOnUser=<domain>\<username>Status=FailedAuthentication Exception=[\]] | Het implementatieproces van de ATA Gateway of ATA Lightweight Gateway kan niet worden geverifieerd bij het ATA Center | Open een browser vanaf de computer waarop het implementatieproces is mislukt en kijk of u de ATA-console kunt bereiken.
Als dat niet het probleem is, begint u met het oplossen van problemen om te zien waarom de browser niet kan worden geverifieerd in het ATA Center. Dingen om te controleren: Proxyconfiguratie Netwerkproblemen Groepsbeleidsinstellingen voor verificatie op die computer die verschilt van het ATA Center. |
| Fout [\[]DeploymentModel[\]] Mislukte beheerverificatie | Certificaatvalidatie center is mislukt | Voor het Center-certificaat is mogelijk een internetverbinding vereist voor validatie. Zorg ervoor dat uw gatewayservice de juiste proxyconfiguratie heeft om de verbinding en validatie in te schakelen. |
| Tijdens het implementeren van het Center en het selecteren van een certificaat wordt een fout 'Niet ondersteund' gerapporteerd | Dit kan gebeuren als het geselecteerde certificaat niet voldoet aan de vereisten of als de persoonlijke sleutel van het certificaat niet toegankelijk is. | Zorg ervoor dat u de implementatie uitvoert met verhoogde bevoegdheden (Uitvoeren als beheerder) en dat het geselecteerde certificaat voldoet aan de vereisten. |
ATA Center-fouten
| Error | Omschrijving | Oplossing |
|---|---|---|
| System.Security.Cryptography.CryptographicException: Toegang geweigerd. | Het ATA Center kan het uitgegeven certificaat niet gebruiken voor ontsleuteling. Dit is waarschijnlijk het gevolg van het gebruik van een certificaat waarbij KeySpec (KeyNumber) is ingesteld op Signature (AT\_SIGNATURE) dat niet wordt ondersteund voor ontsleuteling, in plaats van keyExchange (AT\_KEYEXCHANGE). | 1. Stop de ATA Center-service. 2. Verwijder het ATA Center-certificaat uit het certificaatarchief van het centrum. (Voordat u het verwijdert, moet u ervoor zorgen dat u een back-up van het certificaat hebt gemaakt met de persoonlijke sleutel in een PFX-bestand.) 3. Open een opdrachtprompt met verhoogde bevoegdheid en voer certutil -importpfx "CenterCertificate.pfx" AT\_KEYEXCHANGE 4. Start de ATA Center-service. 5. Controleer of alles nu werkt zoals verwacht. |
Problemen met ATA Gateway en Lightweight Gateway
| Probleem | Omschrijving | Oplossing |
|---|---|---|
| Er is geen verkeer ontvangen van de domeincontroller, maar er worden statuswaarschuwingen waargenomen | Er is geen verkeer ontvangen van een domeincontroller met poortspiegeling via een ATA-gateway | Schakel op de NIC van de ATA Gateway-opname deze functies uit in Geavanceerde instellingen: Segment coalescering ontvangen (IPv4) Segment coalescering ontvangen (IPv6) |
| Deze statuswaarschuwing wordt weergegeven: sommige netwerkverkeer wordt niet geanalyseerd | Als u een ATA-gateway of lightweight-gateway op virtuele VMware-machines hebt, ontvangt u mogelijk deze statuswaarschuwing. Dit gebeurt vanwege een niet-overeenkomende configuratie in VMware. | Stel de volgende instellingen in op 0 of Uitgeschakeld in de NIC-configuratie van de virtuele machine: TsoEnable, LargeSendOffload, TSO Offload, Giant TSO Offload |
Groepsmodus voor meerdere processoren
Voor Windows-besturingssystemen 2008R2 en 2012 wordt ATA Gateway niet ondersteund in de modus multiprocessorgroep .
Mogelijke tijdelijke oplossingen:
Als hyperthreading is ingeschakeld, schakelt u deze uit. Dit kan het aantal logische kernen verminderen om te voorkomen dat u hoeft te worden uitgevoerd in de groepsmodus met meerdere processors .
Als uw computer minder dan 64 logische kernen heeft en wordt uitgevoerd op een HP-host, kunt u mogelijk de BIOS-instelling NUMA Group Size Optimization wijzigen van de standaardinstelling Clustered in Flat.