Устранение известных проблем ATA
Область применения: Advanced Threat Analytics версии 1.9
В этом разделе описаны возможные ошибки в развертываниях ATA и действия, необходимые для их устранения.
Ошибки шлюза ATA и упрощенного шлюза
| Ошибка | Описание | Решение |
|---|---|---|
| System.DirectoryServices.Protocols.LdapException: произошла локальная ошибка | Шлюзу ATA не удалось пройти проверку подлинности на контроллере домена. | 1. Убедитесь, что запись DNS контроллера домена настроена правильно на DNS-сервере. 2. Убедитесь, что время шлюза ATA синхронизировано со временем контроллера домена. |
| System.IdentityModel.Tokens.SecurityTokenValidationException: не удалось проверить цепочку сертификатов | Шлюзу ATA не удалось проверить сертификат Центра ATA. | 1. Убедитесь, что сертификат корневого ЦС установлен в хранилище сертификатов доверенного центра сертификации на шлюзе ATA. 2. Убедитесь, что список отзыва сертификатов (CRL) доступен и что можно выполнить проверку отзыва сертификата. |
| Microsoft.Common.ExtendedException: не удалось проанализировать время, созданное | Шлюзу ATA не удалось проанализировать сообщения системного журнала, которые были переадресованы из SIEM. | Убедитесь, что SIEM настроен для пересылки сообщений в одном из форматов, поддерживаемых ATA. |
| System.ServiceModel.FaultException: произошла ошибка при проверке безопасности сообщения. | Шлюзу ATA не удалось пройти проверку подлинности в центре ATA. | Убедитесь, что время шлюза ATA синхронизировано со временем центра ATA. |
| System.ServiceModel.EndpointNotFoundException: не удалось подключиться к net.tcp://center.ip.addr:443/IEntityReceiver | Шлюзу ATA не удалось установить подключение к Центру ATA. | Убедитесь в правильности параметров сети и активном сетевом подключении между шлюзом ATA и Центром ATA. |
| System.DirectoryServices.Protocols.LdapException: сервер LDAP недоступен. | Шлюзу ATA не удалось запросить контроллер домена по протоколу LDAP. | 1. Убедитесь, что учетная запись пользователя, используемая ATA для подключения к домену Active Directory, имеет доступ на чтение ко всем объектам в дереве Active Directory. 2. Убедитесь, что контроллер домена не защищен, чтобы предотвратить запросы LDAP из учетной записи пользователя, используемой ATA. |
| Microsoft.Tri.Infrastructure.ContractException: исключение контракта | Шлюзу ATA не удалось синхронизировать конфигурацию из Центра ATA. | Полная настройка шлюза ATA в консоли ATA. |
| System.Reflection.ReflectionTypeLoadException: не удается загрузить один или несколько запрошенных типов. Получите свойство LoaderExceptions для получения дополнительных сведений. | Анализатор сообщений установлен в шлюзе ATA. | Удалите анализатор сообщений. |
| Ошибка [Макет] System.OutOfMemoryException: возникло исключение типа System.OutOfMemoryException. | У шлюза ATA недостаточно памяти. | Увеличьте объем памяти на контроллере домена. |
| Не удалось запустить динамический потребитель ---> Microsoft.Opn.Runtime.Monitoring.MessageSessionException: поставщик событий PEFNDIS не готов | PEF (анализатор сообщений) установлен неправильно. | Если вы используете Hyper-V, попробуйте обновить службы интеграции Hyper-V, в противном случае обратитесь в службу поддержки за обходным решением. |
| Сбой установки: 0x80070652 | На компьютере есть и другие ожидающие установки. | Дождитесь завершения других установок и при необходимости перезагрузите компьютер. |
| System.InvalidOperationException: экземпляр Microsoft.Tri.Gateway не существует в указанной категории. | Для имен процессов в шлюзе ATA включены идентификаторы PID. | См. раздел Обработка повторяющихся имен экземпляров , чтобы отключить PID в именах процессов. |
| System.InvalidOperationException: Category не существует. | Счетчики могут быть отключены в реестре | Использование KB2554336 для перестроения счетчиков производительности |
| System.ApplicationException: не удается запустить сеанс ETW MMA-ETW-Livecapture-a4f595bd-f567-49a7-b963-20fa4e370329 | В файле HOSTS есть запись узла, указывающая на короткое имя компьютера. | Удалите запись узла из файла C:\Windows\System32\drivers\etc\HOSTS или измените ее на полное доменное имя. |
| System.IO.IOException: проверка подлинности завершилась сбоем, так как удаленная сторона закрыла транспортный поток или не смогла создать безопасный канал SSL/TLS. | Протокол TLS 1.0 отключен на шлюзе ATA, но для .NET настроено использование TLS 1.2 | Включите TLS 1.2 для .NET, задав в разделах реестра значение по умолчанию операционной системы для SSL и TLS, как показано ниже.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] " SchUseStrongCrypto"=dword:00000001
|
| System.TypeLoadException: не удалось загрузить тип Microsoft.Opn.Runtime.Values.BinaryValueBufferManager из сборки Microsoft.Opn.Runtime, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35. | Шлюзу ATA не удалось загрузить необходимые файлы синтаксического анализа. | Проверьте, установлен ли анализатор сообщений Майкрософт в настоящее время. Анализатор сообщений не поддерживается для установки со шлюзом ATA или упрощенным шлюзом. Удалите анализатор сообщений и перезапустите службу шлюза. |
| System.Net.WebException: удаленный сервер вернул ошибку: (407) Требуется проверка подлинности прокси-сервера | Связь шлюза ATA с центром ATA нарушается прокси-сервером. | Отключите прокси-сервер на компьютере шлюза ATA. Обратите внимание, что параметры прокси-сервера могут быть настроены для каждой учетной записи. |
| System.IO.DirectoryNotFoundException: система не может найти указанный путь. (Исключение из HRESULT: 0x80070003) | Не запущена одна или несколько служб, необходимых для работы ATA. | Запустите следующие службы: Журналы производительности и оповещения (PLA), планировщик задач (расписание). |
| System.Net.WebException: удаленный сервер вернул ошибку: (403) Запрещено | Шлюзу ATA или упрощению шлюза было запрещено устанавливать HTTP-подключение, так как центр ATA не является доверенным. | Добавьте netBIOS-имя и полное доменное имя центра ATA в список доверенных веб-сайтов и очистите кэш в Интернете Обозреватель (или имя центра ATA, указанное в конфигурации, если настроенное отличается от NetBIOS/FQDN). |
| System.Net.Http.HttpRequestException: сбой PostAsync [requestTypeName=StopNetEventSessionRequest] | Шлюз ATA или упрощенный шлюз ATA не может остановиться и запустить сеанс трассировки событий Windows, который собирает сетевой трафик из-за проблемы с WMI | Следуйте инструкциям в разделе WMI: перестроение репозитория WMI , чтобы устранить проблему с WMI. |
| System.Net.Sockets.SocketException: предпринята попытка доступа к сокету способом, запрещенным его разрешениями на доступ | Другое приложение использует порт 514 в шлюзе ATA | Используйте netstat -o , чтобы определить, какой процесс использует этот порт. |
Ошибки развертывания
| Ошибка | Описание | Решение |
|---|---|---|
| Сбой установки .Net Framework 4.6.1 с ошибкой 0x800713ec | Предварительные требования для .Net Framework 4.6.1 не установлены на сервере. | Перед установкой ATA убедитесь, что обновления Windows KB2919442 и KB2919355 установлены на сервере. |
| System.Threading.Tasks.TaskCanceledException: задача отменена | Время ожидания процесса развертывания истекло, так как ему не удалось связаться с Центром ATA. | 1. Проверьте сетевое подключение к Центру ATA, перейдя к нему по ЕГО IP-адресу. 2. Проверьте конфигурацию прокси-сервера или брандмауэра. |
| System.Net.Http.HttpRequestException: произошла ошибка при отправке запроса. >--- System.Net.WebException: удаленный сервер вернул ошибку: (407) Требуется проверка подлинности прокси-сервера. | Время ожидания процесса развертывания истекло, так как ему не удалось связаться с Центром ATA из-за неправильной настройки прокси-сервера. | Отключите конфигурацию прокси-сервера перед развертыванием, а затем снова включите конфигурацию прокси-сервера. Кроме того, можно настроить исключение в прокси-сервере. |
| System.Net.Sockets.SocketException: существующее подключение было принудительно закрыто удаленным узлом | Включите TLS 1.2 для .NET, задав в разделах реестра значение по умолчанию операционной системы для SSL и TLS, как показано ниже.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
|
|
| Ошибка [\[]DeploymentModel[\]] Сбой проверки подлинности управления [\[]CurrentlyLoggedOnUser=<domain>\<username>Status=FailedAuthentication Exception=[\]] | Процессу развертывания шлюза ATA или упрощенного шлюза ATA не удалось успешно пройти проверку подлинности в Центре ATA. | Откройте браузер с компьютера, на котором произошел сбой процесса развертывания, и посмотрите, можно ли связаться с консолью ATA.
В противном случае начните устранение неполадок, чтобы узнать, почему браузер не может пройти проверку подлинности в центре ATA. Что нужно проверка. Конфигурация прокси-сервера Сеть выдает параметры групповой политики для проверки подлинности на этом компьютере, отличающемся от центра ATA. |
| Ошибка [\[]DeploymentModel[\]] Сбой проверки подлинности управления | Сбой проверки сертификата центра | Для проверки сертификата Центра может потребоваться подключение к Интернету. Убедитесь, что служба шлюза имеет правильную конфигурацию прокси-сервера, чтобы включить подключение и проверку. |
| При развертывании Центра и выборе сертификата сообщается об ошибке "Не поддерживается" | Это может произойти, если выбранный сертификат не соответствует требованиям или закрытый ключ сертификата недоступен. | Убедитесь, что выполняется развертывание с повышенными привилегиями (запуск от имени администратора) и что выбранный сертификат соответствует требованиям. |
Ошибки центра ATA
| Ошибка | Описание | Решение |
|---|---|---|
| System.Security.Cryptography.CryptographicException: доступ запрещен. | Центру ATA не удалось использовать выданный сертификат для расшифровки. Скорее всего, это произошло из-за использования сертификата с параметром KeySpec (KeyNumber) с сигнатурой (AT\_SIGNATURE), который не поддерживается для расшифровки вместо использования KeyExchange (AT\_KEYEXCHANGE). | 1. Остановите службу центра ATA. 2. Удалите сертификат центра ATA из хранилища сертификатов центра. (Перед удалением убедитесь, что у вас есть резервная копия сертификата с закрытым ключом в PFX-файле.) 3. Откройте командную строку с повышенными привилегиями и запустите certutil -importpfx "CenterCertificate.pfx" AT\_KEYEXCHANGE 4. Запустите службу центра ATA. 5. Убедитесь, что все работает должным образом. |
Проблемы со шлюзом ATA и упрощенным шлюзом
| Проблема | Описание | Решение |
|---|---|---|
| Трафик от контроллера домена не поступает, но оповещения о работоспособности наблюдаются | Трафик не получен от контроллера домена с помощью зеркального отображения портов через шлюз ATA. | На сетевом адаптере отслеживания шлюза ATA отключите следующие функции в разделе Дополнительные параметры: Объединение сегментов получения (IPv4) Объединение сегментов получения (IPv6) |
| Отображается это оповещение о работоспособности: некоторые сетевые трафики не анализируются | Если у вас есть шлюз ATA или упрощенный шлюз на виртуальных машинах VMware, вы можете получить это оповещение о работоспособности. Это происходит из-за несоответствия конфигурации в VMware. | Задайте для следующих параметров значение 0 или Отключено в конфигурации сетевого адаптера виртуальной машины: TsoEnable, LargeSendOffload, TSO Offload, Giant TSO Offload |
Режим группы с несколькими процессорами
Для операционных систем Windows 2008R2 и 2012 шлюз ATA не поддерживается в режиме групп с несколькими процессорами .
Предлагаемые возможные обходные пути:
Если гиперпоточность включена, отключите ее. Это может уменьшить количество логических ядер, достаточное для того, чтобы избежать необходимости запуска в режиме группы многопроцессоров .
Если компьютер имеет менее 64 логических ядер и работает на узле HP, возможно, вы сможете изменить параметр BIOS оптимизации размера группы NUMA со значения по умолчанию Clustered на Flat.