проблемы с работоспособностью Microsoft Defender для удостоверений
На странице проблемы работоспособности Microsoft Defender для удостоверений перечислены текущие проблемы работоспособности для развертывания и датчиков Defender для удостоверений, предупреждающие о любых проблемах в развертывании Defender для удостоверений.
Страница проблем с работоспособностью
На странице проблем с работоспособностью Microsoft Defender для удостоверений вы узнаете, когда возникла проблема с рабочей областью Defender для удостоверений, поднимая проблему работоспособности. Чтобы получить доступ к странице, выполните следующие действия.
В Microsoft Defender XDR в разделе Удостоверения выберите Проблемы со работоспособностью.
Откроется страница Проблемы работоспособности , где можно увидеть проблемы со работоспособностью как для общей среды Defender для удостоверений, так и для определенных датчиков.
Defender для удостоверений поддерживает следующие типы оповещений о работоспособности:
- Связанные с доменом или агрегированные проблемы работоспособности, перечисленные на вкладке Глобальные проблемы работоспособности
- Проблемы с работоспособностью датчика, перечисленные на вкладке Проблемы работоспособности датчика
Отфильтруйте проблемы по состоянию, имени проблемы или серьезности, чтобы помочь вам найти нужные проблемы.
Например:
Выберите любую проблему для получения дополнительных сведений и параметр для закрытия или подавления проблемы. Например:
Проблемы с работоспособностью
В этом разделе описаны все проблемы работоспособности для каждого компонента, перечислены причины и шаги, необходимые для ее устранения.
Проблемы работоспособности датчика отображаются на вкладке Проблемы работоспособности датчика , а проблемы, связанные с доменом или агрегированные, отображаются на вкладке Глобальные проблемы работоспособности , как описано в следующих таблицах:
Контроллер домена недоступен датчиком
| Оповещение | Описание | Решение | Severity | Отображается в |
|---|---|---|---|---|
| Датчик Defender для удостоверений имеет ограниченные функциональные возможности из-за проблем с подключением к настроенного контроллера домена. | Это влияет на способность Defender для удостоверений обнаруживать подозрительные действия, связанные с контроллерами домена, отслеживаемыми этим датчиком Defender для удостоверений. | Убедитесь, что контроллеры домена запущены и этот датчик Defender для удостоверений может открывать к ним подключения LDAP. Кроме того, в разделе Параметры обязательно настройте учетную запись службы каталогов для каждого развернутого леса. | Средняя | Вкладка "Проблемы со работоспособностью датчиков" |
Все/ Некоторые сетевые адаптеры записи на датчике недоступны
| Оповещение | Описание | Решение | Severity | Отображается в |
|---|---|---|---|---|
| Все или некоторые из выбранных сетевых адаптеров записи на датчике Defender для удостоверений отключены или отключены. | Сетевой трафик для некоторых или всех контроллеров домена больше не фиксируется датчиком Defender для удостоверений. Эта проблема влияет на возможность обнаружения подозрительных действий, связанных с этими контроллерами домена. | Убедитесь, что выбранные сетевые адаптеры записи на датчике Defender для удостоверений включены и подключены. | Средняя | Вкладка "Проблемы со работоспособностью датчиков" |
Неправильные учетные данные пользователя служб каталогов
| Оповещение | Описание | Решение | Severity | Отображается в |
|---|---|---|---|---|
| Учетные данные для учетной записи пользователя служб каталогов неверны. | Эта проблема влияет на способность датчиков обнаруживать действия с помощью запросов LDAP к контроллерам домена. | — Для стандартных учетных записей AD: убедитесь, что имя пользователя, пароль и домен на странице конфигурации служб каталогов заданы правильно. — Для групповых управляемых учетных записей служб убедитесь , что имя пользователя и домен на странице конфигурации служб каталогов верны. Кроме того, проверка все остальные предварительные требования к учетной записи gMSA, описанные на странице рекомендаций по учетным записям службы каталогов. |
Средняя | Вкладка "Глобальные проблемы со здоровьем" |
Низкий уровень успешности при разрешении активных имен
| Оповещение | Описание | Решение | Severity | Отображается в |
|---|---|---|---|---|
| Перечисленным датчикам Defender для удостоверений не удается разрешить IP-адреса с именами устройств более чем в 90 % случаев с помощью следующих методов: — NTLM через RPC — NetBIOS — обратный DNS |
Это влияет на возможности обнаружения Defender для удостоверений и может увеличить количество ложноположительных оповещений. | — Для NTLM через RPC: убедитесь, что порт 135 открыт для входящего взаимодействия с датчиками Defender для удостоверений на всех компьютерах в среде. Для обратного DNS: убедитесь, что датчики могут подключиться к DNS-серверу и что включены зоны обратного просмотра. Для NetBIOS: убедитесь, что порт 137 открыт для входящего взаимодействия с датчиками Defender для удостоверений на всех компьютерах в среде. Кроме того, убедитесь, что конфигурация сети (например, брандмауэры) не препятствует обмену данными с соответствующими портами. |
Низкая | Вкладка "Проблемы со работоспособностью датчиков" и вкладка "Глобальные проблемы работоспособности" |
Трафик от контроллера домена не получен
| Оповещение | Описание | Решение | Severity | Отображается в |
|---|---|---|---|---|
| Трафик от контроллера домена через этот датчик Defender для удостоверений не получен. | Эта проблема может указывать на то, что зеркальное отображение портов с контроллеров домена на датчик Defender для удостоверений еще не настроено или не работает. | Убедитесь, что на сетевых устройствах правильно настроено зеркальное отображение портов. На сетевом адаптере датчика Defender для удостоверений отключите следующие функции в разделе Дополнительные параметры: Объединение сегментов получения (IPv4) Объединение сегментов получения (IPv6) |
Средняя | Вкладка "Проблемы со работоспособностью датчиков" и вкладка "Глобальные проблемы работоспособности" |
Срок действия пароля пользователя только для чтения истекает в ближайшее время
| Оповещение | Описание | Решение | Severity | Отображается в |
|---|---|---|---|---|
| Срок действия пароля пользователя только для чтения, используемого для разрешения сущностей в Active Directory, истекает менее чем через 30 дней. | Если срок действия пароля для этого пользователя истек, все датчики Defender для удостоверений перестают работать и новые данные не собираются. | Измените пароль подключения к домену, а затем обновите пароль учетной записи службы каталогов . | Средняя | Вкладка "Глобальные проблемы со здоровьем" |
Срок действия пароля пользователя только для чтения истек
| Оповещение | Описание | Решение | Severity | Отображается в |
|---|---|---|---|---|
| Срок действия пароля пользователя только для чтения, используемого для получения данных каталога, истек. | Все датчики Defender для удостоверений перестают работать или перестают работать в ближайшее время, и новые данные не собираются. | Измените пароль подключения к домену, а затем обновите пароль учетной записи службы каталогов . | Высокая | Вкладка "Глобальные проблемы со здоровьем" |
Датчик устарел
| Оповещение | Описание | Решение | Severity | Отображается в |
|---|---|---|---|---|
| Датчик Defender для удостоверений устарел. | Датчик Defender для удостоверений работает под управлением версии, которая не может взаимодействовать с облачной инфраструктурой Defender для удостоверений. | Обновите датчик и проверка вручную, чтобы узнать, почему датчик не обновляется автоматически. Если этот параметр не работает, скачайте последний пакет установки датчика, а затем удалите и переустановите датчик. Дополнительные сведения см. в разделах Скачивание датчика Microsoft Defender для удостоверений и Установка датчика Microsoft Defender для удостоверений. | Средняя | Вкладка "Проблемы со работоспособностью датчиков" и вкладка "Глобальные проблемы работоспособности" |
Датчик достиг предельного объема ресурсов памяти
| Оповещение | Описание | Решение | Severity | Отображается в |
|---|---|---|---|---|
| Датчик Defender для удостоверений остановился и автоматически перезапускается, чтобы защитить контроллер домена от нехватки памяти. | Датчик Defender для удостоверений применяет к себе ограничения памяти, чтобы предотвратить возникновение ограничений ресурсов на контроллере домена. Эта проблема возникает при высоком использовании памяти на контроллере домена. Данные из этого контроллера домена отслеживаются только частично. | Увеличьте объем памяти (ОЗУ) на контроллере домена или добавьте дополнительные контроллеры домена на этом сайте, чтобы лучше распределить нагрузку этого контроллера домена. | Средняя | Вкладка "Проблемы со работоспособностью датчиков" |
Не удалось запустить службу датчика
| Оповещение | Описание | Решение | Severity | Отображается в |
|---|---|---|---|---|
| Служба датчика Defender для удостоверений не запускалась не менее 30 минут. | Эта проблема может повлиять на возможность обнаружения подозрительных действий, выполняемых контроллерами домена, которые отслеживаются этим датчиком Defender для удостоверений. | Отслеживайте журналы датчика Defender для удостоверений, чтобы понять основную причину сбоя службы датчика Defender для удостоверений. | Высокая | Вкладка "Проблемы со работоспособностью датчиков" |
Датчик перестал взаимодействовать
| Оповещение | Описание | Решение | Severity | Отображается в |
|---|---|---|---|---|
| Связь с датчиком Defender для удостоверений не выполнена. Период времени по умолчанию для этого оповещения составляет 5 минут. | Это означает, что датчику не удалось отправить данные или сигнал поддержания активности в службы Defender для удостоверений в течение периода, превышающего допустимое время. Обычно это предполагает либо проблему с сетью в среде, которая препятствовала передаче данных, либо перезапуск сервера, который занимает больше времени, чем допустимый период времени, что влияет на способность Defender для удостоверений обнаруживать подозрительные действия. | Убедитесь, что связь между датчиком Defender для удостоверений и облачной службой Defender для удостоверений не блокируется маршрутизаторами или брандмауэрами. | Средняя | Вкладка "Проблемы со работоспособностью датчиков" |
Некоторые события Windows не анализируются
| Оповещение | Описание | Решение | Severity | Отображается в |
|---|---|---|---|---|
| Датчик Defender для удостоверений получает больше событий, чем может обработать. | Некоторые события Windows не анализируются. Это может повлиять на возможность обнаружения подозрительных действий, исходящих от контроллеров домена, отслеживаемых этим датчиком Defender для удостоверений. | Рассмотрите возможность добавления дополнительных процессоров и памяти по мере необходимости. Если вы используете автономный датчик Defender для удостоверений, убедитесь, что на датчик перенаправляются только необходимые события. Или попробуйте переадресовать некоторые события на другой датчик Defender для удостоверений. | Средняя | Вкладка "Проблемы со работоспособностью датчиков" и вкладка "Глобальные проблемы работоспособности" |
Не удалось проанализировать некоторый сетевой трафик
| Оповещение | Описание | Решение | Severity | Отображается в |
|---|---|---|---|---|
| Датчик Defender для удостоверений получает больше сетевого трафика, чем может обработать. | Не удалось проанализировать некоторый сетевой трафик. Эта проблема может повлиять на возможность обнаружения подозрительных действий, исходящих от контроллеров домена, отслеживаемых этим датчиком Defender для удостоверений. | Рассмотрите возможность добавления дополнительных процессоров и памяти по мере необходимости. Если вы используете автономный датчик Defender для удостоверений, уменьшите количество отслеживаемых контроллеров домена. Эта проблема также может возникнуть, если вы используете контроллеры домена на виртуальных машинах VMware. Чтобы избежать этих проблем, можно проверка, что для следующих параметров задано значение 0 или Отключено на виртуальной машине (в ОС Windows, а не в параметрах VMware): - Разгрузка большой отправки версии 2 (IPv4) - Разгрузка TSO IPv4 Имена могут отличаться в зависимости от версии VMware. Дополнительные сведения см. в документации по VMware. |
Средняя | Вкладка "Проблемы со работоспособностью датчиков" и вкладка "Глобальные проблемы работоспособности" |
Некоторые события трассировки событий Windows не анализируются
| Оповещение | Описание | Решение | Severity | Отображается в |
|---|---|---|---|---|
| Датчик Defender для удостоверений получает больше событий трассировки событий Windows (ETW), чем может обработать. | Некоторые события трассировки событий Windows (ETW) не анализируются. Это может повлиять на возможность обнаружения подозрительных действий, исходящих от контроллеров домена, отслеживаемых этим датчиком Defender для удостоверений. | Рассмотрите возможность добавления дополнительных процессоров и памяти по мере необходимости. | Средняя | Вкладка "Проблемы со работоспособностью датчиков" и вкладка "Глобальные проблемы работоспособности" |
Датчик, работающий в операционной системе, которая скоро станет неподдерживаемой
| Оповещение | Описание | Решение | Severity | Отображается в |
|---|---|---|---|---|
| Датчик Defender для удостоверений работает в операционной системе, которая вскоре станет неподдерживаемой. | Windows Server 2012 и 2012 R2 закончили поддержку 10 октября 2023 г. Дополнительные сведения можно получить по адресу: https://aka.ms/mdi/oseos | Операционная система на сервере должна быть обновлена до последней поддерживаемой операционной системы. Дополнительные сведения см. в разделе: https://aka.ms/mdi/os | Средняя | Вкладка "Проблемы со работоспособностью датчиков" |
Датчик, работающий в неподдерживаемой операционной системе
| Оповещение | Описание | Решение | Severity | Отображается в |
|---|---|---|---|---|
| Датчик Defender для удостоверений работает в неподдерживаемой операционной системе. | Windows Server 2012 и 2012 R2 закончили поддержку 10 октября 2023 г. Дополнительные сведения см. по адресу: https://aka.ms/mdi/oseos | Операционная система на сервере должна быть обновлена до последней поддерживаемой операционной системы. Дополнительные сведения см. в разделе: https://aka.ms/mdi/os | Высокая | Вкладка "Проблемы со работоспособностью датчиков" |
Датчик имеет проблемы с компонентом записи пакетов
| Оповещение | Описание | Решение | Severity | Отображается в |
|---|---|---|---|---|
| Датчик Defender для удостоверений использует драйверы WinPcap вместо драйверов Npcap. | Все клиенты должны использовать драйверы Npcap вместо драйверов WinPcap. Начиная с Defender для удостоверений версии 2.184, пакет установки устанавливает Npcap 1.0 OEM. | Установите Npcap в соответствии с рекомендациями, описанными в следующих разделах: https://aka.ms/mdi/npcap | Высокая | Вкладка "Проблемы со работоспособностью датчиков" |
| Датчик Defender для удостоверений работает под управлением версии Npcap старше минимальной требуемой версии. | Минимальная поддерживаемая версия Npcap — 1.0. Начиная с Defender для удостоверений версии 2.184, пакет установки устанавливает Npcap 1.0 OEM. | Обновите Npcap в соответствии с рекомендациями, описанными в следующих разделах: https://aka.ms/mdi/npcap | Средняя | Вкладка "Проблемы со работоспособностью датчиков" |
| Датчик Defender для удостоверений выполняет компонент Npcap, который не настроен в соответствии с требованиями. | В установке Npcap отсутствуют необходимые параметры конфигурации. | Установите Npcap в соответствии с рекомендациями, описанными в следующих разделах: https://aka.ms/mdi/npcap | Высокая | Вкладка "Проблемы со работоспособностью датчиков" |
Аудит NTLM не включен
| Оповещение | Описание | Решение | Severity | Отображается в |
|---|---|---|---|---|
| Аудит NTLM не включен. | Аудит NTLM (для события с идентификатором 8004) не включен на сервере. (Эта конфигурация проверяется один раз в день для каждого датчика. | Включите события аудита NTLM в соответствии с рекомендациями, описанными в разделе Идентификатор события 8004 на странице Настройка сбора событий Windows . | Средняя | Вкладка "Проблемы со работоспособностью датчиков" |
Расширенный аудит служб каталогов не включен по мере необходимости
| Оповещение | Описание | Решение | Severity | Отображается в |
|---|---|---|---|---|
| Расширенный аудит служб каталогов не включен по мере необходимости. (Эта конфигурация проверяется один раз в день для каждого датчика. | Конфигурация расширенного аудита служб каталогов не включает все категории и подкатегории при необходимости. | Включите события расширенного аудита служб каталогов. Дополнительные сведения см. в статье Настройка политик аудита для журналов событий Windows. | Средняя | Вкладка "Проблемы со работоспособностью датчиков" |
Аудит объектов служб каталогов не включен по мере необходимости
| Оповещение | Описание | Решение | Severity | Отображается в |
|---|---|---|---|---|
| Аудит объектов служб каталогов не включен по мере необходимости. (Эта конфигурация проверяется один раз в день для каждого домена. | Конфигурация аудита объектов служб каталогов не включает все необходимые типы объектов и разрешения. | Включите события аудита объектов служб каталогов в соответствии с рекомендациями, описанными в разделе Настройка аудита объектов домена на странице Настройка сбора событий Windows . | Средняя | Вкладка "Глобальные проблемы со здоровьем" |
Аудит контейнера конфигурации не включен по мере необходимости
| Оповещение | Описание | Решение | Severity | Отображается в |
|---|---|---|---|---|
| Аудит контейнера конфигурации не включен по мере необходимости. (Эта конфигурация проверяется один раз в день для каждого домена. | Аудит служб каталогов в контейнере конфигурации домена не включен по мере необходимости. | Включите аудит служб каталогов в контейнере конфигурации домена в соответствии с рекомендациями, описанными в разделе Настройка политик аудита на странице Настройка коллекции событий Windows . | Средняя | Вкладка "Глобальные проблемы со здоровьем" |
Аудит контейнера ADFS не включен по мере необходимости
| Оповещение | Описание | Решение | Severity | Отображается в |
|---|---|---|---|---|
| Аудит контейнера ADFS не включен по мере необходимости. (Эта конфигурация проверяется один раз в день для каждого домена. | Аудит служб каталогов в контейнере ADFS не включен по мере необходимости. | Включите аудит служб каталогов в контейнере ADFS в соответствии с рекомендациями, описанными в разделе Настройка аудита для службы федерации Active Directory (AD FS) (AD FS) на странице Настройка коллекции событий Windows. | Средняя | Вкладка "Глобальные проблемы со здоровьем" |
Режим питания не настроен для оптимальной производительности процессора
| Оповещение | Описание | Решение | Severity | Отображается в |
|---|---|---|---|---|
| Режим питания не настроен для оптимальной производительности процессора. (Эта конфигурация проверяется один раз в день для каждого датчика. | В режиме питания операционной системы не настроены оптимальные параметры производительности процессора. Эта проблема может повлиять на производительность сервера и способность датчиков обнаруживать подозрительные действия. | Выполните одно из следующих действий. — Настройка параметра питания компьютера с датчиком Defender для удостоверений с высокой производительностью — задайте для минимального и максимального состояния процессора значение 100. Дополнительные сведения см. в разделе Требования к датчику и рекомендации на странице Предварительные требования к Defender для удостоверений . |
Низкая | Вкладка "Проблемы со работоспособностью датчиков" |
Датчику не удалось выполнить запись в пользовательский путь к журналу
| Оповещение | Описание | Решение | Severity | Отображается в |
|---|---|---|---|---|
| Датчику не удалось выполнить запись в пользовательский путь к журналу. | Не удается создать пользовательский путь к журналу, указанный в конфигурации датчика. | 1. Остановите AATPSensorUpdater службы и AATPSensor . 2. Измените SensorCustomLogLocation в файле конфигурации датчика допустимый путь или задайте для него значение NULL. 3. Снова запустите AATPSensorUpdater службы и AATPSensor . |
Низкая | Вкладка "Проблемы со работоспособностью датчиков" |
Сбои приема данных при учете радиуса (интеграция VPN)
| Оповещение | Описание | Решение | Severity | Отображается в |
|---|---|---|---|---|
| Ошибки приема данных при учете радиуса (интеграция VPN). | Перечисленные датчики Defender для удостоверений имеют сбои при приеме данных с учетом радиуса (интеграция VPN). | Убедитесь, что общий секрет в параметрах конфигурации Defender для удостоверений соответствует ВАШЕМу VPN-серверу, в соответствии с рекомендациями, описанными в разделе Настройка VPN в Defender для удостоверений на странице интеграции с VPN в Defender для удостоверений . | Низкая | Страница проблем с работоспособностью |
Аудит для серверов AD CS не включен по мере необходимости
| Оповещение | Описание | Решение | Severity | Отображается в |
|---|---|---|---|---|
| Аудит для серверов AD CS не включен по мере необходимости. (Эта конфигурация проверяется один раз в день для каждого датчика. | Конфигурация расширенной политики аудита или аудит AD CS не включены по мере необходимости. | Включите конфигурацию расширенной политики аудита и аудит AD CS в соответствии с рекомендациями, описанными в разделе Настройка аудита в AD CS на странице Настройка сбора событий Windows . | Средняя | Вкладка "Проблемы со работоспособностью датчиков" |
Датчику не удалось получить конфигурацию службы Microsoft Entra Connect
| Оповещение | Описание | Решение | Severity | Отображается в |
|---|---|---|---|---|
| Не удалось получить конфигурацию службы Microsoft Entra Connect | Датчик не может получить конфигурацию из службы Microsoft Entra Connect (также известной как синхронизация Microsoft Azure AD). | Убедитесь, что служба Microsoft Entra connect (синхронизация Microsoft Azure AD) запущена, и следуйте инструкциям в разделе Настройка разрешений для базы данных Microsoft Entra Connect (ADSync), чтобы предоставить датчику необходимые разрешения. Если проблема не исчезнет, следуйте указаниям по устранению неполадок в статье Проблемы с подключением SQL с Microsoft Entra Connect. | Средняя | Вкладка "Проблемы со работоспособностью датчиков" |