ATA 已知问题疑难解答
适用于:高级威胁分析版本 1.9
本部分详细介绍 ATA 部署中可能存在的错误以及对其进行故障排除所需的步骤。
ATA 网关和轻型网关错误
| 错误 | 说明 | 解决方案 |
|---|---|---|
| System.DirectoryServices.Protocols.LdapException:发生本地错误 | ATA 网关无法对域控制器进行身份验证。 | 1. 确认域控制器的 DNS 记录在 DNS 服务器中配置正确。 2. 验证 ATA 网关的时间是否与域控制器的时间同步。 |
| System.IdentityModel.Tokens.SecurityTokenValidationException:未能验证证书链 | ATA 网关未能验证 ATA 中心的证书。 | 1.验证根 CA 证书是否已安装在 ATA 网关上的受信任证书颁发机构证书存储中。 2.验证 CRL) (证书吊销列表是否可用,以及是否可以执行证书吊销验证。 |
| Microsoft.Common.ExtendedException:无法分析生成的时间 | ATA 网关无法分析从 SIEM 转发的 syslog 消息。 | 验证 SIEM 是否配置为以 ATA 支持的格式之一转发消息。 |
| System.ServiceModel.FaultException:验证消息的安全性时出错。 | ATA 网关无法对 ATA 中心进行身份验证。 | 验证 ATA 网关的时间是否与 ATA 中心的时间同步。 |
| System.ServiceModel.EndpointNotFoundException:无法连接到 net.tcp://center.ip.addr:443/IEntityReceiver | ATA 网关未能与 ATA 中心建立连接。 | 确保网络设置正确,并且 ATA 网关与 ATA 中心之间的网络连接处于活动状态。 |
| System.DirectoryServices.Protocols.LdapException:LDAP 服务器不可用。 | ATA 网关无法使用 LDAP 协议查询域控制器。 | 1. 验证 ATA 用于连接到 Active Directory 域的用户帐户是否对 Active Directory 树中的所有对象具有读取访问权限。 2. 确保域控制器未强化,以防止 ATA 使用的用户帐户进行 LDAP 查询。 |
| Microsoft.Tri.Infrastructure.ContractException:协定异常 | ATA 网关无法从 ATA 中心同步配置。 | 在 ATA 控制台中完成 ATA 网关配置。 |
| System.Reflection.ReflectionTypeLoadException:无法加载一个或多个请求的类型。 检索 LoaderExceptions 属性以获取详细信息。 | 消息分析器安装在 ATA 网关上。 | 卸载消息分析器。 |
| 错误 [Layout] System.OutOfMemoryException:引发了类型为“System.OutOfMemoryException”的异常。 | ATA 网关没有足够的内存。 | 增加域控制器上的内存量。 |
| 无法启动实时使用者---> Microsoft.Opn.Runtime.Monitoring.MessageSessionException:PEFNDIS 事件提供程序未准备就绪 | 未正确安装 PEF (消息分析器) 。 | 如果使用 Hyper-V,请尝试升级 Hyper-V 集成服务,否则请联系支持人员以获取解决方法。 |
| 安装失败并出现错误: 0x80070652 | 计算机上还有其他挂起的安装。 | 等待其他安装完成,并在必要时重新启动计算机。 |
| System.InvalidOperationException:实例“Microsoft.Tri.Gateway”不存在于指定的类别中。 | 为 ATA 网关中的进程名称启用了 PID | 请参阅 处理重复实例名称 以禁用进程名称中的 PID |
| 'System.InvalidOperationException:类别不存在。 | 可能在注册表中禁用计数器 | 使用 KB2554336 重新生成性能计数器 |
| System.ApplicationException:无法启动 ETW 会话 MMA-ETW-Livecapture-a4f595bd-f567-49a7-b963-20fa4e370329 | HOSTS 文件中有一个指向计算机的短名称的主机条目 | 从 C:\Windows\System32\drivers\etc\HOSTS 文件中删除主机条目,或将其更改为 FQDN。 |
| System.IO.IOException:身份验证失败,因为远程方已关闭传输流或无法创建 SSL/TLS 安全通道 | ATA 网关上禁用 TLS 1.0,但 .Net 设置为使用 TLS 1.2 | 通过将注册表项设置为使用 SSL 和 TLS 的操作系统默认值,为 .Net 启用 TLS 1.2,如下所示:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] " SchUseStrongCrypto"=dword:00000001
|
| System.TypeLoadException:无法从程序集“Microsoft.Opn.Runtime,Version=4.0.0.0,Culture=neutral,PublicKeyToken=31bf3856ad364e35”加载类型“Microsoft.Opn.Runtime.Values.BinaryValueBufferManager” | ATA 网关无法加载所需的分析文件。 | 检查当前是否安装了消息分析器Microsoft。 不支持随 ATA 网关/轻型网关一起安装消息分析器。 卸载消息分析器并重启网关服务。 |
| System.Net.WebException:远程服务器返回错误:需要 (407) 代理身份验证 | 代理服务器正在中断 ATA 网关与 ATA 中心的通信。 | 在 ATA 网关计算机上禁用代理。 请注意,代理设置可能是每个帐户的。 |
| System.IO.DirectoryNotFoundException:系统找不到指定的路径。 HRESULT 的 (异常:0x80070003) | 运行 ATA 所需的一个或多个服务未启动。 | 启动以下服务: 性能日志和警报 (PLA) 、任务计划程序 (计划) 。 |
| System.Net.WebException:远程服务器返回错误: (403) 禁止 | 由于 ATA 中心不受信任,因此禁止 ATA 网关或轻型网关建立 HTTP 连接。 | 将 ATA 中心的 NetBIOS 名称和 FQDN 添加到受信任的网站列表,并清除 Internet Explorer (上的缓存或配置中指定的 ATA 中心的名称(如果 配置的 不同于 NetBIOS/FQDN) )。 |
| System.Net.Http.HttpRequestException:PostAsync 失败 [requestTypeName=StopNetEventSessionRequest] | 由于 WMI 问题,ATA 网关或 ATA 轻型网关无法停止并启动收集网络流量的 ETW 会话 | 按照 WMI:重新生成 WMI 存储库 中的说明修复 WMI 问题 |
| System.Net.Sockets.SocketException:尝试以访问权限禁止的方式访问套接字 | 另一个应用程序在 ATA 网关上使用端口 514 | 使用 netstat -o 确定哪个进程正在使用该端口。 |
部署错误
| 错误 | 说明 | 解决方案 |
|---|---|---|
| .Net Framework 4.6.1 安装失败,出现错误0x800713ec | 服务器上未安装 .Net Framework 4.6.1 的先决条件。 | 在安装 ATA 之前,请验证是否已在服务器上安装 windows 更新KB2919442 和 KB2919355 。 |
| System.Threading.Tasks.TaskCanceledException:已取消任务 | 部署过程超时,因为它无法访问 ATA 中心。 | 1. 使用 ATA 中心的 IP 地址浏览到该中心,检查与 ATA 中心的网络连接。 2. 检查代理或防火墙配置。 |
| System.Net.Http.HttpRequestException:发送请求时出错。 >--- System.Net.WebException:远程服务器返回错误: (407) 代理身份验证必需。 | 部署过程超时,因为它无法访问 ATA 中心,因为代理配置错误。 | 在部署之前禁用代理配置,然后再次启用代理配置。 或者,可以在代理中配置异常。 |
| System.Net.Sockets.SocketException:远程主机强行关闭了现有连接 | 通过将注册表项设置为使用 SSL 和 TLS 的操作系统默认值,为 .Net 启用 TLS 1.2,如下所示:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
|
|
| 错误 [\[]DeploymentModel[\]] 管理身份验证失败 [\[]CurrentlyLoggedOnUser=<domain>\<username>Status=FailedAuthentication Exception=[\]] | ATA 网关或 ATA 轻型网关的部署过程无法成功针对 ATA 中心进行身份验证 | 从部署过程失败的计算机打开浏览器,查看是否可以访问 ATA 控制台。
如果没有,请开始故障排除,了解浏览器无法针对 ATA 中心进行身份验证的原因。 要检查事项: 代理配置 网络问题 与 ATA 中心不同的计算机上身份验证的组策略设置。 |
| 错误 [\[]DeploymentModel[\]] 管理身份验证失败 | 中心证书验证失败 | 中心证书可能需要 Internet 连接进行验证。 请确保网关服务具有适当的代理配置,以启用连接和验证。 |
| 部署中心并选择证书时,将报告“不支持”错误 | 如果所选证书不符合要求,或者无法访问证书的私钥,则可能会发生这种情况。 | 请确保使用提升的权限运行部署, (以管理员身份运行) ,并且所选证书满足 要求。 |
ATA 中心错误
| 错误 | 说明 | 解决方案 |
|---|---|---|
| System.Security.Cryptography.CryptographicException:访问被拒绝。 | ATA 中心无法使用颁发的证书进行解密。 发生此情况的主要原因是将证书与 KeySpec (KeyNumber) 设置为签名 (AT\_SIGNATURE) (不支持解密),而不是使用 KeyExchange (AT\_KEYEXCHANGE) 。 | 1. 停止 ATA 中心服务。 2. 从中心的证书存储中删除 ATA 中心证书。 (在删除之前,请确保已将证书与 PFX 文件中的私钥一起备份。) 3. 打开提升的命令提示符并运行 certutil -importpfx “CenterCertificate.pfx” AT\_KEYEXCHANGE 4.启动 ATA 中心服务。 5.验证现在一切按预期工作。 |
ATA 网关和轻型网关问题
| 问题 | 说明 | 解决方案 |
|---|---|---|
| 未从域控制器接收流量,但会观察到运行状况警报 | 使用端口镜像通过 ATA 网关从域控制器接收流量 | 在 ATA 网关捕获 NIC 上,在 “高级设置”中禁用这些功能: 接收段合并 (IPv4) 接收段合并 (IPv6) |
| 显示此运行状况警报:未分析某些网络流量 | 如果 VMware 虚拟机上有 ATA 网关或轻型网关,可能会收到此运行状况警报。 发生这种情况的原因是 VMware 中的配置不匹配。 | 在虚拟机 NIC 配置中将以下设置设置为 0 或已禁用:TsoEnable、LargeSendOffload、TSO 卸载、Giant TSO 卸载 |
多处理器组模式
对于 Windows 操作系统 2008R2 和 2012,ATA 网关在 多处理器组 模式下不受支持。
建议的可能解决方法:
如果超线程处于打开状态,请将其关闭。 这可以减少足够多的逻辑核心数,从而避免需要在 多处理器组 模式下运行。
如果计算机的逻辑核心数少于 64 个,并且正在 HP 主机上运行,则可以将 NUMA 组大小优化 BIOS 设置从默认值“ 群集 ”更改为 “平面”。