共用方式為

針對 ATA 已知問題進行疑難解答

  • 發行項

適用於:Advanced Threat Analytics 1.9 版

本節詳細說明 ATA 部署中可能的錯誤,以及進行疑難解答所需的步驟。

ATA 閘道和輕量型閘道錯誤

錯誤 描述 解決方案
System.DirectoryServices.Protocols.LdapException:發生本機錯誤 ATA 閘道無法對域控制器進行驗證。 1.確認域控制器的 DNS 記錄已在 DNS 伺服器中正確設定。
2.確認 ATA 閘道的時間已與域控制器的時間同步。
System.IdentityModel.Tokens.SecurityTokenValidationException:無法驗證憑證鏈結 ATA 閘道無法驗證 ATA 中心的憑證。 1.確認根 CA 憑證已安裝在 ATA 閘道上受信任的證書頒發機構單位證書存儲中。
2.驗證 CRL) (證書吊銷清單是否可用,而且可以執行憑證撤銷驗證。
Microsoft.Common.ExtendedException:無法剖析產生的時間 ATA 閘道無法剖析從 SIEM 轉送的 syslog 訊息。 確認 SIEM 已設定為以 ATA 支援的其中一種格式轉送訊息。
System.ServiceModel.FaultException:驗證訊息的安全性時發生錯誤。 ATA 閘道無法向 ATA 中心進行驗證。 確認 ATA 閘道的時間已與 ATA 中心的時間同步。
System.ServiceModel.EndpointNotFoundException:無法連線到 net.tcp://center.ip.addr:443/IEntityReceiver ATA 閘道無法建立與 ATA 中心的連線。 確定網路設定正確無誤,而且 ATA 閘道與 ATA 中心之間的網路連線為作用中。
System.DirectoryServices.Protocols.LdapException:LDAP 伺服器無法使用。 ATA 閘道無法使用LDAP通訊協定查詢域控制器。 1.確認 ATA 用來連線到 Active Directory 網域的用戶帳戶具有 Active Directory 樹狀結構中所有物件的讀取許可權。
2.請確定域控制器未強化,以防止來自 ATA 所使用用戶帳戶的 LDAP 查詢。
Microsoft.Tri.Infrastructure.ContractException:合約例外狀況 ATA 閘道無法從 ATA 中心同步處理設定。 在 ATA 控制台中完成 ATA 閘道的設定。
System.Reflection.ReflectionTypeLoadException:無法載入一或多個要求的類型。 如需詳細資訊,請擷取 LoaderExceptions 屬性。 訊息分析器已安裝在 ATA 閘道上。 卸載 Message Analyzer。
錯誤 [Layout] System.OutOfMemoryException:擲回 'System.OutOfMemoryException' 類型的例外狀況。 ATA 閘道沒有足夠的記憶體。 增加域控制器上的記憶體數量。
無法啟動即時取用者---> Microsoft.Opn.Runtime.Monitoring.MessageSessionException:PEFNDIS 事件提供者尚未就緒 未正確安裝PEF (訊息分析器) 。 如果使用 Hyper-V,請嘗試升級 Hyper-V 整合服務,否則請連絡支持人員以取得因應措施。
安裝失敗,發生錯誤:0x80070652 您的電腦上還有其他擱置中的安裝。 等候其他安裝完成,並視需要重新啟動計算機。
System.InvalidOperationException:實例 'Microsoft.Tri.Gateway' 不存在於指定的 Category 中。 ATA 閘道中的行程名稱已啟用 PID 請參閱 處理重複實例名稱 以停用進程名稱中的 PID
'System.InvalidOperationException: Category 不存在。 可能在登錄中停用計數器 使用 KB2554336 重建性能計數器
System.ApplicationException:無法啟動 ETW 會話 MMA-ETW-Livecapture-a4f595bd-f567-49a7-b963-20fa4e370329 HOSTS 檔案中有一個主機專案指向計算機的簡短名稱 從 C:\Windows\System32\drivers\etc\HOSTS 檔案中移除主機專案,或將它變更為 FQDN。
System.IO.IOException:驗證失敗,因為遠端合作物件已關閉傳輸串流,或無法建立 SSL/TLS 安全通道 ATA 閘道上已停用 TLS 1.0,但 .Net 設定為使用 TLS 1.2 將登錄機碼設定為使用SSL和 TLS 的作業系統預設值,以啟用 TLS 1.2 for .Net,如下所示:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] " SchUseStrongCrypto"=dword:00000001
System.TypeLoadException:無法從元件 'Microsoft.Opn.Runtime, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35' 載入類型 'Microsoft.Opn.Runtime.Values.BinaryValueBufferManager' ATA 閘道無法載入必要的剖析檔案。 檢查Microsoft訊息分析器目前是否已安裝。 不支援使用 ATA 閘道/輕量型閘道安裝訊息分析器。 卸載 Message Analyzer 並重新啟動閘道服務。
System.Net.WebException:遠端伺服器傳回錯誤: (407) 需要 Proxy 驗證 Proxy 伺服器正在中斷 ATA 閘道與 ATA 中心的通訊。 停用 ATA 閘道電腦上的 Proxy。

請注意,Proxy 設定可以是每個帳戶。
System.IO.DirectoryNotFoundException:系統找不到指定的路徑。 (HRESULT 例外狀況:0x80070003) 操作 ATA 所需的一或多個服務並未啟動。 啟動下列服務:

效能記錄和警示 (PLA) 、工作排程器 (排程) 。
System.Net.WebException:遠端伺服器傳回錯誤: (403) 禁止 ATA 閘道或輕量型閘道已禁止建立 HTTP 連線,因為 ATA 中心不受信任。 將 ATA 中心的 NetBIOS 名稱和 FQDN 新增至信任的網站清單,並清除 Internet Explorer 上的快取 (或設定中指定的 ATA 中心名稱,如果設定的 不同於 NetBIOS/FQDN) 。
System.Net.Http.HttpRequestException:PostAsync 失敗 [requestTypeName=StopNetEventSessionRequest] ATA 閘道或 ATA 輕量型閘道無法停止並啟動因 WMI 問題而收集網路流量的 ETW 工作話 遵循 WMI:重建 WMI 存放庫 中的指示來修正 WMI 問題
System.Net.Sockets.SocketException:嘗試以其訪問許可權禁止的方式存取套接字 另一個應用程式正在 ATA 閘道上使用埠 514 使用 netstat -o 來建立使用該埠的進程。

部署錯誤

錯誤 描述 解決方案
.Net Framework 4.6.1 安裝失敗,發生錯誤0x800713ec 伺服器上未安裝 .Net Framework 4.6.1 的必要條件。 安裝 ATA 之前,請確認伺服器上已安裝 windows 更新 KB2919442KB2919355
System.Threading.Tasks.TaskCanceledException:已取消工作 部署程式因無法連線到 ATA 中心而逾時。 1.使用其IP位址流覽至 ATA 中心,以檢查其網路連線能力。

2.檢查 Proxy 或防火牆設定。
System.Net.Http.HttpRequestException:傳送要求時發生錯誤。 >--- System.Net.WebException:遠端伺服器傳回錯誤: (407) 需要 Proxy 驗證。 部署程式因 Proxy 設定錯誤而無法連線到 ATA 中心而逾時。 在部署之前停用 Proxy 設定,然後再次啟用 Proxy 設定。 或者,您可以在 Proxy 中設定例外狀況。
System.Net.Sockets.SocketException:遠端主機已強制關閉現有的連線 將登錄機碼設定為使用SSL和 TLS 的作業系統預設值,以啟用 TLS 1.2 for .Net,如下所示:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
錯誤 [\[]DeploymentModel[\]] 管理驗證失敗 [\[]CurrentlyLoggedOnUser=<domain>\<username>Status=FailedAuthentication Exception=[\]] ATA 閘道或 ATA 輕量型閘道的部署程式無法成功向 ATA 中心進行驗證 從部署程式失敗的電腦開啟瀏覽器,並查看您是否可以連線到 ATA 控制台。
如果沒有,請開始進行疑難解答,以了解瀏覽器無法向 ATA 中心進行驗證的原因。
要檢查的事項:
Proxy 設定
網路問題
與 ATA 中心不同的計算機上驗證的組策略設定。
錯誤 [\[]DeploymentModel[\]] 管理驗證失敗 中心憑證驗證失敗 中心憑證可能需要因特網連線才能進行驗證。 請確定您的閘道服務具有適當的 Proxy 設定,以啟用連線和驗證。
部署中心並選取憑證時,會回報「不支援」錯誤 如果選取的憑證不符合需求,或無法存取憑證的私鑰,就會發生這種情況。 請確定您以較高的許可權執行部署, (以系統管理員) 身分執行,且選取的憑證符合 需求

ATA 中心錯誤

錯誤 描述 解決方案
System.Security.Cryptography.CryptographicException:拒絕存取。 ATA 中心無法使用發行的憑證進行解密。 最可能的原因是使用 KeySpec (KeyNumber 的憑證) 設定為不支援解密的簽章 (AT\_SIGNATURE) ,而不是使用 KeyExchange (AT\_KEYEXCHANGE) 。 1.停止 ATA 中心服務。

2.從中心的證書存儲刪除 ATA 中心憑證。 (刪除之前,請確定您已使用 PFX 檔案中的私鑰備份憑證。)

3.開啟提升許可權的命令提示字元,然後執行 certutil -importpfx “CenterCertificate.pfx” AT\_KEYEXCHANGE

4.啟動 ATA 中心服務。

5.確認所有項目現在都如預期般運作。

ATA 閘道和輕量型閘道問題

問題 描述 解決方案
未收到來自域控制器的流量,但會觀察到健康情況警示 未透過 ATA 閘道使用埠鏡像從域控制器接收任何流量 在 ATA 閘道擷取 NIC 上,停用 [ 進階設定] 中的這些功能:

接收區段聯合 (IPv4)

接收區段聯合 (IPv6)
此健康情況警示隨即顯示:未分析某些網路流量 如果您在 VMware 虛擬機上有 ATA 閘道或輕量型閘道,您可能會收到此健康情況警示。 這是因為 VMware 中的設定不相符。 在虛擬機 NIC 組態中,將下列設定設為 0 或 Disabled:TsoEnable、LargeSendOffload、TSO 卸除、巨量 TSO 卸除

多處理器群組模式

針對 Windows 作業系統 2008R2 和 2012, 多處理器群組 模式不支援 ATA 閘道。

建議的可能因應措施:

  • 如果超線程已開啟,請將其關閉。 這可能會減少足夠的邏輯核心數目,以避免需要在 多處理器群組 模式中執行。

  • 如果您的電腦少於 64 個邏輯核心,且正在 HP 主機上執行,您或許可以將 NUMA 群組大小優化 BIOS 設定從預設的 [叢 集] 變更為 [一般]

另請參閱