Řešení známých problémů ATA
Platí pro: Advanced Threat Analytics verze 1.9
Tato část podrobně popisuje možné chyby v nasazení ATA a kroky potřebné k jejich řešení.
Chyby ATA Gateway a Lightweight Gateway
| Chyba | Popis | Rozlišení |
|---|---|---|
| System.DirectoryServices.Protocols.LdapException: Došlo k místní chybě. | ATA Gateway se nepodařilo ověřit na řadiči domény. | 1. Ověřte, že je záznam DNS řadiče domény správně nakonfigurovaný na serveru DNS. 2. Ověřte, že se čas ATA Gateway synchronizuje s časem řadiče domény. |
| System.IdentityModel.Tokens.SecurityTokenValidationException: Nepodařilo se ověřit řetěz certifikátů | Službě ATA Gateway se nepodařilo ověřit certifikát ATA Center. | 1. Ověřte, že je certifikát kořenové certifikační autority nainstalovaný v úložišti certifikátů důvěryhodné certifikační autority ve službě ATA Gateway. 2. Ověřte, že seznam odvolaných certifikátů (CRL) je dostupný a zda lze provést ověření odvolání certifikátu. |
| Microsoft.Common.ExtendedException: Nepodařilo se analyzovat čas vygenerovaný | Službě ATA Gateway se nepodařilo analyzovat zprávy syslogu, které byly přeposílané z SIEM. | Ověřte, že je siEM nakonfigurovaný tak, aby předával zprávy v jednom z formátů, které ATA podporuje. |
| System.ServiceModel.FaultException: Při ověřování zabezpečení zprávy došlo k chybě. | ATA Gateway se nepodařilo ověřit v ATA Center. | Ověřte, že se čas KOMPONENTY ATA Gateway synchronizuje s časem KOMPONENTY ATA Center. |
| System.ServiceModel.EndpointNotFoundException: Nelze se připojit k net.tcp://center.ip.addr:443/IEntityReceiver | ATA Gateway se nepodařilo navázat připojení k ATA Center. | Ujistěte se, že jsou nastavení sítě správná a že síťové připojení mezi ATA Gateway a ATA Center je aktivní. |
| System.DirectoryServices.Protocols.LdapException: Server LDAP není k dispozici. | ATA Gateway se nepodařilo dotazovat řadič domény pomocí protokolu LDAP. | 1. Ověřte, že uživatelský účet používaný ATA pro připojení k doméně služby Active Directory má přístup ke čtení ke všem objektům ve stromu služby Active Directory. 2. Ujistěte se, že řadič domény není posílen, aby se zabránilo dotazům LDAP z uživatelského účtu používaného ATA. |
| Microsoft.Tri.Infrastructure.ContractException: Výjimka kontraktu | Službě ATA Gateway se nepodařilo synchronizovat konfiguraci z ATA Center. | Dokončete konfiguraci KOMPONENTY ATA Gateway v konzole ATA. |
| System.Reflection.ReflectionTypeLoadException: Nelze načíst jeden nebo více požadovaných typů. Pro další informace načtěte vlastnost LoaderExceptions. | Analyzátor zpráv je nainstalovaný v ATA Gateway. | Odinstalujte Analyzátor zpráv. |
| Chyba [Layout] System.OutOfMemoryException: Došlo k výjimce typu System.OutOfMemoryException. | ATA Gateway nemá dostatek paměti. | Zvyšte množství paměti na řadiči domény. |
| Spuštění živého příjemce ---> Microsoft.Opn.Runtime.Monitoring.MessageSessionException: Zprostředkovatel událostí PEFNDIS není připravený | Nástroj PEF (Message Analyzer) nebyl správně nainstalován. | Pokud používáte Hyper-V, zkuste upgradovat integrační služby Hyper-V jinak kontaktujte podporu a požádejte o alternativní řešení. |
| Instalace selhala s chybou: 0x80070652 | Na vašem počítači existují další čekající instalace. | Počkejte na dokončení ostatních instalací a v případě potřeby restartujte počítač. |
| System.InvalidOperationException: Instance Microsoft.Tri.Gateway v zadané kategorii neexistuje. | Id PID byla povolena pro názvy procesů v ATA Gateway. | Viz Zpracování duplicitních názvů instancí a zakažte IDENTIFIKÁTORy PID v názvech procesů. |
| System.InvalidOperationException: Kategorie neexistuje. | Čítače můžou být v registru zakázané. | Opětovné sestavení čítačů výkonu pomocí KB2554336 |
| System.ApplicationException: Nejde spustit relaci ETW MMA-ETW-Livecapture-a4f595bd-f567-49a7-b963-20fa4e370329 | V souboru HOSTS se nachází položka hostitele odkazující na krátký název počítače. | Odeberte položku hostitele ze souboru C:\Windows\System32\drivers\etc\HOSTS nebo ji změňte na plně kvalifikovaný název domény. |
| System.IO.IOException: Ověřování selhalo, protože vzdálená strana ukončila přenosový stream nebo nemohla vytvořit zabezpečený kanál SSL/TLS | Protokol TLS 1.0 je v ATA Gateway zakázaný, ale rozhraní .Net je nastavené na použití protokolu TLS 1.2. | Povolte protokol TLS 1.2 pro .Net nastavením klíčů registru tak, aby používal výchozí hodnoty operačního systému pro PROTOKOL SSL a TLS, a to následujícím způsobem:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] " SchUseStrongCrypto"=dword:00000001 |
| System.TypeLoadException: Nelze načíst typ Microsoft.Opn.Runtime.Values.BinaryValueBufferManager ze sestavení Microsoft.Opn.Runtime, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35' | ATA Gateway se nepovedlo načíst požadované soubory analýzy. | Zkontrolujte, jestli je nástroj Microsoft Message Analyzer aktuálně nainstalovaný. Analyzátor zpráv se nepodporuje, aby se nainstaloval s ATA Gateway / Lightweight Gateway. Odinstalujte Nástroj Message Analyzer a restartujte službu Brány. |
| System.Net.WebException: Vzdálený server vrátil chybu: (407) Vyžadováno ověření proxy serveru | Komunikace ATA Gateway s ATA Center je narušena proxy serverem. | Zakažte proxy server na počítači ATA Gateway. Mějte na paměti, že nastavení proxy serveru může být pro jednotlivé účty. |
| System.IO.DirectoryNotFoundException: Systém nemůže najít zadanou cestu. (Výjimka z HRESULT: 0x80070003) | Jedna nebo více služeb potřebných k provozování ATA se nespustí. | Spusťte následující služby: Protokoly výkonu a upozornění (PLA), plánovač úloh (plán). |
| System.Net.WebException: Vzdálený server vrátil chybu: (403) Zakázáno | ATA Gateway nebo Lightweight Gateway bylo zakázáno navazovat připojení HTTP, protože ATA Center není důvěryhodný. | Přidejte název netBIOS a plně kvalifikovaný název domény ATA Center do seznamu důvěryhodných webů a vymažte mezipaměť v Internet Exploreru (nebo název ATA Center, jak je uvedeno v konfiguraci, pokud je nakonfigurované jiné než netBIOS/FQDN). |
| System.Net.Http.HttpRequestException: PostAsync selhal [requestTypeName=StopNetEventSessionRequest] | ATA Gateway nebo ATA Lightweight Gateway nemůžou zastavit a spustit relaci Trasování událostí pro Windows, která shromažďuje síťový provoz kvůli problému s rozhraním WMI. | Postupujte podle pokynů ve službě WMI: Problém s rozhraním WMI opravte opětovně sestavením úložiště rozhraní WMI. |
| System.Net.Sockets.SocketException: Došlo k pokusu o přístup k soketu způsobem zakázaným jeho přístupovými oprávněními. | Jiná aplikace používá port 514 ve službě ATA Gateway. | Slouží netstat -o k vytvoření procesu, který tento port používá. |
Chyby nasazení
| Chyba | Popis | Rozlišení |
|---|---|---|
| Instalace rozhraní .Net Framework 4.6.1 selže s chybou 0x800713ec | Požadavky pro rozhraní .Net Framework 4.6.1 nejsou na serveru nainstalovány. | Před instalací ATA ověřte, že jsou na serveru nainstalované aktualizace windows KB2919442 a KB2919355 . |
| System.Threading.Tasks.TaskCanceledException: Úloha byla zrušena. | Časový limit procesu nasazení vypršel, protože se nemohl spojit s ATA Center. | 1. Zkontrolujte síťové připojení k ATA Center tak, že na něj přejdete pomocí jeho IP adresy. 2. Zkontrolujte konfiguraci proxy serveru nebo brány firewall. |
| System.Net.Http.HttpRequestException: Při odesílání požadavku došlo k chybě. >--- System.Net.WebException: Vzdálený server vrátil chybu: (407) Vyžadováno ověření proxy serveru. | Časový limit procesu nasazení vypršel, protože se kvůli chybné konfiguraci proxy serveru nepodařilo spojit se službou ATA Center. | Před nasazením zakažte konfiguraci proxy serveru a znovu povolte konfiguraci proxy serveru. Případně můžete nakonfigurovat výjimku v proxy serveru. |
| System.Net.Sockets.SocketException: Vzdáleného hostitele vynutilo ukončení existujícího připojení | Povolte protokol TLS 1.2 pro .Net nastavením klíčů registru tak, aby používal výchozí hodnoty operačního systému pro PROTOKOL SSL a TLS, a to následujícím způsobem:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 |
|
| Chyba [\[]DeploymentModel[\]] Neúspěšné ověřování správy [\[]AktuálněLoggedOnUser=<domain>\<username>Status=FailedAuthentication Exception=[\]] | Proces nasazení KOMPONENTY ATA Gateway nebo ATA Lightweight Gateway se nepodařilo úspěšně ověřit ve službě ATA Center. | Otevřete prohlížeč z počítače, na kterém se proces nasazení nezdařil, a zjistěte, jestli se můžete připojit ke konzole ATA. Pokud ne, začněte řešit potíže, abyste zjistili, proč se prohlížeč nemůže ověřit ve službě ATA Center. Co je potřeba zkontrolovat: Konfigurace proxy serveru problémy s nastavením zásad skupiny pro ověřování na daném počítači, které se liší od ATA Center. |
| Chyba [\[]DeploymentModel[\]] Neúspěšné ověřování správy | Ověření certifikátu Centra se nezdařilo. | Certifikát Centra může vyžadovat připojení k internetu k ověření. Ujistěte se, že má služba brány správnou konfiguraci proxy serveru, aby se povolilo připojení a ověření. |
| Při nasazování Centra a výběru certifikátu se hlásí chyba Nepodporovaná. | K tomu může dojít, pokud vybraný certifikát nesplňuje požadavky nebo privátní klíč certifikátu není přístupný. | Ujistěte se, že spouštíte nasazení se zvýšenými oprávněními (Spustit jako správce) a že vybraný certifikát splňuje požadavky. |
Chyby ATA Center
| Chyba | Popis | Rozlišení |
|---|---|---|
| System.Security.Cryptography.CryptographicException: Přístup byl odepřen. | ATA Center se nepodařilo použít vystavený certifikát k dešifrování. K tomu pravděpodobně došlo kvůli použití certifikátu s klíčem KeySpec (KeyNumber) nastaveným na Podpis (AT\_SIGNATURE), který není podporován pro dešifrování, místo použití KeyExchange (AT\_KEYEXCHANGE). | 1. Zastavte službu ATA Center. 2. Odstraňte certifikát ATA Center z úložiště certifikátů centra. (Před odstraněním se ujistěte, že máte v souboru PFX zálohovaný certifikát s privátním klíčem.) 3. Otevřete příkazový řádek se zvýšenými oprávněními a spusťte certutil -importpfx "CenterCertificate.pfx" AT\_KEYEXCHANGE 4. Spusťte službu ATA Center. 5. Ověřte, že vše teď funguje podle očekávání. |
Problémy se službou ATA Gateway a Lightweight Gateway
| Problém | Popis | Rozlišení |
|---|---|---|
| Z řadiče domény se nepřijímá žádný provoz, ale pozorují se upozornění na stav. | Z řadiče domény nebyl přijat žádný provoz pomocí zrcadlení portů přes ATA Gateway. | Na zachytávání síťové karty ATA Gateway zakažte tyto funkce v rozšířených nastaveních: Součin příjmu (IPv4) Součin příjmu (IPv6) |
| Zobrazí se tato výstraha stavu: Některé síťové přenosy se neanalyzuje. | Pokud máte ATA Gateway nebo Lightweight Gateway na virtuálních počítačích VMware, může se zobrazit toto upozornění na stav. K tomu dochází kvůli neshodě konfigurace v prostředí VMware. | Nastavte následující nastavení na hodnotu 0 nebo Zakázáno v konfiguraci síťové karty virtuálního počítače: TsoEnable, LargeSendOffload, TSO Offload, Giant TSO Offload |
Režim skupiny více procesorů
V případě operačních systémů Windows 2008R2 a 2012 se ATA Gateway nepodporuje v režimu skupiny více procesorů.
Navrhovaná možná alternativní řešení:
Pokud je hyperthreading zapnutý, vypněte ho. To může snížit počet logických jader dostatečně, aby se nemuselo spouštět v režimu skupiny více procesorů.
Pokud má váš počítač méně než 64 logických jader a běží na hostiteli HP, možná budete moct změnit nastavení BIOS optimalizace velikosti skupiny NUMA z výchozího nastavení Clustered na Flat.