Problembehandlung für bekannte Probleme
Gilt für: Advanced Threat Analytics, Version 1.9
In diesem Abschnitt werden mögliche Fehler in den Bereitstellungen von ATA und die Schritte beschrieben, die für die Problembehandlung erforderlich sind.
ATA-Gateway- und Lightweight-Gateway-Fehler
| Fehler | Beschreibung | Lösung |
|---|---|---|
| System.DirectoryServices.Protocols.LdapException: Ein lokaler Fehler ist aufgetreten. | Das ATA-Gateway konnte sich beim Domänencontroller nicht authentifizieren. | 1. Vergewissern Sie sich, dass der DNS-Eintrag des Domänencontrollers ordnungsgemäß auf dem DNS-Server konfiguriert ist. 2. Überprüfen Sie, ob die Zeit des ATA-Gateways mit dem Zeitpunkt des Domänencontrollers synchronisiert wird. |
| System.IdentityModel.Tokens.SecurityTokenValidationException: Fehler beim Überprüfen der Zertifikatkette | Das ATA-Gateway konnte das Zertifikat des ATA Center nicht überprüfen. | 1. Überprüfen Sie, ob das Stamm-CA-Zertifikat im Zertifikatspeicher der vertrauenswürdigen Zertifizierungsstelle im ATA-Gateway installiert ist. 2. Überprüfen Sie, ob die Zertifikatssperrliste (Certificate Revocation List, CRL) verfügbar ist und dass die Überprüfung der Zertifikatsperre durchgeführt werden kann. |
| Microsoft.Common.ExtendedException: Fehler beim Analysieren der generierten Zeit | Das ATA-Gateway konnte syslog-Nachrichten nicht analysieren, die vom SIEM weitergeleitet wurden. | Stellen Sie sicher, dass das SIEM so konfiguriert ist, dass die Nachrichten in einem der von ATA unterstützten Formate weitergeleitet werden. |
| System.ServiceModel.FaultException: Fehler beim Überprüfen der Sicherheit für die Nachricht. | Das ATA-Gateway konnte sich nicht bei ATA Center authentifizieren. | 2. Überprüfen Sie, ob die Zeit des ATA-Gateways mit der Zeit des Domänencontrollers synchronisiert wird. |
| System.ServiceModel.EndpointNotFoundException: Es konnte keine Verbindung mit net.tcp://center.ip.addr:443/IEntityReceiver hergestellt werden. | Das ATA-Gateway konnte keine Verbindung mit dem ATA Center herstellen. | Stellen Sie sicher, dass die Netzwerkeinstellungen korrekt sind und dass die Netzwerkverbindung zwischen dem ATA-Gateway und dem ATA Center aktiv ist. |
| System.DirectoryServices.Protocols.LdapException: Der LDAP-Server ist nicht verfügbar. | Das ATA-Gateway konnte den Domänencontroller mit dem LDAP-Protokoll nicht abfragen. | 1. Stellen Sie sicher, dass das Benutzerkonto, das von ATA zum Herstellen einer Verbindung mit der Active Directory-Domäne verwendet wird Lesezugriff auf alle Objekte in der Active Directory-Struktur hat. 2. Stellen Sie sicher, dass der Domänencontroller nicht gehärtet ist, um LDAP-Abfragen vom von ATA verwendeten Benutzerkonto zu verhindern. |
| Microsoft.Tri.Infrastructure.ContractException: Vertragsausnahme | Das ATA-Gateway konnte die Konfiguration nicht aus dem ATA Center synchronisieren. | Vollständige Konfiguration des ATA-Gateways in der ATA-Konsole. |
| System.Reflection.ReflectionTypeLoadException: Mindestens ein angeforderter Typ kann nicht geladen werden. Rufen Sie die LoaderExceptions-Eigenschaft ab, um weitere Informationen zu erfahren. | Die Nachrichtenanalyse wird auf dem ATA-Gateway installiert. | Deinstallieren Sie die Nachrichtenanalyse. |
| OutOfMemoryException: Ausnahme vom Typ 'System.OutOfMemoryException' wurde ausgelöst. | Das ATA-Gateway verfügt nicht über genügend Arbeitsspeicher. | Erhöhen Sie den Arbeitsspeicher auf dem Domänencontroller. |
| Fehler beim Starten von Live-Consumer----> Microsoft.Opn.Runtime.Monitoring.MessageSessionException: Der PEFNDIS-Ereignisanbieter ist nicht bereit. | PEF (Message Analyzer) wurde nicht ordnungsgemäß installiert. | Wenn Sie Hyper-V verwenden, versuchen Sie, hyper-V-Integrationsdienste zu aktualisieren, andernfalls wenden Sie sich an den Support für Problemumgehung. |
| Installation failed with error 0x80070003 (Installationsfehler mit Fehlercode 0x80070003) | Es gibt weitere ausstehende Installationen auf Ihrem Computer. | Warten Sie, bis die anderen Installationen abgeschlossen sind und starten Sie den Computer bei Bedarf neu. |
| System.InvalidOperationException: Die Instanz „Microsoft.Tri.Gateway“ ist in der angegebenen Kategorie nicht vorhanden. | PIDs wurden für Prozessnamen im ATA-Gateway aktiviert. | Siehe Behandeln doppelter Instanzennamen zum Deaktivieren von PIDs in Prozessnamen |
| System.InvalidOperationException: Die Kategorie ist nicht vorhanden. | Leistungsindikatoren sind möglicherweise in der Registrierung deaktiviert. | Verwenden Sie KB2554336 zum Neuerstellen von Leistungsindikatoren |
| System.ApplicationException: ETW-Sitzung MMA-ETW-Livecapture-a4f595bd-f567-49a7-b963-20fa4e370329 | Es gibt einen Hosteintrag in der HOSTS-Datei, der auf den Kurznamen des Computers verweist. | Entfernen Sie den Hosteintrag aus der Datei C:\Windows\System32\drivers\etc\HOSTS oder ändern Sie ihn in einen FQDN. |
| System.IO.IOException: Fehler bei der Authentifizierung, da die Remotepartei den Transportdatenstrom geschlossen hat oder keinen sicheren SSL/TLS-Kanal erstellen konnte. | TLS 1.0 ist für das ATA-Gateway deaktiviert, aber .Net ist für die Verwendung von TLS 1.2 festgelegt. | Aktivieren Sie TLS 1.2 für .Net, indem Sie die Registrierungsschlüssel so festlegen, dass die Standardwerte des Betriebssystems für SSL und TLS wie folgt verwendet werden:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] " SchUseStrongCrypto"=dword:00000001 |
| System.TypeLoadException: Der Typ 'Microsoft.Opn.Runtime.Values.BinaryValueBufferManager' konnte nicht aus der Assembly 'Microsoft.Opn.Runtime, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35' geladen werden. | ATA-Gateway konnte erforderliche Analysedateien nicht laden. | Überprüfen Sie, ob Microsoft Message Analyzer derzeit installiert ist. Message Analyzer wird nicht unterstützt, um mit dem ATA-Gateway /Lightweight-Gateway installiert zu werden. Deinstallieren Sie das Nachrichten-Analysetool und starten Sie den Gateway-Dienst neu. |
| System.Net.WebException: Der Remoteserver hat einen Fehler zurückgegeben: (407)Proxyauthentifizierung erforderlich. | Die ATA-Gateway-Kommunikation mit dem ATA Center wird von einem Proxyserver unterbrochen. | Deaktivieren Sie den Proxy auf dem ATA-Gatewaycomputer. Beachten Sie, dass Proxyeinstellungen möglicherweise pro Konto vorhanden sind. |
| System.IO.DirectoryNotFoundException: Das System kann den angegebenen Pfad nicht finden. (Ausnahme von HRESULT: 0x80070003) | Mindestens ein Dienst, der für den Betrieb von ATA erforderlich ist, wurde nicht gestartet. | Starten Sie die folgenden Dienste: Leistungsprotokolle und Warnungen (PLA), Task Scheduler (Schedule). |
| System.Net.WebException: Der Remoteserver hat einen Fehler zurückgegeben: (403) Verboten | Das ATA-Gateway oder das Lightweight-Gateway wurde daran gehindert, eine HTTP-Verbindung herzustellen, da das ATA Center nicht vertrauenswürdig ist. | Fügen Sie den NetBIOS-Namen und den FQDN des ATA Center zur Liste der vertrauenswürdigen Websites hinzu, und löschen Sie den Cache in Internet Explorer (oder den Namen des ATA Center, wie in der Konfiguration angegeben, wenn die Konfiguration anders ist als netBIOS/FQDN). |
| System.Net.Http.HttpRequestException: PostAsync fehlgeschlagen [requestTypeName=StopNetEventSessionRequest] | Das ATA-Gateway oder DAS ATA Lightweight Gateway kann die ETW-Sitzung, die Netzwerkdatenverkehr aufgrund eines WMI-Problems sammelt, nicht beenden und starten. | Befolgen Sie die Anweisungen in WMI: Erstellen des WMI-Repositorys zum Beheben des WMI-Problems |
| System.Net.Sockets.SocketException: Es wurde versucht, auf einen Socket zuzugreifen, was aufgrund der Zugriffsberechtigungen des Sockets unzulässig war | Eine andere Anwendung verwendet Port 514 auf dem ATA-Gateway. | Verwenden Sie netstat -o, um herauszufinden, welcher Prozess diesen Port verwendet. |
Bereitstellungsfehler
| Fehler | Beschreibung | Lösung |
|---|---|---|
| Die .Net Framework 4.6.1-Installation schlägt mit Fehler 0x800713ec fehl | Die Materialanforderungen für .Net Framework 4.6.1 sind nicht auf dem Server installiert. | Überprüfen Sie vor der Installation von ATA, ob die Windows-Updates KB2919442 und KB2919355 auf dem Server installiert sind. |
| System.Threading.Tasks.TaskCanceledException: Eine Aufgabe wurde abgebrochen | Timeout des Bereitstellungsprozesses, da er das ATA Center nicht erreichen konnte. | 1. Überprüfen Sie die Netzwerkkonnektivität mit dem ATA Center, indem Sie mit ihrer IP-Adresse zu ihr navigieren. 2. Überprüfen Sie die Proxy- oder Firewallkonfiguration. |
| System.Net.Http.HttpRequestException: Beim Senden der Anforderung ist ein Fehler aufgetreten. –-> System.Net.WebException: Der Remoteserver hat einen Fehler zurückgegeben: (407)Proxyauthentifizierung erforderlich. | Timeout des Bereitstellungsprozesses, da er aufgrund einer Falschkonfiguration eines Proxys nicht zum ATA Center gelangen konnte. | Deaktivieren Sie die Proxykonfiguration vor der Bereitstellung und aktivieren Sie dann die Proxykonfiguration erneut. Alternativ können Sie eine Ausnahme im Proxy konfigurieren. |
| System.Net.Sockets.SocketException: Das Schließen einer vorhandenen Verbindung wurde vom Remote-Host erzwungen. | Aktivieren Sie TLS 1.2 für .Net, indem Sie die Registrierungsschlüssel so festlegen, dass die Standardwerte des Betriebssystems für SSL und TLS wie folgt verwendet werden:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 |
|
| Fehler [\[]DeploymentModel[\]] Failed management authentication [\[]CurrentlyLoggedOnUser=<domain>\<username>Status=FailedAuthentication Exception=[\]] | Der Bereitstellungsprozess des ATA-Gateways oder des ATA Lightweight Gateway konnte sich nicht erfolgreich beim ATA Center authentifizieren. | Öffnen Sie einen Browser vom Computer, auf dem der Bereitstellungsprozess fehlgeschlagen ist, und überprüfen Sie, ob Sie die ATA-Konsole erreichen können. Wenn nicht, beginnen Sie mit der Problembehandlung, um zu sehen, warum der Browser sich nicht beim ATA Center authentifizieren kann. Zu überprüfende Punkte: ProxykonfigurationNetzwerkproblemeGruppenrichtlinieneinstellungen für die Authentifizierung auf diesem Computer, die sich vom ATA Center unterscheiden. |
| Fehler [\[]DeploymentModel[\]] Fehlgeschlagene Verwaltungsauthentifizierung | Fehler bei der Center-Zertifikatüberprüfung | Das Center-Zertifikat erfordert möglicherweise eine Internetverbindung für die Überprüfung. Stellen Sie sicher, dass Ihr Gateway-Dienst über die richtige Proxykonfiguration verfügt, um die Verbindung und Überprüfung zu aktivieren. |
| Beim Bereitstellen des Centers und Auswählen eines Zertifikats wird ein Fehler "Nicht unterstützt" gemeldet. | Dies kann passieren, wenn entweder das ausgewählte Zertifikat nicht den Anforderungen entspricht oder auf den privaten Schlüssel des Zertifikats nicht zugegriffen werden kann. | Stellen Sie sicher, dass Sie die Bereitstellung mit erhöhten Rechten (als Administrator ausführen) ausführen und dass das ausgewählte Zertifikat die Anforderungen erfüllt. |
ATA Center-Fehler
| Fehler | Beschreibung | Lösung |
|---|---|---|
| System.Security.Cryptography.CryptographicException: Zugriff verweigert. | Das ATA Center konnte das ausgestellte Zertifikat für die Entschlüsselung nicht verwenden. Dies ist wahrscheinlich auf die Verwendung eines Zertifikats mit KeySpec (KeyNumber) auf "Signature" (AT\_SIGNATURE) zurückzuführen, das nicht für die Entschlüsselung unterstützt wird, anstatt KeyExchange (AT\_KEYEXCHANGE) zu verwenden. | 1. Beenden Sie den ATA Center-Dienst. 2. Löschen Sie das ATA Center-Zertifikat aus dem Zertifikatspeicher des Centers. (Stellen Sie vor dem Löschen sicher, dass das Zertifikat mit dem privaten Schlüssel in einer PFX-Datei gesichert ist.) 3. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten und führen Sie certutil aus -importpfx "CenterCertificate.pfx" AT\_KEYEXCHANGE 4. Starten Sie den ATA Center-Dienst. 5. Bestätigen Sie, dass alles wie erwartet funktioniert. |
ATA-Gateway- und Lightweight-Gateway-Probleme
| Problem | Beschreibung | Lösung |
|---|---|---|
| Domänencontroller empfängt keinen Datenverkehr, es werden jedoch Integritätswarnungen beobachtet | Es wurde kein Datenverkehr von einem Domänencontroller per Port-Spiegelung über ein ATA-Gateway empfangen. | Deaktivieren Sie auf der ATA-Gateway-Aufnahme-NIC diese Features unter Advanced Einstellungen: Zusammengeführte Segmente empfangen (IPv4) Zusammengeführte Segmente empfangen (IPv6) |
| Diese Integritätswarnung wird angezeigt: Netzwerkdatenverkehr wird teilweise nicht analysiert. | Wenn Sie über ein ATA-Gateway oder ein Lightweight Gateway auf virtuellen VMware-Computern verfügen, erhalten Sie möglicherweise diese Integritätswarnung. Dies geschieht aufgrund eines Konfigurationskonflikts in VMware. | Legen Sie die folgenden Einstellungen in der NIC-Konfiguration des virtuellen Computers auf 0 oder deaktiviert fest: TsoEnable, LargeSendOffload, TSO Offload, Giant TSO Offload |
Multiprozessorgruppenmodus
Für Windows-Betriebssysteme 2008R2 und 2012 wird ATA-Gateway im Multiprozessorgruppenmodus nicht unterstützt.
Mögliche Problemumgehungen:
Wenn Hyperthreading aktiviert ist, deaktivieren Sie es. Dies kann die Anzahl der logischen Kerne verringern, um zu vermeiden, dass sie im Multiprozessorgruppenmodus ausgeführt werden müssen.
Wenn Ihr Computer weniger als 64 logische Kerne aufweist und auf einem HP-Host ausgeführt wird, können Sie möglicherweise die BIOS-Einstellung für die NUMA-Gruppengrößenoptimierung von der Standardeinstellung Cluster in Flach ändern.