A Microsoft Defender for Identity állapotproblémái

A Microsoft Defender identitásállapotokkal kapcsolatos problémáinak lapja felsorolja a Defender identitáshoz készült központi telepítésével és érzékelőivel kapcsolatos aktuális állapotproblémákat, és figyelmezteti Önt a Defender identitáskezelési környezetében felmerülő problémákra.

Állapotproblémák lap

A Microsoft Defender for Identity Health problémáinak lapja az állapotproblémák felvetésével tudatja Önnel, hogy a Defender for Identity-munkaterülettel kapcsolatban probléma merült fel. A lap eléréséhez kövesse az alábbi lépéseket:

  1. A Microsoft Defender XDR Identitások területén válassza az Állapotproblémák lehetőséget.

  2. Megjelenik az Állapotproblémák lap, ahol az általános Identitásvédő környezet és az adott érzékelők állapotproblémái is megjelennek.

    A Defender for Identity a következő típusú állapotriasztásokat támogatja:

    • Tartományhoz kapcsolódó vagy összesített állapottal kapcsolatos problémák, amelyek a Globális állapottal kapcsolatos problémák lapon jelennek meg
    • Érzékelőspecifikus állapotproblémák, az Érzékelő állapotával kapcsolatos problémák lapon

    Szűrje a problémákat állapot, probléma neve vagy súlyossága szerint, hogy segítsen megtalálni a keresett problémát.

    Példa:

    Screenshot of the Health Issues page.

  3. Válassza ki a problémát a további részletekért, és a probléma bezárásához vagy letiltásához. Példa:

    Screenshot of a health issue details pane.

Állapotproblémák

Ez a szakasz az egyes összetevőkkel kapcsolatos összes állapotproblémát ismerteti, felsorolva a probléma okát és a probléma megoldásához szükséges lépéseket.

Az érzékelőspecifikus állapotproblémák az Érzékelő állapotproblémái lapon jelennek meg, a tartományhoz kapcsolódó vagy összesített állapotproblémák pedig a Globális állapotproblémák lapon jelennek meg az alábbi táblázatokban leírtak szerint:

A tartományvezérlő nem érhető el egy érzékelő által

Riasztás Leírás Resolution (Osztás) Súlyosság Megjelenítve a következőben:
A Defender for Identity érzékelője korlátozott funkcionalitással rendelkezik a konfigurált tartományvezérlő csatlakozási problémái miatt. Ez hatással van a Defender for Identity azon képességére, hogy észlelje a Defender for Identity érzékelő által figyelt tartományvezérlőkkel kapcsolatos gyanús tevékenységeket. Győződjön meg arról, hogy a tartományvezérlők működőképesek és futnak, és hogy ez a Defender for Identity-érzékelő meg tudja nyitni számukra az LDAP-kapcsolatokat. Emellett Gépház minden telepített erdőhöz konfiguráljon címtárszolgáltatás-fiókot. Közepes Érzékelők állapotproblémáinak lapja

Az érzékelőn lévő rögzítési hálózati adapterek egy része nem érhető el

Riasztás Leírás Resolution (Osztás) Súlyosság Megjelenítve a következőben:
A Defender for Identity érzékelő összes kiválasztott rögzítési hálózati adaptere le van tiltva vagy leválasztva. Egyes/az összes tartományvezérlő hálózati forgalmát már nem rögzíti a Defender for Identity érzékelője. Ez a probléma hatással van az adott tartományvezérlőkkel kapcsolatos gyanús tevékenységek észlelésére. Győződjön meg arról, hogy ezek a kiválasztott rögzítési hálózati adapterek engedélyezve vannak és csatlakoztatva vannak a Defender for Identity érzékelőn. Közepes Érzékelők állapotproblémáinak lapja

A címtárszolgáltatások felhasználójának hitelesítő adatai helytelenek

Riasztás Leírás Resolution (Osztás) Súlyosság Megjelenítve a következőben:
A címtárszolgáltatások felhasználói fiókjának hitelesítő adatai helytelenek. Ez a probléma hatással van az érzékelők azon képességére, hogy LDAP-lekérdezéseket használva észleljék a tartományvezérlőket. - Standard AD-fiókok esetén: Ellenőrizze, hogy a Címtárszolgáltatások konfigurációs lapján szereplő felhasználónév, jelszó és tartomány helyes-e.
- Csoportos felügyelt szolgáltatásfiókok esetén: Ellenőrizze, hogy a címtárszolgáltatások konfigurációs lapján szereplő felhasználónév és tartomány helyes-e. Ellenőrizze az összes többi gMSA-fiókelőfeltételt is, amelyet a Címtárszolgáltatás-fiókjavaslatok lapon talál.
Közepes Globális állapotproblémák lap

Alacsony sikerességi arány az aktív névfeloldásban

Riasztás Leírás Resolution (Osztás) Súlyosság Megjelenítve a következőben:
A felsorolt Defender identitásérzékelők az idő több mint 90%-ában nem oldják fel az IP-címeket az eszköznevekre az alábbi módszerekkel:
- NTLM RPC-n keresztül
-Netbios
- Fordított DNS
Ez hatással van a Defender for Identity észlelési képességeire, és növelheti a hamis pozitív riasztások számát. - RPC-n keresztüli NTLM esetén: Ellenőrizze, hogy a 135-ös port nyitva van-e a Defender for Identity érzékelőinek bejövő kommunikációjához a környezet összes számítógépén.
- Fordított DNS esetén: Ellenőrizze, hogy az érzékelők elérik-e a DNS-kiszolgálót, és hogy engedélyezve vannak-e a fordított keresési zónák.
- NetBIOS esetén: Ellenőrizze, hogy a 137-ös port nyitva van-e a Defender for Identity érzékelők bejövő kommunikációjához a környezet összes számítógépén.
Emellett győződjön meg arról, hogy a hálózati konfiguráció (például tűzfalak) nem akadályozza a megfelelő portokkal való kommunikációt.
Alacsony Érzékelők állapotproblémái lap és Globális állapotproblémák lap

Nem érkezett forgalom a tartományvezérlőtől

Riasztás Leírás Resolution (Osztás) Súlyosság Megjelenítve a következőben:
Nem érkezett forgalom a tartományvezérlőről ezen a Defender for Identity-érzékelőn keresztül. Ez a probléma azt jelezheti, hogy a porttükrözés a tartományvezérlőkről a Defender for Identity érzékelőre még nincs konfigurálva, vagy nem működik. Ellenőrizze, hogy a porttükrözés megfelelően van-e konfigurálva a hálózati eszközökön.

A Defender for Identity érzékelő hálózati adapterén tiltsa le ezeket a funkciókat a Speciális Gépház:

Szegmensek szenesítésének fogadása (IPv4)

Szegmensek szenesítésének fogadása (IPv6)
Közepes Érzékelők állapotproblémái lap és Globális állapotproblémák lap

Rövidesen lejár a csak olvasható felhasználói jelszó

Riasztás Leírás Resolution (Osztás) Súlyosság Megjelenítve a következőben:
Az entitások Active Directory-beli feloldásához használt írásvédett felhasználói jelszó kevesebb mint 30 nap múlva lejár. Ha a felhasználó jelszava lejár, a Defender for Identity összes érzékelője leáll, és nem gyűjt új adatokat. Módosítsa a tartomány kapcsolati jelszavát, majd frissítse a Címtárszolgáltatás-fiók jelszavát. Közepes Globális állapotproblémák lap

Lejárt az írásvédett felhasználói jelszó

Riasztás Leírás Resolution (Osztás) Súlyosság Megjelenítve a következőben:
A címtáradatok lekéréséhez használt írásvédett felhasználói jelszó lejárt. Az identitáshoz készült Defender összes érzékelője leáll, vagy hamarosan leáll, és nem gyűjt új adatokat. Módosítsa a tartomány kapcsolati jelszavát, majd frissítse a Címtárszolgáltatás-fiók jelszavát. Magas Globális állapotproblémák lap

Az érzékelő elavult

Riasztás Leírás Resolution (Osztás) Súlyosság Megjelenítve a következőben:
A Defender for Identity érzékelő elavult. A Defender for Identity-érzékelő olyan verziót futtat, amely nem tud kommunikálni a Defender for Identity felhőinfrastruktúra használatával. Frissítse manuálisan az érzékelőt, és ellenőrizze, hogy az érzékelő miért nem frissül automatikusan. Ha ez a beállítás nem működik, töltse le a legújabb érzékelőtelepítési csomagot, és távolítsa el és telepítse újra az érzékelőt. További információ: A Microsoft Defender for Identity érzékelő letöltése és a Microsoft Defender for Identity érzékelő telepítése. Közepes Érzékelők állapotproblémái lap és Globális állapotproblémák lap

Az érzékelő elérte a memória erőforráskorlátját

Riasztás Leírás Resolution (Osztás) Súlyosság Megjelenítve a következőben:
A Defender for Identity érzékelő leállt, és automatikusan újraindul, hogy megvédje a tartományvezérlőt a memóriahiánytól. A Defender for Identity-érzékelő saját maga kényszeríti ki a memóriakorlátozásokat, hogy a tartományvezérlő ne tapasztaljon erőforrás-korlátozásokat. Ez a probléma akkor fordul elő, ha a tartományvezérlő memóriahasználata magas. A tartományvezérlőről származó adatokat csak részben figyeli a rendszer. Növelje a memória mennyiségét (RAM) a tartományvezérlőn, vagy adjon hozzá további tartományvezérlőket ezen a helyen a tartományvezérlő terhelésének jobb elosztása érdekében. Közepes Érzékelők állapotproblémáinak lapja

Az érzékelőszolgáltatás nem indult el

Riasztás Leírás Resolution (Osztás) Súlyosság Megjelenítve a következőben:
A Defender for Identity sensor szolgáltatás legalább 30 percig nem indult el. Ez a probléma befolyásolhatja a Defender for Identity érzékelő által figyelt tartományvezérlőkről származó gyanús tevékenységek észlelését. A Defender for Identity-érzékelő naplóinak monitorozásával megismerheti a Defender for Identity sensor szolgáltatás meghibásodásának kiváltó okát. Magas Érzékelők állapotproblémáinak lapja

Az érzékelő nem kommunikál

Riasztás Leírás Resolution (Osztás) Súlyosság Megjelenítve a következőben:
A Defender for Identity érzékelő nem kommunikált. A riasztás alapértelmezett időtartama 5 perc. A hálózati forgalmat a hálózati adapter már nem rögzíti a Defender for Identity érzékelőn. Ez hatással van a Defender for Identity gyanús tevékenységek észlelésére, mivel a hálózati forgalom nem tudja elérni a Defender for Identity felhőszolgáltatást. Ellenőrizze, hogy a Defender for Identity érzékelő és a Defender for Identity felhőszolgáltatás közötti kommunikációhoz használt portot nincsenek-e útválasztók vagy tűzfalak blokkolva. Közepes Érzékelők állapotproblémáinak lapja

Egyes Windows-események elemzése nem történik meg

Riasztás Leírás Resolution (Osztás) Súlyosság Megjelenítve a következőben:
A Defender for Identity érzékelő több eseményt kap, mint amennyit feldolgozhat. Egyes Windows-események elemzése nem történik meg. Ez befolyásolhatja a Defender for Identity érzékelő által figyelt tartományvezérlőkről származó gyanús tevékenységek észlelését. Szükség esetén fontolja meg további processzorok és memória hozzáadását. Ha önálló Defender for Identity-érzékelőt használ, ellenőrizze, hogy csak a szükséges események lesznek továbbítva az érzékelőnek. Vagy próbáljon meg továbbítani néhány eseményt egy másik Defender for Identity-érzékelőnek. Közepes Érzékelők állapotproblémái lap és Globális állapotproblémák lap

Nem sikerült elemezni a teljes hálózati forgalmat

Riasztás Leírás Resolution (Osztás) Súlyosság Megjelenítve a következőben:
A Defender for Identity érzékelő több hálózati forgalmat kap, mint amennyit feldolgozhat. Néhány hálózati forgalom nem elemezhető. Ez a probléma befolyásolhatja a Defender identitásérzékelő által figyelt tartományvezérlőkről származó gyanús tevékenységek észlelését. Szükség esetén fontolja meg további processzorok és memória hozzáadását. Ha önálló Defender for Identity-érzékelőt használ, csökkentse a figyelt tartományvezérlők számát.

Ez a probléma akkor is előfordulhat, ha VMware virtuális gépeken használ tartományvezérlőket. A problémák elkerülése érdekében ellenőrizheti, hogy a következő beállítások 0-ra vannak-e állítva vagy le vannak tiltva a virtuális gépen (a Windows operációs rendszerben, nem a VMware beállításaiban):

- Nagy méretű kiszervezés v2 (IPv4)

- IPv4 TSO kiszervezése

A nevek a VMware verziójától függően változhatnak. További információt a VMware dokumentációjában talál.
Közepes Érzékelők állapotproblémái lap és Globális állapotproblémák lap

Néhány ETW-esemény kimarad az elemzésből

Riasztás Leírás Resolution (Osztás) Súlyosság Megjelenítve a következőben:
A Defender for Identity érzékelő több Eseménykövetést kap a Windows (ETW) eseményeihez, mint amennyit feldolgozhat. A Rendszer nem elemzi a Windows (ETW) egyes eseménykövetési eseményeit. Ez befolyásolhatja a Defender for Identity érzékelő által figyelt tartományvezérlőkről származó gyanús tevékenységek észlelését. Szükség esetén fontolja meg további processzorok és memória hozzáadását. Közepes Érzékelők állapotproblémái lap és Globális állapotproblémák lap

Olyan operációs rendszeren futó érzékelő, amely hamarosan nem támogatott lesz

Riasztás Leírás Resolution (Osztás) Súlyosság Megjelenítve a következőben:
A Defender for Identity érzékelő egy olyan operációs rendszeren fut, amely hamarosan nem támogatott lesz. A Windows Server 2012 és 2012 R2 2023. október 10-én véget ért a támogatásnak. További részletek a következő címen olvashatók: https://aka.ms/mdi/oseos A kiszolgálón lévő operációs rendszert frissíteni kell a legújabb támogatott operációs rendszerre. További részletekért lásd: https://aka.ms/mdi/os Közepes Érzékelők állapotproblémáinak lapja

Nem támogatott operációs rendszeren futó érzékelő

Riasztás Leírás Resolution (Osztás) Súlyosság Megjelenítve a következőben:
A Defender for Identity érzékelő nem támogatott operációs rendszeren fut. A Windows Server 2012 és 2012 R2 2023. október 10-én véget ért a támogatásnak. További részletek a következő helyen találhatók: https://aka.ms/mdi/oseos A kiszolgálón lévő operációs rendszert frissíteni kell a legújabb támogatott operációs rendszerre. További részletekért lásd: https://aka.ms/mdi/os Magas Érzékelők állapotproblémáinak lapja

Az érzékelő problémái vannak a csomagrögzítési összetevővel

Riasztás Leírás Resolution (Osztás) Súlyosság Megjelenítve a következőben:
A Defender for Identity érzékelő Npcap-illesztőprogramok helyett WinPcap-illesztőprogramokat használ. Minden ügyfélnek Npcap illesztőprogramokat kell használnia a WinPcap illesztőprogramok helyett. A Defender for Identity 2.184-es verziójától kezdve a telepítőcsomag telepíti az Npcap 1.0 OEM-et. Telepítse az Npcap-t a következő útmutató szerint: https://aka.ms/mdi/npcap Alacsony Érzékelők állapotproblémáinak lapja
A Defender for Identity érzékelő a minimálisan szükséges verziónál régebbi Npcap-verziót futtat. A minimális Npcap-verzió támogatott: 1.0. A Defender for Identity 2.184-es verziójától kezdve a telepítőcsomag telepíti az Npcap 1.0 OEM-et. Az Npcap frissítése a következő útmutató szerint: https://aka.ms/mdi/npcap Közepes Érzékelők állapotproblémáinak lapja
A Defender for Identity érzékelő olyan Npcap-összetevőt futtat, amely nincs szükség konfigurálva. Az Npcap telepítése nem tartalmazza a szükséges konfigurációs beállításokat. Telepítse az Npcap-t a következő útmutató szerint: https://aka.ms/mdi/npcap Magas Érzékelők állapotproblémáinak lapja

Az NTLM naplózása nincs engedélyezve

Riasztás Leírás Resolution (Osztás) Súlyosság Megjelenítve a következőben:
Az NTLM-naplózás nincs engedélyezve. Az NTLM-naplózás (8004-s eseményazonosító esetén) nincs engedélyezve a kiszolgálón. (Ezt a konfigurációt hetente egyszer ellenőrzi a rendszer, érzékelőnként). Engedélyezze az NTLM-naplózási eseményeket a 8004-es eseményazonosító szakaszban ismertetett útmutatásnak megfelelően, a Windows eseménygyűjtemény konfigurálása lapon. Közepes Érzékelők állapotproblémáinak lapja

A Címtárszolgáltatások speciális naplózása nincs engedélyezve szükség szerint

Riasztás Leírás Resolution (Osztás) Súlyosság Megjelenítve a következőben:
A Címtárszolgáltatások speciális naplózása nincs engedélyezve szükség szerint. (Ezt a konfigurációt tartományonként naponta egyszer érvényesíti a rendszer. A Címtárszolgáltatások speciális naplózási konfigurációja nem tartalmazza a szükséges kategóriákat és alkategóriákat. Engedélyezze a Címtárszolgáltatások speciális naplózási eseményeit. További információ: Naplózási szabályzatok konfigurálása Windows-eseménynaplókhoz. Közepes Globális állapotproblémák lap

A Címtárszolgáltatások objektumnaplózása nincs engedélyezve szükség szerint

Riasztás Leírás Resolution (Osztás) Súlyosság Megjelenítve a következőben:
A Címtárszolgáltatások objektumnaplózása nincs engedélyezve szükség szerint. (Ezt a konfigurációt tartományonként naponta egyszer érvényesíti a rendszer. A Címtárszolgáltatások objektumnaplózási konfigurációja nem tartalmazza a szükséges objektumtípusokat és engedélyeket. Engedélyezze a Címtárszolgáltatások objektumnaplózási eseményeit a Tartományobjektum-naplózás konfigurálása szakaszban, a Windows-eseménygyűjtemény konfigurálása lapon ismertetett útmutatásnak megfelelően. Közepes Globális állapotproblémák lap

A konfigurációs tároló naplózása nincs engedélyezve szükség szerint

Riasztás Leírás Resolution (Osztás) Súlyosság Megjelenítve a következőben:
A konfigurációs tároló naplózása nincs engedélyezve szükség szerint. (Ezt a konfigurációt tartományonként naponta egyszer érvényesíti a rendszer. A címtárszolgáltatások naplózása a tartomány konfigurációs tárolóján nincs engedélyezve szükség szerint. Engedélyezze a címtárszolgáltatások naplózását a tartomány konfigurációs tárolóján a Naplózási szabályzatok konfigurálása szakaszban ismertetett útmutatásnak megfelelően, a Windows eseménygyűjtemény konfigurálása lapon. Közepes Globális állapotproblémák lap

Az ADFS-tároló naplózása nincs engedélyezve szükség szerint

Riasztás Leírás Resolution (Osztás) Súlyosság Megjelenítve a következőben:
Az ADFS-tároló naplózása nincs engedélyezve szükség szerint. (Ezt a konfigurációt tartományonként naponta egyszer érvényesíti a rendszer. Az ADFS-tároló címtárszolgáltatás-naplózása nincs engedélyezve szükség szerint. Engedélyezze a Címtárszolgáltatások naplózását az ADFS-tárolón a Windows-eseménygyűjtés konfigurálása lap AD FS- (AD FS)-naplózás konfigurálása Active Directory összevonási szolgáltatások (AD FS)a0> című szakaszának útmutatása szerint. Közepes Globális állapotproblémák lap

Az energia mód nincs konfigurálva az optimális processzorteljesítményhez

Riasztás Leírás Resolution (Osztás) Súlyosság Megjelenítve a következőben:
Az energia mód nincs konfigurálva az optimális processzorteljesítményhez. (Ezt a konfigurációt naponta egyszer érvényesíti a rendszer, érzékelőnként). Az operációs rendszer energia üzemmódja nincs konfigurálva az optimális processzorteljesítmény-beállításokhoz. Ez a probléma befolyásolhatja a kiszolgáló teljesítményét és az érzékelők gyanús tevékenységek észlelésének képességét. Tegye az alábbiak egyikét:

– Konfigurálja a Defender for Identity-érzékelőt futtató gép tápellátási beállítását nagy teljesítményűre
- Állítsa a processzor minimális és maximális állapotát 100-ra

További információkért tekintse meg a Defender for Identity előfeltételei lap Érzékelőkövetelmények és javaslatok szakaszát.
Alacsony Érzékelők állapotproblémáinak lapja

Az érzékelő nem tudott írni az egyéni napló elérési útjára

Riasztás Leírás Resolution (Osztás) Súlyosság Megjelenítve a következőben:
Az érzékelő nem tudott írni az egyéni napló elérési útjára. Az érzékelő konfigurációjában megadott egyéni naplóútvonal nem hozható létre. 1. Állítsa le a és AATPSensor a AATPSensorUpdater szolgáltatásokat.
2. Módosítsa az SensorCustomLogLocation érzékelő konfigurációs fájlját érvényes elérési útra, vagy állítsa null értékre.
3. Indítsa újra az és AATPSensor a AATPSensorUpdater szolgáltatásokat.
Alacsony Érzékelők állapotproblémáinak lapja

Radius-nyilvántartási (VPN-integrációs) adatbetöltési hibák

Riasztás Leírás Resolution (Osztás) Súlyosság Megjelenítve a következőben:
Radius-nyilvántartási (VPN-integrációs) adatbetöltési hibák. A felsorolt Defender identitásérzékelők radius-nyilvántartási (VPN-integrációs) adatbetöltési hibákkal rendelkeznek. Ellenőrizze, hogy a Defender for Identity konfigurációs beállításaiban található megosztott titkos kód megegyezik-e a VPN-kiszolgálóval a Defender for Identity szolgáltatásban a VPN-integrációs oldal VPN-integrációs lapján, a Vpn konfigurálása a Defender for Identity szolgáltatásban című szakaszban ismertetett útmutatásnak megfelelően. Alacsony Állapotproblémák lap

Következő lépések