A Microsoft Defender for Identity ismert hibáinak elhárítása

Ez a cikk bemutatja, hogyan háríthatja el a Microsoft Defender for Identity ismert hibáit.

Érzékelőhiba kommunikációs hibája

Ha a következő érzékelőhiba jelenik meg:

System.Net.Http.HttpRequestException:
An error occurred while sending the request. ---> System.Net.WebException:
Unable to connect to the remote server --->
System.Net.Sockets.SocketException: A connection attempt failed because the
connected party did not properly respond after a period of time, or established
connection failed because connected host has failed to respond...

Megoldás:

Győződjön meg arról, hogy a localhost, a 444-ös TCP-port kommunikációja nincs letiltva. További információ a Microsoft Defender for Identity előfeltételeiről: portok.

Üzembehelyezési napló helye

A Defender for Identity üzembehelyezési naplói a terméket telepítő felhasználó ideiglenes könyvtárában találhatók. Az alapértelmezett telepítési helyen a következő helyen található: C:\Users\Rendszergazda istrator\AppData\Local\Temp (vagy %temp% fölötti könyvtár). További információ: A Defender for Identity hibaelhárítása naplókkal.

A proxyhitelesítési probléma licencelési hibaként jelentkezik

Ha az érzékelő telepítése során a következő hibaüzenet jelenik meg: Az érzékelő licencelési problémák miatt nem tudott regisztrálni.

Üzembe helyezési naplóbejegyzések:

[1C60:1AA8][2018-03-24T23:59:13]i000: 2018-03-25 02:59:13.1237 Info InteractiveDeploymentManager ValidateCreateSensorAsync returned [validateCreateSensorResult=LicenseInvalid]] [1C60:1AA8][2018-03-24T23:59:56]i000: 2018-03-25 02:59:56.4856 Info InteractiveDeploymentManager ValidateCreateSensorAsync returned [validateCreateSensorResult=LicenseInvalid]] [1C60:1AA8][2018-03-25T00:27:56]i000: 2018-03-25 03:27:56.7399 Debug SensorBootstrapperApplication Engine.Quit [deploymentResultStatus=1602 isRestartRequired=False]] [1C60:15B8][2018-03-25T00:27:56]i500: Shutting down, exit code: 0x642

Ok:

Bizonyos esetekben, amikor proxyn keresztül kommunikál, a hitelesítés során a 407-es hiba helyett a 401-es vagy a 403-es hibával válaszolhat a Defender for Identity érzékelőre. A Defender for Identity-érzékelő a 401-as vagy a 403-as hibát licencelési problémaként értelmezi, és nem proxyhitelesítési problémaként.

Megoldás:

Győződjön meg arról, hogy az érzékelő hitelesítés nélkül tud a *.atp.azure.com megkeresni a konfigurált proxyn keresztül. További információ: Proxy konfigurálása a kommunikáció engedélyezéséhez.

A proxyhitelesítési probléma kapcsolati hibaként jelenik meg

Ha az érzékelő telepítése során a következő hibaüzenet jelenik meg: Az érzékelő nem tudott csatlakozni a szolgáltatáshoz.

Ok:

A problémát akkor okozhatja, ha a Defender for Identity által megkövetelt megbízható legfelső szintű hitelesítésszolgáltatók tanúsítványai hiányoznak.

Megoldás:

Futtassa a következő PowerShell-parancsmagot a szükséges tanúsítványok telepítésének ellenőrzéséhez.

Az alábbi példában használja a "DigiCert Baltimore Root" tanúsítványt minden ügyfél számára. Emellett használja a "DigiCert Global Root G2" tanúsítványt kereskedelmi ügyfelek számára, vagy használja a "DigiCert Global Root CA" tanúsítványt az EGYESÜLT Államok kormányzati GCC High ügyfelei számára, ahogy azt jeleztük.

# Certificate for all customers
Get-ChildItem -Path "Cert:\LocalMachine\Root" | where { $_.Thumbprint -eq "D4DE20D05E66FC53FE1A50882C78DB2852CAE474"} | fl

# Certificate for commercial customers
Get-ChildItem -Path "Cert:\LocalMachine\Root" | where { $_.Thumbprint -eq "df3c24f9bfd666761b268073fe06d1cc8d4f82a4"} | fl

# Certificate for US Government GCC High customers
Get-ChildItem -Path "Cert:\LocalMachine\Root" | where { $_.Thumbprint -eq "a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436"} | fl

Tanúsítvány kimenete az összes ügyfél számára:

Subject      : CN=Baltimore CyberTrust Root, OU=CyberTrust, O=Baltimore, C=IE
Issuer       : CN=Baltimore CyberTrust Root, OU=CyberTrust, O=Baltimore, C=IE
Thumbprint   : D4DE20D05E66FC53FE1A50882C78DB2852CAE474
FriendlyName : DigiCert Baltimore Root
NotBefore    : 5/12/2000 11:46:00 AM
NotAfter     : 5/12/2025 4:59:00 PM
Extensions   : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid}

A kereskedelmi ügyfelek tanúsítványának kimenete:

Subject      : CN=DigiCert Global Root G2, OU=www.digicert.com, O=DigiCert Inc, C=US
Issuer       : CN=DigiCert Global Root G2, OU=www.digicert.com, O=DigiCert Inc, C=US
Thumbprint   : DF3C24F9BFD666761B268073FE06D1CC8D4F82A4
FriendlyName : DigiCert Global Root G2
NotBefore    : 01/08/2013 15:00:00
NotAfter     : 15/01/2038 14:00:00
Extensions   : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid}

Az USA Kormányzati GCC High-ügyfelei tanúsítványának kimenete:

Subject      : CN=DigiCert Global Root CA, OU=www.digicert.com, O=DigiCert Inc, C=US
Issuer       : CN=DigiCert Global Root CA, OU=www.digicert.com, O=DigiCert Inc, C=US
Thumbprint   : A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436
FriendlyName : DigiCert
NotBefore    : 11/9/2006 4:00:00 PM
NotAfter     : 11/9/2031 4:00:00 PM
Extensions   : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid}

Ha nem látja a várt kimenetet, kövesse az alábbi lépéseket:

1. Töltse le a következő tanúsítványokat a Server Core-gépre. Minden ügyfél számára töltse le a Baltimore CyberTrust főtanúsítványát .

   Ráadásul:

   • Kereskedelmi ügyfelek számára töltse le a DigiCert Global Root G2 tanúsítványt
   • Az US Government GCC High-ügyfelei számára töltse le a DigiCert globális legfelső szintű hitelesítésszolgáltatói tanúsítványt

2. A tanúsítvány telepítéséhez futtassa a következő PowerShell-parancsmagot.

   # For all customers, install certificate
   Import-Certificate -FilePath "<PATH_TO_CERTIFICATE_FILE>\bc2025.crt" -CertStoreLocation Cert:\LocalMachine\Root
   
   # For commercial customers, install certificate
   Import-Certificate -FilePath "<PATH_TO_CERTIFICATE_FILE>\DigiCertGlobalRootG2.crt" -CertStoreLocation Cert:\LocalMachine\Root
   
   # For US Government GCC High customers, install certificate
   Import-Certificate -FilePath "<PATH_TO_CERTIFICATE_FILE>\DigiCertGlobalRootCA.crt" -CertStoreLocation Cert:\LocalMachine\Root
   

Csendes telepítési hiba a PowerShell használatakor

Ha a csendes érzékelő telepítése során megkísérli használni a PowerShellt, és a következő hibaüzenet jelenik meg:

"Azure ATP sensor Setup.exe" "/quiet" NetFrameworkCommandLineArguments="/q" Acce ... Unexpected token '"/quiet"' in expression or statement."

Ok:

Ezt a hibát az okozza, hogy a PowerShell használatakor a telepítéshez szükséges ./ előtag nem szerepel.

Megoldás:

A telepítés a teljes paranccsal elvégezhető.

./"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"

Az identitásérzékelőhöz készült Defender hálózati adapterek összevonásával kapcsolatos probléma

Amikor telepíti a Defender for Identity érzékelőt egy hálózati adapterrel és a Winpcap illesztőprogrammal konfigurált számítógépre, telepítési hiba jelenik meg. Ha a Defender for Identity-érzékelőt egy hálózati adapterek összevonásával konfigurált gépen szeretné telepíteni, az itt található utasításokat követve cserélje le a Winpcap illesztőprogramot az Npcap-ra.

Többprocesszoros csoport mód

A Windows 2008R2 és 2012 operációs rendszerek esetében a Defender for Identity érzékelő nem támogatott többprocesszoros csoport módban.

Javasolt lehetséges kerülő megoldások:

• Ha a hyper threading be van kapcsolva, kapcsolja ki. Ez csökkentheti a logikai magok számát ahhoz, hogy ne kelljen több processzorcsoportos módban futnia.

• Ha a gép kevesebb mint 64 logikai maggal rendelkezik, és HP-gazdagépen fut, lehetséges, hogy módosíthatja a NUMA csoportméret-optimalizálási BIOS-beállítást a fürtözött alapértelmezett értékről laposra.

VMware virtuálisgép-érzékelővel kapcsolatos probléma

Ha VMware virtuális gépeken rendelkezik Defender for Identity-érzékelővel, előfordulhat, hogy állapotriasztást kap, amely nem elemzi a hálózati forgalmat. Ez a VMware konfigurációs eltérése miatt fordulhat elő.

A hiba megoldása érdekében:

A vendég operációs rendszeren állítsa a következőket letiltva a virtuális gép hálózati adapterének konfigurációjában: IPv4 TSO-kiszervezés.

A következő paranccsal ellenőrizze, hogy a nagy méretű kiszervezés (LSO) engedélyezve van-e vagy le van-e tiltva:

Get-NetAdapterAdvancedProperty | Where-Object DisplayName -Match "^Large*"

Ha az LSO engedélyezve van, tiltsa le a következő paranccsal:

Disable-NetAdapterLso -Name {name of adapter}

Feljegyzés

• A konfigurációtól függően ezek a műveletek rövid hálózati kapcsolatvesztést okozhatnak.
• Előfordulhat, hogy a módosítások érvénybe lépéséhez újra kell indítania a gépet.
• Ezek a lépések a VMWare verziójától függően változhatnak. A VMWare dokumentációjában tájékozódhat arról, hogyan tilthatja le az LSO/TSO-t a VMWare-verzióhoz.

Az érzékelő nem tudta lekérni a csoport által felügyelt szolgáltatásfiók (gMSA) hitelesítő adatait

Ha a következő állapotriasztást kapja: A Címtárszolgáltatások felhasználói hitelesítő adatai helytelenek

Érzékelőnapló-bejegyzések:

2020-02-17 14:01:36.5315 Info ImpersonationManager CreateImpersonatorAsync started [UserName=account_name Domain=domain1.test.local IsGroupManagedServiceAccount=True] 2020-02-17 14:01:36.5750 Info ImpersonationManager CreateImpersonatorAsync finished [UserName=account_name Domain=domain1.test.local IsSuccess=False]

Érzékelőfrissítési naplóbejegyzések:

2020-02-17 14:02:19.6258 Warn GroupManagedServiceAccountImpersonationHelper GetGroupManagedServiceAccountAccessTokenAsync failed GMSA password could not be retrieved [errorCode=AccessDenied AccountName=account_name DomainDnsName=domain1.test.local]

Az érzékelő nem tudta lekérni a gMSA-fiók jelszavát.

1. ok

A tartományvezérlő nem kapott engedélyt a gMSA-fiók jelszavának lekérésére.

1. megoldás:

Ellenőrizze, hogy az érzékelőt futtató számítógép kapott-e engedélyeket a gMSA-fiók jelszavának lekéréséhez. További információ: Engedélyek megadása a gMSA-fiók jelszavának lekéréséhez.

Ok 2

Az érzékelőszolgáltatás LocalService szolgáltatásként fut, és végrehajtja a Címtárszolgáltatás-fiók megszemélyesítését.

Ha a felhasználói jogosultság-hozzárendelési szabályzat szolgáltatásként való bejelentkezése konfigurálva van ehhez a tartományvezérlőhöz, a megszemélyesítés meghiúsul, hacsak a gMSA-fiók nem kapja meg a bejelentkezést szolgáltatásengedélyként .

2. megoldás:

Konfigurálja a bejelentkezést szolgáltatásként a gMSA-fiókokhoz, ha a felhasználói jogok hozzárendelési szabályzata szolgáltatásként van beállítva az érintett tartományvezérlőn. További információ: Ellenőrizze, hogy a gMSA-fiók rendelkezik-e a szükséges jogosultságokkal.

3. ok

Ha a tartományvezérlő Kerberos-jegyét azelőtt állították ki, hogy a tartományvezérlő hozzá lett adva a megfelelő engedélyekkel rendelkező biztonsági csoporthoz, ez a csoport nem lesz része a Kerberos-jegynek. Így nem tudja lekérni a gMSA-fiók jelszavát.

3. megoldás:

A probléma megoldásához tegye az alábbiak egyikét:

• Indítsa újra a tartományvezérlőt.

• Törölje a Kerberos-jegyet, és kényszerítse a tartományvezérlőt egy új Kerberos-jegy igénylésére. Futtassa a következő parancsot a tartományvezérlőn található rendszergazdai parancssorból:

  klist -li 0x3e7 purge

• Rendelje hozzá a gMSA jelszavának lekérésére vonatkozó engedélyt egy olyan csoporthoz, amelynek a tartományvezérlő már tagja, például a tartományvezérlők csoportnak.

Az érzékelőszolgáltatás nem indul el

Érzékelőnapló-bejegyzések:

Warn DirectoryServicesClient CreateLdapConnectionAsync failed to retrieve group managed service account password. [DomainControllerDnsName=DC1.CONTOSO.LOCAL Domain=contoso.local UserName=AATP_gMSA]

Ok:

A tartományvezérlő nem kapott jogosultságot a gMSA-fiók jelszavának elérésére.

Megoldás:

Ellenőrizze, hogy a tartományvezérlő jogosult-e a jelszó elérésére. Az Active Directoryban olyan biztonsági csoportnak kell lennie, amely tartalmazza a tartományvezérlő(k), az AD FS/AD CS-kiszolgáló(ok) és a különálló érzékelők számítógépfiókjait. Ha ez nem létezik, javasoljuk, hogy hozzon létre egyet.

Az alábbi paranccsal ellenőrizheti, hogy számítógépfiók vagy biztonsági csoport lett-e hozzáadva a paraméterhez. Cserélje le az mdiSvc01 elemet a létrehozott névre.

Get-ADServiceAccount mdiSvc01 -Properties PrincipalsAllowedToRetrieveManagedPassword

Az eredménynek így kell kinéznie:

Ebben a példában láthatjuk, hogy egy mdiSvc01Group nevű csoport lett hozzáadva. Ha a tartományvezérlő vagy a biztonsági csoport még nem lett hozzáadva, az alábbi parancsokkal veheti fel. Cserélje le az mdiSvc01-et a gMSA nevére, és cserélje le a DC1-et a tartományvezérlő nevére, vagy az mdiSvc01Group nevet a biztonsági csoport nevére.

# To set the specific domain controller only:
$specificDC = Get-ADComputer -Identity DC1
Set-ADServiceAccount mdiSvc01 -PrincipalsAllowedToRetrieveManagedPassword $specificDC


# To set a security group that contains the relevant computer accounts:
$group = Get-ADGroup -Identity mdiSvc01Group
Set-ADServiceAccount mdiSvc01 -PrincipalsAllowedToRetrieveManagedPassword $group

Ha már hozzáadta a tartományvezérlőt vagy a biztonsági csoportot, de továbbra is megjelenik a hiba, próbálkozzon a következő lépésekkel:

• 1. lehetőség: Indítsa újra a kiszolgálót a legutóbbi módosítások szinkronizálásához
• 2. lehetőség:
  1. Az AATPSensor és az AATPSensorUpdater szolgáltatások beállítása letiltva
  2. Az AATPSensor és az AATPSensorUpdater szolgáltatások leállítása
  3. Szolgáltatásfiók gyorsítótárazása kiszolgálóra a következő paranccsal: Install-ADServiceAccount gMSA_AccountName
  4. Az AATPSensor és az AATPSensorUpdater szolgáltatások beállítása automatikusra
  5. Az AATPSensorUpdater szolgáltatás elindítása

A "Global" beállításkulcshoz való hozzáférés megtagadva

Az érzékelőszolgáltatás nem indul el, és az érzékelőnapló a következőhöz hasonló bejegyzést tartalmaz:

2021-01-19 03:45:00.0000 Error RegistryKey System.UnauthorizedAccessException: Access to the registry key 'Global' is denied.

Ok:

A tartományvezérlőhöz vagy az AD FS/AD CS-kiszolgálóhoz konfigurált gMSA nem rendelkezik engedélyekkel a teljesítményszámláló beállításkulcsaihoz.

Megoldás:

Adja hozzá a gMSA-t a kiszolgáló Teljesítményfigyelő felhasználói csoportjához.

A jelentésletöltések legfeljebb 300 000 bejegyzést tartalmazhatnak

A Defender for Identity nem támogatja azokat a jelentésletöltéseket, amelyek jelentésenként több mint 300 000 bejegyzést tartalmaznak. A jelentések hiányosnak jelennek meg, ha több mint 300 000 bejegyzés szerepel benne.

Ok:

Ez egy mérnöki korlátozás.

Megoldás:

Nincs ismert feloldás.

Az érzékelő nem tudja számba adni az eseménynaplókat

Ha korlátozott számú vagy hiányzó biztonsági eseményriasztást vagy logikai tevékenységet észlel a Defender for Identity konzolon, de nem lépnek fel állapotproblémák.

Érzékelőnapló-bejegyzések:

Error EventLogException System.Diagnostics.Eventing.Reader.EventLogException: The handle is invalid at void System.Diagnostics.Eventing.Reader.EventLogException.Throw(int errorCode) at object System.Diagnostics.Eventing.Reader.NativeWrapper.EvtGetEventInfo(EventLogHandle handle, EvtEventPropertyId enumType) at string System.Diagnostics.Eventing.Reader.EventLogRecord.get_ContainerLog()

Ok:

A diszkréciós hozzáférés-vezérlési lista korlátozza a helyi szolgáltatásfiók által a szükséges eseménynaplókhoz való hozzáférést.

Megoldás:

Győződjön meg arról, hogy a diszkrecionális hozzáférés-vezérlési lista (DACL) tartalmazza az alábbi bejegyzést (ez az AATPSensor szolgáltatás SID-azonosítója).

(A;;0x1;;;S-1-5-80-818380073-2995186456-1411405591-3990468014-3617507088)

Ellenőrizze, hogy a biztonsági eseménynapló DACL-ét egy csoportházirend-objektum konfigurálta-e:

Policies > Administrative Templates > Windows Components > Event Log Service > Security > Configure log access

Fűzze hozzá a fenti bejegyzést a meglévő szabályzathoz. Ezután futtassa C:\Windows\System32\wevtutil.exe gl security a bejegyzés hozzáadásának ellenőrzéséhez.

A helyi Defender for Identity-naplóknak most a következőnek kell megjelennie:

Info WindowsEventLogReader EnableEventLogWatchers EventLogWatcher enabled [name=Security]

Az ApplyInternal kétirányú SSL-kapcsolattal kapcsolatos szolgáltatáshiba miatt meghiúsult

Ha az érzékelő telepítése során a következő hibaüzenet jelenik meg: Az ApplyInternal kétirányú SSL-kapcsolat sikertelen volt a szolgáltatáshoz , és az érzékelőnapló a következőhöz hasonló bejegyzést tartalmaz:

2021-01-19 03:45:00.0000 Error CommunicationWebClient+\<SendWithRetryAsync\>d__9`1 Az ApplyInternal nem tudott kétirányú SSL-kapcsolatot létesíteni a szolgáltatással. A problémát olyan proxy okozhatja, amelynél engedélyezve van az SSL-ellenőrzés. [_workspaceApplicationSensorApiEndpoint=Unspecified/contoso.atp.azure.com:443 Thumbprint=7C039DA47E81E51F3DA3DF3DA7B5E1899B5B4AD0]"

Ok:

A problémát akkor okozhatja, ha a SystemDefaultTlsVersions vagy a SchUseStrongCrypto beállításjegyzék-érték nincs az alapértelmezett 1 értékre állítva.

Megoldás:

Ellenőrizze, hogy a SystemDefaultTlsVersions és a SchUseStrongCrypto beállításjegyzék értékei 1-esre vannak-e állítva:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319] 
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
 
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

Probléma az érzékelő telepítésével a Windows Server 2019-ben, KB5009557 telepítve vagy egy megkeményített EventLog-engedélyekkel rendelkező kiszolgálón

Az érzékelő telepítése meghiúsulhat a következő hibaüzenettel:

System.UnauthorizedAccessException: Attempted to perform an unauthorized operation.

Megoldás:

A problémának két lehetséges áthidaló megoldása van:

1. Telepítse az érzékelőt a P Standard kiadás xec használatával:

   psexec -s -i "C:\MDI\Azure ATP Sensor Setup.exe"
   

2. Telepítse az érzékelőt egy LocalSystemként való futtatásra konfigurált ütemezett feladattal. A használni kívánt parancssori szintaxis a Defender for Identity érzékelő csendes telepítésében szerepel.

Az érzékelő telepítése a tanúsítványkezelési ügyfél miatt meghiúsul

Ha az érzékelő telepítése sikertelen, és a Microsoft.Tri.Sensor.Deployment.Deployer.log fájl a következőhöz hasonló bejegyzést tartalmaz:

2022-07-15 03:45:00.0000 Error IX509CertificateRequestCertificate2 Deployer failed [arguments=128Ve980dtms0035h6u3Bg==] System.Runtime.InteropServices.COMException (0x80090008): CertEnroll::CX509CertificateRequestCertificate::Encode: Invalid algorithm specified. 0x80090008 (-2146893816 NTE_BAD_ALGID)

Ok:

A problémát akkor okozhatja, ha egy tanúsítványkezelő ügyfél, például a Entrust Entelligence Security Provider (Enterprise kiadás SP) megakadályozza, hogy az érzékelő telepítése önaláírt tanúsítványt hozzon létre a gépen.

Megoldás:

Távolítsa el a tanúsítványkezelő ügyfelet, telepítse a Defender for Identity érzékelőt, majd telepítse újra a tanúsítványkezelési ügyfelet.

Feljegyzés

Az önaláírt tanúsítvány 2 évente megújul, és az automatikus megújítási folyamat meghiúsulhat, ha a tanúsítványkezelő ügyfél megakadályozza az önaláírt tanúsítvány létrehozását. Ez azt eredményezi, hogy az érzékelő leállítja a háttérrendszerrel való kommunikációt, amihez az érzékelő újratelepítése szükséges a fent említett kerülő megoldás használatával.

Az érzékelő telepítése hálózati csatlakozási problémák miatt meghiúsul

Ha az érzékelő telepítése 0x80070643 hibakóddal meghiúsul, és a telepítési naplófájl a következőhöz hasonló bejegyzést tartalmaz:

[22B8:27F0][2016-06-09T17:21:03]e000: Error 0x80070643: Failed to install MSI package.

Ok:

A problémát akkor okozhatja, ha a telepítési folyamat nem fér hozzá a Defender for Identity felhőszolgáltatásaihoz az érzékelőregisztrációhoz.

Megoldás:

Győződjön meg arról, hogy az érzékelő közvetlenül vagy a konfigurált proxyn keresztül tallózhat a *.atp.azure.com. Szükség esetén állítsa be a proxykiszolgáló beállításait a telepítéshez a parancssor használatával:

"Azure ATP sensor Setup.exe" [ProxyUrl="http://proxy.internal.com"] [ProxyUserName="domain\proxyuser"] [ProxyUserPassword="ProxyPassword"]

További információ: Csendes telepítés futtatása proxykonfigurációval.

Az érzékelőszolgáltatás nem futtatható, és indítási állapotban marad

A rendszernaplóban a következő hibák jelennek meg az Eseménynaplóban:

• A szolgáltatás open eljárása ". A "C:\Windows\system32\mscoree.dll" DLL-ben a NETFramework nem sikerült, és az Access hibakódja le van tagadva. A szolgáltatás teljesítményadatai nem lesznek elérhetők.
• Az "Lsa" szolgáltatás "C:\Windows\System32\Secur32.dll" DLL-ben való megnyitási eljárása meghiúsult, és az Access hibakódja le van tagadva. A szolgáltatás teljesítményadatai nem lesznek elérhetők.
• A "WmiApRpl" szolgáltatás "C:\Windows\system32\wbem\wmiaprpl.dll" DLL-ben való megnyitási eljárása "Az eszköz nem áll készen" hibakóddal meghiúsult. A szolgáltatás teljesítményadatai nem lesznek elérhetők.

A Microsoft.TriSensorError.log a következőhöz hasonló hibát tartalmaz:

Microsoft.Tri.Sensor.DirectoryServicesClient.TryCreateLdapConnectionAsync(DomainControllerConnectionData domainControllerConnectionData, bool isGlobalCatalog, bool isTraversing) 2021-07-13 14:56:20.2976 Error DirectoryServicesClient Microsoft.Tri.Infrastructure.ExtendedException: Failed to communicate with configured domain controllers at new Microsoft.Tri.Sensor.DirectoryServicesClient(IConfigurationManager

Ok:

NT Service\Minden szolgáltatásnak nincs joga szolgáltatásként bejelentkezni.

Megoldás:

Tartományvezérlő-szabályzat hozzáadása szolgáltatásként való bejelentkezéssel. További információ: Ellenőrizze, hogy a gMSA-fiók rendelkezik-e a szükséges jogosultságokkal.

A munkaterület nem lett létrehozva, mert már létezik egy azonos nevű biztonsági csoport a Microsoft Entra-azonosítóban

Ok:

A probléma akkor merülhet fel, ha egy Defender for Identity-munkaterület licence lejár, és a megőrzési időszak lejártakor törlődik, de a Microsoft Entra-csoportokat nem törölték.

Megoldás:

1. Nyissa meg az Azure Portal ->Microsoft Entra ID -Groups webhelyet>
2. Nevezze át a következő három csoportot (ahol a workspaceName a munkaterület neve), ha hozzáad hozzájuk egy " - régi" utótagot:
   • "Azure ATP workspaceName Rendszergazda istrators" –> "Azure ATP workspaceName Rendszergazda istrators - old"
   • "Azure ATP workspaceName Viewers" –> "Azure ATP workspaceName Viewers – old"
   • "Azure ATP workspaceName Users" –> "Azure ATP workspaceName Users – old"
3. Ezután visszatérhet a Microsoft Defender portál Gépház ->Identityes szakaszához, és létrehozhatja az új munkaterületet a Defender for Identity számára.

Következő lépések

• A Defender for Identity előfeltételei
• Defender identitáshoz – kapacitástervezés
• Eseménygyűjtemény konfigurálása
• A Windows eseménytovábbításának konfigurálása
• Tekintse meg a Defender for Identity fórumot!