A Microsoft Defender for Identity ismert hibáinak elhárítása
Ez a cikk bemutatja, hogyan háríthatja el a Microsoft Defender for Identity ismert hibáit.
Az érzékelőszolgáltatás nem indul el
Érzékelőnapló-bejegyzések:
Warn DirectoryServicesClient CreateLdapConnectionAsync failed to retrieve group managed service account password. [DomainControllerDnsName=DC1.CONTOSO.LOCAL Domain=contoso.local UserName=mdiSvc01]
1. ok
A tartományvezérlő nem kapott jogosultságot a gMSA-fiók jelszavának elérésére.
1. megoldás:
Ellenőrizze, hogy a tartományvezérlő jogosult-e a jelszó elérésére. Az Active Directoryban rendelkeznie kell egy biztonsági csoporttal, amely tartalmazza a tartományvezérlő(k), az Entra Connect, az AD FS/AD CS-kiszolgáló(ok) és a különálló érzékelők számítógépfiókjait. Ha ez nem létezik, javasoljuk, hogy hozzon létre egyet.
Az alábbi paranccsal ellenőrizheti, hogy számítógépfiók vagy biztonsági csoport lett-e hozzáadva a paraméterhez. Cserélje le az mdiSvc01 elemet a létrehozott névre.
Get-ADServiceAccount mdiSvc01 -Properties PrincipalsAllowedToRetrieveManagedPassword
Az eredménynek így kell kinéznie:
Ebben a példában láthatjuk, hogy egy mdiSvc01Group nevű csoport lett hozzáadva. Ha a tartományvezérlő vagy a biztonsági csoport még nem lett hozzáadva, az alábbi parancsokkal veheti fel. Cserélje le az mdiSvc01-et a gMSA nevére, és cserélje le a DC1-et a tartományvezérlő nevére, vagy az mdiSvc01Group nevet a biztonsági csoport nevére.
# To set the specific domain controller only:
$specificDC = Get-ADComputer -Identity DC1
Set-ADServiceAccount mdiSvc01 -PrincipalsAllowedToRetrieveManagedPassword $specificDC
# To set a security group that contains the relevant computer accounts:
$group = Get-ADGroup -Identity mdiSvc01Group
Set-ADServiceAccount mdiSvc01 -PrincipalsAllowedToRetrieveManagedPassword $group
Ha már hozzáadta a tartományvezérlőt vagy a biztonsági csoportot, de továbbra is megjelenik a hiba, próbálkozzon a következő lépésekkel:
- Indítsa újra a kiszolgálót a legutóbbi módosítások szinkronizálásához
- Törölje a Kerberos-jegyet, és kényszerítse a kiszolgálót egy új Kerberos-jegy igénylésére. Futtassa a következő parancsot egy rendszergazdai parancssorból
klist -li 0x3e7 purge
Ok 2
A biztonságos idő bevetésével kapcsolatos ismert forgatókönyv miatt a gMSA passwordLastSet attribútuma egy későbbi dátumra állítható be, ami miatt az érzékelő nem indítható el.
Az alábbi paranccsal ellenőrizheti, hogy a gMSA-fiók a forgatókönyvbe tartozik-e, amikor a PasswordLastSet és a LastLogonDate értékek jövőbeli dátumot mutatnak:
Get-ADServiceAccount mdiSvc01 -Properties PasswordLastSet, LastLogonDate
2. megoldás:
Köztes megoldásként létrehozhat egy új gMSA-t, amely megfelelő dátummal rendelkezik az attribútumhoz. Javasoljuk, hogy nyisson meg egy támogatási kérést a címtárszolgáltatásokkal, hogy azonosítsa a kiváltó okot, és feltárja az átfogó megoldás lehetőségeit.
Érzékelőhiba kommunikációs hibája
Ha a következő érzékelőhiba jelenik meg:
System.Net.Http.HttpRequestException:
An error occurred while sending the request. ---> System.Net.WebException:
Unable to connect to the remote server --->
System.Net.Sockets.SocketException: A connection attempt failed because the
connected party did not properly respond after a period of time, or established
connection failed because connected host has failed to respond...
Megoldás:
Győződjön meg arról, hogy a localhost, a 444-ös TCP-port kommunikációja nincs letiltva. További információ a Microsoft Defender for Identity előfeltételeiről: portok.
Üzembehelyezési napló helye
A Defender for Identity üzembehelyezési naplói a terméket telepítő felhasználó ideiglenes könyvtárában találhatók. Az alapértelmezett telepítési helyen a következő helyen található: C:\Users\Administrator\AppData\Local\Temp (vagy %temp% fölötti könyvtár). További információ: A Defender for Identity hibaelhárítása naplókkal.
A proxyhitelesítési probléma licencelési hibaként jelentkezik
Ha az érzékelő telepítése során a következő hibaüzenet jelenik meg: Az érzékelő licencelési problémák miatt nem tudott regisztrálni.
Üzembe helyezési naplóbejegyzések:
[1C60:1AA8][2018-03-24T23:59:13]i000: 2018-03-25 02:59:13.1237 Info InteractiveDeploymentManager ValidateCreateSensorAsync returned [validateCreateSensorResult=LicenseInvalid]]
[1C60:1AA8][2018-03-24T23:59:56]i000: 2018-03-25 02:59:56.4856 Info InteractiveDeploymentManager ValidateCreateSensorAsync returned [validateCreateSensorResult=LicenseInvalid]]
[1C60:1AA8][2018-03-25T00:27:56]i000: 2018-03-25 03:27:56.7399 Debug SensorBootstrapperApplication Engine.Quit [deploymentResultStatus=1602 isRestartRequired=False]]
[1C60:15B8][2018-03-25T00:27:56]i500: Shutting down, exit code: 0x642
Ok:
Bizonyos esetekben, amikor proxyn keresztül kommunikál, a hitelesítés során a 407-es hiba helyett a 401-es vagy a 403-es hibával válaszolhat a Defender for Identity érzékelőre. A Defender for Identity-érzékelő a 401-as vagy a 403-as hibát licencelési problémaként értelmezi, és nem proxyhitelesítési problémaként.
Megoldás:
Győződjön meg arról, hogy az érzékelő hitelesítés nélkül tud a *.atp.azure.com megkeresni a konfigurált proxyn keresztül. További információ: Proxy konfigurálása a kommunikáció engedélyezéséhez.
A proxyhitelesítési probléma kapcsolati hibaként jelenik meg
Ha az érzékelő telepítése során a következő hibaüzenet jelenik meg: Az érzékelő nem tudott csatlakozni a szolgáltatáshoz.
Ok:
A problémát akkor okozhatja, ha a Defender for Identity által megkövetelt megbízható legfelső szintű hitelesítésszolgáltatók tanúsítványai hiányoznak.
Megoldás:
Futtassa a következő PowerShell-parancsmagot a szükséges tanúsítványok telepítésének ellenőrzéséhez.
Az alábbi példában használja a "DigiCert Baltimore Root" tanúsítványt minden ügyfél számára. Emellett használja a "DigiCert Global Root G2" tanúsítványt kereskedelmi ügyfelek számára, vagy használja a "DigiCert Global Root CA" tanúsítványt az EGYESÜLT Államok kormányzati GCC High ügyfelei számára, ahogy azt jeleztük.
# Certificate for all customers
Get-ChildItem -Path "Cert:\LocalMachine\Root" | where { $_.Thumbprint -eq "D4DE20D05E66FC53FE1A50882C78DB2852CAE474"} | fl
# Certificate for commercial customers
Get-ChildItem -Path "Cert:\LocalMachine\Root" | where { $_.Thumbprint -eq "df3c24f9bfd666761b268073fe06d1cc8d4f82a4"} | fl
# Certificate for US Government GCC High customers
Get-ChildItem -Path "Cert:\LocalMachine\Root" | where { $_.Thumbprint -eq "a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436"} | fl
Tanúsítvány kimenete az összes ügyfél számára:
Subject : CN=Baltimore CyberTrust Root, OU=CyberTrust, O=Baltimore, C=IE
Issuer : CN=Baltimore CyberTrust Root, OU=CyberTrust, O=Baltimore, C=IE
Thumbprint : D4DE20D05E66FC53FE1A50882C78DB2852CAE474
FriendlyName : DigiCert Baltimore Root
NotBefore : 5/12/2000 11:46:00 AM
NotAfter : 5/12/2025 4:59:00 PM
Extensions : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid}
A kereskedelmi ügyfelek tanúsítványának kimenete:
Subject : CN=DigiCert Global Root G2, OU=www.digicert.com, O=DigiCert Inc, C=US
Issuer : CN=DigiCert Global Root G2, OU=www.digicert.com, O=DigiCert Inc, C=US
Thumbprint : DF3C24F9BFD666761B268073FE06D1CC8D4F82A4
FriendlyName : DigiCert Global Root G2
NotBefore : 01/08/2013 15:00:00
NotAfter : 15/01/2038 14:00:00
Extensions : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid}
Az USA Kormányzati GCC High-ügyfelei tanúsítványának kimenete:
Subject : CN=DigiCert Global Root CA, OU=www.digicert.com, O=DigiCert Inc, C=US
Issuer : CN=DigiCert Global Root CA, OU=www.digicert.com, O=DigiCert Inc, C=US
Thumbprint : A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436
FriendlyName : DigiCert
NotBefore : 11/9/2006 4:00:00 PM
NotAfter : 11/9/2031 4:00:00 PM
Extensions : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid}
Ha nem látja a várt kimenetet, kövesse az alábbi lépéseket:
Töltse le a következő tanúsítványokat a Server Core-gépre. Minden ügyfél számára töltse le a Baltimore CyberTrust főtanúsítványát .
Ráadásul:
- Kereskedelmi ügyfelek számára töltse le a DigiCert Global Root G2 tanúsítványt
- Az US Government GCC High-ügyfelei számára töltse le a DigiCert globális legfelső szintű hitelesítésszolgáltatói tanúsítványt
A tanúsítvány telepítéséhez futtassa a következő PowerShell-parancsmagot.
# For all customers, install certificate Import-Certificate -FilePath "<PATH_TO_CERTIFICATE_FILE>\bc2025.crt" -CertStoreLocation Cert:\LocalMachine\Root # For commercial customers, install certificate Import-Certificate -FilePath "<PATH_TO_CERTIFICATE_FILE>\DigiCertGlobalRootG2.crt" -CertStoreLocation Cert:\LocalMachine\Root # For US Government GCC High customers, install certificate Import-Certificate -FilePath "<PATH_TO_CERTIFICATE_FILE>\DigiCertGlobalRootCA.crt" -CertStoreLocation Cert:\LocalMachine\Root
Csendes telepítési hiba a PowerShell használatakor
Ha a csendes érzékelő telepítése során megkísérli használni a PowerShellt, és a következő hibaüzenet jelenik meg:
"Azure ATP sensor Setup.exe" "/quiet" NetFrameworkCommandLineArguments="/q" Acce ... Unexpected token '"/quiet"' in expression or statement."
Ok:
Ezt a hibát az okozza, hogy a PowerShell használatakor a telepítéshez szükséges ./ előtag nem szerepel.
Megoldás:
A telepítés a teljes paranccsal elvégezhető.
./"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"
Az identitásérzékelőhöz készült Defender hálózati adapterek összevonásával kapcsolatos probléma
Amikor telepíti a Defender for Identity érzékelőt egy hálózati adapterrel és a Winpcap illesztőprogrammal konfigurált számítógépre, telepítési hiba jelenik meg. Ha a Defender for Identity-érzékelőt egy hálózati adapterek összevonásával konfigurált gépen szeretné telepíteni, az itt található utasításokat követve cserélje le a Winpcap illesztőprogramot az Npcap-ra.
Többprocesszoros csoport mód
A Windows 2008R2 és 2012 operációs rendszerek esetében a Defender for Identity érzékelő nem támogatott többprocesszoros csoport módban.
Javasolt lehetséges kerülő megoldások:
Ha a hyper threading be van kapcsolva, kapcsolja ki. Ez csökkentheti a logikai magok számát ahhoz, hogy ne kelljen több processzorcsoportos módban futnia.
Ha a gép kevesebb mint 64 logikai maggal rendelkezik, és HP-gazdagépen fut, lehetséges, hogy módosíthatja a NUMA csoportméret-optimalizálási BIOS-beállítást a fürtözött alapértelmezett értékről laposra.
VMware virtuálisgép-érzékelővel kapcsolatos probléma
Ha VMware virtuális gépeken rendelkezik Defender for Identity-érzékelővel, előfordulhat, hogy állapotriasztást kap, amely nem elemzi a hálózati forgalmat. Ez a VMware konfigurációs eltérése miatt fordulhat elő.
A hiba megoldása érdekében:
A vendég operációs rendszeren állítsa a következőket letiltva a virtuális gép hálózati adapterének konfigurációjában: IPv4 TSO-kiszervezés.
A következő paranccsal ellenőrizze, hogy a nagy méretű kiszervezés (LSO) engedélyezve van-e vagy le van-e tiltva:
Get-NetAdapterAdvancedProperty | Where-Object DisplayName -Match "^Large*"
Ha az LSO engedélyezve van, tiltsa le a következő paranccsal:
Disable-NetAdapterLso -Name {name of adapter}
Feljegyzés
- A konfigurációtól függően ezek a műveletek rövid hálózati kapcsolatvesztést okozhatnak.
- Előfordulhat, hogy a módosítások érvénybe lépéséhez újra kell indítania a gépet.
- Ezek a lépések a VMWare verziójától függően változhatnak. A VMWare dokumentációjában tájékozódhat arról, hogyan tilthatja le az LSO/TSO-t a VMWare-verzióhoz.
Az érzékelő nem tudta lekérni a csoport által felügyelt szolgáltatásfiók (gMSA) hitelesítő adatait
Ha a következő állapotriasztást kapja: A Címtárszolgáltatások felhasználói hitelesítő adatai helytelenek
Érzékelőnapló-bejegyzések:
2020-02-17 14:01:36.5315 Info ImpersonationManager CreateImpersonatorAsync started [UserName=account_name Domain=domain1.test.local IsGroupManagedServiceAccount=True]
2020-02-17 14:01:36.5750 Info ImpersonationManager CreateImpersonatorAsync finished [UserName=account_name Domain=domain1.test.local IsSuccess=False]
Érzékelőfrissítési naplóbejegyzések:
2020-02-17 14:02:19.6258 Warn GroupManagedServiceAccountImpersonationHelper GetGroupManagedServiceAccountAccessTokenAsync failed GMSA password could not be retrieved [errorCode=AccessDenied AccountName=account_name DomainDnsName=domain1.test.local]
Az érzékelő nem tudta lekérni a gMSA-fiók jelszavát.
1. ok
A tartományvezérlő nem kapott engedélyt a gMSA-fiók jelszavának lekérésére.
1. megoldás:
Ellenőrizze, hogy az érzékelőt futtató számítógép kapott-e engedélyeket a gMSA-fiók jelszavának lekéréséhez. További információ: Engedélyek megadása a gMSA-fiók jelszavának lekéréséhez.
Ok 2
Az érzékelőszolgáltatás LocalService szolgáltatásként fut, és végrehajtja a Címtárszolgáltatás-fiók megszemélyesítését.
Ha a felhasználói jogosultság-hozzárendelési szabályzat szolgáltatásként való bejelentkezése konfigurálva van ehhez a tartományvezérlőhöz, a megszemélyesítés meghiúsul, hacsak a gMSA-fiók nem kapja meg a bejelentkezést szolgáltatásengedélyként .
2. megoldás:
Konfigurálja a bejelentkezést szolgáltatásként a gMSA-fiókokhoz, ha a felhasználói jogok hozzárendelési szabályzata szolgáltatásként van beállítva az érintett tartományvezérlőn. További információ: Ellenőrizze, hogy a gMSA-fiók rendelkezik-e a szükséges jogosultságokkal.
3. ok
Ha a tartományvezérlő Kerberos-jegyét azelőtt állították ki, hogy a tartományvezérlő hozzá lett adva a megfelelő engedélyekkel rendelkező biztonsági csoporthoz, ez a csoport nem lesz része a Kerberos-jegynek. Így nem tudja lekérni a gMSA-fiók jelszavát.
3. megoldás:
A probléma megoldásához tegye az alábbiak egyikét:
Indítsa újra a tartományvezérlőt.
Törölje a Kerberos-jegyet, és kényszerítse a tartományvezérlőt egy új Kerberos-jegy igénylésére. Futtassa a következő parancsot a tartományvezérlőn található rendszergazdai parancssorból:
klist -li 0x3e7 purge
Rendelje hozzá a gMSA jelszavának lekérésére vonatkozó engedélyt egy olyan csoporthoz, amelynek a tartományvezérlő már tagja, például a tartományvezérlők csoportnak.
A "Global" beállításkulcshoz való hozzáférés megtagadva
Az érzékelőszolgáltatás nem indul el, és az érzékelőnapló a következőhöz hasonló bejegyzést tartalmaz:
2021-01-19 03:45:00.0000 Error RegistryKey System.UnauthorizedAccessException: Access to the registry key 'Global' is denied.
Ok:
A tartományvezérlőhöz vagy az AD FS/AD CS-kiszolgálóhoz konfigurált gMSA nem rendelkezik engedélyekkel a teljesítményszámláló beállításkulcsaihoz.
Megoldás:
Adja hozzá a gMSA-t a kiszolgáló Teljesítményfigyelő felhasználói csoportjához.
A jelentésletöltések legfeljebb 300 000 bejegyzést tartalmazhatnak
A Defender for Identity nem támogatja azokat a jelentésletöltéseket, amelyek jelentésenként több mint 300 000 bejegyzést tartalmaznak. A jelentések hiányosnak jelennek meg, ha több mint 300 000 bejegyzés szerepel benne.
Ok:
Ez egy mérnöki korlátozás.
Megoldás:
Nincs ismert feloldás.
Az érzékelő nem tudja számba adni az eseménynaplókat
Ha korlátozott számú vagy hiányzó biztonsági eseményriasztást vagy logikai tevékenységet észlel a Defender for Identity konzolon, de nem lépnek fel állapotproblémák.
Érzékelőnapló-bejegyzések:
Error EventLogException System.Diagnostics.Eventing.Reader.EventLogException: The handle is invalid at void System.Diagnostics.Eventing.Reader.EventLogException.Throw(int errorCode) at object System.Diagnostics.Eventing.Reader.NativeWrapper.EvtGetEventInfo(EventLogHandle handle, EvtEventPropertyId enumType) at string System.Diagnostics.Eventing.Reader.EventLogRecord.get_ContainerLog()
Ok:
A diszkréciós hozzáférés-vezérlési lista korlátozza a helyi szolgáltatásfiók által a szükséges eseménynaplókhoz való hozzáférést.
Megoldás:
Győződjön meg arról, hogy a diszkrecionális hozzáférés-vezérlési lista (DACL) tartalmazza az alábbi bejegyzést (ez az AATPSensor szolgáltatás SID-azonosítója).
(A;;0x1;;;S-1-5-80-818380073-2995186456-1411405591-3990468014-3617507088)
Ellenőrizze, hogy a biztonsági eseménynapló DACL-ét egy csoportházirend-objektum konfigurálta-e:
Policies > Administrative Templates > Windows Components > Event Log Service > Security > Configure log access
Fűzze hozzá a fenti bejegyzést a meglévő szabályzathoz. Ezután futtassa C:\Windows\System32\wevtutil.exe gl security
a bejegyzés hozzáadásának ellenőrzéséhez.
A helyi Defender for Identity-naplóknak most a következőnek kell megjelennie:
Info WindowsEventLogReader EnableEventLogWatchers EventLogWatcher enabled [name=Security]
Az ApplyInternal kétirányú SSL-kapcsolattal kapcsolatos szolgáltatáshiba miatt meghiúsult
Ha az érzékelő telepítése során a következő hibaüzenet jelenik meg: Az ApplyInternal kétirányú SSL-kapcsolat sikertelen volt a szolgáltatáshoz , és az érzékelőnapló a következőhöz hasonló bejegyzést tartalmaz:
2021-01-19 03:45:00.0000 Error CommunicationWebClient+\<SendWithRetryAsync\>d__9`1
Az ApplyInternal nem tudott kétirányú SSL-kapcsolatot létesíteni a szolgáltatással.
A problémát olyan proxy okozhatja, amelynél engedélyezve van az SSL-ellenőrzés.
[_workspaceApplicationSensorApiEndpoint=Meghatározatlan/contoso.atp.azure.com:443 Ujjlenyomat=7C039DA47E81E51F3DA3DF3DA7B5E1899B5B4AD0]"
Ok:
A problémát akkor okozhatja, ha a SystemDefaultTlsVersions vagy a SchUseStrongCrypto beállításjegyzék-érték nincs az alapértelmezett 1 értékre állítva.
Megoldás:
Ellenőrizze, hogy a SystemDefaultTlsVersions és a SchUseStrongCrypto beállításjegyzék értékei 1-esre vannak-e állítva:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
Probléma az érzékelő telepítésével a Windows Server 2019-ben, KB5009557 telepítve vagy egy megkeményített EventLog-engedélyekkel rendelkező kiszolgálón
Az érzékelő telepítése meghiúsulhat a következő hibaüzenettel:
System.UnauthorizedAccessException: Attempted to perform an unauthorized operation.
Megoldás:
A problémának két lehetséges áthidaló megoldása van:
Telepítse az érzékelőt a PSExec használatával:
psexec -s -i "C:\MDI\Azure ATP Sensor Setup.exe"
Telepítse az érzékelőt egy LocalSystemként való futtatásra konfigurált ütemezett feladattal. A használni kívánt parancssori szintaxis a Defender for Identity érzékelő csendes telepítésében szerepel.
Az érzékelő telepítése a tanúsítványkezelési ügyfél miatt meghiúsul
Ha az érzékelő telepítése sikertelen, és a Microsoft.Tri.Sensor.Deployment.Deployer.log fájl a következőhöz hasonló bejegyzést tartalmaz:
2022-07-15 03:45:00.0000 Error IX509CertificateRequestCertificate2 Deployer failed [arguments=128Ve980dtms0035h6u3Bg==] System.Runtime.InteropServices.COMException (0x80090008): CertEnroll::CX509CertificateRequestCertificate::Encode: Invalid algorithm specified. 0x80090008 (-2146893816 NTE_BAD_ALGID)
Ok:
A problémát akkor okozhatja, ha egy tanúsítványkezelő ügyfél, például a Entrust Entelligence Security Provider (EESP) megakadályozza, hogy az érzékelő telepítése önaláírt tanúsítványt hozzon létre a gépen.
Megoldás:
Távolítsa el a tanúsítványkezelő ügyfelet, telepítse a Defender for Identity érzékelőt, majd telepítse újra a tanúsítványkezelési ügyfelet.
Feljegyzés
Az önaláírt tanúsítvány 2 évente megújul, és az automatikus megújítási folyamat meghiúsulhat, ha a tanúsítványkezelő ügyfél megakadályozza az önaláírt tanúsítvány létrehozását. Ez azt eredményezi, hogy az érzékelő leállítja a háttérrendszerrel való kommunikációt, amihez az érzékelő újratelepítése szükséges a fent említett kerülő megoldás használatával.
Az érzékelő telepítése hálózati csatlakozási problémák miatt meghiúsul
Ha az érzékelő telepítése 0x80070643 hibakóddal meghiúsul, és a telepítési naplófájl a következőhöz hasonló bejegyzést tartalmaz:
[22B8:27F0][2016-06-09T17:21:03]e000: Error 0x80070643: Failed to install MSI package.
Ok:
A problémát akkor okozhatja, ha a telepítési folyamat nem fér hozzá a Defender for Identity felhőszolgáltatásaihoz az érzékelőregisztrációhoz.
Megoldás:
Győződjön meg arról, hogy az érzékelő közvetlenül vagy a konfigurált proxyn keresztül tallózhat a *.atp.azure.com. Szükség esetén állítsa be a proxykiszolgáló beállításait a telepítéshez a parancssor használatával:
"Azure ATP sensor Setup.exe" [ProxyUrl="http://proxy.internal.com"] [ProxyUserName="domain\proxyuser"] [ProxyUserPassword="ProxyPassword"]
További információ: Csendes telepítés futtatása proxykonfigurációval és a Microsoft Defender for Identity érzékelő telepítése.
Fontos
A Microsoft azt javasolja, hogy a legbiztonságosabb hitelesítési folyamatot használja. Az ebben az eljárásban leírt hitelesítési folyamat nagyon nagy megbízhatóságot igényel az alkalmazásban, és olyan kockázatokat hordoz, amelyek más folyamatokban nem jelennek meg. Ezt a folyamatot csak akkor érdemes használni, ha más biztonságosabb folyamatok, például a felügyelt identitások nem életképesek.
Az érzékelőszolgáltatás nem futtatható, és indítási állapotban marad
A rendszernaplóban a következő hibák jelennek meg az Eseménynaplóban:
- A szolgáltatás open eljárása ". A "C:\Windows\system32\mscoree.dll" DLL-ben található NETFramework nem sikerült, mert az Access hibakódja megtagadva. A szolgáltatás teljesítményadatai nem lesznek elérhetők.
- Az "Lsa" szolgáltatás "C:\Windows\System32\Secur32.dll" DLL-ben való megnyitási eljárása meghiúsult, és az Access hibakódja le van tagadva. A szolgáltatás teljesítményadatai nem lesznek elérhetők.
- A "C:\Windows\system32\wbem\wmiaprpl.dll" DLL-ben a "WmiApRpl" szolgáltatás open eljárása "Az eszköz nem áll készen" hibakóddal meghiúsult. A szolgáltatás teljesítményadatai nem lesznek elérhetők.
A Microsoft.TriSensorError.log a következőhöz hasonló hibát fog tartalmazni:
Microsoft.Tri.Sensor.DirectoryServicesClient.TryCreateLdapConnectionAsync(DomainControllerConnectionData domainControllerConnectionData, bool isGlobalCatalog, bool isTraversing) 2021-07-13 14:56:20.2976 Error DirectoryServicesClient Microsoft.Tri.Infrastructure.ExtendedException: Failed to communicate with configured domain controllers at new Microsoft.Tri.Sensor.DirectoryServicesClient(IConfigurationManager
Ok:
NT Service\Minden szolgáltatásnak nincs joga szolgáltatásként bejelentkezni.
Megoldás:
Tartományvezérlő-szabályzat hozzáadása szolgáltatásként való bejelentkezéssel. További információ: Ellenőrizze, hogy a gMSA-fiók rendelkezik-e a szükséges jogosultságokkal.
A munkaterület nem lett létrehozva, mert már létezik egy azonos nevű biztonsági csoport a Microsoft Entra-azonosítóban
Ok:
A probléma akkor merülhet fel, ha egy Defender for Identity-munkaterület licence lejár, és a megőrzési időszak lejártakor törlődik, de a Microsoft Entra-csoportokat nem törölték.
Megoldás:
- Nyissa meg az Azure Portal ->Microsoft Entra ID -Groups webhelyet>
- Nevezze át a következő három csoportot (ahol a workspaceName a munkaterület neve), ha hozzáad hozzájuk egy " - régi" utótagot:
- "Azure ATP workspaceName Administrators" –> "Azure ATP workspaceName Administrators – old"
- "Azure ATP workspaceName Viewers" –> "Azure ATP workspaceName Viewers – old"
- "Azure ATP workspaceName Users" –> "Azure ATP workspaceName Users – old"
- Ezután visszatérhet a Microsoft Defender portál Beállítások –>Identitások szakaszához, és létrehozhatja az új munkaterületet a Defender for Identity számára.