Bekende problemen met ATA oplossen
Van toepassing op: Advanced Threat Analytics versie 1.9
In deze sectie vindt u informatie over mogelijke fouten in de implementaties van ATA en de stappen die nodig zijn voor het oplossen van problemen.
ATA Gateway- en Lightweight-gatewayfouten
| Fout | Omschrijving | Oplossing |
|---|---|---|
| System.DirectoryServices.Protocols.LdapException: er is een lokale fout opgetreden | De ATA Gateway kan niet worden geverifieerd op basis van de domeincontroller. | 1. Controleer of de DNS-record van de domeincontroller juist is geconfigureerd op de DNS-server. 2. Controleer of het tijdstip van de ATA Gateway is gesynchroniseerd met het tijdstip van de domeincontroller. |
| System.IdentityModel.Tokens.SecurityTokenValidationException: Kan certificaatketen niet valideren | De ATA Gateway kan het certificaat van het ATA Center niet valideren. | 1. Controleer of het basis-CA-certificaat is geïnstalleerd in het certificaatarchief van de vertrouwde certificeringsinstantie op de ATA Gateway. 2. Controleer of de certificaatintrekkingslijst (CRL) beschikbaar is en of de certificaatintrekkingsvalidatie kan worden uitgevoerd. |
| Microsoft.Common.ExtendedException: Kan de gegenereerde tijd niet parseren | De ATA Gateway kan syslog-berichten die zijn doorgestuurd vanuit de SIEM niet parseren. | Controleer of de SIEM is geconfigureerd om de berichten door te sturen in een van de indelingen die worden ondersteund door ATA. |
| System.ServiceModel.FaultException: er is een fout opgetreden bij het verifiëren van de beveiliging voor het bericht. | De ATA Gateway kan niet worden geverifieerd bij ATA Center. | Controleer of het tijdstip van de ATA Gateway is gesynchroniseerd met het tijdstip van het ATA Center. |
| System.ServiceModel.EndpointNotFoundException: Kan geen verbinding maken met net.tcp://center.ip.addr:443/IEntityReceiver | De ATA Gateway kan geen verbinding maken met het ATA Center. | Zorg ervoor dat de netwerkinstellingen juist zijn en of de netwerkverbinding tussen de ATA Gateway en het ATA Center actief is. |
| System.DirectoryServices.Protocols.LdapException: de LDAP-server is niet beschikbaar. | De ATA Gateway kan geen query uitvoeren op de domeincontroller met behulp van het LDAP-protocol. | 1. Controleer of het gebruikersaccount dat door ATA wordt gebruikt om verbinding te maken met het Active Directory-domein leestoegang heeft tot alle objecten in de Active Directory-structuur. 2. Zorg ervoor dat de domeincontroller niet is beveiligd om LDAP-query's te voorkomen van het gebruikersaccount dat door ATA wordt gebruikt. |
| Microsoft.Tri.Infrastructure.ContractException: Contractuitzondering | De ATA Gateway kan de configuratie niet synchroniseren vanuit het ATA Center. | Voltooi de configuratie van de ATA Gateway in de ATA Console. |
| System.Reflection.ReflectionTypeLoadException: kan een of meer van de aangevraagde typen niet laden. Haal de eigenschap LoaderExceptions op voor meer informatie. | Message Analyzer is geïnstalleerd op de ATA Gateway. | Verwijder Message Analyzer. |
| Fout [Layout] System.OutOfMemoryException: Uitzondering van het type System.OutOfMemoryException is gegenereerd. | De ATA Gateway heeft onvoldoende geheugen. | Verhoog de hoeveelheid geheugen op de domeincontroller. |
| Kan live consumer niet starten ---> Microsoft.Opn.Runtime.Monitoring.MessageSessionException: de PEFNDIS-gebeurtenisprovider is niet gereed | PEF (Message Analyzer) is niet juist geïnstalleerd. | Als u Hyper-V gebruikt, probeert u hyper-V-integratieservices bij te werken, neemt u contact op met de ondersteuning voor een tijdelijke oplossing. |
| De installatie is mislukt met de volgende fout: 0x80070652 | Er zijn andere installaties die in behandeling zijn op uw computer. | Wacht tot de andere installaties zijn voltooid en start de computer zo nodig opnieuw op. |
| System.InvalidOperationException: Exemplaar 'Microsoft.Tri.Gateway' bestaat niet in de opgegeven categorie. | PID's zijn ingeschakeld voor procesnamen in de ATA Gateway | Zie Dubbele exemplaarnamen verwerken om PID's uit te schakelen in procesnamen |
| 'System.InvalidOperationException: Categorie bestaat niet. | Tellers kunnen worden uitgeschakeld in het register | KB2554336 gebruiken om prestatiemeteritems opnieuw te bouwen |
| System.ApplicationException: Kan ETW-sessie MMA-ETW-Livecapture-a4f595bd-f567-49a7-b963-20fa4e370329 | Er is een hostvermelding in het HOSTS-bestand die verwijst naar de korte naam van de computer | Verwijder de hostvermelding uit C:\Windows\System32\drivers\etc\HOSTS-bestand of wijzig deze in een FQDN. |
| System.IO.IOException: Verificatie is mislukt omdat de externe partij de transportstroom heeft gesloten of geen beveiligd SSL/TLS-kanaal kan maken | TLS 1.0 is uitgeschakeld op de ATA-gateway, maar .Net is ingesteld op het gebruik van TLS 1.2 | Schakel TLS 1.2 voor .Net in door de registersleutels in te stellen voor het gebruik van de standaardinstellingen van het besturingssysteem voor SSL en TLS, als volgt:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] " SchUseStrongCrypto"=dword:00000001 |
| System.TypeLoadException: Kan het type Microsoft.Opn.Runtime.Values.BinaryValueBufferManager niet laden vanuit assembly 'Microsoft.Opn.Runtime, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35' | ATA Gateway kan vereiste parseringsbestanden niet laden. | Controleer of Microsoft Message Analyzer momenteel is geïnstalleerd. Message Analyzer wordt niet ondersteund om te worden geïnstalleerd met de ATA-gateway/Lightweight-gateway. Verwijder Message Analyzer en start de gatewayservice opnieuw op. |
| System.Net.WebException: De externe server heeft een fout geretourneerd: (407) Proxyverificatie vereist | De ATA Gateway-communicatie met het ATA Center wordt verstoord door een proxyserver. | Schakel de proxy uit op de ATA Gateway-machine. Proxy-instellingen kunnen per account zijn. |
| System.IO.DirectoryNotFoundException: Het systeem kan het opgegeven pad niet vinden. (Uitzondering van HRESULT: 0x80070003) | Een of meer van de services die nodig zijn om ATA te gebruiken, zijn niet gestart. | Start de volgende services: Prestatielogboeken en waarschuwingen (PLA), Task Scheduler (Planning). |
| System.Net.WebException: De externe server heeft een fout geretourneerd: (403) Verboden | De ATA-gateway of Lightweight-gateway is verboden om een HTTP-verbinding tot stand te brengen omdat atA Center niet wordt vertrouwd. | Voeg de NetBIOS-naam en FQDN van het ATA Center toe aan de lijst met vertrouwde websites en wis de cache in Internet Explorer (of de naam van het ATA Center zoals opgegeven in de configuratie als de geconfigureerde naam anders is dan de NetBIOS/FQDN). |
| System.Net.Http.HttpRequestException: PostAsync failed [requestTypeName=StopNetEventSessionRequest] | De ATA Gateway of ATA Lightweight-gateway kan de ETW-sessie die netwerkverkeer verzamelt, niet stoppen en starten vanwege een WMI-probleem | Volg de instructies in WMI: De WMI-opslagplaats opnieuw opbouwen om het WMI-probleem op te lossen |
| System.Net.Sockets.SocketException: er is geprobeerd toegang te krijgen tot een socket op een manier die niet is toegestaan door de toegangsmachtigingen | Een andere toepassing gebruikt poort 514 op de ATA Gateway | Gebruik netstat -o dit om vast te stellen welk proces die poort gebruikt. |
Implementatiefouten
| Fout | Omschrijving | Oplossing |
|---|---|---|
| Installatie van .Net Framework 4.6.1 mislukt met fout 0x800713ec | De vereisten voor .Net Framework 4.6.1 zijn niet geïnstalleerd op de server. | Controleer voordat u ATA installeert of de Windows-updates KB2919442 en KB2919355 op de server zijn geïnstalleerd. |
| System.Threading.Tasks.TaskCanceledException: Een taak is geannuleerd | Er is een time-out opgetreden voor het implementatieproces omdat het ATA Center niet kon worden bereikt. | 1. Controleer de netwerkverbinding met het ATA Center door ernaar te bladeren met behulp van het IP-adres. 2. Controleer op proxy- of firewallconfiguratie. |
| System.Net.Http.HttpRequestException: Er is een fout opgetreden tijdens het verzenden van de aanvraag. >--- System.Net.WebException: De externe server heeft een fout geretourneerd: (407) Proxyverificatie vereist. | Er is een time-out opgetreden voor het implementatieproces omdat het ATA Center niet kon worden bereikt vanwege een onjuiste configuratie van de proxy. | Schakel de proxyconfiguratie uit vóór de implementatie en schakel vervolgens de proxyconfiguratie opnieuw in. U kunt ook een uitzondering configureren in de proxy. |
| System.Net.Sockets.SocketException: Een bestaande verbinding is geforceerd gesloten door de externe host | Schakel TLS 1.2 voor .Net in door de registersleutels in te stellen voor het gebruik van de standaardinstellingen van het besturingssysteem voor SSL en TLS, als volgt:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 |
|
| Fout [\[]DeploymentModel[\]] Mislukte beheerverificatie [\[]CurrentlyLoggedOnUser=<domain>\<username>Status=FailedAuthentication Exception=[\]] | Het implementatieproces van de ATA Gateway of ATA Lightweight-gateway kan niet worden geverifieerd bij atA Center | Open een browser vanaf de computer waarop het implementatieproces is mislukt en kijk of u de ATA Console kunt bereiken. Als dat niet het probleem is, begint u met het oplossen van problemen om te zien waarom de browser zich niet kan verifiëren bij het ATA Center. Zaken die u moet controleren: Groepsbeleidsinstellingen voor groepsbeleidsproblemen voor proxyconfiguratieop die computer die verschilt van het ATA Center. |
| Fout [\[]DeploymentModel[\]] Mislukte beheerverificatie | Validatie van centercertificaat is mislukt | Het Center-certificaat vereist mogelijk een internetverbinding voor validatie. Zorg ervoor dat uw Gateway-service de juiste proxyconfiguratie heeft om de verbinding en validatie in te schakelen. |
| Tijdens het implementeren van het Center en het selecteren van een certificaat wordt een fout 'Niet ondersteund' gerapporteerd | Dit kan gebeuren als het geselecteerde certificaat niet voldoet aan de vereisten of als de persoonlijke sleutel van het certificaat niet toegankelijk is. | Zorg ervoor dat u de implementatie uitvoert met verhoogde bevoegdheden (Als administrator uitvoeren) en of het geselecteerde certificaat voldoet aan de vereisten. |
ATA Center-fouten
| Fout | Omschrijving | Oplossing |
|---|---|---|
| System.Security.Cryptography.CryptographicException: toegang geweigerd. | Het ATA Center kan het uitgegeven certificaat niet gebruiken voor ontsleuteling. Dit is waarschijnlijk gebeurd door het gebruik van een certificaat met KeySpec (KeyNumber) ingesteld op Signature (AT\_SIGNATURE), dat niet wordt ondersteund voor ontsleuteling, in plaats van KeyExchange (AT\_KEYEXCHANGE). | 1. Stop de ATA Center-service. 2. Verwijder het ATA Center-certificaat uit het certificaatarchief van het centrum. (Voordat u het verwijdert, moet u ervoor zorgen dat er een back-up van het certificaat is gemaakt met de persoonlijke sleutel in een PFX-bestand.) 3. Open een opdrachtprompt met verhoogde bevoegdheid en voer certutil -importpfx "CenterCertificate.pfx" AT\_KEYEXCHANGE 4. Start de ATA Center-service. 5. Controleer of alles nu werkt zoals verwacht. |
Problemen met ATA Gateway en Lightweight Gateway
| Probleem | Omschrijving | Oplossing |
|---|---|---|
| Geen verkeer ontvangen van de domeincontroller, maar statuswaarschuwingen worden waargenomen | Er is geen verkeer ontvangen van een domeincontroller met behulp van poortspiegeling via een ATA Gateway | Schakel op de ATA Gateway capture NIC deze functies uit in Advanced Instellingen: Segment samenvoegen ontvangen (IPv4) Segment samenvoegen (IPv6) ontvangen |
| Deze statuswaarschuwing wordt weergegeven: Sommige netwerkverkeer wordt niet geanalyseerd | Als u een ATA Gateway of Lightweight Gateway op virtuele VMware-machines hebt, ontvangt u mogelijk deze statuswaarschuwing. Dit gebeurt vanwege een niet-overeenkomende configuratie in VMware. | Stel de volgende instellingen in op 0 of Uitgeschakeld in de NIC-configuratie van de virtuele machine: TsoEnable, LargeSendOffload, TSO Offload, Giant TSO Offload |
Groepsmodus voor meerdere processoren
Voor Windows-besturingssystemen 2008R2 en 2012 wordt ATA Gateway niet ondersteund in de modus multiprocessorgroep .
Voorgestelde tijdelijke oplossingen:
Als hyperthreading is ingeschakeld, schakelt u deze uit. Dit kan het aantal logische kernen verminderen om te voorkomen dat ze in de modus Multiprocessorgroep hoeven te worden uitgevoerd.
Als uw computer minder dan 64 logische kernen heeft en wordt uitgevoerd op een HP-host, kunt u mogelijk de BIOS-instelling voor NUMA-groepsgrootteoptimalisatie wijzigen van de standaardinstelling van Gegroepeerd naar Plat.