Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy: Advanced Threat Analytics w wersji 1.9
W tej sekcji opisano możliwe błędy we wdrożeniach usługi ATA oraz kroki wymagane do ich rozwiązywania.
Błędy bramy usługi ATA i uproszczonej bramy
| Error | Opis | Rozwiązanie |
|---|---|---|
| System.DirectoryServices.Protocols.LdapException: Wystąpił błąd lokalny | Nie można uwierzytelnić bramy usługi ATA na kontrolerze domeny. | 1. Upewnij się, że rekord DNS kontrolera domeny jest poprawnie skonfigurowany na serwerze DNS. 2. Sprawdź, czy czas bramy usługi ATA jest synchronizowany z czasem kontrolera domeny. |
| System.IdentityModel.Tokens.SecurityTokenValidationException: Nie można zweryfikować łańcucha certyfikatów | Brama usługi ATA nie może zweryfikować certyfikatu centrum usługi ATA. | 1. Sprawdź, czy certyfikat głównego urzędu certyfikacji jest zainstalowany w magazynie certyfikatów zaufanego urzędu certyfikacji w bramie usługi ATA. 2. Sprawdź, czy lista odwołania certyfikatów (CRL) jest dostępna i czy można przeprowadzić weryfikację odwołania certyfikatu. |
| Microsoft.Common.ExtendedException: Nie można przeanalizować wygenerowanego czasu | Brama usługi ATA nie może przeanalizować komunikatów dziennika systemu, które zostały przekazane z rozwiązania SIEM. | Sprawdź, czy usługa SIEM jest skonfigurowana do przekazywania komunikatów w jednym z formatów obsługiwanych przez usługę ATA. |
| System.ServiceModel.FaultException: Wystąpił błąd podczas weryfikowania zabezpieczeń komunikatu. | Nie można uwierzytelnić bramy usługi ATA w centrum usługi ATA. | Sprawdź, czy czas bramy usługi ATA jest synchronizowany z czasem centrum usługi ATA. |
| System.ServiceModel.EndpointNotFoundException: Nie można nawiązać połączenia z net.tcp://center.ip.addr:443/IEntityReceiver | Brama usługi ATA nie może nawiązać połączenia z centrum usługi ATA. | Upewnij się, że ustawienia sieci są poprawne i że połączenie sieciowe między bramą usługi ATA a centrum usługi ATA jest aktywne. |
| System.DirectoryServices.Protocols.LdapException: Serwer LDAP jest niedostępny. | Brama usługi ATA nie może wykonać zapytania względem kontrolera domeny przy użyciu protokołu LDAP. | 1. Sprawdź, czy konto użytkownika używane przez usługę ATA do nawiązywania połączenia z domeną usługi Active Directory ma dostęp do odczytu do wszystkich obiektów w drzewie usługi Active Directory. 2. Upewnij się, że kontroler domeny nie jest wzmocniony, aby zapobiec zapytaniom LDAP z konta użytkownika używanego przez usługę ATA. |
| Microsoft.Tri.Infrastructure.ContractException: Wyjątek kontraktu | Brama usługi ATA nie może zsynchronizować konfiguracji z centrum usługi ATA. | Kompletna konfiguracja bramy usługi ATA w konsoli usługi ATA. |
| System.Reflection.ReflectionTypeLoadException: nie można załadować co najmniej jednego żądanego typu. Aby uzyskać więcej informacji, pobierz właściwość LoaderExceptions. | Analizator komunikatów jest zainstalowany w bramie usługi ATA. | Odinstaluj analizator komunikatów. |
| Błąd [Układ] System.OutOfMemoryException: Zgłoszono wyjątek typu "System.OutOfMemoryException". | Brama usługi ATA nie ma wystarczającej ilości pamięci. | Zwiększ ilość pamięci na kontrolerze domeny. |
| Nie można uruchomić --- konsumenta na żywo ---> Microsoft.Opn.Runtime.Monitoring.MessageSessionException: dostawca zdarzeń PEFNDIS nie jest gotowy | Plik PEF (Message Analyzer) nie został poprawnie zainstalowany. | Jeśli używasz funkcji Hyper-V, spróbuj uaktualnić usługi integracji funkcji Hyper-V w przeciwnym razie skontaktuj się z pomocą techniczną w celu obejścia problemu. |
| Instalacja nie powiodła się z powodu błędu: 0x80070652 | Istnieją inne oczekujące instalacje na komputerze. | Zaczekaj na ukończenie innych instalacji i w razie potrzeby uruchom ponownie komputer. |
| System.InvalidOperationException: Wystąpienie "Microsoft.Tri.Gateway" nie istnieje w określonej kategorii. | Identyfikatory PID zostały włączone dla nazw procesów w bramie usługi ATA | Zobacz Obsługa nazw zduplikowanych wystąpień , aby wyłączyć identyfikatory PID w nazwach procesów |
| 'System.InvalidOperationException: Kategoria nie istnieje. | Liczniki mogą być wyłączone w rejestrze | Ponowne kompilowanie liczników wydajności przy użyciu KB2554336 |
| System.ApplicationException: Nie można uruchomić sesji ETW MMA-ETW-Livecapture-a4f595bd-f567-49a7-b963-20fa4e370329 | W pliku HOSTS znajduje się wpis hosta wskazujący krótką nazwę maszyny | Usuń wpis hosta z pliku C:\Windows\System32\drivers\etc\HOSTS lub zmień go na nazwę FQDN. |
| System.IO.IOException: Uwierzytelnianie nie powiodło się, ponieważ strona zdalna zamknęła strumień transportu lub nie mogła utworzyć bezpiecznego kanału SSL/TLS | Protokół TLS 1.0 jest wyłączony w bramie usługi ATA, ale platforma .Net jest ustawiona na używanie protokołu TLS 1.2 | Włącz protokół TLS 1.2 dla platformy .Net, ustawiając klucze rejestru w celu używania domyślnych ustawień systemu operacyjnego dla protokołów SSL i TLS w następujący sposób:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] " SchUseStrongCrypto"=dword:00000001
|
| System.TypeLoadException: Nie można załadować typu "Microsoft.Opn.Runtime.Values.BinaryValueBufferManager" z zestawu "Microsoft.Opn.Runtime, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" | Brama usługi ATA nie może załadować wymaganych plików analizy. | Sprawdź, czy usługa Microsoft Message Analyzer jest obecnie zainstalowana. Nie można zainstalować analizatora komunikatów z bramą usługi ATA /uproszczoną bramą. Odinstaluj analizator komunikatów i uruchom ponownie usługę bramy. |
| System.Net.WebException: Serwer zdalny zwrócił błąd: (407) Wymagane jest uwierzytelnianie serwera proxy | Komunikacja bramy usługi ATA z centrum usługi ATA jest zakłócona przez serwer proxy. | Wyłącz serwer proxy na maszynie bramy usługi ATA. Należy pamiętać, że ustawienia serwera proxy mogą być dla każdego konta. |
| System.IO.DirectoryNotFoundException: System nie może odnaleźć określonej ścieżki. (Wyjątek od HRESULT: 0x80070003) | Co najmniej jedna z usług potrzebnych do obsługi usługi ATA nie została uruchomiona. | Uruchom następujące usługi: Dzienniki wydajności i alerty (PLA), Harmonogram zadań (harmonogram). |
| System.Net.WebException: serwer zdalny zwrócił błąd: (403) Zabronione | Brama usługi ATA lub uproszczona brama nie mogą nawiązywać połączenia HTTP, ponieważ centrum usługi ATA nie jest zaufane. | Dodaj nazwę NetBIOS i nazwę FQDN centrum usługi ATA do listy zaufanych witryn sieci Web i wyczyść pamięć podręczną w programie Internet Explorer (lub nazwę centrum usługi ATA określoną w konfiguracji, jeśli skonfigurowana wartość różni się od nazwy NetBIOS/FQDN). |
| System.Net.Http.HttpRequestException: PostAsync nie powiodło się [requestTypeName=StopNetEventSessionRequest] | Brama usługi ATA lub uproszczona brama usługi ATA nie mogą zatrzymać i uruchomić sesji ETW, która zbiera ruch sieciowy z powodu problemu z usługą WMI | Postępuj zgodnie z instrukcjami w usłudze WMI: Ponowne kompilowanie repozytorium WMI w celu rozwiązania problemu z usługą WMI |
| System.Net.Sockets.SocketException: podjęto próbę uzyskania dostępu do gniazda w sposób zabroniony przez jego uprawnienia dostępu | Inna aplikacja używa portu 514 w bramie usługi ATA | Użyj polecenia netstat -o , aby ustalić, który proces korzysta z tego portu. |
Błędy wdrażania
| Error | Opis | Rozwiązanie |
|---|---|---|
| Instalacja programu .Net Framework 4.6.1 kończy się niepowodzeniem z powodu błędu 0x800713ec | Wymagania wstępne dotyczące programu .Net Framework 4.6.1 nie są zainstalowane na serwerze. | Przed zainstalowaniem usługi ATA sprawdź, czy aktualizacje systemu Windows KB2919442 i KB2919355 są zainstalowane na serwerze. |
| System.Threading.Tasks.TaskCanceledException: Zadanie zostało anulowane | Upłynął limit czasu procesu wdrażania, ponieważ nie mógł on dotrzeć do centrum usługi ATA. | 1. Sprawdź łączność sieciową z centrum usługi ATA, przechodząc do niego przy użyciu jego adresu IP. 2. Sprawdź konfigurację serwera proxy lub zapory. |
| System.Net.Http.HttpRequestException: Wystąpił błąd podczas wysyłania żądania. >--- System.Net.WebException: Serwer zdalny zwrócił błąd: (407) Wymagane jest uwierzytelnianie serwera proxy. | Upłynął limit czasu procesu wdrażania, ponieważ nie mógł on dotrzeć do centrum usługi ATA z powodu błędnej konfiguracji serwera proxy. | Wyłącz konfigurację serwera proxy przed wdrożeniem, a następnie ponownie włącz konfigurację serwera proxy. Alternatywnie można skonfigurować wyjątek na serwerze proxy. |
| System.Net.Sockets.SocketException: Istniejące połączenie zostało wymuszone przez hosta zdalnego | Włącz protokół TLS 1.2 dla platformy .Net, ustawiając klucze rejestru w celu używania domyślnych ustawień systemu operacyjnego dla protokołów SSL i TLS w następujący sposób:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
|
|
| Błąd [\[]DeploymentModel[\]] Nieudane uwierzytelnianie zarządzania [\[]CurrentlyLoggedOnUser=<domain>\<username>Status=FailedAuthentication Exception=[\]] | Proces wdrażania bramy usługi ATA lub uproszczonej bramy usługi ATA nie może pomyślnie uwierzytelnić się w centrum usługi ATA | Otwórz przeglądarkę z komputera, na którym proces wdrażania nie powiódł się i sprawdź, czy możesz uzyskać dostęp do konsoli usługi ATA.
Jeśli nie, rozpocznij rozwiązywanie problemów, aby zobaczyć, dlaczego przeglądarka nie może uwierzytelnić się w centrum usługi ATA. Co należy sprawdzić: Konfiguracja serwera proxy Sieci powoduje problemy z ustawieniami zasad grupy dla uwierzytelniania na tym komputerze, które różnią się od centrum usługi ATA. |
| Błąd [\[]DeploymentModel[\]] Nieudane uwierzytelnianie zarządzania | Weryfikacja certyfikatu centrum nie powiodła się | Certyfikat Centrum może wymagać połączenia z Internetem w celu weryfikacji. Upewnij się, że usługa bramy ma odpowiednią konfigurację serwera proxy, aby włączyć połączenie i walidację. |
| Podczas wdrażania centrum i wybierania certyfikatu zgłaszany jest błąd "Nieobsługiwane" | Może się tak zdarzyć, jeśli wybrany certyfikat nie spełnia wymagań lub klucz prywatny certyfikatu jest niedostępny. | Upewnij się, że uruchamiasz wdrożenie z podwyższonym poziomem uprawnień (Uruchom jako administrator) i że wybrany certyfikat spełnia wymagania. |
Błędy centrum usługi ATA
| Error | Opis | Rozwiązanie |
|---|---|---|
| System.Security.Cryptography.CryptographicException: odmowa dostępu. | Centrum usługi ATA nie może użyć wystawionego certyfikatu do odszyfrowywania. Najprawdopodobniej stało się to spowodowane użyciem certyfikatu z ustawieniem KeySpec (KeyNumber) na wartość Signature (AT\_SIGNATURE), który nie jest obsługiwany do odszyfrowywania, zamiast używania funkcji KeyExchange (AT\_KEYEXCHANGE). | 1. Zatrzymaj usługę Centrum usługi ATA. 2. Usuń certyfikat centrum usługi ATA z magazynu certyfikatów centrum. (Przed usunięciem upewnij się, że masz kopię zapasową certyfikatu z kluczem prywatnym w pliku PFX). 3. Otwórz wiersz polecenia z podwyższonym poziomem uprawnień i uruchom polecenie certutil -importpfx "CenterCertificate.pfx" AT\_KEYEXCHANGE 4. Uruchom usługę Centrum usługi ATA. 5. Sprawdź, czy wszystko działa teraz zgodnie z oczekiwaniami. |
Problemy z bramą usługi ATA i uproszczoną bramą
| Problem | Opis | Rozwiązanie |
|---|---|---|
| Nie odebrano ruchu z kontrolera domeny, ale są obserwowane alerty dotyczące kondycji | Nie odebrano żadnego ruchu z kontrolera domeny przy użyciu dublowania portów za pośrednictwem bramy usługi ATA | W karcie sieciowej przechwytywania bramy usługi ATA wyłącz te funkcje w ustawieniach zaawansowanych: Łączenie segmentu odbierania (IPv4) Łączenie segmentu odbierania (IPv6) |
| Ten alert dotyczący kondycji jest wyświetlany: Część ruchu sieciego nie jest analizowana | Jeśli masz bramę usługi ATA lub uproszczoną bramę na maszynach wirtualnych VMware, może zostać wyświetlony ten alert dotyczący kondycji. Dzieje się tak z powodu niezgodności konfiguracji w programie VMware. | Ustaw następujące ustawienia na wartość 0 lub Wyłączone w konfiguracji karty sieciowej maszyny wirtualnej: TsoEnable, LargeSendOffload, TSO Offload, Giant TSO Offload |
Tryb grupy wielu procesorów
W systemach operacyjnych Windows 2008R2 i 2012 brama usługi ATA nie jest obsługiwana w trybie grupy wielu procesorów .
Sugerowane możliwe obejścia:
Jeśli funkcja hyperthreading jest włączona, wyłącz ją. Może to zmniejszyć liczbę rdzeni logicznych na tyle, aby uniknąć konieczności uruchamiania w trybie grupy wielu procesorów .
Jeśli maszyna ma mniej niż 64 rdzenie logiczne i jest uruchomiona na hoście HP, możesz zmienić ustawienie biosu optymalizacji rozmiaru grupy NUMA z domyślnego klastra na płaski.