Rozwiązywanie znanych problemów z usługą ATA
Dotyczy: Advanced Threat Analytics w wersji 1.9
W tej sekcji opisano możliwe błędy we wdrożeniach usługi ATA oraz kroki wymagane do ich rozwiązywania.
Błędy bramy usługi ATA i uproszczonej bramy
| Błąd | opis | Rozwiązanie |
|---|---|---|
| System.DirectoryServices.Protocols.LdapException: Wystąpił błąd lokalny | Brama usługi ATA nie może uwierzytelnić się na kontrolerze domeny. | 1. Upewnij się, że rekord DNS kontrolera domeny jest poprawnie skonfigurowany na serwerze DNS. 2. Sprawdź, czy czas bramy usługi ATA jest synchronizowany z czasem kontrolera domeny. |
| System.IdentityModel.Tokens.SecurityTokenValidationException: Nie można zweryfikować łańcucha certyfikatów | Brama usługi ATA nie może zweryfikować certyfikatu centrum usługi ATA. | 1. Sprawdź, czy certyfikat głównego urzędu certyfikacji jest zainstalowany w magazynie certyfikatów zaufanego urzędu certyfikacji w bramie usługi ATA. 2. Sprawdź, czy lista odwołania certyfikatów (CRL) jest dostępna i czy można przeprowadzić walidację odwołania certyfikatów. |
| Microsoft.Common.ExtendedException: Nie można przeanalizować wygenerowanego czasu | Brama usługi ATA nie może przeanalizować komunikatów dziennika systemu, które zostały przekazane z rozwiązania SIEM. | Sprawdź, czy rozwiązanie SIEM jest skonfigurowane do przekazywania komunikatów w jednym z formatów obsługiwanych przez usługę ATA. |
| System.ServiceModel.FaultException: Wystąpił błąd podczas weryfikowania zabezpieczeń komunikatu. | Brama usługi ATA nie może uwierzytelnić się w centrum usługi ATA. | Sprawdź, czy czas bramy usługi ATA jest synchronizowany z czasem centrum usługi ATA. |
| System.ServiceModel.EndpointNotFoundException: Nie można nawiązać połączenia z net.tcp://center.ip.addr:443/IEntityReceiver | Brama usługi ATA nie może nawiązać połączenia z centrum usługi ATA. | Upewnij się, że ustawienia sieci są poprawne i że połączenie sieciowe między bramą usługi ATA a centrum usługi ATA jest aktywne. |
| System.DirectoryServices.Protocols.LdapException: Serwer LDAP jest niedostępny. | Brama usługi ATA nie może wysłać zapytania do kontrolera domeny przy użyciu protokołu LDAP. | 1. Sprawdź, czy konto użytkownika używane przez usługę ATA do łączenia się z domeną usługi Active Directory ma dostęp do odczytu do wszystkich obiektów w drzewie usługi Active Directory. 2. Upewnij się, że kontroler domeny nie jest wzmocniony, aby uniemożliwić wykonywanie zapytań LDAP z konta użytkownika używanego przez usługę ATA. |
| Microsoft.Tri.Infrastructure.ContractException: Wyjątek kontraktu | Brama usługi ATA nie może zsynchronizować konfiguracji z centrum usługi ATA. | Pełna konfiguracja bramy usługi ATA w konsoli usługi ATA. |
| System. Emocje ion. Emocje ionTypeLoadException: Nie można załadować co najmniej jednego żądanego typu. Aby uzyskać więcej informacji, pobierz właściwość LoaderExceptions. | Analizator komunikatów jest instalowany w bramie usługi ATA. | Odinstaluj analizator komunikatów. |
| Błąd [Layout] System.OutOfMemoryException: zgłoszono wyjątek typu "System.OutOfMemoryException". | Brama usługi ATA nie ma wystarczającej ilości pamięci. | Zwiększ ilość pamięci na kontrolerze domeny. |
| Nie można uruchomić użytkownika na żywo ---> Microsoft.Opn.Runtime.Monitoring.MessageSessionException: Dostawca zdarzeń PEFNDIS nie jest gotowy | Narzędzie PEF (Message Analyzer) nie zostało poprawnie zainstalowane. | W przypadku korzystania z funkcji Hyper-V spróbuj uaktualnić usługi integracji funkcji Hyper-V w przeciwnym razie skontaktuj się z pomocą techniczną w celu obejścia problemu. |
| Instalacja nie powiodła się z powodu błędu: 0x80070652 | Na komputerze znajdują się inne oczekujące instalacje. | Poczekaj na ukończenie innych instalacji i w razie potrzeby uruchom ponownie komputer. |
| System.InvalidOperationException: Wystąpienie "Microsoft.Tri.Gateway" nie istnieje w określonej kategorii. | Identyfikatory PID zostały włączone dla nazw procesów w bramie usługi ATA | Zobacz Obsługa zduplikowanych nazw wystąpień w celu wyłączenia identyfikatorów PID w nazwach procesów |
| "System.InvalidOperationException: Kategoria nie istnieje. | Liczniki mogą być wyłączone w rejestrze | Użyj KB2554336 , aby ponownie skompilować liczniki wydajności |
| System.ApplicationException: Nie można uruchomić sesji ETW MMA-ETW-Livecapture-a4f595bd-f567-49a7-b963-20fa4e370329 | W pliku HOSTS znajduje się wpis hosta wskazujący krótką nazwę maszyny | Usuń wpis hosta z pliku C:\Windows\System32\drivers\etc\HOSTS lub zmień go na nazwę FQDN. |
| System.IO.IOException: Uwierzytelnianie nie powiodło się, ponieważ strona zdalna zamknęła strumień transportu lub nie mogła utworzyć bezpiecznego kanału SSL/TLS | Protokół TLS 1.0 jest wyłączony w bramie usługi ATA, ale platforma .Net ma używać protokołu TLS 1.2 | Włącz protokół TLS 1.2 dla platformy .Net, ustawiając klucze rejestru tak, aby używały domyślnych ustawień systemu operacyjnego dla protokołów SSL i TLS w następujący sposób:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] " SchUseStrongCrypto"=dword:00000001 |
| System.TypeLoadException: nie można załadować typu "Microsoft.Opn.Runtime.Values.BinaryValueBufferManager" z zestawu "Microsoft.Opn.Runtime, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" | Nie można załadować wymaganej analizy plików przez bramę usługi ATA. | Sprawdź, czy program Microsoft Message Analyzer jest obecnie zainstalowany. Analizator komunikatów nie jest obsługiwany do zainstalowania z bramą usługi ATA / uproszczoną bramą. Odinstaluj analizator komunikatów i uruchom ponownie usługę bramy. |
| System.Net.WebException: Serwer zdalny zwrócił błąd: (407) Wymagane jest uwierzytelnianie serwera proxy | Komunikacja bramy usługi ATA z centrum usługi ATA jest zakłócana przez serwer proxy. | Wyłącz serwer proxy na maszynie bramy usługi ATA. Pamiętaj, że ustawienia serwera proxy mogą być na koncie. |
| System.IO.DirectoryNotFoundException: System nie może odnaleźć określonej ścieżki. (Wyjątek od HRESULT: 0x80070003) | Co najmniej jedna z usług potrzebnych do obsługi usługi ATA nie została uruchomiona. | Uruchom następujące usługi: Dzienniki wydajności i alerty (PLA), harmonogram zadań (harmonogram). |
| System.Net.WebException: Serwer zdalny zwrócił błąd: (403) Zabronione | Brama usługi ATA lub uproszczona brama nie może nawiązać połączenia HTTP, ponieważ centrum usługi ATA nie jest zaufane. | Dodaj nazwę NetBIOS i nazwę FQDN centrum usługi ATA do listy zaufanych witryn internetowych i wyczyść pamięć podręczną w programie Internet Explorer (lub nazwę centrum usługi ATA określoną w konfiguracji, jeśli skonfigurowana jest inna niż nazwa NetBIOS/FQDN). |
| System.Net.Http.HttpRequestException: PostAsync nie powiodło się [requestTypeName=StopNetEventSessionRequest] | Brama usługi ATA lub uproszczona brama usługi ATA nie może zatrzymać i uruchomić sesji ETW, która zbiera ruch sieciowy z powodu problemu z usługą WMI | Postępuj zgodnie z instrukcjami w usłudze WMI: Ponowne kompilowanie repozytorium WMI, aby rozwiązać problem z usługą WMI |
| System.Net.Sockets.SocketException: Podjęto próbę uzyskania dostępu do gniazda w sposób zabroniony przez jego uprawnienia dostępu | Inna aplikacja używa portu 514 w bramie usługi ATA | Użyj netstat -o polecenia , aby ustalić, który proces używa tego portu. |
Błędy wdrażania
| Błąd | opis | Rozwiązanie |
|---|---|---|
| Instalacja programu .Net Framework 4.6.1 kończy się niepowodzeniem z powodu błędu 0x800713ec | Wymagania wstępne programu .Net Framework 4.6.1 nie są zainstalowane na serwerze. | Przed zainstalowaniem usługi ATA sprawdź, czy na serwerze są zainstalowane aktualizacje systemu Windows KB2919442 i KB2919355 . |
| System.Threading.Tasks.TaskCanceledException: Zadanie zostało anulowane | Upłynął limit czasu procesu wdrażania, ponieważ nie może nawiązać połączenia z centrum usługi ATA. | 1. Sprawdź łączność sieciową z centrum usługi ATA, przechodząc do niego przy użyciu adresu IP. 2. Sprawdź konfigurację serwera proxy lub zapory. |
| System.Net.Http.HttpRequestException: Wystąpił błąd podczas wysyłania żądania. >--- System.Net.WebException: Serwer zdalny zwrócił błąd: (407) Wymagane jest uwierzytelnianie serwera proxy. | Upłynął limit czasu procesu wdrażania, ponieważ nie mógł nawiązać połączenia z centrum usługi ATA z powodu błędnej konfiguracji serwera proxy. | Wyłącz konfigurację serwera proxy przed wdrożeniem, a następnie ponownie włącz konfigurację serwera proxy. Alternatywnie można skonfigurować wyjątek na serwerze proxy. |
| System.Net.Sockets.SocketException: Istniejące połączenie zostało wymuszone przez hosta zdalnego | Włącz protokół TLS 1.2 dla platformy .Net, ustawiając klucze rejestru tak, aby używały domyślnych ustawień systemu operacyjnego dla protokołów SSL i TLS w następujący sposób:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 |
|
| Błąd [\[]DeploymentModel[\]] Niepowodzenie uwierzytelniania zarządzania [\[]AktualnieLoggedOnUser=domain>\<username>Status=<FailedAuthentication Exception=[\]] | Proces wdrażania bramy usługi ATA lub uproszczonej bramy usługi ATA nie może pomyślnie uwierzytelnić się w centrum usługi ATA | Otwórz przeglądarkę z komputera, na którym proces wdrażania zakończył się niepowodzeniem i sprawdź, czy możesz uzyskać dostęp do konsoli usługi ATA. Jeśli nie, zacznij rozwiązywać problemy, aby sprawdzić, dlaczego przeglądarka nie może uwierzytelniać się w centrum usługi ATA. Kwestie do sprawdzenia: Konfiguracja serwera proxy Problemy z sieciąustawienia zasad grupy na potrzeby uwierzytelniania na tym komputerze, które różnią się od centrum usługi ATA. |
| Błąd [\[]DeploymentModel[\]] Niepowodzenie uwierzytelniania zarządzania | Sprawdzanie poprawności certyfikatu centrum nie powiodło się | Certyfikat Centrum może wymagać połączenia internetowego do weryfikacji. Upewnij się, że usługa bramy ma odpowiednią konfigurację serwera proxy, aby włączyć połączenie i walidację. |
| Podczas wdrażania Centrum i wybierania certyfikatu zgłaszany jest błąd "Nieobsługiwane" | Może się tak zdarzyć, jeśli wybrany certyfikat nie spełnia wymagań lub klucz prywatny certyfikatu jest niedostępny. | Upewnij się, że korzystasz z wdrożenia z podwyższonym poziomem uprawnień (Uruchom jako administrator) i że wybrany certyfikat spełnia wymagania. |
Błędy centrum usługi ATA
| Błąd | opis | Rozwiązanie |
|---|---|---|
| System.Security.Cryptography.CryptographicException: Odmowa dostępu. | Centrum usługi ATA nie może użyć wystawionego certyfikatu do odszyfrowywania. Najprawdopodobniej stało się to spowodowane użyciem certyfikatu z kluczem KeySpec (KeyNumber) ustawionym na wartość Signature (AT\_SIGNATURE), która nie jest obsługiwana do odszyfrowywania, zamiast używania funkcji KeyExchange (AT\_KEYEXCHANGE). | 1. Zatrzymaj usługę centrum usługi ATA. 2. Usuń certyfikat centrum usługi ATA z magazynu certyfikatów centrum. (Przed usunięciem upewnij się, że utworzono kopię zapasową certyfikatu z kluczem prywatnym w pliku PFX). 3. Otwórz wiersz polecenia z podwyższonym poziomem uprawnień i uruchom polecenie certutil -importpfx "CenterCertificate.pfx" AT\_KEYEXCHANGE 4. Uruchom usługę centrum usługi ATA. 5. Sprawdź, czy wszystko działa teraz zgodnie z oczekiwaniami. |
Problemy z bramą usługi ATA i uproszczoną bramą
| Problem | opis | Rozwiązanie |
|---|---|---|
| Nie odebrano ruchu z kontrolera domeny, ale zaobserwowano alerty dotyczące kondycji | Żaden ruch nie został odebrany z kontrolera domeny przy użyciu funkcji dublowania portów za pośrednictwem bramy usługi ATA | Na karcie sieciowej przechwytywania bramy usługi ATA wyłącz następujące funkcje w usłudze Advanced Ustawienia: Łączenie segmentów odbierania (IPv4) Łączenie segmentów odbierania (IPv6) |
| Ten alert dotyczący kondycji jest wyświetlany: nie jest analizowany jakiś ruch sieciowy | Jeśli masz bramę usługi ATA lub uproszczoną bramę na maszynach wirtualnych VMware, może zostać wyświetlony ten alert dotyczący kondycji. Dzieje się tak z powodu niezgodności konfiguracji w programie VMware. | Ustaw następujące ustawienia na 0 lub Wyłączone w konfiguracji karty sieciowej maszyny wirtualnej: TsoEnable, LargeSendOffload, TSO Offload, Giant TSO Offload |
Tryb grupy z wieloma procesorami
W systemach operacyjnych Windows 2008R2 i 2012 brama usługi ATA nie jest obsługiwana w trybie grupy wieloprocesorowej.
Sugerowane możliwe obejścia:
Jeśli funkcja hyperthreading jest włączona, wyłącz ją. Może to zmniejszyć liczbę rdzeni logicznych na tyle, aby uniknąć konieczności uruchamiania w trybie grupy wielu procesorów.
Jeśli maszyna ma mniej niż 64 rdzenie logiczne i jest uruchomiona na hoście HP, może być możliwe zmianę ustawienia BIOS optymalizacji rozmiaru grupy NUMA z domyślnej wartości Clustered na Flat.