Устранение известных проблем ATA
Область применения: Advanced Threat Analytics версии 1.9
В этом разделе описаны возможные ошибки в развертываниях ATA и действия, необходимые для их устранения.
Ошибки шлюза ATA и упрощенного шлюза
| Ошибка | Описание | Решение |
|---|---|---|
| System.DirectoryServices.Protocols.LdapException: произошла локальная ошибка | Шлюз ATA не прошел проверку подлинности в контроллере домена. | 1. Убедитесь, что запись DNS контроллера домена настроена правильно на DNS-сервере. 2. Убедитесь, что время шлюза ATA синхронизируется с временем контроллера домена. |
| System.IdentityModel.Token.SecurityTokenValidationException: не удалось проверить цепочку сертификатов | Не удалось проверить сертификат центра ATA. | 1. Убедитесь, что сертификат корневого ЦС установлен в хранилище сертификатов доверенного центра сертификации в шлюзе ATA. 2. Убедитесь, что список отзыва сертификата (CRL) доступен, и проверка отзыва сертификата может быть выполнена. |
| Microsoft.Common.ExtendedException: не удалось проанализировать время, созданное | Шлюз ATA не удалось проанализировать сообщения системного журнала, пересылаемые из SIEM. | Убедитесь, что SIEM настроен для пересылки сообщений в одном из форматов, поддерживаемых ATA. |
| System.ServiceModel.FaultException: произошла ошибка при проверке безопасности сообщения. | Шлюз ATA не прошел проверку подлинности в Центре ATA. | Убедитесь, что время шлюза ATA синхронизируется с временем центра ATA. |
| System.ServiceModel.EndpointNotFoundException: не удалось подключиться к net.tcp://center.ip.addr:443/IEntityReceiver | Шлюз ATA не удалось установить подключение к Центру ATA. | Убедитесь, что параметры сети верны и что сетевое подключение между шлюзом ATA и центром ATA активно. |
| System.DirectoryServices.Protocols.LdapException: сервер LDAP недоступен. | Шлюз ATA не удалось запросить контроллер домена с помощью протокола LDAP. | 1. Убедитесь, что учетная запись пользователя, используемая ATA для подключения к домену Active Directory, имеет доступ на чтение ко всем объектам в дереве Active Directory. 2. Убедитесь, что контроллер домена не затверден, чтобы предотвратить запросы LDAP из учетной записи пользователя, используемой ATA. |
| Microsoft.Tri.Infrastructure.ContractException: исключение контракта | Шлюз ATA не удалось синхронизировать конфигурацию из центра ATA. | Полная настройка шлюза ATA в консоли ATA. |
| System.Reflection.ReflectionTypeLoadException: не удалось загрузить один или несколько запрошенных типов. Получите свойство LoaderExceptions для получения дополнительных сведений. | Анализатор сообщений установлен в шлюзе ATA. | Удаление анализатора сообщений. |
| Ошибка [макет] System.OutOfMemoryException: исключение типа System.OutOfMemoryException. | Шлюз ATA не имеет достаточно памяти. | Увеличьте объем памяти на контроллере домена. |
| Не удается запустить динамический потребитель ---> Microsoft.Opn.Runtime.Monitoring.MessageSessionException: поставщик событий PEFNDIS не готов | PEF (анализатор сообщений) не был установлен правильно. | При использовании Hyper-V попробуйте обновить службы интеграции Hyper-V в противном случае обратитесь в службу поддержки для обходного решения. |
| Сбой установки: 0x80070652 | На компьютере существуют другие ожидающие установки. | Дождитесь завершения других установок и при необходимости перезагрузите компьютер. |
| System.InvalidOperationException: экземпляр Microsoft.Tri.Gateway не существует в указанной категории. | ИДЕНТИФИКАТОРы были включены для имен процессов в шлюзе ATA | Сведения об обработке повторяющихся имен экземпляров для отключения ИДЕНТИФИКАТОРов в именах процессов |
| "System.InvalidOperationException: категория не существует. | Счетчики могут быть отключены в реестре | Использование KB2554336 для перестроения счетчиков производительности |
| System.ApplicationException: не удается запустить сеанс MMA-ETW-Livecapture-a4f595bd-f567-49a7-b963-20fa4e370329 | В файле HOSTS есть запись узла, указывающая на короткое имя компьютера. | Удалите запись узла из файла C:\Windows\System32\drivers\etc\HOSTS или измените его на полное доменное имя. |
| System.IO.IOException: сбой проверки подлинности, так как удаленная сторона закрыла транспортный поток или не могла создать безопасный канал SSL/TLS. | TLS 1.0 отключен в шлюзе ATA, но для .Net задано использование TLS 1.2. | Включите TLS 1.2 для .Net, задав разделы реестра для использования по умолчанию операционной системы для SSL и TLS, как показано ниже.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] " SchUseStrongCrypto"=dword:00000001 |
| System.TypeLoadException: не удалось загрузить тип Microsoft.Opn.Runtime.Values.BinaryValueBufferManager из сборки Microsoft.Opn.Runtime, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad36ad364e35. | Шлюз ATA не удалось загрузить необходимые файлы синтаксического анализа. | Проверьте, установлен ли анализатор сообщений Майкрософт. Анализатор сообщений не поддерживается для установки с помощью шлюза ATA или упрощенного шлюза. Удалите анализатор сообщений и перезапустите службу шлюза. |
| System.Net.WebException: удаленный сервер вернул ошибку: (407) Требуется проверка подлинности прокси-сервера. | Связь шлюза ATA с центром ATA нарушается прокси-сервером. | Отключите прокси-сервер на компьютере шлюза ATA. Обратите внимание, что параметры прокси-сервера могут быть для каждой учетной записи. |
| System.IO.DirectoryNotFoundException: система не может найти указанный путь. (Исключение из HRESULT: 0x80070003) | Одна или несколько служб, необходимых для работы ATA, не запускались. | Запустите следующие службы: Журналы производительности и оповещения (PLA), планировщик задач (расписание). |
| System.Net.WebException: удаленный сервер вернул ошибку: (403) Запрещено | Шлюз ATA или упрощенный шлюз запрещено устанавливать HTTP-подключение, так как центр ATA не является доверенным. | Добавьте имя NetBIOS и полное доменное имя центра ATA в список надежных веб-сайтов и очистите кэш в Internet Explorer (или имя центра ATA, указанное в конфигурации, если настроено не полное доменное имя NetBIOS/FQDN). |
| System.Net.Http.HttpRequestException: PostAsync не удалось [requestTypeName=StopNetEventSessionRequest] | Шлюз ATA или упрощенный шлюз ATA не может остановиться и запустить сеанс ETW, который собирает сетевой трафик из-за проблемы WMI | Следуйте инструкциям в WMI: перестроение репозитория WMI, чтобы устранить проблему WMI. |
| System.Net.Sockets.SocketException: предпринята попытка получить доступ к сокету таким образом, что запрещено разрешениями на доступ. | Другое приложение использует порт 514 в шлюзе ATA | Используется netstat -o для определения того, какой процесс использует этот порт. |
Ошибки развертывания
| Ошибка | Описание | Решение |
|---|---|---|
| Установка .Net Framework 4.6.1 завершается ошибкой 0x800713ec | Предварительные требования для .Net Framework 4.6.1 не установлены на сервере. | Перед установкой ATA убедитесь, что на сервере установлены обновления Windows KB2919442 и KB2919355 . |
| System.Threading.Tasks.TaskCanceledException: была отменена задача | Время ожидания процесса развертывания истекло, так как оно не удалось связаться с Центром ATA. | 1. Проверьте сетевое подключение к Центру ATA, перейдя к нему по IP-адресу. 2. Проверьте конфигурацию прокси-сервера или брандмауэра. |
| System.Net.Http.HttpRequestException: произошла ошибка при отправке запроса. >--- System.Net.WebException: удаленный сервер вернул ошибку: (407) Требуется проверка подлинности прокси-сервера. | Время ожидания процесса развертывания истекло, так как оно не удалось достичь центра ATA из-за неправильной настройки прокси-сервера. | Отключите конфигурацию прокси-сервера перед развертыванием, а затем снова включите конфигурацию прокси-сервера. Кроме того, можно настроить исключение в прокси-сервере. |
| System.Net.Sockets.SocketException: существующее подключение было принудительно закрыто удаленным узлом | Включите TLS 1.2 для .Net, задав разделы реестра для использования по умолчанию операционной системы для SSL и TLS, как показано ниже.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 |
|
| Ошибка [\[]DeploymentModel[\]] Сбой проверки подлинности управления [\[]CurrentlyLoggedOnUser=<domain><\username>Status=FailedAuthentication Exception=[\]] | Процесс развертывания шлюза ATA или упрощенного шлюза ATA не удалось успешно пройти проверку подлинности в центре ATA | Откройте браузер с компьютера, на котором произошел сбой процесса развертывания, и просмотрите, можно ли получить доступ к консоли ATA. Если нет, запустите устранение неполадок, чтобы узнать, почему браузер не может пройти проверку подлинности в центре ATA. Сведения о том, как проверить: параметры групповой политики конфигурации прокси-сервера для проверки подлинности на этом компьютере отличаются от центра ATA. |
| Ошибка [\[]DeploymentModel[\]] Сбой проверки подлинности управления | Не удалось проверить сертификат центра | Сертификат Центра может потребовать подключения к Интернету для проверки. Убедитесь, что служба шлюза имеет соответствующую конфигурацию прокси-сервера, чтобы включить подключение и проверку. |
| При развертывании Центра и выборе сертификата сообщается об ошибке "Не поддерживается" | Это может произойти, если выбранный сертификат не соответствует требованиям или закрытый ключ сертификата недоступен. | Убедитесь, что развертывание выполняется с повышенными привилегиями (запуск от имени администратора) и что выбранный сертификат соответствует требованиям. |
Ошибки центра ATA
| Ошибка | Описание | Решение |
|---|---|---|
| System.Security.Cryptography.CryptographicException: доступ запрещен. | Центр ATA не смог использовать выданный сертификат для расшифровки. Это, скорее всего, произошло из-за использования сертификата с ключом KeySpec (KeyNumber) с сигнатурой (AT\_SIGNATURE), которая не поддерживается для расшифровки, а не с помощью KeyExchange (AT\_KEYEXCHANGE). | 1. Остановите службу центра ATA. 2. Удалите сертификат центра ATA из хранилища сертификатов центра. (Перед удалением убедитесь, что у вас есть резервная копия сертификата с закрытым ключом в PFX-файле.) 3. Откройте командную строку с повышенными привилегиями и запустите certutil -importpfx "CenterCertificate.pfx" AT\_KEYEXCHANGE 4. Запустите службу центра ATA. 5. Убедитесь, что все работает должным образом. |
Проблемы с шлюзом ATA и упрощенным шлюзом
| Проблема | Описание | Решение |
|---|---|---|
| Нет трафика, полученного от контроллера домена, но наблюдается оповещение о работоспособности. | Трафик не был получен от контроллера домена с помощью зеркального отображения портов через шлюз ATA | В сетевом адаптере шлюза ATA отключите эти функции в дополнительных параметрах: Объединение сегментов (IPv4) Объединение сегментов (IPv6) |
| Отображается это оповещение о работоспособности: некоторый сетевой трафик не анализируется | Если у вас есть шлюз ATA или упрощенный шлюз на виртуальных машинах VMware, вы можете получить это оповещение о работоспособности. Это происходит из-за несоответствия конфигурации в VMware. | Задайте для следующих параметров значение 0 или отключено в конфигурации сетевого адаптера виртуальной машины: TsoEnable, LargeSendOffload, разгрузка TSO, гигантская разгрузка TSO Offload |
Режим группы многопроцессорных процессоров
Для операционных систем Windows 2008R2 и 2012 шлюз ATA не поддерживается в режиме группы многопроцессорных процессоров.
Предлагаемые возможные обходные пути:
Если гиперпоточность включена, отключите его. Это может сократить количество логических ядер, чтобы избежать необходимости работать в многопроцессорном режиме.
Если компьютер имеет менее 64 логических ядер и работает на узле HP, возможно, вы сможете изменить параметр BIOS оптимизации размера группы NUMA с значениями по умолчанию Clustered на Flat.