Felsöka kända ATA-problem
Gäller för: Advanced Threat Analytics version 1.9
Det här avsnittet beskriver möjliga fel i distributionerna av ATA och de steg som krävs för att felsöka dem.
ATA Gateway- och Lightweight Gateway-fel
| Fel | beskrivning | Åtgärd |
|---|---|---|
| System.DirectoryServices.Protocols.LdapException: Ett lokalt fel uppstod | ATA Gateway kunde inte autentisera mot domänkontrollanten. | 1. Bekräfta att domänkontrollantens DNS-post är korrekt konfigurerad på DNS-servern. 2. Kontrollera att tiden för ATA Gateway synkroniseras med tiden för domänkontrollanten. |
| System.IdentityModel.Tokens.SecurityTokenValidationException: Det gick inte att verifiera certifikatkedjan | ATA Gateway kunde inte verifiera certifikatet för ATA Center. | 1. Kontrollera att rotcertifikatutfärdarcertifikatet är installerat i certifikatarkivet för betrodd certifikatutfärdare på ATA Gateway. 2. Kontrollera att listan över återkallade certifikat (CRL) är tillgänglig och att validering av återkallade certifikat kan utföras. |
| Microsoft.Common.ExtendedException: Det gick inte att parsa den genererade tiden | ATA Gateway kunde inte parsa syslog-meddelanden som vidarebefordrades från SIEM. | Kontrollera att SIEM har konfigurerats för att vidarebefordra meddelandena i något av de format som stöds av ATA. |
| System.ServiceModel.FaultException: Ett fel uppstod när du verifierade säkerheten för meddelandet. | ATA Gateway kunde inte autentisera mot ATA Center. | Kontrollera att tiden för ATA Gateway synkroniseras med tiden för ATA Center. |
| System.ServiceModel.EndpointNotFoundException: Det gick inte att ansluta till net.tcp://center.ip.addr:443/IEntityReceiver | ATA Gateway kunde inte upprätta en anslutning till ATA Center. | Kontrollera att nätverksinställningarna är korrekta och att nätverksanslutningen mellan ATA Gateway och ATA Center är aktiv. |
| System.DirectoryServices.Protocols.LdapException: LDAP-servern är inte tillgänglig. | ATA Gateway kunde inte fråga domänkontrollanten med hjälp av LDAP-protokollet. | 1. Kontrollera att användarkontot som används av ATA för att ansluta till Active Directory-domänen har läsbehörighet till alla objekt i Active Directory-trädet. 2. Kontrollera att domänkontrollanten inte är härdad för att förhindra LDAP-frågor från det användarkonto som används av ATA. |
| Microsoft.Tri.Infrastructure.ContractException: Kontraktsundantag | ATA Gateway kunde inte synkronisera konfigurationen från ATA Center. | Slutför konfigurationen av ATA Gateway i ATA-konsolen. |
| System.Reflection.ReflectionTypeLoadException: Det går inte att läsa in en eller flera av de begärda typerna. Hämta egenskapen LoaderExceptions för mer information. | Message Analyzer är installerat på ATA Gateway. | Avinstallera Message Analyzer. |
| Fel [Layout] System.OutOfMemoryException: Undantag av typen "System.OutOfMemoryException" utlöstes. | ATA Gateway har inte tillräckligt med minne. | Öka mängden minne på domänkontrollanten. |
| Det gick inte att starta livekonsumenten ---> Microsoft.Opn.Runtime.Monitoring.MessageSessionException: PEFNDIS-händelseprovidern är inte redo | PEF (Message Analyzer) installerades inte korrekt. | Om du använder Hyper-V kan du försöka uppgradera Hyper-V-integreringstjänster annars kontaktar du supporten för en lösning. |
| Installationen misslyckades med fel: 0x80070652 | Det finns andra väntande installationer på datorn. | Vänta tills de andra installationerna har slutförts och starta om datorn om det behövs. |
| System.InvalidOperationException: Instansen "Microsoft.Tri.Gateway" finns inte i den angivna kategorin. | PID:er aktiverades för processnamn i ATA Gateway | Se Hantera duplicerade instansnamn för att inaktivera PID:er i processnamn |
| 'System.InvalidOperationException: Kategorin finns inte. | Räknare kan vara inaktiverade i registret | Använda KB2554336 för att återskapa prestandaräknare |
| System.ApplicationException: Det går inte att starta ETW-sessionen MMA-ETW-Livecapture-a4f595bd-f567-49a7-b963-20fa4e370329 | Det finns en värdpost i HOSTS-filen som pekar på datorns kortnamn | Ta bort värdposten från C:\Windows\System32\drivers\etc\HOSTS-filen eller ändra den till ett FQDN. |
| System.IO.IOException: Autentiseringen misslyckades eftersom fjärrparten har stängt transportströmmen eller inte kunde skapa en säker SSL/TLS-kanal | TLS 1.0 är inaktiverat på ATA Gateway, men .Net är inställt på att använda TLS 1.2 | Aktivera TLS 1.2 för .Net genom att ange att registernycklarna ska använda operativsystemets standardvärden för SSL och TLS enligt följande:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] " SchUseStrongCrypto"=dword:00000001 |
| System.TypeLoadException: Det gick inte att läsa in typen "Microsoft.Opn.Runtime.Values.BinaryValueBufferManager" från sammansättningen "Microsoft.Opn.Runtime, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" | ATA Gateway kunde inte läsa in nödvändiga parsningsfiler. | Kontrollera om Microsoft Message Analyzer för närvarande är installerat. Message Analyzer stöds inte för att installeras med ATA Gateway/Lightweight Gateway. Avinstallera Message Analyzer och starta om gatewaytjänsten. |
| System.Net.WebException: Fjärrservern returnerade ett fel: (407) Proxyautentisering krävs | ATA Gateway-kommunikationen med ATA Center störs av en proxyserver. | Inaktivera proxyn på ATA Gateway-datorn. Observera att proxyinställningarna kan vara per konto. |
| System.IO.DirectoryNotFoundException: Systemet kan inte hitta den angivna sökvägen. (Undantag från HRESULT: 0x80070003) | En eller flera av de tjänster som behövdes för att driva ATA startade inte. | Starta följande tjänster: Prestandaloggar och aviseringar (PLA), Schemaläggare (schema). |
| System.Net.WebException: Fjärrservern returnerade ett fel: (403) Förbjudet | ATA Gateway eller Lightweight Gateway förbjöds att upprätta en HTTP-anslutning eftersom ATA Center inte är betrott. | Lägg till NetBIOS-namnet och FQDN för ATA Center i listan över betrodda webbplatser och rensa cacheminnet i Internet Explorer (eller namnet på ATA Center som anges i konfigurationen om den konfigurerade är annorlunda än NetBIOS/FQDN). |
| System.Net.Http.HttpRequestException: PostAsync misslyckades [requestTypeName=StopNetEventSessionRequest] | ATA Gateway eller ATA Lightweight Gateway kan inte stoppa och starta ETW-sessionen som samlar in nätverkstrafik på grund av ett WMI-problem | Följ anvisningarna i WMI: Återskapa WMI-lagringsplatsen för att åtgärda WMI-problemet |
| System.Net.Sockets.SocketException: Ett försök gjordes att komma åt en socket på ett sätt som är förbjudet av dess åtkomstbehörigheter | Ett annat program använder port 514 på ATA Gateway | Använd netstat -o för att fastställa vilken process som använder den porten. |
Distributionsfel
| Fel | beskrivning | Åtgärd |
|---|---|---|
| Installationen av .Net Framework 4.6.1 misslyckas med fel 0x800713ec | Kraven för .Net Framework 4.6.1 är inte installerade på servern. | Innan du installerar ATA kontrollerar du att windows-uppdateringarna KB2919442 och KB2919355 är installerade på servern. |
| System.Threading.Tasks.TaskCanceledException: En uppgift avbröts | Distributionsprocessen nådde tidsgränsen eftersom den inte kunde nå ATA Center. | 1. Kontrollera nätverksanslutningen till ATA Center genom att bläddra till den med dess IP-adress. 2. Sök efter proxy- eller brandväggskonfiguration. |
| System.Net.Http.HttpRequestException: Ett fel uppstod när begäran skickades. >--- System.Net.WebException: Fjärrservern returnerade ett fel: (407) Proxyautentisering krävs. | Distributionsprocessen nådde tidsgränsen eftersom den inte kunde nå ATA Center på grund av en felaktig proxykonfiguration. | Inaktivera proxykonfigurationen före distributionen och aktivera sedan proxykonfigurationen igen. Du kan också konfigurera ett undantag i proxyn. |
| System.Net.Sockets.SocketException: En befintlig anslutning stängdes med tvång av fjärrvärden | Aktivera TLS 1.2 för .Net genom att ange att registernycklarna ska använda operativsystemets standardvärden för SSL och TLS enligt följande:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 |
|
| Fel [\[]DeploymentModel[\]] Misslyckad hanteringsautentisering [\[]CurrentlyLoggedOnUser=<domain>\<username>Status=FailedAuthentication Exception=[\]] | Distributionsprocessen för ATA Gateway eller ATA Lightweight Gateway kunde inte autentiseras mot ATA Center | Öppna en webbläsare från den dator där distributionsprocessen misslyckades och se om du kan nå ATA-konsolen. Om inte kan du börja felsöka för att se varför webbläsaren inte kan autentisera mot ATA Center. Saker att kontrollera: Proxykonfiguration Nätverksproblem Grupprincipinställningar för autentisering på den datorn som skiljer sig från ATA Center. |
| Fel [\[]DeploymentModel[\]] Misslyckad hanteringsautentisering | Validering av centercertifikat misslyckades | Center-certifikatet kan kräva en Internetanslutning för validering. Kontrollera att gatewaytjänsten har rätt proxykonfiguration för att aktivera anslutningen och verifieringen. |
| När du distribuerar centret och väljer ett certifikat rapporteras felet "Stöds inte" | Detta kan inträffa om det valda certifikatet inte uppfyller kraven eller om certifikatets privata nyckel inte är tillgänglig. | Kontrollera att du kör distributionen med förhöjd behörighet (Kör som administratör) och att det valda certifikatet uppfyller kraven. |
ATA Center-fel
| Fel | beskrivning | Åtgärd |
|---|---|---|
| System.Security.Cryptography.CryptographicException: Åtkomst nekad. | ATA Center kunde inte använda det utfärdade certifikatet för dekryptering. Detta inträffade troligen på grund av användning av ett certifikat med KeySpec (KeyNumber) inställt på Signatur (AT\_SIGNATURE) som inte stöds för dekryptering, i stället för att använda KeyExchange (AT\_KEYEXCHANGE). | 1. Stoppa ATA Center-tjänsten. 2. Ta bort ATA Center-certifikatet från centrets certifikatarkiv. (Kontrollera att certifikatet säkerhetskopieras med den privata nyckeln i en PFX-fil innan du tar bort det.) 3. Öppna en upphöjd kommandotolk och kör certutil -importpfx "CenterCertificate.pfx" AT\_KEYEXCHANGE 4. Starta ATA Center-tjänsten. 5. Kontrollera att allt nu fungerar som förväntat. |
Problem med ATA Gateway och Lightweight Gateway
| Problem | beskrivning | Åtgärd |
|---|---|---|
| Ingen trafik tas emot från domänkontrollanten, men hälsoaviseringar observeras | Ingen trafik togs emot från en domänkontrollant med portspegling via en ATA Gateway | Inaktivera dessa funktioner i Avancerade inställningar på ATA Gateway Capture NIC: Ta emot segmentkolescing (IPv4) Ta emot segmentkolescing (IPv6) |
| Den här hälsoaviseringen visas: En del nätverkstrafik analyseras inte | Om du har en ATA Gateway eller Lightweight Gateway på virtuella VMware-datorer kan du få den här hälsoaviseringen. Detta inträffar på grund av ett konfigurationsfel i VMware. | Ange följande inställningar till 0 eller Inaktiverad i NIC-konfigurationen för den virtuella datorn: TsoEnable, LargeSendOffload, TSO Offload, Giant TSO Offload |
Gruppläge för flera processorer
För Windows-operativsystemen 2008R2 och 2012 stöds inte ATA Gateway i gruppläge för flera processorer .
Föreslagna möjliga lösningar:
Om hypertrådning är aktiverat inaktiverar du det. Detta kan minska antalet logiska kärnor tillräckligt för att undvika att behöva köras i gruppläge för flera processorer .
Om datorn har färre än 64 logiska kärnor och körs på en HP-värd kanske du kan ändra BIOS-inställningen FÖR NUMA-gruppstorleksoptimering från standardinställningen Klustrad till Platt.