針對 ATA 已知問題進行疑難解答
適用於:進階威脅分析 1.9 版
本節詳述 ATA 部署中可能發生的錯誤,以及進行疑難解答所需的步驟。
ATA 閘道和輕量型閘道錯誤
| 錯誤 | 描述 | 解決方案 |
|---|---|---|
| System.DirectoryServices.Protocols.LdapException:發生本機錯誤 | ATA 閘道無法對域控制器進行驗證。 | 1.確認域控制器的 DNS 記錄已在 DNS 伺服器中正確設定。 2.確認 ATA 閘道的時間與域控制器的時間同步。 |
| System.IdentityModel.Tokens.SecurityTokenValidationException:無法驗證憑證鏈結 | ATA 閘道無法驗證 ATA 中心的憑證。 | 1.確認根 CA 憑證已安裝在 ATA 閘道的受信任證書頒發機構單位證書存儲中。 2.驗證憑證吊銷清單 (CRL) 是否可用,而且可以執行證書吊銷驗證。 |
| Microsoft.Common.ExtendedException:無法剖析產生的時間 | ATA 閘道無法剖析從 SIEM 轉送的 syslog 訊息。 | 確認 SIEM 已設定為以 ATA 支援的其中一種格式轉送訊息。 |
| System.ServiceModel.FaultException:驗證訊息的安全性時發生錯誤。 | ATA 閘道無法向 ATA 中心進行驗證。 | 確認 ATA 閘道的時間與 ATA 中心的時間同步。 |
| System.ServiceModel.EndpointNotFoundException:無法連線到 net.tcp://center.ip.addr:443/IEntityReceiver | ATA 閘道無法建立與 ATA 中心的連線。 | 確定網路設定正確,且 ATA 閘道與 ATA 中心之間的網路連線作用中。 |
| System.DirectoryServices.Protocols.LdapException:LDAP 伺服器無法使用。 | ATA 閘道無法使用LDAP通訊協定查詢域控制器。 | 1.確認 ATA 用來連線到 Active Directory 網域的用戶帳戶具有 Active Directory 樹狀目錄中所有物件的讀取許可權。 2.請確定域控制器未強化,以防止來自 ATA 所使用的使用者帳戶進行 LDAP 查詢。 |
| Microsoft.Tri.Infrastructure.ContractException:合約例外狀況 | ATA 閘道無法從 ATA 中心同步處理設定。 | 在 ATA 控制台中完成 ATA 閘道的設定。 |
| System.Reflection.ReflectionTypeLoadException:無法載入一或多個要求的類型。 如需詳細資訊,請擷取 LoaderExceptions 屬性。 | 訊息分析器會安裝在 ATA 閘道上。 | 卸載訊息分析器。 |
| 錯誤 [Layout] System.OutOfMemoryException:擲回類型 'System.OutOfMemoryException' 的例外狀況。 | ATA 閘道沒有足夠的記憶體。 | 增加域控制器上的記憶體數量。 |
| 無法啟動即時取用者---> Microsoft.Opn.Runtime.Monitoring.MessageSessionException:PEFNDIS 事件提供者尚未就緒 | PEF (Message Analyzer) 未正確安裝。 | 如果使用 Hyper-V,請嘗試升級 Hyper-V 整合服務,否則請連絡支持人員以取得因應措施。 |
| 安裝失敗,發生錯誤:0x80070652 | 您的電腦上有其他擱置安裝。 | 等候其他安裝完成,並視需要重新啟動計算機。 |
| System.InvalidOperationException:實例 'Microsoft.Tri.Gateway' 不存在於指定的類別中。 | 已在 ATA 閘道中啟用行程名稱的 PID | 請參閱 處理重複的實例名稱 ,以停用進程名稱中的 PID |
| 'System.InvalidOperationException:Category 不存在。 | 登錄中可能會停用計數器 | 使用 KB2554336 重建性能計數器 |
| System.ApplicationException:無法啟動 ETW 會話 MMA-ETW-Livecapture-a4f595bd-f567-49a7-b963-20fa4e370329 | HOSTS 檔案中有一個主機專案,指向計算機的shortname | 從 C:\Windows\System32\drivers\etc\HOSTS 檔案中移除主機專案,或將其變更為 FQDN。 |
| System.IO.IOException:驗證失敗,因為遠端合作物件已關閉傳輸數據流,或無法建立 SSL/TLS 安全通道 | ATA 閘道已停用 TLS 1.0,但 .Net 設定為使用 TLS 1.2 | 將登錄機碼設定為使用SSL和 TLS 的作業系統預設值,以啟用 .Net 的 TLS 1.2,如下所示:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] " SchUseStrongCrypto"=dword:00000001 |
| System.TypeLoadException:無法從元件 'Microsoft.Opn.Runtime, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35' 載入類型 'Microsoft.Opn.Runtime.Values.BinaryValueBufferManager' | ATA 閘道無法載入必要的剖析檔案。 | 檢查目前是否已安裝Microsoft訊息分析器。 不支援使用 ATA 閘道/輕量型閘道安裝訊息分析器。 卸載訊息分析器並重新啟動閘道服務。 |
| System.Net.WebException:遠端伺服器傳回錯誤: (407) 需要 Proxy 驗證 | 與 ATA 中心的 ATA 閘道通訊遭到 Proxy 伺服器中斷。 | 停用 ATA 閘道電腦上的 Proxy。 請注意,Proxy 設定可能是個別帳戶。 |
| System.IO.DirectoryNotFoundException:系統找不到指定的路徑。 (HRESULT 例外:0x80070003) | 操作 ATA 所需的一或多個服務並未啟動。 | 啟動下列服務: 效能記錄和警示(PLA)、工作排程器(排程器)。 |
| System.Net.WebException:遠端伺服器傳回錯誤:(403) 禁止 | 因為 ATA 中心不受信任,因此禁止 ATA 閘道或輕量型閘道建立 HTTP 連線。 | 將 ATA 中心的 NetBIOS 名稱和 FQDN 新增至信任的網站清單,並在 Internet Explorer 上清除快取(如果設定與 NetBIOS/FQDN 不同,則為 ATA 中心的名稱)。 |
| System.Net.Http.HttpRequestException: PostAsync 失敗 [requestTypeName=StopNetEventSessionRequest] | 由於 WMI 問題,ATA 閘道或 ATA 輕量型閘道無法停止並啟動收集網路流量的 ETW 工作話 | 請遵循 WMI:重建 WMI 存放庫中的指示來修正 WMI 問題 |
| System.Net.Sockets.SocketException:嘗試以其訪問許可權禁止的方式存取套接字 | 另一個應用程式是在 ATA 閘道上使用埠 514 | 使用 netstat -o 來建立使用該埠的進程。 |
部署錯誤
| 錯誤 | 描述 | 解決方案 |
|---|---|---|
| .Net Framework 4.6.1 安裝失敗,錯誤0x800713ec | .Net Framework 4.6.1 的必要條件不會安裝在伺服器上。 | 安裝 ATA 之前,請確認伺服器上已安裝 windows 更新 KB2919442 和 KB2919355 。 |
| System.Threading.Tasks.TaskCanceledException:已取消工作 | 部署程式逾時,因為它無法連線到 ATA 中心。 | 1.使用其IP位址流覽至 ATA 中心,以檢查與 ATA 中心的網路連線。 2.檢查 Proxy 或防火牆設定。 |
| System.Net.Http.HttpRequestException:傳送要求時發生錯誤。 >--- System.Net.WebException:遠端伺服器傳回錯誤:[需要 407] Proxy 驗證。 | 部署程式因 Proxy 設定錯誤而無法連線到 ATA 中心而逾時。 | 在部署之前停用 Proxy 設定,然後再次啟用 Proxy 設定。 或者,您可以在 Proxy 中設定例外狀況。 |
| System.Net.Sockets.SocketException:遠端主機強制關閉現有的連線 | 將登錄機碼設定為使用SSL和 TLS 的作業系統預設值,以啟用 .Net 的 TLS 1.2,如下所示:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 |
|
| 錯誤 [\[]DeploymentModel[\]] 管理驗證失敗 [\[]目前LoggedOnUser=<domain>\<username>Status=FailedAuthentication Exception=[\]] | ATA 閘道或 ATA 輕量型閘道的部署程式無法成功向 ATA 中心進行驗證 | 從部署程式失敗的電腦開啟瀏覽器,並查看您是否可以連線到 ATA 控制台。 如果沒有,請開始進行疑難解答,以查看瀏覽器無法向 ATA 中心進行驗證的原因。 要檢查的事項: Proxy 設定網路問題 組策略設定,以在與 ATA 中心不同的計算機上進行驗證。 |
| 錯誤 [\[]DeploymentModel[\]] 管理驗證失敗 | 中心憑證驗證失敗 | 中心憑證可能需要因特網連線以進行驗證。 請確定您的閘道服務具有適當的 Proxy 設定,以啟用連線和驗證。 |
| 部署中心並選取憑證時,會回報「不支援」錯誤 | 如果選取的憑證不符合需求,或無法存取憑證的私鑰,就可能會發生這種情況。 | 請確定您是以較高的許可權執行部署(以系統管理員身分執行),且選取的憑證符合 需求。 |
ATA 中心錯誤
| 錯誤 | 描述 | 解決方案 |
|---|---|---|
| System.Security.Cryptography.CryptographicException:拒絕存取。 | ATA 中心無法使用發行的憑證進行解密。 這很可能是因為將 KeySpec (KeyNumber) 設定為 Signature (AT\_SIGNATURE) 的憑證使用,而不支援解密,而不是使用 KeyExchange (AT\_KEYEXCHANGE)。 | 1.停止 ATA 中心服務。 2.從中心的證書存儲中刪除 ATA 中心憑證。 (刪除之前,請確定您已使用 PFX 檔案中的私鑰備份憑證。 3.開啟提升許可權的命令提示字元,然後執行 certutil -importpfx “CenterCertificate.pfx” AT\_KEYEXCHANGE 4.啟動 ATA 中心服務。 5.確認所有項目現在如預期般運作。 |
ATA 閘道和輕量型閘道問題
| 問題 | 描述 | 解決方案 |
|---|---|---|
| 未從域控制器接收流量,但會觀察到健康情況警示 | 透過 ATA 閘道使用埠鏡像從域控制器接收流量 | 在 ATA 閘道擷取 NIC 上,停用 [進階設定] 中的這些功能: 接收區段聯合 (IPv4) 接收區段聯合 (IPv6) |
| 此健康情況警示隨即顯示:未分析某些網路流量 | 如果您在 VMware 虛擬機上有 ATA 閘道或輕量型閘道,您可能會收到此健康情況警示。 這是因為 VMware 中的組態不符而發生。 | 在虛擬機 NIC 設定中,將下列設定設為 0 或停用:TsoEnable、LargeSendOffload、TSO 卸除、巨型 TSO 卸除 |
多重處理器群組模式
針對 Windows 作業系統 2008R2 和 2012,多重處理器群組模式不支援 ATA 閘道。
建議的可能因應措施:
如果超線程開啟,請將其關閉。 這可能會減少足夠的邏輯核心數目,以避免需要在多處理器群組模式中執行。
如果您的機器少於 64 個邏輯核心且在 HP 主機上執行,您可以將 NUMA 群組大小優化 BIOS 設定從 [叢集] 的預設值變更為 [一般]。