Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Gäller för: Advanced Threat Analytics version 1.9
Det här avsnittet beskriver möjliga fel i distributionerna av ATA och de steg som krävs för att felsöka dem.
ATA Gateway- och Lightweight Gateway-fel
| Error | Beskrivning | Lösning |
|---|---|---|
| System.DirectoryServices.Protocols.LdapException: Ett lokalt fel uppstod | ATA Gateway kunde inte autentisera mot domänkontrollanten. | 1. Bekräfta att domänkontrollantens DNS-post är korrekt konfigurerad på DNS-servern. 2. Kontrollera att tiden för ATA Gateway är synkroniserad med domänkontrollantens tid. |
| System.IdentityModel.Tokens.SecurityTokenValidationException: Det gick inte att verifiera certifikatkedjan | ATA Gateway kunde inte verifiera certifikatet för ATA Center. | 1. Kontrollera att rot-CA-certifikatet är installerat i certifikatarkivet för betrodda certifikatutfärdare på ATA Gateway. 2. Kontrollera att listan över återkallade certifikat (CRL) är tillgänglig och att validering av återkallade certifikat kan utföras. |
| Microsoft.Common.ExtendedException: Det gick inte att parsa den genererade tiden | ATA Gateway kunde inte parsa syslog-meddelanden som vidarebefordrades från SIEM. | Kontrollera att SIEM har konfigurerats för att vidarebefordra meddelandena i något av de format som stöds av ATA. |
| System.ServiceModel.FaultException: Ett fel uppstod när du verifierade säkerheten för meddelandet. | ATA Gateway kunde inte autentiseras mot ATA Center. | Kontrollera att tiden för ATA Gateway synkroniseras med tiden för ATA Center. |
| System.ServiceModel.EndpointNotFoundException: Det gick inte att ansluta till net.tcp://center.ip.addr:443/IEntityReceiver | ATA Gateway kunde inte upprätta en anslutning till ATA Center. | Kontrollera att nätverksinställningarna är korrekta och att nätverksanslutningen mellan ATA Gateway och ATA Center är aktiv. |
| System.DirectoryServices.Protocols.LdapException: LDAP-servern är inte tillgänglig. | ATA Gateway kunde inte fråga domänkontrollanten med hjälp av LDAP-protokollet. | 1. Kontrollera att användarkontot som används av ATA för att ansluta till služba Active Directory-domänen har läsbehörighet till alla objekt i služba Active Directory-trädet. 2. Kontrollera att domänkontrollanten inte är förstärkt för att förhindra LDAP-frågor från det användarkonto som används av ATA. |
| Microsoft.Tri.Infrastructure.ContractException: Kontraktsundantag | ATA Gateway kunde inte synkronisera konfigurationen från ATA Center. | Slutför konfigurationen av ATA Gateway i ATA-konsolen. |
| System.Reflection.ReflectionTypeLoadException: Det går inte att läsa in en eller flera av de begärda typerna. Hämta egenskapen LoaderExceptions för mer information. | Message Analyzer är installerat på ATA Gateway. | Avinstallera Message Analyzer. |
| Felet [Layout] System.OutOfMemoryException: Undantag av typen 'System.OutOfMemoryException' har utlösts. | ATA Gateway har inte tillräckligt med minne. | Öka mängden minne på domänkontrollanten. |
| Det gick inte att starta livekonsumenten ---> Microsoft.Opn.Runtime.Monitoring.MessageSessionException: PEFNDIS-händelseprovidern är inte redo | PEF (Message Analyzer) har inte installerats korrekt. | Om du använder Hyper-V kan du försöka uppgradera Hyper-V-integreringstjänster annars kontaktar du supporten för en lösning. |
| Installationen misslyckades med fel: 0x80070652 | Det finns andra väntande installationer på datorn. | Vänta tills de andra installationerna har slutförts och starta om datorn om det behövs. |
| System.InvalidOperationException: Instansen Microsoft.Tri.Gateway finns inte i den angivna kategorin. | PID:erna aktiverades för processnamn i ATA Gateway | Se Hantera duplicerade instansnamn för att inaktivera PID i processnamn |
| 'System.InvalidOperationException: Kategorin finns inte. | Räknare kan vara inaktiverade i registret | Använda KB2554336 för att återskapa prestandaräknare |
| System.ApplicationException: Det går inte att starta ETW-sessionen MMA-ETW-Livecapture-a4f595bd-f567-49a7-b963-20fa4e370329 | Det finns en värdpost i HOSTS-filen som pekar på datorns kortnamn | Ta bort värdposten från C:\Windows\System32\drivers\etc\HOSTS-filen eller ändra den till ett FQDN. |
| System.IO.IOException: Autentiseringen misslyckades eftersom fjärrparten har stängt transportströmmen eller inte kunde skapa en säker SSL/TLS-kanal | TLS 1.0 är inaktiverat på ATA Gateway, men .Net är inställt på att använda TLS 1.2 | Aktivera TLS 1.2 för .Net genom att ange att registernycklarna ska använda operativsystemets standardinställningar för SSL och TLS enligt följande:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] " SchUseStrongCrypto"=dword:00000001
|
| System.TypeLoadException: Det gick inte att läsa in typen 'Microsoft.Opn.Runtime.Values.BinaryValueBufferManager' från sammansättningen 'Microsoft.Opn.Runtime, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35' | ATA Gateway kunde inte läsa in nödvändiga parsningsfiler. | Kontrollera om Microsoft Message Analyzer är installerat. Message Analyzer stöds inte för att installeras med ATA Gateway/Lightweight Gateway. Avinstallera Message Analyzer och starta om gatewaytjänsten. |
| System.Net.WebException: Fjärrservern returnerade ett fel: (407) Proxyautentisering krävs | ATA Gateway-kommunikationen med ATA Center störs av en proxyserver. | Inaktivera proxyn på ATA Gateway-datorn. Observera att proxyinställningarna kan vara per konto. |
| System.IO.DirectoryNotFoundException: Systemet kan inte hitta den angivna sökvägen. (Undantag från HRESULT: 0x80070003) | En eller flera av de tjänster som behövdes för att driva ATA startade inte. | Starta följande tjänster: Prestandaloggar och aviseringar (PLA), Schemaläggaren (schema). |
| System.Net.WebException: Fjärrservern returnerade ett fel: (403) Förbjudet | ATA Gateway eller Lightweight Gateway kunde inte upprätta en HTTP-anslutning eftersom ATA Center inte är betrodd. | Lägg till NetBIOS-namnet och FQDN för ATA Center i listan över betrodda webbplatser och rensa cacheminnet i Internet Explorer (eller namnet på ATA Center som anges i konfigurationen om den konfigurerade är annorlunda än NetBIOS/FQDN). |
| System.Net.Http.HttpRequestException: Det uppstod ett fel vid PostAsync [requestTypeName=StopNetEventSessionRequest] | ATA Gateway eller ATA Lightweight Gateway kan inte stoppa och starta ETW-sessionen som samlar in nätverkstrafik på grund av ett WMI-problem | Följ anvisningarna i WMI: Återskapa WMI-lagringsplatsen för att åtgärda WMI-problemet |
| System.Net.Sockets.SocketException: Ett försök gjordes att komma åt en socket på ett sätt som är förbjudet av dess åtkomstbehörigheter | Ett annat program använder port 514 på ATA Gateway | Använd netstat -o för att fastställa vilken process som använder den porten. |
Driftsättningsfel
| Error | Beskrivning | Lösning |
|---|---|---|
| Installationen av .Net Framework 4.6.1 misslyckas med fel 0x800713ec | Kraven för .Net Framework 4.6.1 är inte installerade på servern. | Innan du installerar ATA kontrollerar du att Windows-uppdateringarna KB2919442 och KB2919355 är installerade på servern. |
| System.Threading.Tasks.TaskCanceledException: En uppgift avbröts | Implementeringsprocessen överskred tidsgränsen eftersom den inte kunde nå ATA Center. | 1. Kontrollera nätverksanslutningen till ATA Center genom att bläddra till den med dess IP-adress. 2. Sök efter proxy- eller brandväggskonfiguration. |
| System.Net.Http.HttpRequestException: Ett fel uppstod när begäran skickades. >--- System.Net.WebException: Fjärrservern returnerade ett fel: (407) Proxyautentisering krävs. | Distributionsprocessen nådde tidsgränsen eftersom den inte kunde nå ATA Center på grund av en felaktig proxykonfiguration. | Inaktivera proxykonfigurationen före distributionen och aktivera sedan proxykonfigurationen igen. Du kan också konfigurera ett undantag i proxyn. |
| System.Net.Sockets.SocketException: En befintlig anslutning stängdes med tvång av fjärrvärden | Aktivera TLS 1.2 för .Net genom att ange att registernycklarna ska använda operativsystemets standardinställningar för SSL och TLS enligt följande:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
|
|
| Fel [\[]DeploymentModel[\]] Misslyckad hanteringsautentisering [\[]CurrentlyLoggedOnUser=<domain>\<username>Status=FailedAuthentication Exception=[\]] | Distributionsprocessen för ATA Gateway eller ATA Lightweight Gateway kunde inte autentiseras mot ATA Center | Öppna en webbläsare från den dator där distributionsprocessen misslyckades och se om du kan nå ATA-konsolen.
Om inte kan du börja felsöka för att se varför webbläsaren inte kan autentisera mot ATA Center. Saker att kontrollera: Proxykonfiguration Nätverksproblem Grupprincipinställningar för autentisering på den datorn som skiljer sig från ATA Center. |
| Fel [\[]DeploymentModel[\]] Misslyckad hanteringsautentisering | Validering av centercertifikat misslyckades | Center-certifikatet kan kräva en Internetanslutning för validering. Kontrollera att gatewaytjänsten har rätt proxykonfiguration för att aktivera anslutningen och valideringen. |
| När du distribuerar Center och väljer ett certifikat rapporteras felet "Stöds inte" | Detta kan inträffa om det valda certifikatet inte uppfyller kraven eller om certifikatets privata nyckel inte är tillgänglig. | Kontrollera att du kör distributionen med förhöjd behörighet (Kör som administratör) och att det valda certifikatet uppfyller kraven. |
ATA Center-fel
| Error | Beskrivning | Lösning |
|---|---|---|
| System.Security.Cryptography.CryptographicException: Åtkomst nekad. | ATA Center kunde inte använda det utfärdade certifikatet för dekryptering. Detta inträffade troligen på grund av användning av ett certifikat med KeySpec (KeyNumber) inställt på Signatur (AT\_SIGNATURE) som inte stöds för dekryptering, i stället för att använda KeyExchange (AT\_KEYEXCHANGE). | 1. Stoppa ATA Center-tjänsten. 2. Ta bort ATA Center-certifikatet från centrets certifikatarkiv. (Kontrollera att certifikatet säkerhetskopieras med den privata nyckeln i en PFX-fil innan du tar bort det.) 3. Öppna en upphöjd kommandotolk och kör certutil -importpfx "CenterCertificate.pfx" AT\_KEYEXCHANGE 4. Starta ATA Center-tjänsten. 5. Kontrollera att allt nu fungerar som förväntat. |
Problem med ATA Gateway och Lightweight Gateway
| Problematik | Beskrivning | Lösning |
|---|---|---|
| Ingen trafik tas emot från domänkontrollanten, men hälsoaviseringar observeras | Ingen trafik togs emot från en domänkontrollant med portspegling via en ATA Gateway | Inaktivera dessa funktioner i Avancerade inställningar på ATA Gateway Capture NIC: Sammankoppling av mottagarsegment (IPv4) Sammankoppling av mottagarsegment (IPv6) |
| Den här hälsoaviseringen visas: Viss nätverkstrafik analyseras inte | Om du har en ATA Gateway eller Lightweight Gateway på virtuella VMware-datorer kan du få den här hälsoaviseringen. Detta inträffar på grund av ett konfigurationsfel i VMware. | Ange följande inställningar till 0 eller Inaktiverad i NIC-konfigurationen för den virtuella datorn: TsoEnable, LargeSendOffload, TSO Offload, Giant TSO Offload |
Gruppläge för flera processorer
För Windows-operativsystemen 2008R2 och 2012 stöds inte ATA Gateway i gruppläge för flera processorer .
Föreslagna möjliga lösningar:
Om hypertrådning är aktiverat, stäng av det. Detta kan minska antalet logiska kärnor tillräckligt för att undvika behovet av att köras i Multi-Processorgrupp läge.
Om datorn har färre än 64 logiska kärnor och körs på en HP-värd kanske du kan ändra BIOS-inställningen för NUMA-gruppstorleksoptimering från standardinställningen Klustrad till Platt.