Solución de problemas conocidos de ATA
Se aplica a: Advanced Threat Analytics versión 1.9
En esta sección se detallan los posibles errores en las implementaciones de ATA y los pasos necesarios para solucionarlos.
Errores de puerta de enlace de ATA y puerta de enlace ligera
| Error | Descripción | Resolución |
|---|---|---|
| System.DirectoryServices.Protocols.LdapException: se ha producido un error local | La puerta de enlace de ATA no se pudo autenticar en el controlador de dominio. | 1. Confirme que el registro DNS del controlador de dominio está configurado correctamente en el servidor DNS. 2. Compruebe que la hora de la puerta de enlace de ATA está sincronizada con la hora del controlador de dominio. |
| System.IdentityModel.Tokens.SecurityTokenValidationException: no se pudo validar la cadena de certificados | La puerta de enlace de ATA no pudo validar el certificado del Centro de ATA. | 1. Compruebe que el certificado de entidad de certificación raíz está instalado en el almacén de certificados de la entidad de certificación de confianza en la puerta de enlace de ATA. 2. Valide que la lista de revocación de certificados (CRL) está disponible y que se puede realizar la validación de revocación de certificados. |
| Microsoft.Common.ExtendedException: no se pudo analizar el tiempo generado | La puerta de enlace de ATA no pudo analizar los mensajes de syslog que se reenviaron desde SIEM. | Compruebe que el SIEM está configurado para reenviar los mensajes en uno de los formatos admitidos por ATA. |
| System.ServiceModel.FaultException: error al comprobar la seguridad del mensaje. | La puerta de enlace de ATA no se pudo autenticar en el Centro de ATA. | Compruebe que la hora de la puerta de enlace de ATA está sincronizada con la hora del Centro de ATA. |
| System.ServiceModel.EndpointNotFoundException: no se pudo conectar a net.tcp://center.ip.addr:443/IEntityReceiver | La puerta de enlace de ATA no pudo establecer una conexión con el Centro de ATA. | Asegúrese de que la configuración de red sea correcta y de que la conexión de red entre la puerta de enlace de ATA y el Centro de ATA esté activa. |
| System.DirectoryServices.Protocols.LdapException: el servidor LDAP no está disponible. | La puerta de enlace de ATA no pudo consultar el controlador de dominio mediante el protocolo LDAP. | 1. Compruebe que la cuenta de usuario utilizada por ATA para conectarse al dominio de Active Directory tiene acceso de lectura a todos los objetos del árbol de Active Directory. 2. Asegúrese de que el controlador de dominio no está protegido para evitar las consultas LDAP de la cuenta de usuario usadas por ATA. |
| Microsoft.Tri.Infrastructure.ContractException: excepción de contrato | La puerta de enlace de ATA no pudo sincronizar la configuración desde el Centro de ATA. | Configuración completa de la puerta de enlace de ATA en la consola de ATA. |
| System.Reflection.ReflectionTypeLoadException: no se puede cargar uno o varios de los tipos solicitados. Recupere la propiedad LoaderExceptions para obtener más información. | El Analizador de mensajes se instala en la puerta de enlace de ATA. | Desinstale el Analizador de mensajes. |
| Error [Layout] System.OutOfMemoryException: se ha producido una excepción de tipo "System.OutOfMemoryException". | La puerta de enlace de ATA no tiene suficiente memoria. | Aumente la cantidad de memoria en el controlador de dominio. |
| No se puede iniciar el consumidor activo ---> Microsoft.Opn.Runtime.Monitoring.MessageSessionException: el proveedor de eventos PEFNDIS no está listo | PEF (Analizador de mensajes) no se instaló correctamente. | Si usa Hyper-V, intente actualizar los servicios de integración de Hyper-V de lo contrario, póngase en contacto con el soporte técnico para obtener una solución alternativa. |
| Error 0x80070652 en la instalación | Hay otras instalaciones pendientes en el equipo. | Espere a que se completen las demás instalaciones y, si es necesario, reinicie el equipo. |
| System.InvalidOperationException: la instancia "Microsoft.Tri.Gateway" no existe en la categoría especificada. | Los PID se habilitaron para los nombres de proceso en la puerta de enlace de ATA | Consulte Control de nombres de instancia duplicados para deshabilitar los PID en los nombres de proceso |
| 'System.InvalidOperationException: la categoría no existe. | Es posible que los contadores estén deshabilitados en el Registro | Uso de KB2554336 para volver a generar contadores de rendimiento |
| System.ApplicationException: no se puede iniciar la sesión ETW MMA-ETW-Livecapture-a4f595bd-f567-49a7-b963-20fa4e370329 | Hay una entrada de host en el archivo HOSTS que apunta al nombre corto de la máquina | Quite la entrada del host de C:\Windows\System32\drivers\etc\HOSTS o cámbiela a un FQDN. |
| System.IO.IOException: error de autenticación porque la entidad remota ha cerrado la secuencia de transporte o no pudo crear un canal seguro SSL/TLS | TLS 1.0 está deshabilitado en la puerta de enlace de ATA, pero .Net está establecido para usar TLS 1.2 | Habilite TLS 1.2 para .Net estableciendo las claves del Registro para que usen los valores predeterminados del sistema operativo para SSL y TLS, como se indica a continuación:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] " SchUseStrongCrypto"=dword:00000001 |
| System.TypeLoadException: no se pudo cargar el tipo 'Microsoft.Opn.Runtime.Values.BinaryValueBufferManager' del ensamblado 'Microsoft.Opn.Runtime, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35' | La puerta de enlace de ATA no pudo cargar los archivos de análisis necesarios. | Compruebe si el Analizador de mensajes de Microsoft está instalado actualmente. El Analizador de mensajes no es compatible con la puerta de enlace de ATA o la puerta de enlace ligera. Desinstale el Analizador de mensajes y reinicie el servicio de puerta de enlace. |
| System.Net.WebException: error en el servidor remoto: (407) Se requiere autorización del proxy | Un servidor proxy interrumpe la comunicación de puerta de enlace de ATA con el Centro de ATA. | Deshabilite el proxy en la máquina de la puerta de enlace de ATA. Tenga en cuenta que la configuración del proxy puede ser por cuenta. |
| System.IO.DirectoryNotFoundException: el sistema no encuentra la ruta de acceso especificada. (Excepción de HRESULT: 0x80070003) | Uno o varios de los servicios necesarios para operar ATA no se iniciaron. | Inicie los siguientes servicios: Registros y alertas de rendimiento (PLA), Programador de tareas (Programación). |
| System.Net.WebException: Error en el servidor remoto: (403) Prohibido | La puerta de enlace de ATA o la puerta de enlace ligera no tenían prohibido establecer una conexión HTTP porque el Centro de ATA no es de confianza. | Agregue el nombre NetBIOS y el FQDN del Centro de ATA a la lista de sitios web de confianza y borre la memoria caché en Internet Explorer (o el nombre del Centro de ATA tal y como se especifica en la configuración si el configurado es diferente que netBIOS/FQDN). |
| System.Net.Http.HttpRequestException: Error de PostAsync [requestTypeName=StopNetEventSessionRequest] | La puerta de enlace de ATA o la puerta de enlace ligera de ATA no se pueden detener e iniciar la sesión ETW que recopila el tráfico de red debido a un problema de WMI | Siga las instrucciones de WMI: Volver a generar el repositorio WMI para corregir el problema de WMI |
| System.Net.Sockets.SocketException: intento de obtener acceso a un socket de una manera no permitida por los permisos de acceso | Otra aplicación usa el puerto 514 en la puerta de enlace de ATA | Use netstat -o para establecer qué proceso usa ese puerto. |
Errores de implementación
| Error | Descripción | Resolución |
|---|---|---|
| Se produce un error en la instalación de .Net Framework 4.6.1 con el error 0x800713ec | Los requisitos previos para .Net Framework 4.6.1 no están instalados en el servidor. | Antes de instalar ATA, compruebe que las actualizaciones de Windows KB2919442 y KB2919355 estén instaladas en el servidor. |
| System.Threading.Tasks.TaskCanceledException: se canceló una tarea | El proceso de implementación agota el tiempo de espera, ya que no pudo acceder al Centro de ATA. | 1. Para comprobar la conectividad de red con el Centro de ATA, vaya a ella mediante su dirección IP. 2. Compruebe si hay configuración de proxy o firewall. |
| System.Net.Http.HttpRequestException: error al enviar la solicitud. ---> System.Net.WebException: error en el servidor remoto: (407) Se requiere autorización del proxy. | El proceso de implementación agota el tiempo de espera, ya que no pudo acceder al Centro de ATA debido a una configuración incorrecta del proxy. | Deshabilite la configuración del proxy antes de la implementación y vuelva a habilitar la configuración del proxy. Como alternativa, puede configurar una excepción en el proxy. |
| System.Net.Sockets.SocketException: el host remoto ha cerrado forzosamente una conexión existente | Habilite TLS 1.2 para .Net estableciendo las claves del Registro para que usen los valores predeterminados del sistema operativo para SSL y TLS, como se indica a continuación:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 |
|
| Error [\[]DeploymentModel[\]] Error de autenticación de administración [\[]CurrentlyLoggedOnUser=<domain>\<username>Status=FailedAuthentication Exception=[\]] | El proceso de implementación de la puerta de enlace de ATA o la puerta de enlace ligera de ATA no se pudo autenticar correctamente en el Centro de ATA | Abra un explorador desde la máquina en la que se produjo un error en el proceso de implementación y vea si puede acceder a la consola de ATA. Si no es así, empiece a solucionar problemas para ver por qué el explorador no se puede autenticar en el Centro de ATA. Aspectos que se deben comprobar: configuración de proxyProblemas de redesConfiguración de directiva de grupo para la autenticación en esa máquina que difiere del Centro ATA. |
| Error [\[]DeploymentModel[\]] Error de autenticación de administración | Error de validación de certificado del centro | El certificado del Centro puede requerir una conexión a Internet para la validación. Asegúrese de que el servicio de puerta de enlace tiene la configuración de proxy adecuada para habilitar la conexión y la validación. |
| Al implementar el Centro y seleccionar un certificado, se notifica un error "No admitido" | Esto puede ocurrir si el certificado seleccionado no cumple los requisitos o no se puede acceder a la clave privada del certificado. | Asegúrese de que ejecuta la implementación con privilegios elevados (ejecutar como administrador) y de que el certificado seleccionado cumple los requisitos. |
Errores del Centro de ATA
| Error | Descripción | Resolución |
|---|---|---|
| System.Security.Cryptography.CryptographicException: acceso denegado. | El Centro de ATA no pudo usar el certificado emitido para el descifrado. Esto probablemente se ha producido debido al uso de un certificado con KeySpec (KeyNumber) establecido en Firma (AT\_SIGNATURE), que no se admite para el descifrado, en lugar de usar KeyExchange (AT\_KEYEXCHANGE). | 1. Detenga el servicio del Centro de ATA. 2. Elimine el certificado del Centro de ATA del almacén de certificados del centro. (Antes de eliminarlo, asegúrese de que ha realizado una copia de seguridad del certificado con la clave privada en un archivo PFX). 3. Abra un símbolo del sistema con privilegios elevados y ejecute certutil -importpfx "CenterCertificate.pfx" AT\_KEYEXCHANGE 4. Inicie el servicio del Centro de ATA. 5. Verifique que todo funciona ahora como se esperaba. |
Problemas de puerta de enlace de ATA y puerta de enlace ligera
| Problema | Descripción | Resolución |
|---|---|---|
| No se recibe tráfico del controlador de dominio, pero se observan alertas de estado | No se recibió tráfico de un controlador de dominio con la creación de reflejo del puerto a través de una puerta de enlace de ATA | En la NIC de captura de la puerta de enlace de ATA, deshabilite estas características en Configuración avanzada: Fusión de segmentos de recepción (IPv4) Fusión de segmentos de recepción (IPv6) |
| Esta alerta de estado se muestra: no se está analizando el tráfico de red | Si tiene una puerta de enlace de ATA o una puerta de enlace ligera en máquinas virtuales de VMware, es posible que reciba esta alerta de estado. Esto sucede debido a una falta de coincidencia de configuración en VMware. | Establezca la siguiente configuración en 0 o Deshabilitado en la configuración de NIC de la máquina virtual: TsoEnable, LargeSendOffload, TSO Offload, Giant TSO Offload |
Modo de grupo de varios procesadores
En el caso de los sistemas operativos Windows 2008R2 y 2012, la puerta de enlace de ATA no se admite en el modo de grupo de varios procesadores.
Posibles soluciones alternativas sugeridas:
Si hyperthreading está activado, desactívelo. Esto puede reducir el número de núcleos lógicos suficientes para evitar tener que ejecutarse en modo de grupo de varios procesadores.
Si la máquina tiene menos de 64 núcleos lógicos y se ejecuta en un host de HP, es posible que pueda cambiar la configuración de BIOS de optimización de tamaño de grupo NUMA del valor predeterminado de Clustered a Flat.