既知のMicrosoft Defender for Identityのトラブルシューティング

センサーの失敗による通信エラー

次のセンサーの失敗によるエラーが発生した場合:

System.Net.Http.HttpRequestException:この要求の送信中にエラーが発生しました。 ---> System.Net.WebException:リモート サーバー System.Net.Sockets.SocketException に接続できません:接続済みの呼び出し先が一定の時間を過ぎても正しく応答しなかったため、接続できませんでした。または接続済みのホストが応答しなかったため、確立された接続は失敗しました...

解決方法:

localhost、TCP ポート 444 の通信がブロックされていないか確認します。 前提条件の詳細については、「 Microsoft Defender for Identity ポート」を 参照してください

展開ログの場所

展開 Defender for Identity ログは、製品をインストールしたユーザーの一時ディレクトリにあります。 既定のインストール場所として、C:\Users\Administrator\AppData\Local\Temp (または %temp% の 1 つ上のディレクトリ) に配置されます。 詳細については、「ログを使用した トラブルシューティング」 Defender for Identity を参照してください。

プロキシ認証の問題がライセンス エラーとして示される

センサーのインストール中に、エラー"ライセンスの問題により、センサーを登録できませんでした" が表示される場合。

展開ログ エントリ:

[1C60:1AA8][2018-03-24T23:59:13]i000:2018-03-25 02:59:13.1237 Info InteractiveDeploymentManager ValidateCreateSensorAsync returned [validateCreateSensorResult=LicenseInvalid]] [1C60:1AA8][2018-03-24T23:59:56]i000:2018-03-25 02:59:56.4856 Info InteractiveDeploymentManager ValidateCreateSensorAsync returned [validateCreateSensorResult=LicenseInvalid]] [1C60:1AA8][2018-03-25T00:27:56]i000:2018-03-25 03:27:56.7399 Debug SensorBootstrapperApplication Engine.Quit [deploymentResultStatus=1602 isRestartRequired=False]] [1C60:15B8][2018-03-25T00:27:56]i500:Shutting down, exit code:0x642

原因:

場合によっては、プロキシ経由で通信するときに、認証中にエラー Defender for Identity 407 ではなくエラー 401 または 403 でセンサーに応答する場合があります。 センサー Defender for Identity は、エラー 401 または 403 を、プロキシ認証の問題としてではなく、ライセンスの問題として解釈します。

解決方法:

センサーが、認証なしで構成されたプロキシ経由で *.atp.azure.com を参照できることを確認してください。 詳細については、「通信を有効に するためにプロキシを構成する」を参照してください

プロキシ認証の問題が接続エラーとして示される

センサーのインストール中に、エラー "センサーからサービスに接続できませんでした。 " が表示される場合。

原因:

この問題は、 で必要なルート証明書が見つからないか、最新ではないなど、Server Core での透過プロキシ構成エラーが原因 Defender for Identity で発生する可能性があります。

解決方法:

次の PowerShell コマンドレットを実行して、サービスの信頼された Defender for Identity ルート証明書が Server Core に存在することを確認します。

次の例では、すべての顧客に対して "DigiCert Baltimore Root" 証明書を使用します。 さらに、商用のお客様向け "DigiCert Global Root G2" 証明書を使用するか、米国政府機関 GCC High のお客様向け "DigiCert Global Root CA" 証明書を使用します(図参照)。

# Certificate for all customers
Get-ChildItem -Path "Cert:\LocalMachine\Root" | where { $_.Thumbprint -eq "D4DE20D05E66FC53FE1A50882C78DB2852CAE474"} | fl

# Certificate for commercial customers
Get-ChildItem -Path "Cert:\LocalMachine\Root" | where { $_.Thumbprint -eq "df3c24f9bfd666761b268073fe06d1cc8d4f82a4"} | fl

# Certificate for US Government GCC High customers
Get-ChildItem -Path "Cert:\LocalMachine\Root" | where { $_.Thumbprint -eq "a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436"} | fl

すべての顧客の証明書の出力:

Subject      : CN=Baltimore CyberTrust Root, OU=CyberTrust, O=Baltimore, C=IE
Issuer       : CN=Baltimore CyberTrust Root, OU=CyberTrust, O=Baltimore, C=IE
Thumbprint   : D4DE20D05E66FC53FE1A50882C78DB2852CAE474
FriendlyName : DigiCert Baltimore Root
NotBefore    : 5/12/2000 11:46:00 AM
NotAfter     : 5/12/2025 4:59:00 PM
Extensions   : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid}

商用顧客証明書の証明書の出力:

Subject      : CN=DigiCert Global Root G2, OU=www.digicert.com, O=DigiCert Inc, C=US
Issuer       : CN=DigiCert Global Root G2, OU=www.digicert.com, O=DigiCert Inc, C=US
Thumbprint   : DF3C24F9BFD666761B268073FE06D1CC8D4F82A4
FriendlyName : DigiCert Global Root G2
NotBefore    : 01/08/2013 15:00:00
NotAfter     : 15/01/2038 14:00:00
Extensions   : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid}

米国政府機関向け証明書の出力GCC高い顧客:

Subject      : CN=DigiCert Global Root CA, OU=www.digicert.com, O=DigiCert Inc, C=US
Issuer       : CN=DigiCert Global Root CA, OU=www.digicert.com, O=DigiCert Inc, C=US
Thumbprint   : A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436
FriendlyName : DigiCert
NotBefore    : 11/9/2006 4:00:00 PM
NotAfter     : 11/9/2031 4:00:00 PM
Extensions   : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid}

予想される出力が表示できない場合は、次の手順を使用します。

  1. 次の証明書を Server Core コンピューターにダウンロードします。 すべてのお客様に対して 、Baltimore CyberTrust ルート証明書をダウンロード します。

    さらに:

  2. 次の PowerShell コマンドレットを実行して、証明書をインストールします。

    # For all customers, install certificate
    Import-Certificate -FilePath "<PATH_TO_CERTIFICATE_FILE>\bc2025.crt" -CertStoreLocation Cert:\LocalMachine\Root
    
    # For commercial customers, install certificate
    Import-Certificate -FilePath "<PATH_TO_CERTIFICATE_FILE>\DigiCertGlobalRootG2.crt" -CertStoreLocation Cert:\LocalMachine\Root
    
    # For US Government GCC High customers, install certificate
    Import-Certificate -FilePath "<PATH_TO_CERTIFICATE_FILE>\DigiCertGlobalRootCA.crt" -CertStoreLocation Cert:\LocalMachine\Root
    

PowerShell を使用しようとするとサイレント インストール エラーが発生する

サイレント センサーのインストール中に PowerShell を使用しようとすると、次のエラーが発生します。

"Azure ATP sensor Setup.exe" "/quiet" NetFrameworkCommandLineArguments="/q" Acce ... Unexpected token '"/quiet"' in expression or statement."

原因:

PowerShell を使用するときにインストールに必要な ./ プレフィックスを含めない場合、このエラーが発生します。

解決方法:

正常にインストールするには、完全なコマンドを使います。

./"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"

Defender for Identity センサーの NIC チーマリングの問題

NIC チーマリング アダプターを使用して構成されたコンピューターにセンサーをインストールしようとすると Defender for Identity 、インストール エラーが発生します。 NIC チーマリングを使用して構成されたコンピューターにセンサーをインストールする場合は、次の手順に従って Npcap ドライバーを Defender for Identity 展開してください

マルチ プロセッサ グループ モード

オペレーティング Windows 2008R2 および 2012 の場合、Sensor はマルチ プロセッサ グループ Defender for Identity モードではサポートされていません。

考えられる回避策を次に示します。

  • ハイパー スレッディングが有効になっている場合は、オフにします。 これにより、論理コアの数が減り、マルチ プロセッサ グループ モードで実行する必要性を回避できる場合があります。

  • マシンの論理コア数が 64 未満で、HP ホストで実行されている場合は 、NUMA グループ サイズの最適化 BIOS 設定を既定の [クラスター化] から [フラット] に 変更できます。

Microsoft Defender for Endpoint の統合に関する問題

Defender for Identity を使用すると Defender for Identity 、Microsoft Defender for Endpoint と統合できます。 詳細 については Defender for Identity 、「Microsoft Defender for Endpoint との統合」 を参照してください。

VMware 仮想マシンのセンサーの問題

VMware 仮想マシンにセンサーがある場合は、正常性アラートを受け取る場合があります。一部のネットワーク Defender for Identity トラフィックは分析されません。 これは、VMware での構成の不一致が原因で発生する可能性があります。

解決策は以下のとおりです。

ゲスト OS で、仮想マシンの NIC 構成 [無効] に設定します 。IPv4 の [OFFLOAD] を選択します

VMware センサーの問題。

次のコマンドを使用して、Large Send Offload (LSO) が有効になっているか、無効になっているかを確認します。

Get-NetAdapterAdvancedProperty | Where-Object DisplayName -Match "^Large*"

LSO の状態を確認します。

LSO が有効になっている場合は、次のコマンドを使用して無効にします。

Disable-NetAdapterLso -Name {name of adapter}

LSO の状態を無効にします。

注意

  • 構成によっては、これらのアクションによってネットワーク接続が短時間失われる可能性があります。
  • これらの変更を有効にするために、コンピューターの再起動が必要な場合があります。
  • これらの手順は、VMWare のバージョンによって異なる場合があります。 VMWare のバージョンに対して LSO/TSO を無効にする方法については、VMWare のドキュメントを参照してください。

センサーでグループのマネージド サービス アカウント (gMSA) の資格情報の取得に失敗した

次の正常性アラートを受信した場合:ディレクトリ サービス ユーザーの資格情報が正しくありません

センサー ログ エントリ:

2020-02-17 14:01:36.5315 Info ImpersonationManager CreateImpersonatorAsync started [UserName=account_name Domain=domain1.test.local IsGroupManagedServiceAccount=True] 2020-02-17 14:01:36.5750 Info ImpersonationManager CreateImpersonatorAsync finished [UserName=account_name Domain=domain1.test.local IsSuccess=False]

センサーのアップデーター ログ エントリ:

2020-02-17 14:02:19.6258 Warn GroupManagedServiceAccountImpersonationHelper GetGroupManagedServiceAccountAccessTokenAsync failed GMSA password could not be retrieved [errorCode=AccessDenied AccountName=account_name DomainDnsName=domain1.test.local]

センサーが gMSA アカウントのパスワードを取得できなかった。

原因 1

ドメイン コントローラーに、gMSA アカウントのパスワードを取得するアクセス許可が付与されていない。

解決方法 1:

ドメイン コントローラー コンピューターに、gMSA アカウントのパスワードを取得するためのアクセス許可が付与されている必要があります。

原因 2

センサー サービスは LocalService として実行され 、ディレクトリ サービス アカウントの偽装を実行します。

ユーザー権限の割り当てポリシー [サービスとしてログオン] がこのドメイン コントローラーに対して構成されている場合、gMSA アカウントにサービスとしてログオンアクセス許可が付与されていない限り、偽装は 失敗 します。

解決方法 2:

ユーザー 権限の割り当て ポリシー [サービスとしてログオン] が影響を受けるドメイン コントローラーで構成されている場合は、gMSA アカウントのサービスとしてログオンを構成します。

原因 3

適切なアクセス許可を持つセキュリティ グループにドメイン コントローラーが追加される前にドメイン コントローラー Kerberos チケットが発行された場合、このグループは Kerberos チケットの一部ではありません。 そのため、gMSA アカウントのパスワードを取得することはできません。

解決策 3:

この問題を解決するには、次のいずれかの操作を行います。

  • ドメイン コントローラーを再起動します。

  • Kerberos チケットを消去し、ドメイン コントローラーに新しい Kerberos チケットを要求するよう要求します。 ドメイン コントローラーの管理者コマンド プロンプトから、次のコマンドを実行します。

    klist -li 0:0x3e7 purge

  • ドメイン コントローラーが既にメンバーであるグループ (ドメイン コントローラー グループなど) に gMSA のパスワードを取得するアクセス許可を割り当てる。

センサー サービスの開始に失敗する

センサー ログ エントリ:

警告 Directoryservices クライアント CreateLdapConnectionAsync は、グループの管理されたサービスアカウントのパスワードを取得できませんでした。 [DomainControllerDnsName = DC1。製薬.ローカルドメイン = contoso. ローカルユーザー名 = AATP_gMSA]

原因:

ドメインコントローラには、gSMA アカウントのパスワードにアクセスする権限が与えられていません。

解決方法:

ドメインコントローラにパスワードへのアクセス権が付与されていることを確認します。 Active Directory には、ドメインコントローラーとスタンドアロンセンサーを含むセキュリティグループが必要です。 存在しない場合は、作成することをお勧めします。

次のコマンドを使用して、コンピューターまたはセキュリティグループがパラメーターに追加されているかどうかを確認できます。 AccountName を、作成した名前に置き換えます。

Get-ADServiceAccount AccountName -Properties PrincipalsAllowedToRetrieveManagedPassword

結果は次のようになります。

Powershell の結果。

この例では、ドメインコントローラー Aatpdemo が追加されていることがわかります。 ドメインコントローラーまたはセキュリティグループが追加されていない場合は、次のコマンドを使用して追加できます。 の 場合は 、ドメインコントローラーの名前またはセキュリティグループの名前に置き換えます。

Set-ADServiceAccount gmsaAccountName -PrincipalsAllowedToRetrieveManagedPassword Host1

ドメインコントローラーまたはセキュリティグループが既に追加されていてもエラーが表示される場合は、次の手順を試してください。

  • オプション 1: サーバーを再起動して、最近の変更を同期する
  • オプション 2:
    1. AatpsensorAatpsensorupdater を停止する
    2. サーバーへのキャッシュサービスアカウント: Install-ADServiceAccount AccountName
    3. Aatpsensor を開始する

レポートのダウンロードに 30 万個を超えるエントリを含めることができない

Defender for Identity では、レポートごとに30万を超えるエントリを含むレポートのダウンロードはサポートされていません。 30 万個を超えるエントリが含まれている場合、レポートは不完全に表示されます。

原因:

これは技術的な制限です。

解決方法:

既知の解決策はありません。

センサーがイベントログを列挙できません

コンソール内のセキュリティイベントアラートまたは論理アクティビティの数が制限されているか、存在しない場合、 Defender for Identity 正常性アラートはトリガーされません。

センサー ログ エントリ:

エラー EventLogException EventLogException: 文字列 System.Diagnostics.Eventing.Reader.EventLogRecord.get_ContainerLog () で、ハンドルが void EventLogException (int errorCode) で無効になっています。 (EventLogHandle handle, EvtEventPropertyId enumType) で、string () を指定してください ()。 handle (handle,))

原因:

随意 Access Control リストは、ローカルサービスアカウントによって必要なイベントログへのアクセスを制限しています。

解決方法:

随意 Access Control の一覧に次のエントリが含まれていることを確認します。

(A;;0x1;;;S-1-5-80-818380073-2995186456-1411405591-3990468014-3617507088)

関連項目