Microsoft Defender for Identity の既知の問題のトラブルシューティング
この記事では、Microsoft Defender for Identity の既知の問題をトラブルシューティングする方法について説明します。
センサー障害コミュニケーション エラー
次のセンサー障害のエラーが表示された場合:
System.Net.Http.HttpRequestException:
An error occurred while sending the request. ---> System.Net.WebException:
Unable to connect to the remote server --->
System.Net.Sockets.SocketException: A connection attempt failed because the
connected party did not properly respond after a period of time, or established
connection failed because connected host has failed to respond...
解決策:
localhost、TCP ポート 444 の通信がブロックされていないことを確認します。 Microsoft Defender for Identity の前提条件の詳細については、「ポート」を参照してください。
展開ログの場所
Defender for Identity の展開ログは、製品をインストールしたユーザーの一時ディレクトリにあります。 既定のインストール場所は、C:\Users\Administrator\AppData\Local\Temp (または %temp% より 1 つ前のディレクトリ) にあります。 詳細については、「ログを使用した Defender for Identity のトラブルシューティング」を参照してください。
プロキシ認証の問題がライセンス エラーとして表示される
センサーのインストール中に次のエラーが表示される場合: ライセンスの問題により、センサーの登録に失敗しました。
展開ログ エントリ:
[1C60:1AA8][2018-03-24T23:59:13]i000: 2018-03-25 02:59:13.1237 Info InteractiveDeploymentManager ValidateCreateSensorAsync returned [validateCreateSensorResult=LicenseInvalid]]
[1C60:1AA8][2018-03-24T23:59:56]i000: 2018-03-25 02:59:56.4856 Info InteractiveDeploymentManager ValidateCreateSensorAsync returned [validateCreateSensorResult=LicenseInvalid]]
[1C60:1AA8][2018-03-25T00:27:56]i000: 2018-03-25 03:27:56.7399 Debug SensorBootstrapperApplication Engine.Quit [deploymentResultStatus=1602 isRestartRequired=False]]
[1C60:15B8][2018-03-25T00:27:56]i500: Shutting down, exit code: 0x642
原因:
場合によっては、プロキシ経由で通信するときに、認証中にエラー 407 ではなく、エラー 401 または 403 で Defender for Identity センサーに応答することがあります。 Defender for Identity センサーは、エラー 401 または 403 を、プロキシ認証の問題ではなくライセンスの問題として解釈します。
解決策:
センサーが、認証なしで構成されたプロキシを介して *.atp.azure.com を参照できることを確認します。 詳細については、「通信を有効にするようにプロキシを構成する」を参照してください。
プロキシ認証の問題が接続エラーとして表示される
センサーのインストール中に次のエラーが表示される場合: センサーがサービスへの接続に失敗しました。
原因:
この問題は、Defender for Identity が必要とする信頼されたルート認証局の証明書が見つからない場合に発生する可能性があります。
解決策:
次の PowerShell コマンドレットを実行して、必要な証明書がインストールされていることを確認します。
次の例では、すべての顧客に対して "DigiCert Baltimore Root" 認定資格証を使用します。 さらに、商用の顧客には "DigiCert Global Root G2" 認定資格証を使用するか、米国政府 GCC High の顧客に対して "DigiCert Global Root CA" 認定資格証を使用します。
# Certificate for all customers
Get-ChildItem -Path "Cert:\LocalMachine\Root" | where { $_.Thumbprint -eq "D4DE20D05E66FC53FE1A50882C78DB2852CAE474"} | fl
# Certificate for commercial customers
Get-ChildItem -Path "Cert:\LocalMachine\Root" | where { $_.Thumbprint -eq "df3c24f9bfd666761b268073fe06d1cc8d4f82a4"} | fl
# Certificate for US Government GCC High customers
Get-ChildItem -Path "Cert:\LocalMachine\Root" | where { $_.Thumbprint -eq "a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436"} | fl
すべての顧客の認定資格証の出力:
Subject : CN=Baltimore CyberTrust Root, OU=CyberTrust, O=Baltimore, C=IE
Issuer : CN=Baltimore CyberTrust Root, OU=CyberTrust, O=Baltimore, C=IE
Thumbprint : D4DE20D05E66FC53FE1A50882C78DB2852CAE474
FriendlyName : DigiCert Baltimore Root
NotBefore : 5/12/2000 11:46:00 AM
NotAfter : 5/12/2025 4:59:00 PM
Extensions : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid}
商用顧客認定資格証の認定資格証の出力:
Subject : CN=DigiCert Global Root G2, OU=www.digicert.com, O=DigiCert Inc, C=US
Issuer : CN=DigiCert Global Root G2, OU=www.digicert.com, O=DigiCert Inc, C=US
Thumbprint : DF3C24F9BFD666761B268073FE06D1CC8D4F82A4
FriendlyName : DigiCert Global Root G2
NotBefore : 01/08/2013 15:00:00
NotAfter : 15/01/2038 14:00:00
Extensions : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid}
米国政府 GCC High 顧客の認定資格証の出力:
Subject : CN=DigiCert Global Root CA, OU=www.digicert.com, O=DigiCert Inc, C=US
Issuer : CN=DigiCert Global Root CA, OU=www.digicert.com, O=DigiCert Inc, C=US
Thumbprint : A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436
FriendlyName : DigiCert
NotBefore : 11/9/2006 4:00:00 PM
NotAfter : 11/9/2031 4:00:00 PM
Extensions : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid}
予想される出力が表示されない場合は、次の手順を使用します。
次の認定資格証を Server Core マシンにダウンロードします。 すべての顧客で、Baltimore CyberTrust ルート 認定資格証をダウンロードします。
さらに:
- 商用顧客の場合は、DigiCert Global Root G2 認定資格証をダウンロードします。
- 米国政府 GCC High 顧客の場合は、DigiCert グローバル ルート CA 認定資格証をダウンロードします
次の PowerShell コマンドレットを実行して、認定資格証をインストールします。
# For all customers, install certificate Import-Certificate -FilePath "<PATH_TO_CERTIFICATE_FILE>\bc2025.crt" -CertStoreLocation Cert:\LocalMachine\Root # For commercial customers, install certificate Import-Certificate -FilePath "<PATH_TO_CERTIFICATE_FILE>\DigiCertGlobalRootG2.crt" -CertStoreLocation Cert:\LocalMachine\Root # For US Government GCC High customers, install certificate Import-Certificate -FilePath "<PATH_TO_CERTIFICATE_FILE>\DigiCertGlobalRootCA.crt" -CertStoreLocation Cert:\LocalMachine\Root
PowerShell を使用しようとするとサイレント インストール エラーが発生する
サイレント センサーのインストール中に PowerShell を使用しようとすると、次のエラーが表示されます。
"Azure ATP sensor Setup.exe" "/quiet" NetFrameworkCommandLineArguments="/q" Acce ... Unexpected token '"/quiet"' in expression or statement."
原因:
PowerShell を使用するときにインストールに必要な ./ プレフィックスを含めない場合、このエラーが発生します。
解決策:
完全なコマンドを使用して正常にインストールします。
./"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"
Defender for Identity センサーの NIC チーミングの問題
NIC チーミング アダプターと Winpcap ドライバーが構成されたマシンに Defender for Identity センサーをインストールすると、インストール エラーが表示されます。 NIC チーミングが構成されたマシンに Defender for Identity センサーをインストールする場合は、ここでの手順に従って、Winpcap ドライバーを Npcap に置き換えてください。
マルチ プロセッサー グループ モード
Windows オペレーティング システム 2008R2 および 2012 の場合、マルチプロセッサ グループ モードでは Defender for Identity センサーはサポートされません。
考えられる回避策を次に示します。
ハイパー スレッディングがオンの場合は、オフにします。 これにより、マルチ プロセッサー グループ モードで実行する必要がないように、論理コアの数が減る場合があります。
お使いのコンピューターの論理コアが 64 未満で、HP ホストで実行されている場合は、[NUMA グループ サイズの最適化] BIOS 設定を既定の [クラスター化] から [フラット] に変更できる場合があります。
VMware 仮想マシン センサーの問題
VMware 仮想マシンに Defender for Identity センサーがある場合は、一部のネットワーク トラフィックが分析されていないという正常性アラートを受け取る可能性があります。 これは、VMware での構成の不一致が原因で発生します。
この問題を解決するには:
ゲスト OS で、仮想マシンの NIC 構成: [IPv4 TSO のオフロード] で次のように [無効] に設定します。
LSO (LSO) が有効または無効になっている場合は、次のコマンドを使用してチェックします。
Get-NetAdapterAdvancedProperty | Where-Object DisplayName -Match "^Large*"
LSO が有効になっている場合は、次のコマンドを使用して無効にします。
Disable-NetAdapterLso -Name {name of adapter}
Note
- 構成によっては、これらのアクションによってネットワーク接続が短時間の間失われる可能性があります。
- これらの変更を有効にするために、コンピューターの再起動が必要になる場合があります。
- これらの手順は、VMWare のバージョンによって異なる場合があります。 VMWare のバージョンに対して LSO/TSO を無効にする方法については、VMWare のドキュメントを参照してください。
センサーがグループ管理サービス アカウント (gMSA) 資格情報を取得できませんでした
次の正常性アラートを受け取った場合: ディレクトリ サービスのユーザー資格情報が正しくありません
センサー ログ エントリ:
2020-02-17 14:01:36.5315 Info ImpersonationManager CreateImpersonatorAsync started [UserName=account_name Domain=domain1.test.local IsGroupManagedServiceAccount=True]
2020-02-17 14:01:36.5750 Info ImpersonationManager CreateImpersonatorAsync finished [UserName=account_name Domain=domain1.test.local IsSuccess=False]
Sensor Updater のログ エントリ:
2020-02-17 14:02:19.6258 Warn GroupManagedServiceAccountImpersonationHelper GetGroupManagedServiceAccountAccessTokenAsync failed GMSA password could not be retrieved [errorCode=AccessDenied AccountName=account_name DomainDnsName=domain1.test.local]
センサーが gMSA アカウントのパスワードを取得できませんでした。
原因 1
ドメイン コントローラーには、gMSA アカウントのパスワードを取得するアクセス許可が付与されていません。
解決策 1:
センサーを実行しているコンピューターに、gMSA アカウントのパスワードを取得するためのアクセス許可が付与されていることを確認します。 詳細については、「gMSA アカウントのパスワードを取得するためのアクセス許可を付与する」を参照してください。
原因 2
センサー サービスは LocalService として実行され、ディレクトリ サービス アカウントの偽装を実行します。
この doメイン コントローラーに対してサービスとしてログオンするユーザー権利の割り当てポリシーが構成されている場合、gMSA アカウントにサービスとしてのログオン アクセス許可が付与されていない限り、偽装は失敗します。
解決策 2:
ユーザー権利の割り当てポリシーが影響を受けるドメイン コントローラーでサービスとしてログオンが構成されている場合は、gMSA アカウントのサービスとしてのログオンを構成します。 詳細については、「gMSA アカウントに必要な権限があることを確認する」を参照してください。
原因 3
ドメイン コントローラー Kerberos チケットがドメイン コントローラーが適切なアクセス許可を持つセキュリティ グループに追加される前に発行された場合、このグループは Kerberos チケットに含まれません。 そのため、gMSA アカウントのパスワードを取得することはできません。
解決策 3:
この問題を解決するには、次のいずれかを行ってください。
ドメイン コントローラーを再起動します。
Kerberos チケットを消去し、ドメイン コントローラーに新しい Kerberos チケットを要求するように強制します。 ドメイン コントローラーの管理者コマンド プロンプトから、次のコマンドを実行します:
klist -li 0x3e7 purgeドメイン コントローラーが既にメンバーになっているグループ (ドメイン コントローラー グループなど) に、gMSA のパスワードを取得するためのアクセス許可を割り当てます。
センサー サービスの開始に失敗する
センサー ログ エントリ:
Warn DirectoryServicesClient CreateLdapConnectionAsync failed to retrieve group managed service account password. [DomainControllerDnsName=DC1.CONTOSO.LOCAL Domain=contoso.local UserName=AATP_gMSA]
原因:
ドメイン コントローラーには、gMSA アカウントのパスワードにアクセスする権限は与えられません。
解決策:
ドメイン コントローラーにパスワードにアクセスする権限が付与されていることを確認します。 Active Directory には、ドメイン コントローラー、AD FS サーバー、AD CS サーバー、スタンドアロン センサーのコンピューター アカウントが含まれているセキュリティ グループが必要です。 存在しない場合は、セキュリティ グループを作成することをお勧めします。
次のコマンドを使用して、コンピューター アカウントまたはセキュリティ グループがパラメーターに追加されているかどうかを確認できます。 mdiSvc01 を、作成した名前に置き換えます。
Get-ADServiceAccount mdiSvc01 -Properties PrincipalsAllowedToRetrieveManagedPassword
結果は次のようになります。
この例では、mdiSvc01Group という名前のグループが追加されていることがわかります。 ドメイン コントローラーまたはセキュリティ グループが追加されていない場合は、次のコマンドを使用して追加できます。 mdiSvc01 を gMSA の名前に置き換え、DC1 をドメイン コントローラーの名前に置き換えるか、または mdiSvc01Group をセキュリティ グループの名前に置き換えます。
# To set the specific domain controller only:
$specificDC = Get-ADComputer -Identity DC1
Set-ADServiceAccount mdiSvc01 -PrincipalsAllowedToRetrieveManagedPassword $specificDC
# To set a security group that contains the relevant computer accounts:
$group = Get-ADGroup -Identity mdiSvc01Group
Set-ADServiceAccount mdiSvc01 -PrincipalsAllowedToRetrieveManagedPassword $group
ドメイン コントローラーまたはセキュリティ グループが既に追加されていても、エラーが表示されている場合は、次の手順を試すことができます。
- オプション 1: サーバーを再起動して最近の変更を同期する
- オプション 2:
- AATPSensor サービスと AATPSensorUpdater サービスを無効に設定する
- AATPSensor サービスと AATPSensorUpdater サービスを停止する
- 次のコマンドを使用して、サービス アカウントをサーバーにキャッシュします:
Install-ADServiceAccount gMSA_AccountName - AATPSensor サービスと AATPSensorUpdater サービスを自動に設定する
- AATPSensorUpdater サービスを開始する
レジストリ キー 'Global' へのアクセスが拒否されました
センサー サービスの開始に失敗し、センサー ログに次のようなエントリが含まれています。
2021-01-19 03:45:00.0000 Error RegistryKey System.UnauthorizedAccessException: Access to the registry key 'Global' is denied.
原因:
このドメイン コントローラー、AD FS サーバーまたは AD CS サーバー用に構成された gMSA には、パフォーマンス カウンターのレジストリ キーに対するアクセス許可がありません。
解決策:
gMSA をサーバー上のパフォーマンス モニター ユーザー グループに追加します。
レポートのダウンロードには、300,000 を超えるエントリを含めることはできません
Defender for Identity では、レポートごとに 300,000 を超えるエントリを含むレポートのダウンロードは、サポートされていません。 300,000 を超えるエントリが含まれている場合、レポートは不完全として表示されます。
原因:
これはエンジニアリング上の制限事項です。
解決策:
既知の解決策はありません。
センサーがイベント ログを列挙できない
Defender for Identity コンソール内のセキュリティ イベント アラートまたは論理アクティビティの数が限られているか、または不足している場合、正常性の問題はトリガーされません。
センサー ログ エントリ:
Error EventLogException System.Diagnostics.Eventing.Reader.EventLogException: The handle is invalid at void System.Diagnostics.Eventing.Reader.EventLogException.Throw(int errorCode) at object System.Diagnostics.Eventing.Reader.NativeWrapper.EvtGetEventInfo(EventLogHandle handle, EvtEventPropertyId enumType) at string System.Diagnostics.Eventing.Reader.EventLogRecord.get_ContainerLog()
原因:
随意アクセス制御リストでは、ローカル サービス アカウントによって必要なイベント ログへのアクセスが制限されています。
解決策:
随意アクセス制御リスト (DACL) に次のエントリが含まれていることを確認します (これは AATPSensor サービスの SID です)。
(A;;0x1;;;S-1-5-80-818380073-2995186456-1411405591-3990468014-3617507088)
セキュリティ イベント ログの DACL が GPO によって構成されているかどうかを確認します。
Policies > Administrative Templates > Windows Components > Event Log Service > Security > Configure log access
上記のエントリを既存のポリシーに追加します。 後で C:\Windows\System32\wevtutil.exe gl security を実行して、エントリが追加されたことを確認します。
ローカルの Defender for Identity ログに次の情報が表示されます。
Info WindowsEventLogReader EnableEventLogWatchers EventLogWatcher enabled [name=Security]
ApplyInternal が、サービスへの双方向 SSL 接続エラーで失敗しました
センサーのインストール中に、次のエラーが表示される場合: ApplyInternal がサービスへの双方向 SSL 接続に失敗し、センサー ログに次のようなエントリが含まれています。
2021-01-19 03:45:00.0000 Error CommunicationWebClient+\<SendWithRetryAsync\>d__9`1 ApplyInternal が、サービスへの双方向 SSL 接続エラーで失敗しました。
この問題は、SSL 検査が有効になっているプロキシによって発生する可能性があります。
[_workspaceApplicationSensorApiEndpoint=Unspecified/contoso.atp.azure.com:443 Thumbprint=7C039DA47E81E51F3DA3DF3DA7B5E1899B5B4AD0]`
原因:
この問題は、SystemDefaultTlsVersions または SchUseStrongCrypto レジストリ値が既定値の 1 に設定されていない場合に発生する可能性があります。
解決策:
SystemDefaultTlsVersions および SchUseStrongCrypto レジストリ キーを 1 に設定されていることを確認します。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
KB5009557 がインストールされた Windows Server 2019 または EventLog アクセス許可が強化されたサーバーにセンサーをインストールするときの問題
次のエラー メッセージが表示され、センサーのインストールが失敗する場合があります。
System.UnauthorizedAccessException: Attempted to perform an unauthorized operation.
解決策:
この問題の回避策は 2 つあります。
PSExec を使用してセンサーをインストールします。
psexec -s -i "C:\MDI\Azure ATP Sensor Setup.exe"LocalSystem として実行するように構成されたスケジュールされたタスクを使用して、センサーをインストールします。 使用するコマンド ライン構文は、Defender for Identity センサーのサイレント インストールでメンションされます。
認定資格証管理クライアントが原因でセンサーのインストールが失敗する
センサーのインストールが失敗し、Microsoft.Tri.Sensor.Deployment.Deployer.log ファイルに次のようなエントリが含まれている場合:
2022-07-15 03:45:00.0000 Error IX509CertificateRequestCertificate2 Deployer failed [arguments=128Ve980dtms0035h6u3Bg==] System.Runtime.InteropServices.COMException (0x80090008): CertEnroll::CX509CertificateRequestCertificate::Encode: Invalid algorithm specified. 0x80090008 (-2146893816 NTE_BAD_ALGID)
原因:
この問題は、Entrust Entelligence Security Provider (Enterprise Edition SP) などの管理証明書管理クライアントが、センサーのインストールでコンピューター上に自己署名管理証明書を作成できない場合に発生する可能性があります。
解決策:
管理証明書管理クライアントをアンインストールし、Defender for Identity センサーをインストールしてから、管理証明書管理クライアントを再インストールします。
Note
自己署名管理証明書は 2 年ごとに更新され、管理証明書管理クライアントが自己署名管理証明書の作成を妨げる場合、自動更新プロセスが失敗する可能性があります。 これにより、センサーはバックエンドとの通信を停止し、上記の回避策を使用してセンサーの再インストールが必要になります。
ネットワーク接続の問題が原因でセンサーのインストールが失敗する
センサーのインストールが 0x80070643 のエラー コードで失敗し、インストール ログ ファイルに次のようなエントリが含まれている場合:
[22B8:27F0][2016-06-09T17:21:03]e000: Error 0x80070643: Failed to install MSI package.
原因:
この問題は、インストール プロセスがセンサー登録のために Defender for Identity クラウド サービスにアクセスできない場合に発生する可能性があります。
解決策:
センサーが *.atp.azure.com を直接、または構成されたプロキシ経由で参照できることを確認します。 必要に応じて、コマンド ラインを使用してインストールのプロキシ サーバーを設定します。
"Azure ATP sensor Setup.exe" [ProxyUrl="http://proxy.internal.com"] [ProxyUserName="domain\proxyuser"] [ProxyUserPassword="ProxyPassword"]
詳細については、「プロキシ構成を使用してサイレント インストールを実行する」を参照してください。
センサー サービスが実行できず、開始状態のままである
イベント ビューアーのシステム ログに次のエラーが表示されます。
- DLL "C:\Windows\system32\mscoree.dll" のサービスのオープン プロシージャ ".NETFramework" が、エラー コード アクセスが拒否されましたで失敗しました。 このサービスのパフォーマンス データは使用できません。
- DLL "C:\Windows\System32\Secur32.dll" のサービスのオープン プロシージャ "Lsa" が、エラー コード アクセスが拒否されましたで失敗しました。 このサービスのパフォーマンス データは使用できません。
- DLL "C:\Windows\system32\wbem\wmiaprpl.dll" のサービス "WmiApRpl" のオープン プロシージャが、エラー コード "デバイスの準備ができていません" で失敗しました。 このサービスのパフォーマンス データは使用できません。
Microsoft.TriSensorError.log には、次のようなエラーが含まれます。
Microsoft.Tri.Sensor.DirectoryServicesClient.TryCreateLdapConnectionAsync(DomainControllerConnectionData domainControllerConnectionData, bool isGlobalCatalog, bool isTraversing) 2021-07-13 14:56:20.2976 Error DirectoryServicesClient Microsoft.Tri.Infrastructure.ExtendedException: Failed to communicate with configured domain controllers at new Microsoft.Tri.Sensor.DirectoryServicesClient(IConfigurationManager
原因:
NT サービス\ すべてのサービスには、サービスとしてログオンする権限がありません。
解決策:
「サービスとしてログオン」を使用してドメイン コントローラー ポリシーを追加します。 詳細については、「gMSA アカウントに必要な権限があることを確認する」を参照してください。
同じ名前のセキュリティ グループが Microsoft Entra ID に既に存在するため、ワークスペースが作成されませんでした
原因:
この問題は、Defender for Identity ワークスペース ライセンスの有効期限が切れ、保持期間が終了しても Microsoft Entra グループが削除されなかった場合に発生する可能性があります。
解決策:
- [Azure ポータル] -> [Microsoft Entra ID] -> [グループ] に移動します。
- 次の 3 つのグループ (workspaceName はワークスペースの名前を表します) の名前に " - old" というサフィックスを追加します:
- "Azure ATP workspaceName Administrators" -> "Azure ATP workspaceName Administrators - old"
- "Azure ATP workspaceName Viewers" -> "Azure ATP workspaceName Viewers - old"
- "Azure ATP workspaceName Users" -> "Azure ATP workspaceName Users - old"
- Microsoft Defender ポータルで、[設定] -> [ID] セクションの順に移動して、Defender for Identity 用の新しいワークスペースを作成します。