Bekende problemen met Microsoft Defender for Identity oplossen

In dit artikel wordt beschreven hoe u bekende problemen in Microsoft Defender for Identity oplost.

Fout bij communicatie van sensorfouten

Als u de volgende fout met de sensor krijgt:

System.Net.Http.HttpRequestException:
An error occurred while sending the request. ---> System.Net.WebException:
Unable to connect to the remote server --->
System.Net.Sockets.SocketException: A connection attempt failed because the
connected party did not properly respond after a period of time, or established
connection failed because connected host has failed to respond...

Oplossing:

Zorg ervoor dat de communicatie niet is geblokkeerd voor localhost, TCP-poort 444. Zie poorten voor meer informatie over vereisten voor Microsoft Defender for Identity.

Locatie van implementatielogboek

De defender for Identity-implementatielogboeken bevinden zich in de tijdelijke map van de gebruiker die het product heeft geïnstalleerd. In de standaardinstallatielocatie vindt u deze op: C:\Users\Beheer istrator\AppData\Local\Temp (of één map boven %temp%). Zie Problemen met Defender for Identity oplossen met behulp van logboeken voor meer informatie.

Probleem met proxyverificatie wordt weergegeven als licentiefout

Als u tijdens de installatie van de sensor de volgende fout krijgt: De sensor kan niet worden geregistreerd vanwege licentieproblemen.

Vermeldingen in het implementatielogboek:

[1C60:1AA8][2018-03-24T23:59:13]i000: 2018-03-25 02:59:13.1237 Info InteractiveDeploymentManager ValidateCreateSensorAsync returned [validateCreateSensorResult=LicenseInvalid]] [1C60:1AA8][2018-03-24T23:59:56]i000: 2018-03-25 02:59:56.4856 Info InteractiveDeploymentManager ValidateCreateSensorAsync returned [validateCreateSensorResult=LicenseInvalid]] [1C60:1AA8][2018-03-25T00:27:56]i000: 2018-03-25 03:27:56.7399 Debug SensorBootstrapperApplication Engine.Quit [deploymentResultStatus=1602 isRestartRequired=False]] [1C60:15B8][2018-03-25T00:27:56]i500: Shutting down, exit code: 0x642

Oorzaak:

In sommige gevallen kan tijdens de verificatie tijdens de communicatie met de Defender for Identity-sensor met fout 401 of 403 in plaats van fout 407 worden gereageerd tijdens de verificatie. De Defender for Identity-sensor interpreteert fout 401 of 403 als licentieprobleem en niet als een probleem met proxyverificatie.

Oplossing:

Zorg ervoor dat de sensor zonder verificatie naar *.atp.azure.com kan bladeren via de geconfigureerde proxy. Zie Proxy configureren om communicatie in te schakelen voor meer informatie.

Probleem met proxyverificatie wordt weergegeven als een verbindingsfout

Als u tijdens de installatie van de sensor de volgende fout krijgt: De sensor kan geen verbinding maken met de service.

Oorzaak:

Het probleem kan worden veroorzaakt wanneer de certificaten van vertrouwde basiscertificeringsinstanties die vereist zijn voor Defender for Identity ontbreken.

Oplossing:

Voer de volgende PowerShell-cmdlet uit om te controleren of de vereiste certificaten zijn geïnstalleerd.

Gebruik in het volgende voorbeeld het certificaat DigiCert Baltimore Root voor alle klanten. Gebruik daarnaast het certificaat 'DigiCert Global Root G2' voor commerciële klanten of gebruik het certificaat 'DigiCert Global Root CA' voor amerikaanse overheids-GCC High-klanten, zoals aangegeven.

# Certificate for all customers
Get-ChildItem -Path "Cert:\LocalMachine\Root" | where { $_.Thumbprint -eq "D4DE20D05E66FC53FE1A50882C78DB2852CAE474"} | fl

# Certificate for commercial customers
Get-ChildItem -Path "Cert:\LocalMachine\Root" | where { $_.Thumbprint -eq "df3c24f9bfd666761b268073fe06d1cc8d4f82a4"} | fl

# Certificate for US Government GCC High customers
Get-ChildItem -Path "Cert:\LocalMachine\Root" | where { $_.Thumbprint -eq "a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436"} | fl

Uitvoer voor certificaat voor alle klanten:

Subject      : CN=Baltimore CyberTrust Root, OU=CyberTrust, O=Baltimore, C=IE
Issuer       : CN=Baltimore CyberTrust Root, OU=CyberTrust, O=Baltimore, C=IE
Thumbprint   : D4DE20D05E66FC53FE1A50882C78DB2852CAE474
FriendlyName : DigiCert Baltimore Root
NotBefore    : 5/12/2000 11:46:00 AM
NotAfter     : 5/12/2025 4:59:00 PM
Extensions   : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid}

Uitvoer voor certificaat voor commerciële klantencertificaat:

Subject      : CN=DigiCert Global Root G2, OU=www.digicert.com, O=DigiCert Inc, C=US
Issuer       : CN=DigiCert Global Root G2, OU=www.digicert.com, O=DigiCert Inc, C=US
Thumbprint   : DF3C24F9BFD666761B268073FE06D1CC8D4F82A4
FriendlyName : DigiCert Global Root G2
NotBefore    : 01/08/2013 15:00:00
NotAfter     : 15/01/2038 14:00:00
Extensions   : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid}

Uitvoer voor certificaat voor GCC High-klanten van de Amerikaanse overheid:

Subject      : CN=DigiCert Global Root CA, OU=www.digicert.com, O=DigiCert Inc, C=US
Issuer       : CN=DigiCert Global Root CA, OU=www.digicert.com, O=DigiCert Inc, C=US
Thumbprint   : A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436
FriendlyName : DigiCert
NotBefore    : 11/9/2006 4:00:00 PM
NotAfter     : 11/9/2031 4:00:00 PM
Extensions   : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid}

Als u de verwachte uitvoer niet ziet, gebruikt u de volgende stappen:

1. Download de volgende certificaten naar de Server Core-computer. Download voor alle klanten het Baltimore CyberTrust-basiscertificaat .

   Aanvullend:

   • Voor commerciële klanten downloadt u het DigiCert Global Root G2-certificaat
   • Voor GCC High-klanten van de Amerikaanse overheid downloadt u het DigiCert Global Root CA-certificaat

2. Voer de volgende PowerShell-cmdlet uit om het certificaat te installeren.

   # For all customers, install certificate
   Import-Certificate -FilePath "<PATH_TO_CERTIFICATE_FILE>\bc2025.crt" -CertStoreLocation Cert:\LocalMachine\Root
   
   # For commercial customers, install certificate
   Import-Certificate -FilePath "<PATH_TO_CERTIFICATE_FILE>\DigiCertGlobalRootG2.crt" -CertStoreLocation Cert:\LocalMachine\Root
   
   # For US Government GCC High customers, install certificate
   Import-Certificate -FilePath "<PATH_TO_CERTIFICATE_FILE>\DigiCertGlobalRootCA.crt" -CertStoreLocation Cert:\LocalMachine\Root
   

Fout bij installatie op de achtergrond bij het gebruik van PowerShell

Als u tijdens de installatie van de stille sensor PowerShell probeert te gebruiken en de volgende fout ontvangt:

"Azure ATP sensor Setup.exe" "/quiet" NetFrameworkCommandLineArguments="/q" Acce ... Unexpected token '"/quiet"' in expression or statement."

Oorzaak:

Als u het vereiste voorvoegsel ./ niet opneemt om te installeren wanneer u PowerShell gebruikt, wordt deze fout veroorzaakt.

Oplossing:

Gebruik de volledige opdracht om te installeren.

./"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"

Koppelingsprobleem met Defender for Identity Sensor NIC

Wanneer u de Defender for Identity-sensor installeert op een computer die is geconfigureerd met een NIC-koppelingsadapter en het Winpcap-stuurprogramma, ontvangt u een installatiefout. Als u de Defender for Identity-sensor wilt installeren op een computer die is geconfigureerd met NIC-koppeling, moet u het Winpcap-stuurprogramma vervangen door Npcap door de instructies hier te volgen.

Groepsmodus voor meerdere processoren

Voor Windows-besturingssystemen 2008R2 en 2012 wordt de Defender for Identity-sensor niet ondersteund in de modus Voor meerdere processorgroepen.

Voorgestelde tijdelijke oplossingen:

• Als hyperthreading is ingeschakeld, schakelt u deze uit. Dit kan het aantal logische kernen verminderen om te voorkomen dat ze in de modus Multiprocessorgroep hoeven te worden uitgevoerd.

• Als uw computer minder dan 64 logische kernen heeft en wordt uitgevoerd op een HP-host, kunt u mogelijk de BIOS-instelling voor NUMA-groepsgrootteoptimalisatie wijzigen van de standaardinstelling van Gegroepeerd naar Plat.

Probleem met sensor van virtuele VMware-machine

Als u een Defender for Identity-sensor op virtuele VMware-machines hebt, ontvangt u mogelijk de statuswaarschuwing Sommige netwerkverkeer wordt niet geanalyseerd. Dit kan gebeuren vanwege een onjuiste configuratie in VMware.

Het probleem oplossen:

Stel in het gastbesturingssystemen het volgende in op Uitgeschakeld in de NIC-configuratie van de virtuele machine: IPv4 TSO Offload.

Gebruik de volgende opdracht om te controleren of Large Send Offload (LSO) is ingeschakeld of uitgeschakeld:

Get-NetAdapterAdvancedProperty | Where-Object DisplayName -Match "^Large*"

Als LSO is ingeschakeld, gebruikt u de volgende opdracht om deze uit te schakelen:

Disable-NetAdapterLso -Name {name of adapter}

Notitie

• Afhankelijk van uw configuratie kunnen deze acties leiden tot een kort verlies van netwerkconnectiviteit.
• Mogelijk moet u de computer opnieuw opstarten om deze wijzigingen van kracht te laten worden.
• Deze stappen kunnen variëren, afhankelijk van uw VMWare-versie. Raadpleeg de VMWare-documentatie voor informatie over het uitschakelen van LSO/TSO voor uw VMWare-versie.

Sensor kan geen GMSA-referenties (Group Managed Service Account) ophalen

Als u de volgende statuswaarschuwing ontvangt: Gebruikersreferenties van Directory Services zijn onjuist

Sensorlogboekvermeldingen:

2020-02-17 14:01:36.5315 Info ImpersonationManager CreateImpersonatorAsync started [UserName=account_name Domain=domain1.test.local IsGroupManagedServiceAccount=True] 2020-02-17 14:01:36.5750 Info ImpersonationManager CreateImpersonatorAsync finished [UserName=account_name Domain=domain1.test.local IsSuccess=False]

Logboekvermeldingen sensorupdater:

2020-02-17 14:02:19.6258 Warn GroupManagedServiceAccountImpersonationHelper GetGroupManagedServiceAccountAccessTokenAsync failed GMSA password could not be retrieved [errorCode=AccessDenied AccountName=account_name DomainDnsName=domain1.test.local]

De sensor kan het wachtwoord van het gMSA-account niet ophalen.

Oorzaak 1

De domeincontroller is niet gemachtigd om het wachtwoord van het gMSA-account op te halen.

Oplossing 1:

Controleer of de computer waarop de sensor wordt uitgevoerd, machtigingen heeft gekregen om het wachtwoord van het gMSA-account op te halen. Zie Machtigingen verlenen voor het ophalen van het wachtwoord van het gMSA-account voor meer informatie.

Oorzaak 2

De sensorservice wordt uitgevoerd als LocalService en voert imitatie uit van het Directory Service-account.

Als het beleid voor gebruikersrechtentoewijzing aanmelden als een service is geconfigureerd voor deze domeincontroller, mislukt imitatie, tenzij het gMSA-account de machtiging Aanmelden als een service krijgt.

Oplossing 2:

Configureer Aanmelden als een service voor de gMSA-accounts wanneer het beleid voor gebruikersrechtentoewijzing is geconfigureerd op de betreffende domeincontroller. Zie Controleren of het gMSA-account over de vereiste rechten beschikt voor meer informatie.

Oorzaak 3

Als het Kerberos-ticket van de domeincontroller is uitgegeven voordat de domeincontroller met de juiste machtigingen aan de beveiligingsgroep is toegevoegd, maakt deze groep geen deel uit van het Kerberos-ticket. Het wachtwoord van het gMSA-account kan dus niet worden opgehaald.

Oplossing 3:

Ga op een van de volgende manieren te werk om dit probleem op te lossen:

• Start de domeincontroller opnieuw op.

• Leeg het Kerberos-ticket, waardoor de domeincontroller een nieuw Kerberos-ticket moet aanvragen. Voer vanaf een opdrachtprompt van de beheerder op de domeincontroller de volgende opdracht uit:

  klist -li 0x3e7 purge

• Wijs de machtiging toe om het wachtwoord van de gMSA op te halen aan een groep waarvan de domeincontroller al lid is, zoals de groep domeincontrollers.

Sensorservice start niet

Sensorlogboekvermeldingen:

Warn DirectoryServicesClient CreateLdapConnectionAsync failed to retrieve group managed service account password. [DomainControllerDnsName=DC1.CONTOSO.LOCAL Domain=contoso.local UserName=AATP_gMSA]

Oorzaak:

De domeincontroller heeft geen rechten gekregen voor toegang tot het wachtwoord van het gMSA-account.

Oplossing:

Controleer of de domeincontroller rechten heeft gekregen voor toegang tot het wachtwoord. U moet een beveiligingsgroep hebben in Active Directory die de domeincontroller(s), AD FS / AD CS-server(s) en zelfstandige sensoren computeraccounts bevat. Als dit niet bestaat, raden we u aan er een te maken.

U kunt de volgende opdracht gebruiken om te controleren of een computeraccount of beveiligingsgroep is toegevoegd aan de parameter. Vervang mdiSvc01 door de naam die u hebt gemaakt.

Get-ADServiceAccount mdiSvc01 -Properties PrincipalsAllowedToRetrieveManagedPassword

De resultaten horen er als volgt uit te zien:

In dit voorbeeld zien we dat er een groep met de naam mdiSvc01Group is toegevoegd. Als de domeincontroller of de beveiligingsgroep niet is toegevoegd, kunt u de volgende opdrachten gebruiken om deze toe te voegen. Vervang mdiSvc01 door de naam van gMSA en vervang DC1 door de naam van de domeincontroller of mdiSvc01Group door de naam van de beveiligingsgroep.

# To set the specific domain controller only:
$specificDC = Get-ADComputer -Identity DC1
Set-ADServiceAccount mdiSvc01 -PrincipalsAllowedToRetrieveManagedPassword $specificDC


# To set a security group that contains the relevant computer accounts:
$group = Get-ADGroup -Identity mdiSvc01Group
Set-ADServiceAccount mdiSvc01 -PrincipalsAllowedToRetrieveManagedPassword $group

Als de domeincontroller of beveiligingsgroep al is toegevoegd, maar de fout nog steeds wordt weergegeven, kunt u de volgende stappen uitvoeren:

• Optie 1: Start de server opnieuw op om de recente wijzigingen te synchroniseren
• Optie 2:
  1. De AATPSensor- en AATPSensorUpdater-services instellen op Uitgeschakeld
  2. De AATPSensor- en AATPSensorUpdater-services stoppen
  3. Cacheserviceaccount naar server met behulp van de opdracht: Install-ADServiceAccount gMSA_AccountName
  4. Stel de AATPSensor - en AATPSensorUpdater-services in op Automatisch
  5. De AATPSensorUpdater-service starten

Toegang tot de registersleutel Global wordt geweigerd

De sensorservice kan niet worden gestart en het sensorlogboek bevat een vermelding die vergelijkbaar is met:

2021-01-19 03:45:00.0000 Error RegistryKey System.UnauthorizedAccessException: Access to the registry key 'Global' is denied.

Oorzaak:

De gMSA die is geconfigureerd voor deze domeincontroller of AD FS/AD CS-server heeft geen machtigingen voor de registersleutels van de prestatiemeteritem.

Oplossing:

Voeg de gMSA toe aan de groep Prestatiemetergebruikers op de server.

Rapportdownloads mogen niet meer dan 300.000 vermeldingen bevatten

Defender for Identity biedt geen ondersteuning voor rapportdownloads die meer dan 300.000 vermeldingen per rapport bevatten. Rapporten worden als onvolledig weergegeven als er meer dan 300.000 vermeldingen zijn opgenomen.

Oorzaak:

Dit is een technische beperking.

Oplossing:

Geen bekende resolutie.

De sensor kan gebeurtenislogboeken niet inventariseren

Als u een beperkt aantal of een gebrek aan beveiligingsgebeurtenissen of logische activiteiten in de Defender for Identity-console ziet, maar er geen statusproblemen worden geactiveerd.

Sensorlogboekvermeldingen:

Error EventLogException System.Diagnostics.Eventing.Reader.EventLogException: The handle is invalid at void System.Diagnostics.Eventing.Reader.EventLogException.Throw(int errorCode) at object System.Diagnostics.Eventing.Reader.NativeWrapper.EvtGetEventInfo(EventLogHandle handle, EvtEventPropertyId enumType) at string System.Diagnostics.Eventing.Reader.EventLogRecord.get_ContainerLog()

Oorzaak:

Een discretionaire toegangsbeheerlijst beperkt de toegang tot de vereiste gebeurtenislogboeken door het lokale serviceaccount.

Oplossing:

Zorg ervoor dat de discretionaire toegangsbeheerlijst (DACL) de volgende vermelding bevat (dit is de SID van de AATPSensor-service).

(A;;0x1;;;S-1-5-80-818380073-2995186456-1411405591-3990468014-3617507088)

Controleer of de DACL voor het beveiligingsgebeurtenislogboek is geconfigureerd door een groepsbeleidsobject:

Policies > Administrative Templates > Windows Components > Event Log Service > Security > Configure log access

Voeg de bovenstaande vermelding toe aan het bestaande beleid. Voer C:\Windows\System32\wevtutil.exe gl security daarna uit om te controleren of de vermelding is toegevoegd.

De lokale Defender for Identity-logboeken moeten nu worden weergegeven:

Info WindowsEventLogReader EnableEventLogWatchers EventLogWatcher enabled [name=Security]

ApplyInternal is tweerichtingsfout met SSL-verbinding met servicefout mislukt

Als tijdens de installatie van de sensor de volgende fout wordt weergegeven: ApplyInternal heeft een SSL-verbinding met de service met twee richtingen mislukt en het sensorlogboek bevat een vermelding die vergelijkbaar is met:

2021-01-19 03:45:00.0000 Error CommunicationWebClient+\<SendWithRetryAsync\>d__9`1 ApplyInternal is een tweerichtings-SSL-verbinding met de service mislukt. Het probleem kan worden veroorzaakt door een proxy waarvoor SSL-inspectie is ingeschakeld. [_workspaceApplicationSensorApiEndpoint=Unspecified/contoso.atp.azure.com:443 Thumbprint=7C039DA47E81E51F3DA3DF3DA7B5E1899B5B5B4AD0]'

Oorzaak:

Het probleem kan worden veroorzaakt wanneer de registerwaarden systemDefaultTlsVersions of SchUseStrongCrypto niet zijn ingesteld op de standaardwaarde 1.

Oplossing:

Controleer of de registerwaarden SystemDefaultTlsVersions en SchUseStrongCrypto zijn ingesteld op 1:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319] 
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
 
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

Probleem bij het installeren van de sensor in Windows Server 2019 met KB5009557 geïnstalleerd of op een server met beperkte EventLog-machtigingen

Het installeren van de sensor kan mislukken met het foutbericht:

System.UnauthorizedAccessException: Attempted to perform an unauthorized operation.

Oplossing:

Er zijn twee mogelijke tijdelijke oplossingen voor dit probleem:

1. Installeer de sensor met PSExec:

   psexec -s -i "C:\MDI\Azure ATP Sensor Setup.exe"
   

2. Installeer de sensor met een geplande taak die is geconfigureerd voor uitvoering als LocalSystem. De opdrachtregelsyntaxis die u wilt gebruiken, wordt vermeld in de achtergrondinstallatie van defender for Identity-sensor.

De sensorinstallatie mislukt vanwege de client voor certificaatbeheer

Als de installatie van de sensor mislukt en het bestand Microsoft.Tri.Sensor.Deployment.Deployer.log een vermelding bevat die vergelijkbaar is met:

2022-07-15 03:45:00.0000 Error IX509CertificateRequestCertificate2 Deployer failed [arguments=128Ve980dtms0035h6u3Bg==] System.Runtime.InteropServices.COMException (0x80090008): CertEnroll::CX509CertificateRequestCertificate::Encode: Invalid algorithm specified. 0x80090008 (-2146893816 NTE_BAD_ALGID)

Oorzaak:

Het probleem kan worden veroorzaakt wanneer een certificaatbeheerclient zoals Entrust Entelligence Security Provider (EESP) verhindert dat de sensorinstallatie een zelfondertekend certificaat op de computer maakt.

Oplossing:

Verwijder de certificaatbeheerclient, installeer de Defender for Identity-sensor en installeer vervolgens de certificaatbeheerclient opnieuw.

Notitie

Het zelfondertekende certificaat wordt elke 2 jaar vernieuwd en het proces voor automatisch verlengen kan mislukken als de certificaatbeheerclient voorkomt dat het zelfondertekende certificaat wordt gemaakt. Dit zorgt ervoor dat de sensor niet meer communiceert met de back-end. Hiervoor moet een sensor opnieuw worden geïnstalleerd met behulp van de hierboven genoemde tijdelijke oplossing.

De sensorinstallatie mislukt vanwege problemen met de netwerkverbinding

Als de sensorinstallatie mislukt met een foutcode van 0x80070643 en het installatielogboekbestand een vermelding bevat die vergelijkbaar is met:

[22B8:27F0][2016-06-09T17:21:03]e000: Error 0x80070643: Failed to install MSI package.

Oorzaak:

Het probleem kan worden veroorzaakt wanneer het installatieproces geen toegang heeft tot de Defender for Identity-cloudservices voor de sensorregistratie.

Oplossing:

Zorg ervoor dat de sensor rechtstreeks of via de geconfigureerde proxy naar *.atp.azure.com kan bladeren. Stel indien nodig de proxyserverinstellingen voor de installatie in met behulp van de opdrachtregel:

"Azure ATP sensor Setup.exe" [ProxyUrl="http://proxy.internal.com"] [ProxyUserName="domain\proxyuser"] [ProxyUserPassword="ProxyPassword"]

Zie Een stille installatie uitvoeren met een proxyconfiguratie voor meer informatie.

Sensorservice kan niet worden uitgevoerd en blijft in de beginstatus

De volgende fouten worden weergegeven in het systeemlogboek in Logboeken:

• De procedure Openen voor de service ". NETFramework" in DLL "C:\Windows\system32\mscoree.dll" is mislukt met foutcode Access is geweigerd. Prestatiegegevens voor deze service zijn niet beschikbaar.
• De open procedure voor de service Lsa in DLL C:\Windows\System32\Secur32.dll is mislukt met foutcode Access is geweigerd. Prestatiegegevens voor deze service zijn niet beschikbaar.
• De open procedure voor de service 'WmiApRpl' in DLL 'C:\Windows\system32\wbem\wmiaprpl.dll' is mislukt met foutcode 'Het apparaat is niet gereed'. Prestatiegegevens voor deze service zijn niet beschikbaar.

Microsoft.TriSensorError.log bevat een fout die er ongeveer als volgt uit ziet:

Microsoft.Tri.Sensor.DirectoryServicesClient.TryCreateLdapConnectionAsync(DomainControllerConnectionData domainControllerConnectionData, bool isGlobalCatalog, bool isTraversing) 2021-07-13 14:56:20.2976 Error DirectoryServicesClient Microsoft.Tri.Infrastructure.ExtendedException: Failed to communicate with configured domain controllers at new Microsoft.Tri.Sensor.DirectoryServicesClient(IConfigurationManager

Oorzaak:

NT Service\Alle services hebben niet het recht om zich aan te melden als een service.

Oplossing:

Voeg beleid voor domeincontrollers toe met de aanmelding als een service. Zie Controleren of het gMSA-account over de vereiste rechten beschikt voor meer informatie.

Uw werkruimte is niet gemaakt omdat er al een beveiligingsgroep met dezelfde naam bestaat in Microsoft Entra-id

Oorzaak:

Het probleem kan optreden wanneer een Defender for Identity-werkruimtelicentie verloopt en wordt verwijderd wanneer de bewaarperiode is beëindigd, maar de Microsoft Entra-groepen zijn niet verwijderd.

Oplossing:

1. Ga naar Azure Portal ->Microsoft Entra ID ->Groups
2. Wijzig de naam van de volgende drie groepen (waarbij workspaceName de naam van uw werkruimte is), door het achtervoegsel '- oud' toe te voegen:
   • "Azure ATP workspaceName Beheer istrators" -> "Azure ATP workspaceName Beheer istrators - oud"
   • "Azure ATP workspaceName Viewers" - "Azure ATP workspaceName Viewers -> old"
   • "Azure ATP workspaceName Users" - "Azure ATP workspaceName Users -> old"
3. Vervolgens kunt u teruggaan in de Microsoft Defender-portal naar de sectie Instellingen ->Identities om de nieuwe werkruimte voor Defender for Identity te maken.

Volgende stappen

• Vereisten voor Defender for Identity
• Capaciteitsplanning van Defender for Identity
• Gebeurtenisverzameling configureren
• Windows Event Forwarding configureren
• Bekijk het Defender for Identity-forum.