Применяется к Advanced Threat Analytics версии 1.8Applies to: Advanced Threat Analytics version 1.8

Устранение известных неполадок ATATroubleshooting ATA known issues

В этом разделе подробно описываются возможные ошибки в развертываниях ATA и действия, необходимые для их устранения.This section details possible errors in the deployments of ATA and the steps required for troubleshooting them.

Ошибки шлюза ATA и упрощенного шлюза ATAATA Gateway and Lightweight Gateway errors

ОшибкаError ОписаниеDescription РешениеResolution
System.DirectoryServices.Protocols.LdapException: произошла локальная ошибкаSystem.DirectoryServices.Protocols.LdapException: A local error occurred Шлюзу ATA не удалось выполнить аутентификацию в контроллере домена.The ATA Gateway failed to authenticate against the domain controller. 1. Убедитесь, что запись DNS контроллера домена на DNS-сервере настроена надлежащим образом.1. Confirm that the domain controller’s DNS record is configured properly in the DNS server.
2. Убедитесь, что время шлюза ATA синхронизировано с временем контроллера домена.2. Verify that the time of the ATA Gateway is synchronized with the time of the domain controller.
System.IdentityModel.Tokens.SecurityTokenValidationException: не удалось проверить цепочку сертификатовSystem.IdentityModel.Tokens.SecurityTokenValidationException: Failed to validate certificate chain Шлюзу ATA не удалось проверить сертификат центра ATA.The ATA Gateway failed to validate the certificate of the ATA Center. 1. Убедитесь, что сертификат корневого ЦС установлен в хранилище сертификатов доверенного центра сертификации на шлюзе ATA.1. Verify that the Root CA certificate is installed in the trusted certificate authority certificate store on the ATA Gateway.
2. Убедитесь, что список отзыва сертификатов доступен и можно выполнить проверку отзыва сертификатов.2. Validate that the certificate revocation list (CRL) is available and that certificate revocation validation can be performed.
Microsoft.Common.ExtendedException: не удалось проанализировать время созданияMicrosoft.Common.ExtendedException: Failed to parse time generated Шлюзу ATA не удалось проанализировать сообщения системного журнала, пересланные с SIEM.The ATA Gateway failed to parse syslog messages that were forwarded from the SIEM. Убедитесь, что SIEM настроен для пересылки сообщений в одном из форматов, поддерживаемых ATA.Verify that the SIEM is configured to forward the messages in one of the formats that are supported by ATA.
System.ServiceModel.FaultException: ошибка при проверке безопасности сообщения.System.ServiceModel.FaultException: An error occurred when verifying security for the message. Шлюзу ATA не удалось выполнить аутентификацию в центре ATA.The ATA Gateway failed to authenticate against ATA Center. Убедитесь, что время шлюза ATA синхронизировано с временем центра ATA.Verify that the time of the ATA Gateway is synchronized with the time of the ATA Center.
System.ServiceModel.EndpointNotFoundException: не удалось подключиться к net.tcp://center.ip.addr:443/IEntityReceiverSystem.ServiceModel.EndpointNotFoundException: Could not connect to net.tcp://center.ip.addr:443/IEntityReceiver Шлюзу ATA не удалось установить подключение к центру ATA.The ATA Gateway failed to establish connection to the ATA Center. Убедитесь, что параметры сети правильные, а сетевое подключение между шлюзом ATA и центром ATA активно.Ensure that the network settings are correct and that the network connection between the ATA Gateway and the ATA Center is active.
System.DirectoryServices.Protocols.LdapException: LDAP-сервер недоступен.System.DirectoryServices.Protocols.LdapException: The LDAP server is unavailable. Шлюзу ATA не удалось выполнить запрос к контроллеру домена, используя протокол LDAP.The ATA Gateway failed to query the domain controller using the LDAP protocol. 1. Убедитесь, что учетная запись пользователя, используемая ATA для подключения к домену Active Directory, имеет доступ на чтение для всех объектов в дереве Active Directory.1.Verify that the user account used by ATA to connect to the Active Directory domain has read access to all the objects in the Active Directory tree.
2. Убедитесь, что в контроллере домена не настроена защита, которая предотвращает выполнение запросов LDAP из учетной записи пользователя, используемой ATA.2.Make sure that the domain controller is not hardened to prevent LDAP queries from the user account used by ATA.
Microsoft.Tri.Infrastructure.ContractException: исключение контрактаMicrosoft.Tri.Infrastructure.ContractException: Contract exception Шлюзу ATA не удалось синхронизировать конфигурацию из центра ATA.The ATA Gateway failed to synchronize the configuration from the ATA Center. Завершите настройку шлюза ATA в консоли ATA.Complete configuration of the ATA Gateway in the ATA Console.
System.Reflection.ReflectionTypeLoadException: не удалось загрузить один из запрошенных типов или несколько.System.Reflection.ReflectionTypeLoadException: Unable to load one or more of the requested types. Для получения дополнительных сведений извлеките свойство LoaderExceptions.Retrieve the LoaderExceptions property for more information. Анализатор сообщений устанавливается в шлюзе ATA.Message Analyzer is installed on the ATA Gateway. Удалите анализатор сообщений.Uninstall Message Analyzer.
Ошибка [Layout] System.OutOfMemoryException: возникло исключение типа "System.OutOfMemoryException".Error [Layout] System.OutOfMemoryException: Exception of type 'System.OutOfMemoryException' was thrown. В шлюзе ATA недостаточно памяти.The ATA Gateway does not have enough memory. Увеличьте объем памяти в контроллере домена.Increase the amount of memory on the domain controller.
Не удалось запустить динамический потребитель ---> Microsoft.Opn.Runtime.Monitoring.MessageSessionException: поставщик события PEFNDIS не готовFail to start live consumer ---> Microsoft.Opn.Runtime.Monitoring.MessageSessionException: The PEFNDIS event provider is not ready PEF (анализатор сообщений) неправильно установлен.PEF (Message Analyzer) was not installed correctly. Если вы используете Hyper-V, попробуйте обновить службы интеграции Hyper-V по-другому. Чтобы найти временное решение, обратитесь в службу поддержки.If using Hyper-V, try to upgrade Hyper-V Integration services otherwise, contact support for a workaround.
Сбой установки с ошибкой: 0x80070652Installation failed with error: 0x80070652 На компьютере есть другие незавершенные установки.There are other pending installations on your computer. Дождитесь завершения других установок и при необходимости перезагрузите компьютер.Wait for the other installations to complete and, if necessary, restart the computer.
System.InvalidOperationException: Instance 'Microsoft.Tri.Gateway' does not exist in the specified Category (System.InvalidOperationException: экземпляр "Microsoft.Tri.Gateway" не существует в указанной категории).System.InvalidOperationException: Instance 'Microsoft.Tri.Gateway' does not exist in the specified Category. Идентификаторы процессов включены для имен процессов в шлюзе ATA.PIDs was enabled for process names in the ATA Gateway Чтобы отключить их, ознакомьтесь со статьей KB281884.Use KB281884 to disable PIDs in process names
System.InvalidOperationException: Category does not exist (System.InvalidOperationException: категория не существует).System.InvalidOperationException: Category does not exist. Счетчики, возможно, отключены в реестре.Counters might be disabled in the registry Чтобы перестроить счетчики производительности, ознакомьтесь со статьей KB2554336.Use KB2554336 to rebuild Performance Counters
System.ApplicationException: Unable to start ETW session MMA-ETW-Livecapture-a4f595bd-f567-49a7-b963-20fa4e370329 (System.ApplicationException: не удается запустить сеанс ETW MMA-ETW-Livecapture-a4f595bd-f567-49a7-b963-20fa4e370329)System.ApplicationException: Unable to start ETW session MMA-ETW-Livecapture-a4f595bd-f567-49a7-b963-20fa4e370329 Файл HOSTS, указывающий на имя компьютера, содержит запись узла.There is a host entry in the HOSTS file pointing to the machine's shortname Удалите запись узла из файла C:\Windows\System32\drivers\etc\HOSTS или сделайте ее полным доменным именем.Remove the host entry from C:\Windows\System32\drivers\etc\HOSTS file or change it to an FQDN.
System.IO.IOException: проверка подлинности не пройдена из-за закрытия транспортного потока удаленной стороной.System.IO.IOException: Authentication failed because the remote party has closed the transport stream. Протокол TLS 1.0 отключен в шлюзе ATA, но для .NET настроено использование TLS 1.2TLS 1.0 is disabled on the ATA Gateway, but .Net is set to use TLS 1.2 Используйте один из следующих вариантов:Use one of the following options:
Включите TLS 1.0 в шлюзе ATA.Enable TLS 1.0 on the ATA Gateway
Чтобы включить TLS 1.2 в .NET, настройте в разделах реестра использование значений операционной системы по умолчанию для SSL и TLS:Enable TLS 1.2 on .Net by setting the registry keys to use the operating system defaults for SSL and TLS, as follows:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] " SchUseStrongCrypto"=dword:00000001
System.TypeLoadException: не удалось загрузить тип "Microsoft.Opn.Runtime.Values.BinaryValueBufferManager" из сборки "Microsoft.Opn.Runtime, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"System.TypeLoadException: Could not load type 'Microsoft.Opn.Runtime.Values.BinaryValueBufferManager' from assembly 'Microsoft.Opn.Runtime, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35' Шлюзу ATA не удалось загрузить необходимые файлы анализа.ATA Gateway failed to load required parsing files. Проверьте, установлен ли анализатор сообщений Майкрософт.Check to see if Microsoft Message Analyzer is currently installed. Установка анализатора сообщений вместе со шлюзом ATA или упрощенным шлюзом ATA не поддерживается.Message Analyzer is not supported to be installed with the ATA Gateway / Lightweight Gateway. Удалите анализатор сообщений и перезапустите службу шлюза.Uninstall Message Analyzer and restart the Gateway service.
Оповещения о пропущенном трафике зеркального отражения портов при использовании упрощенного шлюза в VMwareDropped port mirror traffic alerts when using Lightweight Gateway on VMware Если используются контроллеры домена на виртуальных машинах VMware, вам могут приходить оповещения о пропущенном сетевом трафике зеркального отражения портов.If you are using DCs on VMware virtual machines, you might receive alerts about Dropped port mirrored network traffic. Это происходит из-за несоответствия конфигурации в VMware.This might be due to a configuration mismatch in VMware. Чтобы избежать этих оповещений, задайте значение «0» или «Отключено» для следующих параметров: TsoEnable, LargeSendOffload, IPv4 и TSO Offload.To avoid these alerts, you can check that the following settings are set to 0 or Disabled: TsoEnable, LargeSendOffload, IPv4, TSO Offload. Кроме того, рекомендуется отключить IPv4 Giant TSO Offload.Also, consider disabling IPv4 Giant TSO Offload. Для получения дополнительной информации обратитесь к документации VMware.For more information consult your VMware documentation.
System.Net.WebException: удаленный сервер вернул ошибку: требуется проверка подлинности прокси-сервера (407)System.Net.WebException: The remote server returned an error: (407) Proxy Authentication Required Связь шлюза ATA с центром ATA прерывается прокси-сервером.The ATA Gateway communication with the ATA Center is being disrupted by a proxy server. Отключите прокси-сервер на компьютере со шлюзом ATA.Disable the proxy on the ATA Gateway machine.
Обратите внимание, что параметры прокси-сервера могут применяться к отдельным учетным записям.Note that proxy settings may be per-account.
System.IO.DirectoryNotFoundException: система не может найти указанный путь.System.IO.DirectoryNotFoundException: The system cannot find the path specified. (Исключение из HRESULT: 0x80070003)(Exception from HRESULT: 0x80070003) Не запущена одна или несколько служб, необходимых для работы ATA.One or more of the services needed to operate ATA did not start. Запустите следующие службы:Start the following services:
Журналы и оповещения производительности (PLA), планировщик задач (расписание).Performance Logs and Alerts (PLA), Task Scheduler (Schedule).
System.Net.WebException: удаленный сервер возвратил ошибку "403 —запрещено".System.Net.WebException: The remote server returned an error: (403) Forbidden Шлюзу ATA или упрощенному шлюзу было отказано в установлении HTTP-подключения, так как центр ATA не является доверенным.The ATA Gateway or Lightweight Gateway could was forbidden from establishing an HTTP connection because the ATA Center is not trusted. Добавьте имя NetBIOS и полное доменное имя центра ATA в список доверенных веб-сайтов и очистите кэш браузера Interne Explorer. Если в конфигурации указано имя центра ATA, отличное от имени NetBIOS или полного доменного имени, укажите имя из конфигурации.Add the NetBIOS name and FQDN of the ATA Center to the trusted websites list and clear the cache on Interne Explorer (or the name of the ATA Center as specified in the configuration if the configured is different than the NetBIOS/FQDN).

Ошибки развертыванияDeployment errors

ОшибкаError ОписаниеDescription РазрешениеResolution
Происходит сбой установки .NET Framework 4.6.1 с ошибкой 0x800713ec.Net Framework 4.6.1 installation fails with error 0x800713ec На сервере не установлены необходимые компоненты для платформы .NET Framework 4.6.1.The pre-requisites for .Net Framework 4.6.1 are not installed on the server. Перед установкой ATA убедитесь, что на сервере установлены обновления Windows KB2919442 и KB2919355.Before installing ATA, verify that the windows updates KB2919442 and KB2919355 are installed on the server.
System.Threading.Tasks.TaskCanceledException: отменена задачаSystem.Threading.Tasks.TaskCanceledException: A task was canceled Истекло время ожидания процесса развертывания, так как ему не удалось связаться с центром ATA.The deployment process timed out as it could not reach the ATA Center. 1. Проверьте сетевое подключение к центру ATA, перейдя по его IP-адресу в браузере.1. Check network connectivity to the ATA Center by browsing to it using its IP address.
2. Проверьте конфигурацию прокси-сервера или брандмауэра.2. Check for proxy or firewall configuration.
System.Net.Http.HttpRequestException: произошла ошибка при отправке запроса.System.Net.Http.HttpRequestException: An error occurred while sending the request. ---> System.Net.WebException: удаленный сервер возвратил ошибку: (407) Требуется проверка подлинности прокси.---> System.Net.WebException: The remote server returned an error: (407) Proxy Authentication Required. Истекло время ожидания процесса развертывания, так как ему не удалось связаться с центром ATA из-за неправильной настройки прокси-сервера.The deployment process timed out as it could not reach the ATA Center due to a proxy misconfiguration. Отключите конфигурацию прокси-сервера перед развертыванием, а затем включите ее повторно.Disable the proxy configuration before deployment, then enable the proxy configuration again. Вы также можете настроить исключение на прокси-сервере.Alternatively, you can configure an exception in the proxy.
System.Net.Sockets.SocketException: существующее подключение было принудительно закрыто удаленным узломSystem.Net.Sockets.SocketException: An existing connection was forcibly closed by the remote host Используйте один из следующих вариантов:Use one of the following options:
Включите TLS 1.0 в шлюзе ATA.Enable TLS 1.0 on the ATA Gateway
Чтобы включить TLS 1.2 в .NET, настройте в разделах реестра использование значений операционной системы по умолчанию для SSL и TLS:Enable TLS 1.2 on .Net by setting the registry keys to use the operating system defaults for SSL and TLS, as follows:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] " SchUseStrongCrypto"=dword:00000001

Проблемы со шлюзом ATA и упрощенным шлюзомATA Gateway and Lightweight Gateway issues

ПроблемаIssue ОписаниеDescription РазрешениеResolution
От контроллера домена не поступает трафик, но оповещения мониторинга выводятсяNo traffic received from domain controller, but monitoring alerts are observed От контроллера домена не поступает трафик с использованием зеркального отображения портов через шлюз ATANo traffic was received from a domain controller using port mirroring through an ATA Gateway В сетевом адаптере захвата в шлюзе ATA отключите следующие функции в разделе Дополнительные параметры:On the ATA Gateway capture NIC, disable these features in Advanced Settings:
объединение полученных сегментов (IPv4);Receive Segment Coalescing (IPv4)
объединение полученных сегментов (IPv6).Receive Segment Coalescing (IPv6)
Отображается следующее предупреждение системы мониторинга: Часть сетевого трафика не анализируетсяThis monitoring alert is displayed: Some network traffic is not being analyzed Вы можете получить это предупреждение, если у вас есть шлюз ATA или упрощенный шлюз на виртуальных машинах VMware.If you have an ATA Gateway or Lightweight Gateway on VMware virtual machines, you might receive this monitoring alert. Это происходит из-за несоответствия конфигураций в VMware.This happens because of a configuration mismatch in VMware. Задайте в конфигурации сетевого адаптера виртуальной машины значения 0 или Отключено для следующих параметров: TsoEnable, LargeSendOffload, TSO Offload, Giant TSO OffloadSet the following settings to 0 or Disabled in the virtual machine NIC configuration: TsoEnable, LargeSendOffload, TSO Offload, Giant TSO Offload

См. такжеSee Also