Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
На странице «Проблемы работоспособности Microsoft Defender для удостоверений» перечислены проблемы, влияющие на развертывание Microsoft Defender для удостоверений и его датчики. Он оповещает об обнаруженных проблемах, которые могут возникнуть из-за конфигурации или факторов среды.
Настройте автоматический аудит событий Windows , чтобы предотвратить проблемы, связанные со сбором событий Windows.
Страница проблем со здоровьем
Страница Microsoft Defender для удостоверений Проблемы работоспособности сообщает вам о возникновении проблемы с рабочей областью Defender for Identity, создавая уведомление о проблеме работоспособности. Вы можете просматривать проблемы с работой как в среде Defender for Identity в целом, так и у отдельных датчиков.
Microsoft Defender для удостоверений поддерживает следующие типы оповещений о работоспособности:
- Связанные с доменом или агрегированные проблемы работоспособности, перечисленные на вкладке Глобальные проблемы работоспособности
- Проблемы с работоспособностью датчика, перечисленные на вкладке Проблемы работоспособности датчика
Чтобы получить доступ к странице, выполните следующие действия.
Вход на портал Microsoft Defender
Перейдите в Настройки>Учетные записи.
В разделе Развертывание выберите Проблемы со работоспособностью.
Отфильтруйте проблемы по состоянию, имени проблемы или серьезности, чтобы помочь вам найти нужные проблемы.
Выберите любую проблему для получения дополнительных сведений и параметр для закрытия или подавления проблемы.
Статус проблемы работоспособности
Проблемы работоспособности в Microsoft Defender для удостоверений могут иметь разные состояния в зависимости от их текущего состояния и способа обработки.
- Открыта: Проблема состояния помечена как открытая.
- Закрыто: Проблема работоспособности автоматически помечается как Закрыто, когда Microsoft Defender для удостоверений обнаруживает, что основная проблема устранена. Если у вас есть роль администратора Azure ATP (имя рабочей области), вы также можете вручную закрыть проблему работоспособности.
- Подавлены: Если у вас есть разрешения администраторов Azure ATP (имя рабочей области), вы можете отключить оповещение о работоспособности в течение семи дней. Отключите оповещение о состоянии, если вы знаете об известной временной проблеме, возникновение которой ожидается, например если выводите компьютер из эксплуатации на время обслуживания.
Например, если контроллер домена отключен для обслуживания, может быть активировано оповещение "Датчик перестал взаимодействовать". С помощью API можно изменить состояние оповещения с "Открыть" на "Подавлено". Когда контроллер домена снова будет в сети, измените состояние на «Открыто» и позвольте Microsoft Defender для удостоверений автоматически закрыть оповещение после устранения проблемы.
Просмотреть сведения о неполадке
Примечание.
В некоторых средах с датчиками v3 оповещения о работоспособности, связанные с аудитом событий Windows, могут продолжать отображаться, даже если аудит Windows настроен правильно. В основном это происходит при настройке аудита вручную, например с помощью групповой политики или PowerShell. Датчик остается работоспособным и обнаружения не затрагиваются. Чтобы устранить эту проблему, включите автоматическую настройку аудита Windows на портале Defender для удостоверений в разделе Параметры>Дополнительные функции.
В таблицах этого раздела перечислены все проблемы со работоспособностью по компоненту с причинами и этапами разрешения.
Каждая таблица проблем со работоспособностью включает в себя столбец , указывающий, отображается ли проблема на вкладке "Проблемы с работоспособностью датчика " или на вкладке "Глобальные проблемы со здоровьем ".
| Оповещение | Описание | Решение | Серьёзность | Отображается в | Поддерживается версией датчика |
|---|---|---|---|---|---|
| Несоответствие конфигурации сети для датчиков, работающих в VMware | Виртуальные машины, на которые установлены перечисленные датчики Defender для удостоверений, имеют несоответствие конфигурации сети. Эта проблема может повлиять на производительность и надежность датчиков. | Просмотрите параметры сетевого интерфейса, включая отключение функции Large Send Offload (LSO), и следуйте инструкциям по настройке сети для датчика VMware. | Высокая | Вкладка "Проблемы со работоспособностью датчиков" | 2.x |
| Контроллер домена недоступен датчиком | Датчик Defender для удостоверений имеет ограниченную функциональность из-за проблем с подключением к настроенному контроллеру домена. Это влияет на возможность Defender for Identity обнаруживать подозрительные действия, связанные с контроллерами домена, которые отслеживаются этим датчиком Defender for Identity. | Убедитесь, что контроллеры домена работают и что этот датчик Defender for Identity может устанавливать с ними LDAP-подключения. Кроме того, в разделе Параметры обязательно настройте учетную запись службы каталогов для каждого развернутого леса. | Средняя | Вкладка "Проблемы со работоспособностью датчиков" | 2.x |
| Все или некоторые из выбранных адаптеров сети перехвата на датчике Defender for Identity отключены или отсоединены | Сетевой трафик для некоторых контроллеров домена или для всех больше не перехватывается датчиком Defender for Identity. Эта проблема влияет на возможность обнаружения подозрительных действий, связанных с этими контроллерами домена. | Убедитесь, что выбранные сетевые адаптеры перехвата на датчике Defender for Identity включены и подключены. | Средняя | Вкладка "Проблемы со работоспособностью датчиков" | 2.x |
| Неправильные учетные данные пользователя служб каталогов | Учетные данные для учетной записи пользователя служб каталогов неверны. Эта проблема влияет на способность датчиков обнаруживать действия с помощью запросов LDAP к контроллерам домена. | — Для стандартных учетных записей AD: убедитесь, что имя пользователя, пароль и домен на странице конфигурации служб каталогов заданы правильно. — Для групповых управляемых учетных записей служб убедитесь , что имя пользователя и домен на странице конфигурации служб каталогов верны. Кроме того, проверьте все остальные предварительные требования к учетной записи gMSA , описанные на странице рекомендации по учетной записи службы каталогов . — Для датчиков версии 3.x в средах с датчиками версии 2 и версии 3: учетные данные DSA и gMSA продолжают проверяться на всех датчиках, включая датчики версии 3, если существует DSA или gMSA на уровне рабочей области. Это сделано намеренно. Датчики V3 игнорируют DSA и gMSA при выполнении действий аудита и реагирования, но проверка учетных данных выполняется на уровне рабочей области. Чтобы прекратить получение этого оповещения, удалите DSA или gMSA после переноса всех датчиков на версию 3. Дополнительные сведения см. в статье Оповещения о работоспособности DSA и gMSA в средах с датчиками v2 и v3. — Сведения о ротации паролей gMSA и временных предупреждениях об учетных данных см. в примечании Учетные данные пользователей служб каталогов неверны в конце этого раздела. |
Средняя | Вкладка "Глобальные проблемы со здоровьем" | Все |
| Низкий уровень успешности при разрешении активных имен | Перечисленные датчики Defender for Identity не могут сопоставить IP-адреса с именами устройств более чем в 90 % случаев с помощью следующих методов: — NTLM через RPC -Netbios — обратный DNS. Эта проблема влияет на возможности обнаружения в Defender for Identity и может увеличить количество ложных оповещений. |
— Для NTLM через RPC: убедитесь, что порт 135 открыт для входящих подключений от датчиков Defender for Identity на всех компьютерах в этой среде. - Для обратного DNS: убедитесь, что датчики могут обращаться к DNS-серверу и что включены зоны обратного поиска. Для NetBIOS: убедитесь, что порт 137 открыт для входящих подключений от датчиков Defender for Identity на всех компьютерах среды. Кроме того, убедитесь, что конфигурация сети (например, брандмауэры) не препятствует обмену данными с соответствующими портами. |
Низко | Вкладка "Проблемы со работоспособностью датчиков" и вкладка "Глобальные проблемы работоспособности" | 2.x |
| Трафик от контроллера домена не получен | Через этот датчик Microsoft Defender for Identity не был получен трафик ни от одного контроллера домена. Эта проблема может указывать на то, что зеркалирование портов с контроллеров домена на датчик Defender for Identity еще не настроено или не работает. | Убедитесь, что на сетевых устройствах правильно настроено зеркальное отображение портов. На сетевом интерфейсе захвата датчика Defender for Identity отключите следующие функции в разделе «Дополнительные параметры»: Объединение принимаемых сегментов (IPv4) Объединение принимаемых сегментов (IPv6) |
Средняя | Вкладка "Проблемы со работоспособностью датчиков" и вкладка "Глобальные проблемы работоспособности" | 2.x |
| Срок действия пароля пользователя только для чтения истекает в ближайшее время | Срок действия пароля пользователя только для чтения, используемого для разрешения сущностей в Active Directory, истекает менее чем через 30 дней. Если срок действия пароля для этого пользователя истек, все датчики Defender для удостоверений перестают работать и новые данные не собираются. | Измените пароль подключения к домену, а затем обновите пароль учетной записи службы каталогов . | Средняя | Вкладка "Глобальные проблемы со здоровьем" | 2.x |
| Срок действия пароля пользователя только для чтения истек | Срок действия пароля пользователя только для чтения, используемого для получения данных каталога, истек. Все датчики Defender для удостоверений перестают работать или прекратят работу в ближайшее время, и новые данные не собираются. | Измените пароль подключения к домену, а затем обновите пароль учетной записи службы каталогов . | Высокая | Вкладка "Глобальные проблемы со здоровьем" | 2.x |
| Датчик устарел (версия 2) | Датчик Defender для удостоверений работает под управлением версии, которая не может взаимодействовать с облачной инфраструктурой Defender для удостоверений. | Обновите датчик вручную и проверьте, почему датчик не обновляется автоматически. Если этот параметр не работает, скачайте последний пакет установки датчика, а затем удалите и переустановите датчик. Дополнительные сведения см. в разделах Скачивание датчика Microsoft Defender для удостоверений и Установка датчика Microsoft Defender для удостоверений. | Средняя | Вкладка "Проблемы со работоспособностью датчиков" и вкладка "Глобальные проблемы работоспособности" | 2.x |
| Датчик устарел (версия 3) | Датчик Defender for Identity установлен на сервере, на котором отсутствует требуемое накопительное обновление Windows для поддержки новейших возможностей датчика. | Обновите сервер до последней версии накопительного обновления Windows и убедитесь, что обновления успешно установлены. После обновления на странице Датчики портала > убедитесь, что версия датчика обновлена. Дополнительные сведения см. в разделе Требования к датчику Defender для удостоверений версии 3.x. | Средняя | Вкладка "Проблемы со работоспособностью датчиков" и вкладка "Глобальные проблемы работоспособности" | 3.x |
| Датчик достиг предельного объема ресурсов памяти | Датчик Defender для удостоверений личности самостоятельно остановился и автоматически перезапускается, чтобы защитить контроллер домена при нехватке памяти. Датчик Defender for Identity самостоятельно ограничивает использование памяти, чтобы предотвратить нехватку ресурсов на контроллере домена. Эта проблема возникает при высоком использовании памяти на контроллере домена. Данные из этого контроллера домена отслеживаются только частично. | Увеличьте объем памяти (ОЗУ) на контроллере домена или добавьте дополнительные контроллеры домена на этом сайте, чтобы лучше распределить нагрузку этого контроллера домена. | Средняя | Вкладка "Проблемы со работоспособностью датчиков" | 2.x |
| Не удалось запустить службу датчика | Служба датчика Defender for Identity не запускалась по крайней мере 30 минут. Эта проблема может повлиять на возможность обнаружения подозрительной активности, исходящей от контроллеров домена, контролируемых этим датчиком Microsoft Defender for Identity. | Отслеживайте журналы датчика Defender для удостоверений, чтобы понять основную причину сбоя службы датчика Defender для удостоверений. | Высокая | Вкладка "Проблемы со работоспособностью датчиков" | Все |
| Датчик перестал взаимодействовать | От датчика Defender for Identity не поступало никаких сообщений. Период времени по умолчанию для этого оповещения составляет 5 минут. Эта проблема указывает на то, что датчик не смог отправить данные или сигнал поддержания активности в службы Defender для удостоверений в течение периода, превышающего допустимое время. Эта проблема обычно указывает либо на сетевую проблему в данной среде, которая помешала передаче данных, либо на перезапуск сервера, который занял больше допустимого времени, что повлияло на способность Defender for Identity выявлять подозрительную активность. | Убедитесь, что связь между датчиком Defender для удостоверений и облачной службой Defender для удостоверений не блокируется маршрутизаторами или брандмауэрами. | Средняя | Вкладка "Проблемы со работоспособностью датчиков" | Все |
| Некоторые события Windows не анализируются | Датчик Defender для удостоверений получает больше событий, чем может обработать, что приводит к тому, что некоторые события Windows не анализируются. Эта проблема может повлиять на возможность обнаружения подозрительной активности, исходящей от контроллеров домена, контролируемых этим датчиком Microsoft Defender for Identity. | Рассмотрите возможность добавления дополнительных процессоров и памяти по мере необходимости. Если вы используете автономный датчик Defender for Identity, убедитесь, что на датчик пересылаются только необходимые события. Или попробуйте перенаправить некоторые события на другой датчик Defender for Identity. | Средняя | Вкладка "Проблемы со работоспособностью датчиков" и вкладка "Глобальные проблемы работоспособности" | 2.x |
| Не удалось проанализировать некоторый сетевой трафик | Датчик Defender для удостоверений получает больше сетевого трафика, чем может обработать, что приводит к тому, что не удается проанализировать некоторый сетевой трафик. Эта проблема может повлиять на возможность обнаружения подозрительной активности, исходящей от контроллеров домена, контролируемых этим датчиком Microsoft Defender for Identity. | Рассмотрите возможность добавления дополнительных процессоров и памяти по мере необходимости. Если вы используете автономный датчик Defender for Identity, уменьшите количество контроллеров домена, за которыми ведется мониторинг. Эта проблема также может возникнуть, если вы используете контроллеры домена на виртуальных машинах VMware. Чтобы избежать этих проблем, убедитесь, что для следующих параметров задано значение 0 или Отключено на виртуальной машине (в ОС Windows, а не в параметрах VMware): - Разгрузка отправки больших пакетов версии 2 (IPv4) - Разгрузка TSO IPv4 Имена могут отличаться в зависимости от версии VMware. Дополнительные сведения см. в документации по VMware. |
Средняя | Вкладка "Проблемы со работоспособностью датчиков" и вкладка "Глобальные проблемы работоспособности" | 2.x |
| Некоторые события ETW не анализируются | Датчик Defender for Identity получает больше событий Event Tracing for Windows (ETW), чем может обработать, из-за чего некоторые события Event Tracing for Windows (ETW) не анализируются. Эта проблема может повлиять на возможность обнаружения подозрительной активности, исходящей от контроллеров домена, контролируемых этим датчиком Microsoft Defender for Identity. | Рассмотрите возможность добавления дополнительных процессоров и памяти по мере необходимости. | Средняя | Вкладка "Проблемы со работоспособностью датчиков" и вкладка "Глобальные проблемы работоспособности" | 2.x |
| Датчик, работающий в операционной системе, которая скоро станет неподдерживаемой | Датчик Defender for Identity установлен в операционной системе, которая вскоре перестанет поддерживаться. Поддержка Windows Server 2012 и 2012 R2 закончилась 10 октября 2023 г. Дополнительные сведения см. по адресу: https://aka.ms/mdi/oseos | Операционная система на сервере должна быть обновлена до последней поддерживаемой операционной системы. Дополнительные сведения см. в разделе "Минимальные требования к операционной системе". | Средняя | Вкладка "Проблемы со работоспособностью датчиков" | 2.x |
| Датчик, работающий в неподдерживаемой операционной системе | Датчик Defender for Identity работает в неподдерживаемой версии операционной системы. Поддержка Windows Server 2012 и 2012 R2 закончилась 10 октября 2023 г. Дополнительные сведения см. по адресу: https://aka.ms/mdi/oseos | Операционная система на сервере должна быть обновлена до последней поддерживаемой операционной системы. Дополнительные сведения см. в разделе "Минимальные требования к операционной системе". | Высокая | Вкладка "Проблемы со работоспособностью датчиков" | Все |
| Датчик имеет проблемы с компонентом записи пакетов | Датчик Microsoft Defender for Identity использует драйверы WinPcap вместо драйверов Npcap. Все клиенты должны использовать драйверы Npcap вместо драйверов WinPcap. Начиная с версии 2.184 Defender for Identity, установочный пакет устанавливает Npcap 1.0 OEM. | Установите Npcap в соответствии с указаниями, приведёнными в: https://aka.ms/mdi/npcap | Высокая | Вкладка "Проблемы со работоспособностью датчиков" | 2.x |
| Датчик имеет проблемы с компонентом записи пакетов | Датчик Defender for Identity использует версию Npcap ниже минимально требуемой. Минимальная поддерживаемая версия Npcap — 1.0. Начиная с версии 2.184 Defender for Identity, установочный пакет устанавливает Npcap 1.0 OEM. | Обновите Npcap в соответствии с рекомендациями, описанными в следующих разделах: https://aka.ms/mdi/npcap | Средняя | Вкладка "Проблемы со работоспособностью датчиков" | 2.x |
| Датчик имеет проблемы с компонентом записи пакетов | Датчик Defender для удостоверений работает с компонентом Npcap, который не настроен должным образом. В установке Npcap отсутствуют необходимые параметры конфигурации. | Установите Npcap в соответствии с указаниями, приведёнными в: https://aka.ms/mdi/npcap | Высокая | Вкладка "Проблемы со работоспособностью датчиков" | 2.x |
| Аудит NTLM не включен | Аудит NTLM (для события с идентификатором 8004) не включен на сервере. (Эта конфигурация проверяется один раз в день для каждого датчика.) | Включите события аудита NTLM в соответствии с рекомендациями, описанными в разделе Идентификатор события 8004 на странице Настройка сбора событий Windows . | Средняя | Вкладка "Проблемы со работоспособностью датчиков" | Все |
| Расширенный аудит служб каталогов не включен, как требуется | Конфигурация расширенного аудита служб каталогов не включает все категории и подкатегории при необходимости. (Эта конфигурация проверяется один раз в день для каждого датчика.) | Включите события расширенного аудита служб каталогов. Дополнительные сведения см. в статье Настройка политик аудита для журналов событий Windows. | Средняя | Вкладка "Проблемы со работоспособностью датчиков" | Все |
| Аудит объектов служб каталогов включен не должным образом | Конфигурация аудита объектов служб каталогов не включает все необходимые типы объектов и разрешения. (Эта конфигурация проверяется один раз в день для каждого домена.) | Включите события аудита объектов служб каталогов в соответствии с рекомендациями, описанными в разделе Настройка аудита объектов домена на странице Настройка сбора событий Windows . | Средняя | Вкладка "Глобальные проблемы со здоровьем" | Все |
| Аудит контейнера конфигурации не включён должным образом | Аудит служб каталогов в контейнере "Конфигурация" домена не включен, как требуется. (Эта конфигурация проверяется один раз в день для каждого домена.) | Включите аудит служб каталогов в контейнере конфигурации домена в соответствии с рекомендациями, описанными в разделе Настройка политик аудита на странице Настройка коллекции событий Windows . | Средняя | Вкладка "Глобальные проблемы со здоровьем" | Все |
| Аудит в контейнере ADFS не включён должным образом | Аудит службы каталогов в контейнере ADFS не включен, как требуется. (Эта конфигурация проверяется один раз в день для каждого домена.) | Включите аудит служб каталогов в контейнере ADFS в соответствии с рекомендациями, описанными в разделе Настройка аудита для служб федерации Active Directory (AD FS) на странице Настройка сбора событий Windows . | Средняя | Вкладка "Глобальные проблемы со здоровьем" | Все |
| Режим питания не настроен для оптимальной производительности процессора | В режиме питания операционной системы не настроены оптимальные параметры производительности процессора. (Эта конфигурация проверяется один раз в день для каждого датчика.) Эта проблема может повлиять на производительность сервера и способность датчиков обнаруживать подозрительные действия. | Выполните одно из следующих действий. — Настройте параметр электропитания компьютера, на котором установлен датчик Defender for Identity, на Высокая производительность — задайте для минимального и максимального состояния процессора значение 100. Дополнительные сведения см. в разделе Требования к серверу на странице Предварительные требования для Defender for Identity. |
Низко | Вкладка "Проблемы со работоспособностью датчиков" | 2.x |
| Датчику не удалось выполнить запись в пользовательский путь к журналу | Не удается создать пользовательский путь к журналу, указанный в конфигурации датчика. | 1. Остановите службы AATPSensorUpdater и AATPSensor. 2. Измените значение SensorCustomLogLocation в файле конфигурации датчика на корректный путь или задайте для него значение null. 3. Снова запустите службы AATPSensorUpdater и AATPSensor. |
Низко | Вкладка "Проблемы со работоспособностью датчиков" | 2.x |
| Сбои при приеме данных учета RADIUS (интеграция VPN) | У перечисленных датчиков Defender for Identity наблюдаются сбои приема данных учета RADIUS (интеграция VPN). | Убедитесь, что общий секрет в параметрах конфигурации Defender for Identity совпадает с общим секретом на вашем VPN-сервере в соответствии с рекомендациями, приведёнными в разделе «Настройка VPN в Defender for Identity» на странице «Интеграция Defender for Identity с VPN». | Низко | Страница проблем со здоровьем | 2.x |
| Аудит на серверах AD CS включён не должным образом | Конфигурация расширенной политики аудита или аудит AD CS не включена, как требуется. (Эта конфигурация проверяется один раз в день для каждого датчика.) | Включите конфигурацию расширенной политики аудита и аудит AD CS в соответствии с рекомендациями, описанными в разделе Настройка аудита в AD CS на странице Настройка сбора событий Windows . | Средняя | Вкладка "Проблемы со работоспособностью датчиков" | 2.x |
| Датчику не удалось получить конфигурацию службы Microsoft Entra Connect | Датчику не удается получить конфигурацию из службы Microsoft Entra Connect (также известной как синхронизация Microsoft Azure AD). | Убедитесь, что служба Microsoft Entra connect (Синхронизация Microsoft Azure AD) запущена, и следуйте инструкциям в разделе Настройка разрешений для базы данных Microsoft Entra Connect (ADSync), чтобы предоставить датчику необходимые разрешения. Если проблема не исчезнет, следуйте указаниям по устранению неполадок в статье Проблемы с подключением SQL к Microsoft Entra Connect. | Средняя | Вкладка "Проблемы со работоспособностью датчиков" | 2.x |
| Неправильно настроен аудит RPC датчика версии 3.x | В датчике отсутствует обязательный тег конфигурации Unified Sensor RPC Audit, или он был применён неправильно. | Эта проблема влияет на возможность датчика включать расширенный аудит RPC, который требуется для определенных расширенных функций обнаружения удостоверений на датчиках V3.x. Без этой конфигурации некоторые средства обнаружения на основе данных об удостоверениях могут не работать, из-за чего Defender for Identity будет хуже видеть подозрительные действия. Убедитесь, что конфигурация аудита RPC единого датчика правильно применяется к соответствующим устройствам, следуя инструкциям в разделе Настройка аудита RPC. После применения тега конфигурация автоматически применяется на соответствующих устройствах, восстанавливая полную возможность обнаружения. Начиная с версии датчика 3.0.8 аудит RPC автоматически включается при обновлении датчика, поэтому тег больше не требуется. | Средняя | Вкладка "Проблемы со работоспособностью датчиков" | 3.x |
Примечание.
Учетные данные пользователя службы каталогов неверны: Автоматическая смена пароля групповой управляемой учетной записи службы (gMSA) может временно вызывать оповещения о работоспособности, связанные с учетными данными службы каталогов. Во время ротации пароля датчику может кратковременно не удаваться пройти проверку подлинности, пока он не получит обновленный пароль gMSA. Ожидается, что эти оповещения будут автоматически устранены после того, как датчик успешно обновит свои учетные данные. Если оповещение закрывается автоматически и не повторяется, исправление вручную не требуется. Администраторы должны убедиться, что gMSA настроен правильно и что затронутый датчик возвращается в работоспособное состояние.
В средах с датчиками версии 2 и версии 3 учетные данные DSA и gMSA продолжают проверяться на всех датчиках в рабочей области до тех пор, пока эти учетные записи настроены независимо от версии датчика. Датчики V3 игнорируют DSA и gMSA при аудите и выполнении действий реагирования, но проверка учетных данных на уровне рабочей области по-прежнему учитывает их. Чтобы перестать получать это оповещение на датчиках версии 3, удалите DSA или gMSA после переноса всех датчиков на версию 3, а датчики версии 2 не требуют его. Дополнительные сведения см. в статье Оповещения о работоспособности DSA и gMSA в средах с датчиками v2 и v3.