適用於身分識別的 Microsoft Defender 健康情況問題
[適用於身分識別的 Microsoft Defender 健康情況問題] 頁面會列出適用於身分識別的Defender部署和感測器的任何目前健康情況問題,並警示您身分識別的Defender部署中的任何問題。
健康情況問題頁面
[適用於身分識別的 Microsoft Defender 健康情況問題] 頁面會藉由提出健康情況問題,讓您知道適用於身分識別的Defender工作區何時發生問題。 若要存取頁面,請遵循下列步驟:
在 [Microsoft Defender 全面偵測回應] 的 [身分識別] 下,選取 [健康情況問題]。
[ 健康情況問題 ] 頁面隨即出現,您可以在其中看到適用於身分識別的一般 Defender 環境和特定感測器的健康情況問題。
適用於身分識別的 Defender 支援下列類型的健康情況警示:
- 網域相關或匯總的健康情況問題,列在 [ 全域健康情況問題 ] 索引標籤上
- 感測器特定健康情況問題,列在 [感測器健康情況問題 ] 索引標籤上
依狀態、問題名稱或嚴重性篩選問題,以協助您找出要尋找的問題。
例如:
![[健康情況問題] 頁面的螢幕快照。](media/health-issues/global-health-issues.png)
選取任何問題以取得詳細數據,以及關閉或隱藏問題的選項。 例如:
![[健康情況問題] 頁面的螢幕快照。](media/health-issues/global-health-issues.png#lightbox)
健康情況問題
本節說明每個元件的所有健康情況問題,列出原因和解決問題所需的步驟。
感測器特定健康情況問題會顯示在 [感測器健康情況問題 ] 索引卷標中,而網域相關或匯總的健康情況問題會顯示在 [ 全域健康情況問題 ] 索引卷標中,如下表所述:
感測器無法連線到域控制器
| 提醒 | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 適用於身分識別的 Defender 感測器的功能有限,因為已設定域控制器的連線問題。 | 這會影響適用於身分識別的 Defender 偵測與此適用於身分識別的 Defender 感測器所監視之域控制器相關可疑活動的能力。 | 請確定域控制器已啟動並執行,而且此適用於身分識別的 Defender 感測器可以開啟其 LDAP 連線。 此外,在 [ 設定] 中 ,請務必為每個已部署的樹系設定目錄服務帳戶。 | 中 | 感測器健康情況問題索引標籤 |
感測器上的全部/部分擷取網路適配器無法使用
| 提醒 | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 適用於身分識別的 Defender 感測器上所有/部分選取的擷取網路適配器已停用或中斷連線。 | 適用於身分識別的 Defender 感測器不會再擷取部分/所有域控制器的網路流量。 此問題會影響偵測與這些域控制器相關的可疑活動的能力。 | 請確定已啟用並連線適用於身分識別的 Defender 感測器上選取的這些擷取網路適配器。 | 中 | 感測器健康情況問題索引標籤 |
目錄服務用戶認證不正確
| 提醒 | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 目錄服務用戶帳戶的認證不正確。 | 此問題會影響感測器對域控制器使用LDAP查詢來偵測活動的能力。 | - 針對 標準 AD 帳戶:確認 [ 目錄服務 設定] 頁面中的使用者名稱、密碼和網域正確無誤。 - 針對 群組受管理的服務帳戶: 確認 [ 目錄服務 ] 組態頁面中的使用者名稱和網域正確無誤。 另請檢查 [目錄服務帳戶建議] 頁面上所述的所有其他 gMSA 帳戶必要條件。 |
中 | [全域健康情況問題] 索引標籤 |
使用中名稱解析的成功率低
| 提醒 | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 列出的適用於身分識別的 Defender 感測器無法使用下列方法,在超過 90% 的時間內將 IP 位址解析為裝置名稱: - 透過 RPC 的 NTLM - NetBIOS - 反向 DNS |
這會影響適用於身分識別的 Defender 偵測功能,而且可能會增加誤判警示的數目。 | - 針對透過 RPC 的 NTLM:檢查埠 135 是否已開啟,以便從環境中所有電腦上的適用於身分識別的 Defender 感測器進行輸入通訊。 - 針對反向 DNS:檢查感測器是否可以連線到 DNS 伺服器,並啟用反向對應區域。 - 針對 NetBIOS:檢查是否已開啟埠 137,以便從環境中所有電腦上的適用於身分識別的 Defender 感測器進行輸入通訊。 此外,請確定防火牆) 等網路組態 (不會阻止與相關埠的通訊。 |
低 | [感測器健康情況問題] 索引標籤和 [全域健康情況問題] 索引標籤 |
未收到來自域控制器的流量
| 提醒 | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 未透過此適用於身分識別的 Defender 感測器從域控制器接收任何流量。 | 此問題可能表示從域控制器到適用於身分識別的Defender感測器的埠鏡像尚未設定或無法運作。 | 確認 已在網路裝置上正確設定埠鏡像。 在適用於身分識別的 Defender 感測器擷取 NIC 上,停用 [進階設定] 中的這些功能: 接收區段聯合 (IPv4) 接收區段聯合 (IPv6) |
中 | [感測器健康情況問題] 索引標籤和 [全域健康情況問題] 索引標籤 |
要過期的唯讀用戶密碼
| 提醒 | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 用來針對 Active Directory 執行實體解析的唯讀使用者密碼即將在 30 天內過期。 | 如果此使用者的密碼過期,所有適用於身分識別的 Defender 感測器都會停止執行,而且不會收集任何新數據。 | 變更網域連線密碼,然後 更新目錄服務帳戶 密碼。 | 中 | [全域健康情況問題] 索引標籤 |
唯讀用戶密碼已過期
| 提醒 | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 用來取得目錄數據的唯讀用戶密碼已過期。 | 所有適用於身分識別的 Defender 感測器都會停止執行,或即將停止執行,而且不會收集任何新數據。 | 變更網域連線密碼,然後 更新目錄服務帳戶 密碼。 | 高 | [全域健康情況問題] 索引標籤 |
感測器已過期
| 提醒 | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 適用於身分識別的 Defender 感測器已過期。 | 適用於身分識別的 Defender 感測器正在執行無法與適用於身分識別的 Defender 雲端基礎結構通訊的版本。 | 手動更新感測器,並查看感測器未自動更新的原因。 如果此選項無法運作,請下載最新的感測器安裝套件,並卸載並重新安裝感測器。 如需詳細資訊,請參閱下載 適用於身分識別的 Microsoft Defender 感測器和安裝 適用於身分識別的 Microsoft Defender 感測器。 | 中 | [感測器健康情況問題] 索引標籤和 [全域健康情況問題] 索引標籤 |
感測器達到記憶體資源限制
| 提醒 | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 適用於身分識別的 Defender 感測器會自行停止並自動重新啟動,以保護域控制器免於記憶體不足的情況。 | 適用於身分識別的 Defender 感測器會自行強制執行記憶體限制,以防止域控制器遇到資源限制。 當域控制器上的記憶體使用量很高時,就會發生此問題。 此域控制器的數據只會受到部分監視。 | 增加域控制器上 RAM) 的記憶體 (量,或在此站台中新增更多域控制器,以更有效地分散此域控制器的負載。 | 中 | 感測器健康情況問題索引標籤 |
感測器服務無法啟動
| 提醒 | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 適用於身分識別的 Defender 感測器服務無法啟動至少 30 分鐘。 | 此問題可能會影響偵測來自此適用於身分識別的Defender感測器所監視之域控制器可疑活動的能力。 | 監視適用於身分識別的 Defender 感測器記錄,以瞭解適用於身分識別的 Defender 感測器服務失敗的根本原因。 | 高 | 感測器健康情況問題索引標籤 |
感測器停止通訊
| 提醒 | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 沒有來自適用於身分識別的Defender感測器的通訊。 此警示的預設時間範圍為5分鐘。 | 這表示感測器在超過允許時間的期間內,無法傳送數據或保持運作訊號給適用於身分識別的Defender服務。 這通常會建議環境中防止數據傳輸的網路問題,或是花費超過可接受時間範圍的伺服器重新啟動,這會影響適用於身分識別的 Defender 偵測可疑活動的能力。 | 檢查適用於身分識別的 Defender 感測器與適用於身分識別的 Defender 雲端服務之間的通訊未遭到任何路由器或防火牆封鎖。 | 中 | 感測器健康情況問題索引標籤 |
部分 Windows 事件未進行分析
| 提醒 | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 適用於身分識別的 Defender 感測器收到的事件超過其可處理的數目。 | 部分 Windows 事件未進行分析。 這可能會影響偵測來自此適用於身分識別的Defender感測器所監視域控制器之可疑活動的能力。 | 請考慮視需要 新增更多處理器和記憶體 。 如果您使用適用於身分識別的獨立 Defender 感測器,請確認只有必要的事件會轉送到感測器。 或者,嘗試將某些事件轉送至另一個適用於身分識別的 Defender 感測器。 | 中 | [感測器健康情況問題] 索引標籤和 [全域健康情況問題] 索引標籤 |
無法分析某些網路流量
| 提醒 | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 適用於身分識別的 Defender 感測器所接收的網路流量超出其可處理的數目。 | 無法分析某些網路流量。 此問題可能會影響偵測來自此適用於身分識別的 Defender 感測器所監視域控制器之可疑活動的能力。 | 請考慮視需要 新增更多處理器和記憶體 。 如果您使用適用於身分識別的獨立 Defender 感測器,請減少受監視的域控制器數目。 如果您在 VMware 虛擬機上使用域控制器,也可能會發生此問題。 若要避免這些問題,您可以檢查 Windows OS 中虛擬機 (中的下列設定是否設為 0 或 [已停用],而不是在 VMware 設定中) : - 大型傳送卸除 V2 (IPv4) - IPv4 TSO 卸除 名稱可能會因您的 VMware 版本而有所不同。 如需詳細資訊,請參閱您的 VMware 檔。 |
中 | [感測器健康情況問題] 索引標籤和 [全域健康情況問題] 索引標籤 |
未分析某些 ETW 事件
| 提醒 | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 適用於身分識別的 Defender 感測器收到的 Windows 事件追蹤 (ETW) 事件超過其可處理的數目。 | 未分析某些 Windows 事件追蹤 (ETW) 事件。 這可能會影響偵測來自此適用於身分識別的Defender感測器所監視域控制器之可疑活動的能力。 | 請考慮視需要 新增更多處理器和記憶體 。 | 中 | [感測器健康情況問題] 索引標籤和 [全域健康情況問題] 索引標籤 |
在即將變得不受支援的作業系統上執行的感測器
| 提醒 | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 適用於身分識別的 Defender 感測器正在即將不受支援的作業系統上執行。 | Windows Server 2012 和 2012 R2 已於 2023 年 10 月 10 日終止支援。 如需詳細數據,請參閱: https://aka.ms/mdi/oseos | 伺服器上的操作系統應該升級至最新支援的操作系統。 如需詳細資訊,請參閱: https://aka.ms/mdi/os | 中 | 感測器健康情況問題索引標籤 |
在不支援的作業系統上執行的感測器
| 提醒 | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 適用於身分識別的 Defender 感測器正在不支援的作業系統上執行。 | Windows Server 2012 和 2012 R2 已於 2023 年 10 月 10 日終止支援。 如需詳細數據,請參閱: https://aka.ms/mdi/oseos | 伺服器上的操作系統應該升級至最新支援的操作系統。 如需詳細資訊,請參閱: https://aka.ms/mdi/os | 高 | 感測器健康情況問題索引標籤 |
感測器有封包擷取元件的問題
| 提醒 | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 適用於身分識別的 Defender 感測器使用 WinPcap 驅動程式,而不是使用適用於身分識別的 Defender 驅動程式。 | 所有客戶都應該使用與 WinPcap 驅動程式搭配使用,而不是使用「 WinPcap 驅動程式」。 從適用於身分識別的 Defender 2.184 版開始,安裝套件會安裝 1.0 OEM。 | 根據下列所述的指引來安裝擴充功能: https://aka.ms/mdi/npcap | 高 | 感測器健康情況問題索引標籤 |
| 適用於身分識別的 Defender 感測器正在執行比最低必要版本還舊的 Privilegedap 版本。 | 支援的最低 1.0 版為 1.0。 從適用於身分識別的 Defender 2.184 版開始,安裝套件會安裝 1.0 OEM。 | 根據下列內容所述的指引來升級 1000 年: https://aka.ms/mdi/npcap | 中 | 感測器健康情況問題索引標籤 |
| 適用於身分識別的 Defender 感測器正在執行未視需要設定的 Privilegedap 元件。 | [使用量安裝] 缺少必要的組態選項。 | 根據下列所述的指引來安裝擴充功能: https://aka.ms/mdi/npcap | 高 | 感測器健康情況問題索引標籤 |
未啟用NTLM稽核
| 提醒 | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 未啟用NTLM稽核。 | 未在伺服器上啟用事件標識碼 8004) 的 NTLM 稽核 (。 (每個感測器) 每天驗證此設定一次。 | 根據設定 Windows 事件收集頁面中事件標識碼 8004 一節所述的指引,啟用 NTLM 稽核事件。 | 中 | 感測器健康情況問題索引標籤 |
未視需要啟用目錄服務進階稽核
| 提醒 | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 未視需要啟用目錄服務進階稽核。 (每個感測器) 每天驗證此設定一次。 | 目錄服務進階稽核組態不會視需要包含所有類別和子類別。 | 啟用目錄服務進階稽核事件。 如需詳細資訊, 請參閱設定 Windows 事件記錄檔的審核策略。 | 中 | 感測器健康情況問題索引標籤 |
未視需要啟用目錄服務物件稽核
| 提醒 | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 未視需要啟用目錄服務物件稽核。 (每個網域) 每天驗證此設定一次。 | Directory Services 物件稽核組態不會視需要包含所有物件類型和許可權。 | 根據設定網 域物件稽 核一節中的設定 Windows 事件集合 頁面中所述的指引,啟用 Directory Services 物件稽核事件。 | 中 | [全域健康情況問題] 索引標籤 |
設定容器上的稽核未視需要啟用
| 提醒 | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 設定容器上的稽核未視需要啟用。 (每個網域) 每天驗證此設定一次。 | 網域組態容器上的目錄服務稽核未視需要啟用。 | 根據設定審核策略 一節中 設定 Windows 事件收集 頁面中所述的指引,在網域的組態容器上啟用目錄服務稽核。 | 中 | [全域健康情況問題] 索引標籤 |
ADFS 容器上的稽核未視需要啟用
| 提醒 | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| ADFS 容器上的稽核未視需要啟用。 (每個網域) 每天驗證此設定一次。 | ADFS 容器上的目錄服務稽核未視需要啟用。 | 根據設定 Windows 事件集合頁面中設定 Active Directory 同盟服務 (AD FS) 一節中所述的指引,在 ADFS 容器上啟用目錄服務稽核。 | 中 | [全域健康情況問題] 索引標籤 |
未設定電源模式以獲得最佳處理器效能
| 提醒 | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 未設定電源模式以獲得最佳處理器效能。 (每個感測器) 每天驗證此設定一次。 | 操作系統的電源模式未設定為最佳處理器效能設定。 此問題可能會影響伺服器的效能,以及感測器偵測可疑活動的能力。 | 執行下列其中一項: - 設定執行適用於身分識別的 Defender 感測器之電腦的電源選項,以 達到高效能 - 將最小和最大處理器狀態設定為 100 如需詳細資訊,請參閱適用於身分識別的 Defender 必要條件頁面中的感測器需求和建議一節。 |
低 | 感測器健康情況問題索引標籤 |
感測器無法寫入自定義記錄檔路徑
| 提醒 | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 感測器無法寫入自定義記錄檔路徑。 | 無法建立感測器組態中提供的自定義記錄路徑。 | 1.停止 AATPSensorUpdater 和 AATPSensor 服務。 2.將感測器組態檔中的 變更 SensorCustomLogLocation 為有效的路徑,或將它設定為 Null。 3.再次啟動 AATPSensorUpdater 和 AATPSensor 服務。 |
低 | 感測器健康情況問題索引標籤 |
數據擷取失敗) VPN 整合 (半徑計量
| 提醒 | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 半徑計量 (數據擷取失敗) VPN 整合。 | 列出的適用於身分識別的 Defender 感測器具有半徑計量 (VPN 整合) 資料擷取失敗。 | Validate that the shared secret in the Defender for Identity configuration settings matches your VPN server, according to the guidance described Configure VPN in Defender for Identity section, in the Defender for Identity VPN integration page. | 低 | 健康情況問題頁面 |
感測器無法擷取連線服務設定 Microsoft Entra
| 提醒 | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 無法擷取連線服務設定 Microsoft Entra | 感測器無法從 Microsoft Entra Connect 服務擷取設定, (也稱為 Microsoft Azure AD 同步) 。 | 確定 Microsoft Entra 連線服務 (Microsoft Azure AD 同步) 正在執行,並遵循設定 Microsoft Entra Connect (ADSync) 資料庫的權限中的指示,將必要的許可權授與感測器。 如果問題持續發生,請遵循 SQL 連線問題與 Microsoft Entra Connect 的疑難解答指引。 | 中 | 感測器健康情況問題索引標籤 |