Installieren von Tanium Servern in einem Active-Active-HA-Cluster

Sie können zwei Tanium Server in einem Active-Active-Hochverfügbarkeits-(HA)-Cluster einsetzen, um eine kontinuierliche Verfügbarkeit im Falle eines Ausfalls oder einer geplanten Wartung sicherzustellen. Einzelheiten zu HA-Bereitstellungen finden Sie unter Tanium Server.

Anforderungen und Einschränkungen der HA-Cluster

Eine HA-Bereitstellung hat die folgenden Anforderungen:

  • Version des Installationsprogramms: Verwenden Sie dasselbe Installationsprogramm für beide Tanium Server. Alle Tanium Core Platform-Server müssen dieselbe Build-Nummer aufweisen (z. B. müssen alle die Build-Nummer 7.4.5.1200 aufweisen). Wenden Sie sich an den Tanium-Support.
  • Host-Kapazität: Beide Tanium Server müssen die Anforderungen für die Gesamtzahl der Endpunkte, die von Ihrer Bereitstellung geplant ist, erfüllen oder übertreffen. Das bedeutet, dass jeder Server in der Lage sein muss, im Falle eines Fehlers die Last der gesamten Bereitstellung allein zu bewältigen. Einzelheiten finden Sie unter Ressourcenanforderungen.
  • Konnektivität von Peer zu Peer: Die Tanium Server müssen in der Lage sein, sich über eine zuverlässige Ethernet-Verbindung miteinander zu verbinden. Die Verbindung erfordert einen minimalen Durchsatz von 1 Gbit/s und eine maximale Round-Trip-Latenz von 30 ms.
  • Internetzugang: Jeder Tanium Server muss in der Lage sein, auf das Internet zuzugreifen, um Dateien von bestimmten Domänen herunterzuladen (siehe Referenzhandbuch zur Bereitstellung der Tanium Core Platform: Internet-URLs erforderlich). Der Zugriff kann direkt oder über einen Proxy-Server erfolgen (siehe Tanium Console Benutzerhandbuch: Konfigurieren von Proxy-Server-Einstellungen).
  • Gemeinsame Datenbank und Tanium-Modulserver: Jedes Clustermitglied muss sich mit dem gemeinsamen Datenbankserver und dem gemeinsamen Modulserver verbinden können. Die Verbindung erfordert einen minimalen Durchsatz von 1 Gbit/s und eine maximale Round-Trip-Latenz von 30 ms.

Sie müssen keinen Microsoft Windows-Cluster konfigurieren. Die hier bereitgestellten Verfahren basieren auf zwei eigenständigen Windows Server-Hostcomputern.

Bevor Sie beginnen

Stellen Sie sicher, dass die folgenden Bedingungen erfüllt sind, bevor Sie die Tanium Server installieren:

  • Installationsprogramm: Stellen Sie sicher, dass Sie auf das Tanium Server-Installationsprogramm zugreifen können: SetupServer.exe.
  • Tanium Lizenz: Stellen Sie sicher, dass Sie auf die Tanium-Lizenzdatei zugreifen können: tanium.license.
  • Host-Anforderungen: Das Hostsystem erfüllt die Hardware-, Software- und Netzwerkkonnektivitätsanforderungen, die für Ihre Bereitstellung geeignet sind: siehe Anforderungen.
  • Benutzerkonten: Ihr Microsoft Active Directory-Administrator muss die Konten konfigurieren, die Ihr Team für die Bereitstellung der Tanium Core Platform benötigt: siehe Administrator-Kontoberechtigungen.
  • Firewall-Regeln: Ihr Netzwerkadministrator muss die Firewall-Regeln konfigurieren, um die Kommunikation über die von der Tanium Core Platform verwendeten TCP-Ports zu ermöglichen. Zusätzlich zu den Ports, die ein eigenständiger Tanium Server verwendet, senden und empfangen Tanium Server in einem HA-Cluster die HA-bezogenen Daten auf Port 17472 (TCP). Einzelheiten finden Sie unter Internetzugang, Netzwerkkonnektivität und Firewall.
  • Sicherheitsausnahmen: Ihr Sicherheitsteam muss Ausnahmen von hostbasierten Sicherheitsrichtlinien konfigurieren, damit Tanium-Prozesse reibungslos und mit optimaler Leistung funktionieren können: siehe Referenzhandbuch zur Bereitstellung der Tanium Core Platform: Sicherheitsausnahmen des Hostsystems.
  • Zertifikate und Schlüssel: Wenn Sie ein von einer Zertifizierungsstelle (Certificate Authority, CA) ausgestelltes Zertifikat verwenden möchten, um die Verbindungen von Benutzersystemen zu den Tanium Servern für Zugriff auf die Tanium Console oder API abzusichern, stellen Sie sicher, dass das von der CA ausgestellte Zertifikat und der zugehörige private Schlüssel auf den Tanium Servern vorhanden sind. Der Name der Zertifikatsdatei muss SOAPServer.crt lauten und der Name der Schlüsseldatei muss SOAPServer.key lauten. Während der Installation können Sie ein von einer CA ausgestelltes Zertifikat auswählen oder den Tanium Server so konfigurieren, dass er ein selbstsigniertes Zertifikat erstellt.

    Zur Vereinfachung der Fehlerbehebung verwenden Sie das selbstsignierte Zertifikat während der Erstinstallation und ersetzen es später durch ein von einer CA ausgestelltes Zertifikat. So können Sie potenzielle Installationsprobleme von TLS-Verbindungsproblemen trennen.

    Eine ausführliche Erklärung und Verfahren finden Sie im Referenzhandbuch zur Bereitstellung der Tanium Core Platform: Zugriff auf Tanium Console, API und Modulserver absichern.

  • Datenbankserver: Ihr Datenbankadministrator muss einen Datenbankserver für die Bereitstellung der Tanium Core Platform erstellen: siehe Einrichten eines Datenbankservers.

HA-Cluster bereitstellen

  1. Richten Sie den Server für die gemeinsame Datenbank ein.
  2. Installieren Sie den Tanium Server auf dem primären Hostcomputer, wie in Installation des Tanium Servers beschrieben.
  3. Installieren Sie den Tanium-Modulserver wie in Installation des Tanium-Modulservers beschrieben.
  4. Melden Sie sich beim sekundären Hostcomputer an und führen Sie das Befehlseingabe-Dienstprogramm als lokaler Administrator aus, das über die Berechtigungen verfügt, einen Ordner im Verzeichnis Program Files (Programme) zu erstellen.

  5. Erstellen Sie das Verzeichnis, indem Sie den folgenden Befehl ausführen, wobei <drive> das Ziellaufwerk ist (z. B. D).

    md "<drive>:\Program Files\Tanium\Tanium Server"

  6. Kopieren Sie die folgenden Dateien aus dem Tanium Server-Installationsverzeichnis auf dem primären Host in das Verzeichnis, das Sie gerade auf dem sekundären Host erstellt haben:
    • SOAPServer.crt
    • SOAPServer.key
    • tanium.license

    Befolgen Sie stets die Best Practices Ihrer Organisation zum sicheren Kopieren sensibler Dateien. Verwenden Sie beispielsweise GNU Privacy Guard (GPG), um die Dateien vor dem Kopieren zu verschlüsseln und auf dem Zielserver wieder zu entschlüsseln.

  7. Wenn der primäre Server bereits seit mehreren Tagen eingesetzt wurde, bevor Sie den sekundären Server bereitstellen, kopieren Sie den Ordner Strings (Zeichenketten) aus dem Tanium-Installationsverzeichnis auf dem primären Host in dasselbe Verzeichnis auf dem sekundären Host. Dieser Schritt ist nicht erforderlich, wenn Sie beide Server gleichzeitig einsetzen.
  8. Kopieren Sie das Installationsprogramm (SetupServer.exe) in einen temporären Speicherort auf dem sekundären Host.
  9. Führen Sie einen Rechtsklick auf SetupServer.exe aus, wählen Sie die Option Run as Administrator (Als Administrator ausführen) aus, und schließen Sie den Installationsassistenten ab.

  10. Registrieren Sie den Remote Modulserver beim zweiten Tanium Server.

    Die Registrierung umfasst das Kopieren von Dateien zwischen dem Modulserver und dem Tanium Server. Beide Server müssen erreichbar sein, wenn Sie den CLI-Registrierungsbefehl ausgeben, andernfalls wird der Befehl fehlschlagen. Informationen zur Verwendung der CLI finden Sie unter Referenzhandbuch zur Bereitstellung von Tanium Core Platform: CLI.

    1. Öffnen Sie die CLI auf dem Modulserver-Host und navigieren Sie zum Installationsverzeichnis des Modulservers:

      cmd-prompt>cd <Modulserver>

    2. Geben Sie den Registrierungsbefehl ein, und geben Sie bei Aufforderung den Namen und das Passwort eines Tanium Console-Administratorbenutzers an:

      cmd-prompt>TaniumModuleServer register <Tanium_Server_FQDN>
      Enter administrator username: <username>
      Enter password for user '<username>': <password>
      Successfully completed registration.

  11. Aktivieren Sie das Vertrauen zwischen den Tanium Servern, um die Kommunikation für HA-Synchronisierung und -Failover zu ermöglichen: siehe Benutzerhandbuch für die Tanium Console: Tanium Server-Vertrauen verwalten.
  12. Überprüfen Sie die Bereitstellung: siehe Überprüfung der Tanium Core Platform-Bereitstellung.

HA-Konfigurationshinweise

Tanium Server in einem HA -Cluster synchronisieren ihre Windows-Registry-Einstellungen nicht automatisch. Sie müssen daher alle Änderungen an diesen Einstellungen auf jedem Tanium Server im Cluster wiederholen. Im Windows-Registry gespeicherte Einstellungen beinhalten:

  • Protokollierungsstufe
  • Proxy-Server-Einstellungen
  • Proxy-Einstellungen umgehen
  • Vertrauenswürdige Hosteinstellungen
  • Einstellungen für die Prüfung der Zertifikatssperrliste (CRL) umgehen

Die Verfahren zum Bearbeiten dieser Einstellungen finden Sie im Benutzerhandbuch für die Tanium Console.

Richtlinien zu den Einstellungen des Tanium Server-Windows-Registrys finden Sie unter Referenzhandbuch zur Bereitstellung der Tanium Core Platform: Settings.