Installation des Tanium Servers

Dieser Abschnitt beschreibt die Installation eines eigenständigen Tanium Servers auf einem dedizierten Windows Server-Host. Einzelheiten zum Tanium Server und seinen Bereitstellungsoptionen finden Sie unter Tanium Server. Um Tanium Server in einer HA-Bereitstellung zu installieren, siehe Installieren von Tanium Servern in einem Active-Active-HA-Cluster.

Das Installationsprogramm für den Tanium Server führt die folgenden Aktionen aus:

  • Installiert alle notwendigen Datenbanktools, wie z. B. Microsoft SQL Server-Client-Tools und -Dienstprogramme.
  • Erstellt die Tanium-Datenbanken auf einem Remote-Datenbankserver und initialisiert die Datenbanktabellen in diesen Datenbanken.
  • Öffnet die erforderlichen Ports in der Windows Firewall des lokalen Hostcomputers.
  • Installiert den Tanium Server auf dem lokalen Hostcomputer und startet den Tanium Server-Dienst. Der Dienst startet den Anwendungsserver, der die Tanium Console hostet. Das Zertifikat und der private Schlüssel, die Sie während der Installation angeben, stellen den Zugriff auf die Tanium Console und API mithilfe des Protokolls Hypertext Transfer Protocol Secure (HTTPS) her.

Bevor Sie beginnen

Stellen Sie sicher, dass Sie die folgenden Anforderungen erfüllen, bevor Sie den Tanium Server installieren:

  • Installationsprogramm: Stellen Sie sicher, dass Sie die richtige Version des Installationsprogramms (SetupServer.exe) haben und darauf zugreifen können. Das Installationspaket für alle Tanium Core Platform-Server muss dieselbe Build-Nummer aufweisen (z. B. müssen alle die Build-Nummer 7.4.5.1200 aufweisen). Wenden Sie sich an den Tanium-Support.
  • Tanium Lizenz: Stellen Sie sicher, dass Sie auf die Tanium-Lizenzdatei zugreifen können: tanium.license.
  • Host-Anforderungen: Die Hostsysteme für den Tanium-Server und Datenbankserver müssen die Anforderungen an Hardware, Software und Netzwerkkonnektivität erfüllen, die für Ihre Bereitstellung geeignet sind: siehe Anforderungen, Tanium Server-Hostsystem und Hostsystem des SQL-Servers oder Hostsystem des PostgreSQL-Servers.
  • Benutzerkonten: Ihr Microsoft Active Directory-Administrator muss die Konten konfigurieren, die Ihr Team für die Bereitstellung der Tanium Core Platform benötigt: siehe Administrator-Kontoberechtigungen.
  • Firewall-Regeln: Ihr Netzwerkadministrator muss Firewall-Regeln konfigurieren, um die Kommunikation auf den TCP-Ports zu ermöglichen, die die Tanium Core Platform verwendet: siehe Internetzugang, Netzwerkkonnektivität und Firewall.
  • Sicherheitsausnahmen: Ihr Sicherheitsteam muss Ausnahmen von hostbasierten Sicherheitsrichtlinien konfigurieren, damit Tanium-Prozesse reibungslos und mit optimaler Leistung funktionieren können: siehe Referenzhandbuch zur Bereitstellung der Tanium Core Platform: Sicherheitsausnahmen des Hostsystems.
  • Zertifikate und Schlüssel: Wenn Sie ein von einer Zertifizierungsstelle (Certificate Authority, CA) ausgestelltes Zertifikat verwenden möchten, um die Verbindungen von Benutzersystemen zu den Tanium Servern für Zugriff auf die Tanium Console oder API abzusichern, stellen Sie sicher, dass das von der CA ausgestellte Zertifikat und der zugehörige private Schlüssel auf den Tanium Servern vorhanden sind. Der Name der Zertifikatsdatei muss SOAPServer.crt lauten und der Name der Schlüsseldatei muss SOAPServer.key lauten. Während der Installation können Sie ein von einer CA ausgestelltes Zertifikat auswählen oder den Tanium Server so konfigurieren, dass er ein selbstsigniertes Zertifikat erstellt.

    Verwenden Sie zur Vereinfachung der Fehlerbehebung das selbstsignierte Zertifikat während der Erstinstallation und ersetzen es später durch ein von einer CA ausgestelltes Zertifikat. So können Sie potenzielle Installationsprobleme von TLS-Verbindungsproblemen trennen.

    Eine ausführliche Erklärung und Verfahren finden Sie im Referenzhandbuch zur Bereitstellung der Tanium Core Platform: Zugriff auf Tanium Console, API und Modulserver absichern.

  • Datenbankserver: Ihr Datenbankadministrator muss einen Datenbankserver für die Bereitstellung der Tanium Core Platform erstellen: siehe Einrichten eines Datenbankservers.

Einrichten eines Datenbankservers

Vor der Installation des Tanium Servers muss Ihr Datenbankadministrator einen Datenbankserver für die Bereitstellung der Tanium Core Platform einrichten. Das Installationsprogramm des Tanium Servers erstellt die Tanium-Datenbank auf diesem Server. In Produktionsbereitstellungen muss die Datenbank auf einem eigenständigen Server ausgeführt werden, der Remote-Verbindungen vom Tanium Server zulässt. In einer Proof-of-Concept (POC)-Bereitstellung können Sie die Tanium-Datenbank lokal auf dem Tanium Server installieren.

In einer HA-Bereitstellung teilen sich die Tanium Server die Tanium-Datenbank. Daher muss sich der Peer Tanium Server remote mit der Datenbank verbinden, selbst wenn sich die Datenbank lokal auf einem Tanium Server befindet.

  1. Wählen Sie den Typ der Datenbank: Microsoft SQL Server oder PostgreSQL-Server.

    Wenden Sie sich an den Tanium-Support, wenn Sie einen PostgreSQL-Server möchten. Es ist eine besondere Verteilung des PostgreSQL-Servers erforderlich. Weitere Informationen finden Sie in der Tanium Support Knowledge Base unter article (Artikel) (Anmeldung erforderlich).

  2. Konfigurieren Sie ein privilegiertes Domänenadministratorkonto, das Sie verwenden können, um die Tanium-Datenbanken zu erstellen, wenn Sie das Installationsprogramm ausführen: siehe Administrator-Kontoberechtigungen.
  3. Stellen Sie sicher, dass für den Windows Secondary Logon-Dienst (seclogon) der Typ Start auf Automatisch oder Manual (Manuell) festgelegt ist, nicht auf Disabled (Deaktiviert). Andernfalls schlägt die Installation der Tanium-Datenbank fehl.
    1. Öffnen Sie das Programm Windows Dienste.
    2. Wählen Sie Secondary Logon (Sekundäre Anmeldung) und überprüfen Sie den Typ Start.
    3. Wenn der Dienst deaktiviert ist, doppelklicken Sie auf Secondary Logon (Sekundäre Anmeldung), stellen Sie seinen Startup type (Starttyp) auf Automatic (Automatisch) oder Manual (Manuell) ein, und klicken Sie auf OK.Windows sekundäre Anmeldung
  4.  (Nur SQL-Server) Konfigurieren Sie die SQL-Instanz, um Remote-Verbindungen zuzulassen:
    1. Melden Sie sich als Administrator beim Datenbankserver an.
    2. Öffnen Sie das Programm SQL Server Configuration Manager.
    3. Öffnen Sie im Navigationsbereich den Knoten SQL Server Network Configuration (SQL Server Netzwerkkonfiguration) und wählen Sie die Protokolle für Ihre Datenbankinstanz aus (z. B. Protokolle für SQLEXPRESS2012).
    4. Klicken Sie im Anzeigebereich mit der rechten Maustaste auf TCP/IP und wählen Sie Enable (Aktivieren).

      SQL Server Remote Verbindungen

  5.  (Nur SQL-Server, Best Practice) Installieren Sie SQL Server Management Studio auf dem Tanium Server-Hostcomputer.

    SQL Server Management Studio ist optional, aber die meisten Administratoren finden es hilfreich dabei, Datenbanktransaktionen zu überprüfen und die Datenbanken zu verwalten. Wenn Sie SQL Server Management Studio installieren, bevor Sie das Installationsprogramm ausführen, fordert Sie das Installationsprogramm nicht auf, die Microsoft SQL Server-Dienstprogramme herunterzuladen und zu installieren (siehe SQL-Befehlszeilen-Dienstprogramme nicht gefunden).

Tanium Server installieren

  1. Melden Sie sich als lokaler Administrator oder Domänenbenutzer mit Administratorberechtigungen beim Hostsystem an.
  2. Kopieren Sie die Installationspaketdatei und die Lizenz in einen temporären Speicherort.
  3. Rechtsklick auf die Datei SetupServer.exe und Run as Administrator (Als Administrator ausführen) wählen.
  4. Schließen Sie den Installationsassistenten ab. Die folgende Tabelle enthält Richtlinien für Schlüsseleinstellungen.
Einstellungen Richtlinien
Datenbankservertyp Wählen Sie den zu verwendenden Datenbanktyp aus:
  • PostgreSQL-Server

    Installieren Sie einen Remote-Datenbankserver (Produktionsbereitstellungen) oder lokalen Datenbankserver (POC-Bereitstellungen) und die zugehörigen Dienstprogramme.

  • Microsoft SQL Server

    Das Installationsprogramm zeigt zusätzliche Seiten für die Auswahl von Datenbankserver- und Client-Dienstprogrammoptionen an.
Postgres nicht gefunden Wenn Sie den Database Server Type (Datenbankserver-Typ) auf PostgreSQL Server einstellen und das Installationsprogramm keine lokale PostgreSQL-Server-Installation finden kann, werden die folgenden Optionen angezeigt:
  • Den lokalen Postgres-Server installieren und konfigurieren.

    Diese Option unterstützt nur POC-Bereitstellungen.

  • Den Remote Postgres-Server verwenden.

    Diese Option unterstützt Produktionsbereitstellungen.

  • Das Installationsprogramm jetzt schließen.

    Wählen Sie diese Option aus, wenn Sie nicht bereit sind, die Verbindung zum Remote PostgreSQL-Server herzustellen.
SQL-Befehlszeilen-Dienstprogramme nicht gefunden Wenn Sie den Database Server Type (Datenbankserver-Typ) auf Microsoft SQL Server einstellen und das Installationsprogramm keine lokale SQL-Server-Installation und SQL-Dienstprogramme finden kann, werden die folgenden Optionen angezeigt:
  • SQL 2012 Native Client und SQL 2012-Befehlszeilen-Dienstprogramme jetzt herunterladen und installieren.

    Wählen Sie diese Option aus, um die zur Verbindung mit einem Remote SQL Server erforderlichen Dienstprogramme zu installieren und Datenbanken zu erstellen. Wenn Sie diese Option auswählen, und das Tanium-Installationsprogramm erkennt, dass diese Dienstprogramme bereits im Hostsystem vorhanden sind, überschreibt es die bestehende Installation nicht. Sie ruft einfach nicht das Microsoft-Installationsprogramm für die Dienstprogramme auf.

  • SQL Server 2014 SP2 Express Edition mit Tools jetzt herunterladen und installieren.

    Wählen Sie diese Option nur für begrenzte POC-Bereitstellungen aus.

  • Das Installationsprogramm jetzt schließen. (Manuell herunterladen und installieren)

    Wählen Sie diese Option aus, wenn Sie die Dienstprogramme selbst installieren möchten. Wenn Sie danach das Tanium-Installationsprogramm erneut ausführen, können Sie die erste Option auswählen, und das Tanium-Installationsprogramm wird überprüfen, ob die Dienstprogramme vorhanden sind und nicht das Microsoft-Installationsprogramm aufrufen.

Das Herunterladen von SQL Server 2014 SP2 Express dauert wesentlich länger als SQL 2012 Native Client. Wenn Sie daher beabsichtigen, einen Remote-Datenbankserver zu verwenden, wählen Sie Download and Install SQL 2012 Native Client and SQL 2012 Command Line Utilities now (Jetzt SQL 2012 Native Client und SQL 2012 Befehlszeilen-Dienstprogramme herunterladen und installieren) oder laden Sie die Dateien von Microsoft über die Links herunter, die der Installationsassistent bereitstellt.
Art der Installation auswählen
  • Benutzerdefinierte Installation: Wählen Sie diese Option für die Produktionsbereitstellungen aus.
  • Expressinstallation: Wählen Sie diese Option nur für begrenzte POC-Bereitstellungen aus.
Dienstkonto für Tanium Server und Datenbankzugriff auswählen Konto angeben

Diese Option ist für die Produktionsbereitstellungen erforderlich. Geben Sie ein Dienstkonto an, das eine Verbindung zum Remote-Datenbankserver herstellen kann und Berechtigungen zum Erstellen von Datenbanken besitzt. Das von Ihnen angegebene Konto führt auch den Tanium Server-Dienst auf dem lokalen Hostcomputer aus. Geben Sie die folgenden Details an:

  • User Name (Benutzername): Nur den Kontoname-Teil der Zugangsdaten eingeben, z. B. taniumsvc.
  • Domain: Geben Sie den Domain-Namen ein, z. B. example.com.
  • Password (Passwort): Geben Sie das Kontopasswort ein.
Lokales Systemkonto

Diese Option wird nur unterstützt, wenn Sie den Database Server Type (Datenbankserver-Typ) auf Microsoft SQL Server einstellen und Sie eine begrenzte POC-Bereitstellung aufsetzen, bei der sich Tanium Server und Datenbankserver auf demselben lokalen Hostsystem befinden.
Installationsspeicherort auswählen Der Standardwert ist C:\Program Files\Tanium\Tanium Server.

Für zusätzliche Sicherheit bei der Bereitstellung in der Produktion eines Unternehmens installieren Sie den Tanium Server auf einer systemfremden Festplatte.

Lizenzkonfiguration Klicken Sie auf Browse (Durchsuchen), navigieren Sie zu dem Verzeichnis, in das Sie die Tanium-Lizenzdatei (tanium.license) kopiert haben, wählen Sie die Datei aus, und klicken Sie auf Open (Öffnen).
Schlüsseldatenbank wiederherstellen Der Tanium Server verwendet die Datei pki.db, um die Root-Keys und untergeordneten Schlüssel für Tanium zu speichern, die für die TLS-Kommunikation zwischen den Komponenten der Tanium Core Platform erforderlich sind (siehe Verwalten von Tanium-Schlüsseln). Wählen Sie die Quelle für diese Datei aus:
  • Generate a new key database (Eine neue Schlüsseldatenbank erstellen): Der Tanium Server erstellt eine neue Datei pki.db.
  • Restore a key database from backup (Eine Schlüsseldatenbank aus einer Sicherungskopie wiederherstellen): Wenn Sie die Datei pki.db aus einer vorherigen Installation dieses Tanium Servers gespeichert haben, kopieren Sie sie an einen temporären Speicherort auf dem aktuellen Server-Host, klicken Sie auf Browse (Durchsuchen), wählen Sie die Datei aus, und klicken Sie auf Open (Öffnen). Beachten Sie, dass Sie auch die Tanium-Datenbank wiederherstellen müssen, die mit der Sicherungskopie der Datei pki.db in Zusammenhang steht, um es Tanium Clients zu ermöglichen, eine Verbindung zu diesem Tanium Server herzustellen.

Das Installationsprogramm speichert die Datei pki.db im Installationsordner des Tanium Servers.
Server-Konsole/API-Port Geben Sie den Tanium Server-Port für eingehenden Datenverkehr von Tanium Console und API an. Der Standardwert ist 443.
SSL-Zertifikat und Schlüssel Der Tanium Server verwendet das SSL-/TLS-Zertifikat (SOAPServer.crt) und den privaten Schlüssel (SOAPServer.key), um die Kommunikation mit Benutzern der Tanium Console oder API und die Kommunikation mit dem Modulserver abzusichern.
  • Selbstsigniertes Zertifikat und Schlüssel generieren

    Wenn Sie diese Option auswählen, erstellt das Installationsprogramm ein selbstsigniertes Zertifikat und einen privaten Schlüssel. Geben Sie für Server Host Name (Server-Hostname) den vollständig qualifizierten Domain-Namen (Fully-Qualified Domain Name, FQDN) des Tanium Servers an. Zum Beispiel: ts1.example.com oder ts1.example.com. Wenn Sie ein HA-Paar bereitstellen, geben Sie den FQDN für beide Server an, getrennt durch ein Komma (keine Leerzeichen). Zum Beispiel: ts1.example.com,ts2.example.com.

  • Bestehendes Zertifikat und Schlüssel verwenden

    Um ein von einer CA ausgestelltes Zertifikat zu verwenden, wählen Sie die Zertifikatsdatei und die zugehörige private Schlüsseldatei aus. Eine ausführliche Erklärung finden Sie im Handbuch für die Bereitstellung der Tanium Core Platform: Zugriff auf Tanium Console, API und Modulserver absichern.
Serverport Legen Sie den Tanium Server-Port für eingehenden Datenverkehr von Tanium Clients fest, die sich im internen Netzwerk befinden. Der Standardwert ist 17472.
SQL Server und Datenbank Wenn Sie den Database Server Type (Datenbankserver-Typ) auf Microsoft SQL Server einstellen, haben Sie die folgenden Optionen:
  • Lokale Datenbank verwenden

    Diese Option wird nur für POC-Bereitstellungen unterstützt. Wenn SQL Server auf dem lokalen Hostcomputer installiert ist, können Sie einen Datenbankserver aus dem Listenfeld Local Instance (Lokale Instanz) auswählen.

  • Remote-Datenbank verwenden

    Wählen Sie diese Option aus und legen Sie den Pfad zum Remote-Datenbankserver im Textfeld Remote-SQL-Pfad fest. Die Syntax lautet <hostname>\<database instance name>. Zum Beispiel: SQL1\SQLEXPRESS.

Klicken Sie auf Test, um die Verbindung zu testen.

Tipp: Wenn der SQL Server auf einen benutzerdefinierten Port (nicht 1433) lauscht, legen Sie den Port im Textfeld Remote-SQL-Pfad fest. Zum Beispiel: SQL1\SQLEXPRESS,1444.
Postgres-Konfiguration Wenn Sie den Database Server Type (Datenbankserver-Typ) auf PostgreSQL Server einstellen, geben Sie die folgenden Einstellungen an:
  • Serverport: Der Standardwert ist 17472.
  • Server: Geben Sie localhost (Standard) für einen lokalen Server oder den FQDN bzw. die IP-Adresse des Remote-Servers an. Sie müssen IPv6-Adressen innerhalb der eckigen Klammern eingeben (z. B. [2001:db8::1]).
  • Optionen: Geben Sie zusätzliche Parameter an, die in der Verbindung übergeben werden sollen. Normalerweise ist dies dbname und Port. Zum Beispiel: dbname=postgres port=5432 user=postgres.

Klicken Sie auf Test, um die Verbindung zu testen.
Lokalen Tanium-Modulserver installieren Wählen Sie diese Option nur aus, wenn Sie eine POC-Bereitstellung installieren, in der Tanium Server und Modulserver auf demselben Hostsystem ausgeführt werden.
Öffnen von Tanium-Ports in der Windows Firewall Wählen Sie diese Option aus, um Tanium Server-Ports in der Windows-Firewall zu öffnen. Die Ports 443 und 17472 sind die Standardportnummern.
Administratorkonto festlegen (Nur Neuinstallation) Legen Sie den Username (Benutzername) und das Password (Passwort) für das erste Administratorkonto der Tanium Console fest. Dies ist das Konto, das Sie bei Ihrer ersten Anmeldung an der Konsole verwenden werden. Anschließend können Sie zusätzliche Benutzer erstellen. Verwenden Sie für Active Directory-Konten DOMAIN\username oder UPN-Format. Zum Beispiel: TAM\TaniumAdmin oder TaniumAdmin@TAM. Verwenden Sie für lokale Konten die Syntax MACHINE\username.
Menüordner Start (Start) wählen (Nur Neuinstallation) Wählen Sie einen Ordner für den Tanium Server im Windows-Startmenü aus. Der Standardwert ist Tanium Server.

Nächste Schritte

Installieren Sie den Remote Modulserver. Siehe Installation des Tanium-Modulservers.