Tanium Client-Subnetze konfigurieren

Separierte Subnetze und isolierte Subnetze bieten Methoden zur Änderung des Standard-Peering-Verhaltens von Tanium Clients. Stellen Sie vor der Konfiguration dieser Subnetze sicher, dass Sie das Standardverhalten und die Auswirkungen Ihrer Änderungen verstehen: siehe Benutzerhandbuch für den Tanium Client: Tanium Client-Peering konfigurieren.

Der Tanium Server speichert Subnetzeinstellungen in Konfigurationsdateien auf seinem Hostcomputer und synchronisiert die Einstellungen nicht automatisch mit dem HA-Peer. Wenn Sie diese Einstellungen bei HA-Bereitstellungen ändern, müssen Sie das Verfahren auf beiden Tanium Servern im HA-Cluster durchführen.

Benutzer benötigen die reservierte Administratorrolle, um die Seite Configuration (Konfiguration) > Tanium Server > Subnets (Subnetze) sehen und verwenden zu können.

Separierte Subnetze konfigurieren

Tanium Clients in einem separierten Subnetz können nur mit Nachbarn kommunizieren, die sich ebenfalls in diesem Subnetz befinden. Clients verwenden die Konfiguration für separierte Subnetze für das Peering, basierend darauf, ob sie eine Verbindung zum Tanium Server oder Zoneserver aufbauen. Jeder Server verwendet die Konfiguration, um die Peerliste für Clients zu verwalten, die sich über ihn registrieren. Sie müssen die Tanium Server- oder Zoneserver-Dienste nach der Konfiguration separierter Subnetze nicht neu starten.

  1. Gehen Sie zu Configuration (Konfiguration) > Tanium Server > Subnets (Subnetze).
  2. Geben Sie jedes Separated Subnet (Separierte Subnetz) im CIDR-Format ein (wie z. B. 192.168.2.0/24). Die Tanium Core Platform 7.3 und später unterstützt Ipv6-Subnetze (konsultieren Sie Ihren technischer Account Manager), die Sie in eckigen Klammern eingeben müssen, gefolgt vom Präfix (z. B. [2001:db8::]/32).
  3. Hinweis: Verwenden Sie entweder das Zeichen ; oder # zu Beginn einer Zeile oder sofort nach einem Eintrag, um optionale Kommentare oder Dokumentationen hinzuzufügen.

  4. Speichern Sie Ihre Änderungen. Der Tanium Server speichert die Konfiguration als Datei mit der Bezeichnung SeparatedSubnets.txt im Installationsordner.
  5. Kopieren Sie die Datei in den Zoneserver-Installationsordner auf jedem Zoneserver. In den meisten Umgebungen erfordert die Datei denselben Inhalt für alle Zoneserver und Tanium Server und die beste Vorgehensweise besteht darin, die Dateien über Server hinweg zu synchronisieren, um Verwirrung zu vermeiden. In komplexen Umgebungen mit überlappenden Subnetzen müssen Sie Subnetze möglicherweise unterschiedlich für Zoneserver trennen. Falls erforderlich, können Sie die Kopie SeparatedSubnets.txt auf jedem Zoneserver, der eine eindeutige Konfiguration erfordert, ändern.

Es dauert bis zu vier Stunden für die Tanium Clients, um eine aktualisierte Peerliste zu registrieren und zu empfangen (Intervall für die Zurücksetzung der Registrierung).

Isolierte Subnetze konfigurieren

Da die Netzwerkkommunikation zwischen VPN-Clients eine deutlich höhere Latenz als eine Client-to-Server-Verbindung hat, konfigurieren Sie ein Isolated Subnet (Isoliertes Subnetz) für jedes der VPN-Client-Subnetze, um Client-Peering in diesen Subnetzen zu verhindern. Tanium Clients verwenden die Konfiguration für isolierte Subnetze basierend darauf, ob sie eine Verbindung zum Tanium Server oder Zoneserver aufbauen. Jeder Server verwendet die Konfiguration, um die Peerliste für Tanium Clients zu verwalten, die sich über ihn registrieren. Sie müssen die Tanium Server- oder Zoneserver-Dienste nach der Konfiguration isolierter Subnetze nicht neu starten.

Abbildung 1:  Isolierte Subnetze
  1. Gehen Sie zu Configuration (Konfiguration) > Tanium Server > Subnets (Subnetze).
  2. Geben Sie jedes Isolated Subnet (Isolierte Subnetz) im CIDR-Format ein (wie z. B. 192.168.2.0/24). Die Tanium Core Platform 7.3 und später unterstützt Ipv6-Subnetze (konsultieren Sie Ihren technischer Account Manager), die Sie in eckigen Klammern eingeben müssen, gefolgt vom Präfix (z. B. [2001:db8::]/32).
  3. Hinweis: Verwenden Sie entweder das Zeichen ; oder # zu Beginn einer Zeile oder sofort nach einem Eintrag, um optionale Kommentare oder Dokumentationen hinzuzufügen.

  4. Speichern Sie Ihre Änderungen. Der Tanium Server speichert die Konfiguration als Datei mit der Bezeichnung IsolatedSubnets.txt im Installationsordner.
  5. Kopieren Sie die Datei in den Zoneserver-Installationsordner auf jedem Zoneserver. In den meisten Umgebungen erfordert die Datei denselben Inhalt für alle Zoneserver und Tanium Server und die beste Vorgehensweise besteht darin, die Dateien über Server hinweg zu synchronisieren, um Verwirrung zu vermeiden. In komplexen Umgebungen mit überlappenden Subnetzen müssen Sie Subnetze möglicherweise unterschiedlich für Zoneserver trennen. Falls erforderlich, können Sie die Kopie IsolatedSubnets.txt auf jedem Zoneserver, der eine eindeutige Konfiguration erfordert, ändern.

Es dauert bis zu vier Stunden für die Tanium Clients, um eine aktualisierte Peerliste zu registrieren und zu empfangen (Intervall für die Zurücksetzung der Registrierung).