Zoneserver und Hubs verwalten

Sie müssen das Vertrauen zwischen jedem Tanium Server und Tanium Zoneserver-Hub aktivieren, damit diese miteinander kommunizieren können. Sie müssen auch jeden Tanium Zone Server einem Zoneserver-Hub zuordnen, sodass nur vertrauenswürdige Zoneserver mit Hubs kommunizieren. Bei einer HA-Bereitstellung aktivieren Sie das Vertrauen und konfigurieren die Zuordnungen für jeden Tanium Server und Zoneserver-Hub. Diese Verfahren behandeln die folgenden Anwendungsfälle:

  • Sie haben von der Tanium Core Platform 7.3 oder älter aktualisiert und müssen das Vertrauen aktivieren und Zuordnungen konfigurieren, weil die Server diese in Version 7.4 oder neuer benötigen.
  • Sie haben die Neuinstallation des Tanium Servers, Zoneservers und Zoneserver-Hubs abgeschlossen und müssen nun das Vertrauen aktivieren und Zuordnungen konfigurieren.
  • Sie müssen einen Zoneserver oder Zoneserver-Hub zu einer vorhandenen Bereitstellung hinzufügen.
  • Sie müssen einen Zoneserver oder Zoneserver-Hub ersetzen. In diesem Fall müssen Sie den Vertrauensstatus widerrufen und die Zuordnungen für den alten Hub löschen und dann für den neuen Hub das Vertrauen aktivieren und Zuordnungen konfigurieren.

Sie benötigen die reservierte Administratorrolle, um Vertrauen und Zuordnungen zwischen Zoneservern und Hubs zu verwalten.

Vertrauen aktivieren und Zuordnungen konfigurieren

Bevor Sie beginnen

Installieren Sie die Tanium Server, Zoneserver und Zoneserver-Hubs. Für die Verfahren lesen Sie bitte den Bereitstellungsleitfaden für Ihre Tanium-Infrastruktur unter Tanium Core Platform-Server. Wenn Sie einen Zoneserver-Hub hinzufügen, zeigt die Tanium Console ihn automatisch als Kachel auf der Seite Configuration (Konfiguration) > Tanium Server > Zone Server Hub Trusts (Zoneserver-Hub-Vertrauen) an.

Führen Sie bei einer HA -Bereitstellung die folgenden Aufgaben nacheinander auf jedem Tanium Server aus.

Vertrauen für Zoneserver-Hubs genehmigen

Führen Sie für jeden Zoneserver-Hub die folgenden Schritte durch.

Wenn Sie den Zoneserver-Hub von Version 7.3 oder älter aktualisiert haben, migriert der Hub die Datei ZoneServerList.txt in Zoneserver-Zuordnungen, nachdem Sie das Vertrauen für den Hub genehmigt haben.

  1. Melden Sie sich bei der CLI des Hosts an, auf dem Sie den Zoneserver-Hub installiert haben.
  2. Navigieren Sie zum Installationsverzeichnis des Zoneserver-Hubs (z. B. \Program Files (x86)\Tanium\Tanium ZoneServer):

    > cd <Zoneserver>

  3. Zeigen Sie den Registrierungs-Fingerabdruck des Zoneserver-Hubs an:

    > TaniumZoneServer pki show-registration-fingerprint

  4. Melden Sie sich bei der Tanium Console eines Tanium Servers an.
  5. Gehen Sie zu Configuration (Konfiguration) > Tanium Server > Zone Server Hub Trusts (Zoneserver-Hub-Vertrauen).

    Die Seite zeigt eine Kachel für jeden Zone Server Hub (Zoneserver-Hub) an, den Sie installiert haben.

  6. Verifizieren Sie die Identität jedes Zoneserver-Hubs über seinen Fingerprint (Fingerabdruck) und seine IP -Adresse oder seinen FQDN.

    Wenn die Identifizierer eines Zoneserver-Hubs falsch sind, nehmen Sie den Hub außer Betrieb, bevor Sie das Vertrauen für ihn ablehnen. Die Verweigerung von Vertrauen für eine bestimmte Instanz eines Hubs kann nicht rückgängig gemacht werden. Um das Vertrauen später zu genehmigen, müssen Sie den Hub deinstallieren und neu installieren, sodass er einen neuen Fingerabdruck erzeugt.

  7. Klicken Sie in der Kachel Zone Server Hub (Zoneserver-Hub) auf Accept/Deny (Akzeptieren/Ablehnen), um den Arbeitsablauf für die Vertrauensgenehmigung zu starten.
  8. Überprüfen Sie, ob die Hub-Details korrekt sind, klicken Sie auf Accept (Akzeptieren), geben Sie Ihr Anmeldepasswort ein, und klicken Sie auf OK.

    In der Kachel Zone Server Hub (Zoneserver-Hub) ändert sich der Status des Vertrauens in Approved (Genehmigt).

Zoneserver einem Zoneserver-Hub zuordnen

Nachdem Sie Vertrauen für Zoneserver-Hubs genehmigt haben, führen Sie die folgenden Schritte für jeden Zoneserver aus.

  1. Melden Sie sich bei der Zoneserver-CLI an.
  2. Navigieren Sie zum Zoneserver-Installationsverzeichnis (z. B. \Program Files (x86)\Tanium\Tanium ZoneServer):

    > cd <Zoneserver>

  3. Zeigen Sie den Registrierungs-Fingerabdruck des Zoneservers an:

    > TaniumZoneServer pki show-registration-fingerprint

  4. Melden Sie sich bei der Tanium Console an.
  5. Klicken Sie in einer Kachel für einen Zone Server Hub (Zoneserver-Hub auf Add Zone Server (Zoneserver hinzufügen).
  6. Geben Sie die  IP-Adresse oder den FQDN des Zoneservers ein. Wenn Sie den Zoneserver so konfiguriert haben, dass er einen anderen Port als den Standard-Port 17472 für Datenverkehr vom Zoneserver-Hub verwendet, müssen Sie auch diesen Port im Format <[FQDN] | [IP address]>:<port> angeben, beispielsweise zs1.example.com:17473 oder 192.168.2.1:17473.

    Die Konfiguration separater Ports für Datenverkehr von Zoneserver-Hubs und Tanium Clients ist ein bewährtes Verfahren zur Verbesserung der Sicherheit des Zoneservers. Eine ausführliche Erklärung finden Sie im Handbuch für die Bereitstellung der Tanium Core Platform unter Windows: Konfiguration von Ports für Datenverkehr von Zoneserver-Hubs und Tanium Clients.

  7. Klicken Sie auf OK, geben Sie unter Password (Passwort) Ihr Anmeldepasswort ein und klicken Sie erneut auf OK.

    Die Tanium Console kann ein paar Minuten brauchen, um die Zuordnung anzuzeigen. Wenn dies geschehen ist, zeigt der Status der Zuordnung den Wert Pending (Ausstehend) in der Kachel Zone Server (Zoneserver) an. Die Zuordnung wird auch im Raster Zone Servers to Zone Server Hub Mappings (Zoneserver-zu -Zoneserver-Hub-Zuordnungen) angezeigt.

  8. Klicken Sie in der Kachel Zone Server (Zoneserver) auf Accept/Deny (Akzeptieren/Ablehnen), um den Arbeitsablauf für die Zuordnung zu starten.
  9. Verifizieren Sie die Identität jedes Zoneservers über seinen Fingerprint (Fingerabdruck) und seine IP -Adresse oder seinen FQDN.

    Wenn die Identifizierer eines Zoneservers falsch sind, nehmen Sie den Server außer Betrieb, bevor Sie das Vertrauen für ihn ablehnen.

  10. Klicken Sie auf Accept (Akzeptieren), geben Sie Ihr Anmeldepasswort ein, und klicken Sie auf OK.

    In der Kachel Zone Server (Zoneserver) ändert sich der Status der Zuordnung in Approved (Genehmigt).

Vertrauen widerrufen und Zuordnungen löschen

Falls Sie einen der Zoneserver-Hubs ersetzen müssen, widerrufen Sie den Vertrauensstatus und die Zoneserver-Zuordnungen für den alten Hub, bevor Sie das Vertrauen und die Zuordnungen für den neuen Hub einrichten. Wenn Sie einen Zoneserver ersetzen müssen, löschen Sie seine Hub-Zuordnung, bevor Sie eine Zuordnung für den neuen Zoneserver erstellen. Führen Sie bei einer HA -Bereitstellung diese Aufgaben auf jedem Tanium Server aus.

Einen Zoneserver-Hub widerrufen

  1. Melden Sie sich bei der Tanium Console eines Tanium Servers an.
  2. Gehen Sie zu Configuration (Konfiguration) > Tanium Server > Zone Server Hub Trusts (Zoneserver-Hub-Vertrauen).

    Die Seite zeigt eine Kachel für jeden Zone Server Hub (Zoneserver-Hub) an.

  3. Klicken Sie in der Kachel Zone Server Hub (Zoneserver-Hub) auf Revoke (Widerrufen), geben Sie Ihr Anmeldepasswort ein, und klicken Sie auf OK.

    Der Abschnitt Zone Server Hub (Zoneserver-Hub) zeigt keine Kachel für den Hub mehr an.

Einen Zoneserver widerrufen

  1. Melden Sie sich bei der Tanium Console eines Tanium Servers an.
  2. Gehen Sie zu Configuration (Konfiguration) > Tanium Server > Zone Server Hub Trusts (Zoneserver-Hub-Vertrauen).

    Die Seite zeigt eine Kachel für jeden der Zone Servers (Zoneserver) an.

  3. Klicken Sie in der Kachel Zone Server (Zoneserver) auf Revoke (Widerrufen), geben Sie Ihr Anmeldepasswort ein, und klicken Sie auf OK.

    Der Abschnitt Zone Server (Zoneserver) zeigt keine Kachel für den Server mehr an.

Eine Zoneserver-Hub-zu-Zoneserver-Zuordnung löschen

  1. Melden Sie sich bei der Tanium Console eines Tanium Servers an.
  2. Gehen Sie zu Configuration (Konfiguration) > Tanium Server > Zone Server Hub Trusts (Zoneserver-Hub-Vertrauen).

    Das Raster Zone Servers to Zone Server Hub Mappings (Zoneserver-zu-Zoneserver-Hub-Zuordnungen) enthält einen Eintrag für jede Zuordnung.

  3. Wählen Sie die Zuordnung aus, klicken Sie auf Delete Mapping (Zuordnung löschen), geben Sie Ihr Anmeldepasswort ein, und klicken Sie auf OK.