Installation du serveur Tanium dans le cluster HA actif/actif

Vous pouvez déployer deux serveurs de Tanium dans un cluster haute disponibilité (HA) actif/actif, afin d’assurer une disponibilité continue en cas de panne ou de maintenance programmée. Pour plus de détails sur les déploiements HA, reportez-vous à la section Serveur Tanium.

Exigences et limitations de cluster HA

Un déploiement HA a les exigences suivantes :

  • Version du programme d’installation : utilisez le même programme d’installation pour les deux serveurs Tanium. Tous les serveurs Tanium Core Platform doivent avoir le même numéro de build (par exemple, tous doivent avoir le numéro de build 7.4.5.1200). Contacter l’assistance Tanium pour plus de détails.
  • Capacité de l’hôte : les deux serveurs Tanium doivent satisfaire ou dépasser les exigences du nombre total de endpoints ciblés par votre déploiement. En d’autres termes, chaque serveur doit pouvoir gérer indépendamment la charge du déploiement complet en cas de défaillance. Pour plus de détails, reportez-vous à la section Exigences en matière de ressources.
  • Connectivité peer-to-peer : les serveurs Tanium doivent pouvoir se connecter les uns aux autres via une connexion Ethernet fiable. La connexion nécessite un débit minimum de 1 Gbit/s et une latence maximale de 30 ms.
  • Accès Internet : chaque serveur Tanium doit pouvoir accéder à Internet pour télécharger des fichiers à partir de domaines désignés (reportez-vous au Guide de référence du déploiement de Tanium Core Platform : URL Internet requises). L’accès peut être direct ou se faire via un serveur proxy (reportez-vous au Guide d’utilisation de Tanium Console : configuration des paramètres du serveur proxy).
  • Base de données partagée et serveur de module Tanium : chaque membre de cluster doit pouvoir se connecter au serveur de base de données partagée et au serveur de module partagé. La connexion nécessite un débit minimum de 1 Gbit/s et une latence maximale de 30 ms.

Vous n’avez pas à configurer un cluster Microsoft Windows. Les procédures fournies ici sont basées sur deux ordinateurs hôtes Windows Server autonomes.

Avant de commencer

Assurez-vous que les conditions suivantes sont respectées avant d’installer les serveurs Tanium :

  • Programme d’installation : assurez-vous que vous pouvez accéder au programme d’installation du serveur Tanium : SetupServer.exe.
  • Licence Tanium : assurez-vous que vous pouvez accéder au fichier de licence Tanium : tanium.license.
  • Exigences de l’hôte : les systèmes hôtes doivent répondre aux exigences matérielles, logicielles et de connectivité réseau adaptées à votre déploiement : reportez-vous à la section Exigences.
  • Comptes d’utilisateur : votre administrateur Microsoft Active Directory doit configurer les comptes dont votre équipe a besoin pour le déploiement de Tanium Core Platform : reportez-vous à la section Permissions de compte administrateur.
  • Règles de pare-feu : votre administrateur réseau doit configurer des règles de pare-feu pour permettre la communication sur les ports TCP que Tanium Core Platform utilise. En plus des ports utilisés par un serveur Tanium autonome, les serveurs Tanium dans un cluster HA envoient et reçoivent des données associées à HA sur le port 17472 (TCP). Pour des détails, reportez-vous à la section Accès Internet, connectivité réseau et pare-feu.
  • Exclusions de sécurité : votre équipe de sécurité doit configurer des exceptions aux politiques de sécurité basées sur hôte pour permettre aux processus Tanium de fonctionner sans encombre et avec des performances optimales : reportez-vous au Guide de référence du déploiement de Tanium Core Platform : Exclusions de sécurité du système hôte.
  • Certificats et clés : si vous souhaitez utiliser un certificat délivré par une autorité de certification (CA) pour sécuriser les connexions des systèmes utilisateur aux serveurs Tanium pour l’accès à Tanium Console ou à l’API, assurez-vous que le certificat émis par l’autorité de certification et la clé privée associée sont présents sur les serveurs Tanium. Le nom du fichier de certificat doit être SOAPServer.crt et le nom du fichier clé doit être SOAPServer.key. Pendant l’installation, vous pouvez sélectionner un certificat émis par l’autorité de certification ou configurer le serveur Tanium pour générer un certificat auto-signé.

    Pour faciliter le dépannage, utilisez le certificat auto-signé pendant l’installation initiale et remplacez-le plus tard par un certificat délivré par l’autorité de certification. Cette pratique vous permet de séparer les problèmes d’installation potentiels des problèmes de connexion TLS.

    Pour obtenir plus d’informations et les procédures, reportez-vous au Guide de référence du déploiement de Tanium Core Platform : Sécurisation de la console Tanium, de l’API et de l’accès au serveur de module.

  • Serveur de base de données : votre administrateur de base de données doit créer un serveur de base de données pour le déploiement de Tanium Core Platform : reportez-vous à la section Configurer un serveur de base de données.

Déployer le cluster HA

  1. Configurer le serveur de base de données partagée.
  2. Installez le serveur Tanium sur l’ordinateur hôte principal, tel que décrit dans la section Installation du serveur Tanium.
  3. Installez le serveur de module Tanium comme décrit dans la section Installation du serveur de module Tanium.
  4. Connectez-vous à l’ordinateur hôte secondaire et exécutez l’utilitaire Command Prompt (Invite de commandes) en tant qu’administrateur local, disposant des permissions requises pour créer un dossier dans le répertoire Program Files (Fichiers du programme).
  5. Créez le répertoire en exécutant la commande suivante, où <drive> est le lecteur cible (par ex. : D).

    md "<drive>:\Program Files\Tanium\Tanium Server"

  6. Copiez les fichiers suivants du répertoire d’installation du serveur Tanium sur l’hôte principal, dans le répertoire que vous venez de créer sur l’hôte secondaire :
    • SOAPServer.crt
    • SOAPServer.key
    • tanium.license

    Suivez toujours les « best practices » de votre entreprise pour copier en toute sécurité des fichiers sensibles. Par exemple, utilisez GNU Privacy Guard (GPG) pour crypter les fichiers avant de les copier et de les décrypter lorsqu’ils sont en place sur le serveur cible.

  7. Si le serveur principal a été déployé plusieurs jours avant le déploiement du serveur secondaire, copiez le dossier Strings (Chaînes) du répertoire d’installation Tanium sur l’hôte principal dans le même répertoire que sur l’hôte secondaire. Cette étape n’est pas nécessaire si vous déployez les deux serveurs en même temps.
  8. Copiez le programme d’installation (SetupServer.exe) à un emplacement temporaire sur l’hôte secondaire.
  9. Cliquez avec le bouton droit sur SetupServer.exe, sélectionnez Run as administrator (Exécuter en tant qu’administrateur) et exécutez l’assistant d’installation.
  10. Enregistrez le serveur de module distant avec le deuxième serveur Tanium.

    L’inscription implique la copie des fichiers entre le serveur du module et le serveur Tanium. Les deux serveurs doivent être accessibles lorsque vous exécutez la commande d’inscription CLI. Dans le cas contraire la commande échouera. Pour plus d’informations sur l’utilisation de la CLI, reportez-vous au Guide de référence du déploiement de Tanium Core Platform : CLI.

    1. Accédez à la CLI sur l’hôte du serveur de module et au répertoire d’installation du serveur de module :

      cmd-prompt>cd <Module Server>

    2. Exécutez la commande d’enregistrement et spécifiez un nom d’utilisateur et un mot de passe pour l’administrateur de la console Tanium lorsque vous y êtes invité :

      cmd-prompt>TaniumModuleServer register <Tanium_Server_FQDN>
      Saisssez le nom d’utilisateur de l’administrateur :<username>
      Saisissez le mot de passe de l’utilisateur ’<username>’ : <password>
      Inscription terminée avec succès.

  11. Activer la confiance entre les serveurs Tanium pour activer la communication en vue de la synchronisation et du basculement HA : reportez-vous au Guide d’utilisation de Tanium Console : gestion des approbations des serveurs Tanium.
  12. Vérifiez le déploiement : reportez-vous à la section Vérification du déploiement de Tanium Core Platform.

Notes de configuration HA

Les serveurs Tanium dans un cluster HA ne synchronisent pas automatiquement les paramètres du registre Windows. Par conséquent, vous devez répéter les modifications apportées à ces paramètres sur chaque serveur Tanium du cluster. Les paramètres stockés dans le registre Windows incluent :

  • Niveau de log
  • Paramètres du serveur proxy
  • Contourner les paramètres proxy
  • Paramètres hôte approuvé
  • Ignorer les paramètres de vérification de la CRL

Pour les procédures de modification de ces paramètres, reportez-vous au Guide d’utilisation de Tanium Console.

Pour des directives sur les paramètres du registre Windows du serveur Tanium, reportez-vous au Guide de référence du déploiement de Tanium Core Platform : paramètres.