解決安全轉送安裝的問題

  • 原因:在安裝安全轉送期間,端點偵測與回應 (EDR) 軟體或防毒程式可能會透過自動移除 envoy.yaml 設定檔來干擾處理程序。此檔案對於安全轉送正常運作非常重要。如果移除,安裝便會失敗。

  • 錯誤訊息:如果懷疑安裝失敗的原因是 EDR 或防毒軟體移除了 envoy.yaml 檔案,您可以檢查 MSI 錯誤記錄來確認。MSI 錯誤記錄是在您系統上的 TEMP 資料夾中產生。尋找下列錯誤訊息:錯誤:缺少 envoy.yaml 檔案。

    如果此錯誤出現在您的記錄中,表示 envoy.yaml 檔案在安裝處理程序期間遭到移除,很可能是由安全性軟體移除。

  • 修復:若要解決此問題並確保成功安裝,請按照下列步驟操作:

    1. 將安裝資料夾或設定檔列入白名單:

      • 設定您的 EDR 或防毒軟體,避免掃描和移除下列目錄:[Install_path]\Tenable.ad\SecureRelay\

      • 或者,如果無法排除整個資料夾,您也可以將 [Install_path]\Tenable.ad\SecureRelay\envoy.yaml 檔案列入白名單。

    2. 重新嘗試安裝:新增必要的排除項目後,重新執行安全轉送安裝作業。

  • 原因:在升級期間,安裝程式不會擷取 Ceti 主機 IP 位址的環境變數,而是預設為「127.0.0.1」。

  • 錯誤訊息 — 因傳輸期間發生意外錯誤而導致連線失敗。

  • 修復

    1. 驗證目錄接聽程式伺服器上的環境變數「TENABLE_CASSIOPEIA_CETI_Service__Broker__Host」。

    2. 確保其已設為安全引擎節點的 IP 位址。如果變數設為預設的「127.0.0.1」,則會造成安全轉送安裝失敗。

    3. 更新環境變數「TENABLE_CASSIOPEIA_CETI_Service__Broker__Host」之後,重新啟動 Ceti 服務

    4. 再次開始安全轉送安裝。否則,它會復原,維持轉送和 Envoy 服務的已安裝狀態,並且封鎖任何後續安裝。

  • 原因:升級或安裝安全引擎節點伺服器時,未設定 Ceti 伺服器的 IP 位址。安裝程式預設為「127.0.0.1」:

  • 錯誤訊息 — 連線失敗:無法連線至遠端伺服器。

針對處於暫停狀態的「tenable_envoy_server」服務:使用 PowerShell 命令 netstat -anob | findstr 443 找出目前佔用連接埠 0.0.0.0:443 的應用程式。如果您發現其他應用程式,請將其移除或停止,以解決衝突並讓「tenable_envoy_server」服務正常運作。

修復

  1. 登入安全引擎節點伺服器。

    • 如果您使用分割式安全引擎節點架構,請登入執行 Eridanis 服務的伺服器。

  2. 開啟「環境變數」並找到變數名稱 ERIDANIS_CETI_PUBLIC_DOMAIN

  3. 編輯 ERIDANIS_CETI_PUBLIC_DOMAIN 的變數值,插入目錄接聽程式的 IP 位址或主機名稱

    • 更新環境變數 ERIDANIS_CETI_PUBLIC_DOMAIN 以符合目錄接聽程式的 IP 位址或主機名稱。這個同步處理動作有助於部署在不同伺服器上的元件之間進行無縫通訊。

    • 「ERIDANIS_CETI_PUBLIC_DOMAIN」的變數值從 127.0.0.1 變更為目錄接聽程式 listener.test.lab 的 IP 位址或主機名稱。

  1. 開啟服務並停止服務 tenable_Eridanis

  1. 開始服務 tenable_Eridanis

  1. 登入安全轉送伺服器。如果安全轉送安裝程式已開啟,請結束該安裝程式,然後再次開始安全轉送安裝。

注意:請務必結束安裝程式並開始全新安裝。如果您沒有結束安裝程式而是繼續安裝,則會中斷安裝過程,而且您無法繼續進行 (封鎖程式)。

  • 原因:安裝程式在本機伺服器上找不到 CA 憑證。

  • 錯誤訊息 — 連線失敗:基礎連線已關閉:無法建立 SSL/TLS 安全通道的信任關係。

  • 修復

    1. 存取儲存受信任 CA 憑證的來源系統 (目錄接聽程式伺服器) 或存放庫,並找到受信任的 CA 憑證。以下是通常憑證所在的目錄範例:

      • 預設自我簽署憑證位置:“installation_drive”:\Tenable\Tenable.ad\DefaultPKI\Certificates\ca

      • 自訂憑證位置:“installation_drive”:\Tenable\Tenable.ad\Certificates

    2. 將受信任的 CA 憑證檔案從來源系統 (目錄接聽程式伺服器) 複製到本機伺服器 (安全轉送伺服器)。

    3. 將憑證匯入安全轉送伺服器的受信任憑證存放區。

    4. 成功匯入後,請結束安全轉送安裝程式,然後重新開始安裝

      注意:請務必結束安裝程式並開始全新安裝。如果您沒有結束安裝程式而是繼續安裝,則會中斷安裝過程,而且您無法繼續進行 (封鎖程式)。