安全中继 - 常见问题
我以前有多个目录侦听器 (DL)。我是否仍然可以拥有多个 DL?
不,安全中继会取代多个 DL。Tenable Identity Exposure 现在仅支持使用一个 DL;使用多个 DL 会导致未知问题。
之前我只在计算机上安装了 DL,我能否在同一台计算机上同时安装 DL 和安全中继?
可以。但是,请确保同时满足 DL 和安全中继的资源要求。例如,如果 DL 的 RAM 要求为 5 GB,安全中继的 RAM 要求为 1 GB,则计算机的 RAM 必须为 6 GB (5 GB + 1 GB)。
您也可以在单独的虚拟机上安装安全中继,前提是该虚拟机可以支持 DL。
3.59 版本与之前的版本相比,网络流有哪些变化?
在 3.59 中,我们以最简单的方式在 Active Directory (AD) 和 DL 之间添加了一个安全中继。这意味着:
-
AD 和安全中继之间的通信与之前 AD 和 DL 之间的通信相同。
-
DL 与平台其余部分之间的通信与以前相同。
-
变化的地方在于,Tenable Identity Exposure 在一个或多个安全中继和 DL 之间使用 HTTPS 进行通信。您必须允许使用新的网络流。
我可以在哪里找到本地安全中继安装程序?
在文件夹 C:\Tenable\Tenable.ad\DirectoryListener\Updates\ 中。
我应该使用 https://zh-cn.tenable.com/downloads 上提供的安全中继安装包,还是文件夹 C:\Tenable\Tenable.ad\DirectoryListener\Updates\ 中的安装包?
二者皆可,因为它们通常是相同的版本。利用 C:\Tenable\Tenable.ad\DirectoryListener\Updates\ 文件夹中的安装包,您不需要登录即可访问二进制文件。
安装/升级 DL 时,被问到“是否在安装 DL 之后安装安全中继?”这个问题时,我选择了“是”,但却什么都没有安装。怎么回事呢?
安全中继会在 DL 服务器重新启动后开始安装;因此,请务必在安装/升级 DL 后重新启动服务器。
其他问题可能源于 AV/EDR 在重新启动后阻止安装过程运行。请务必查看完整的日志。
要在这些日志中查找的时间范围取决于阻止安装过程的 AV/EDR,因此请务必检查重新启动之前(DL 安装期间)和之后的某个时间。
如果中继安装失败,我应该收集哪些元素?
如果安装失败,您需要在尝试执行其他操作之前检索多个元素:
-
安装日志:发生故障时,从 MSI 对话框中提取这些内容。
-
中继日志:位于 <install path>\SecureRelay\logs\Relay.log 中。
-
Envoy 日志:位于 <install path>\SecureRelay\logs\envoy.logs 中。
-
envoy.yaml 配置文件:位于 <install path>\SecureRelay\envoy.yaml 中。如有必要,您可以编辑 API 密钥(尽管数据库中也有此密钥)。
-
环境变量:使用以下命令之一取得:
复制(cmd.exe) set
(powershell.exe) ls env: | fl
另请参阅
-
对安装安全中继进行故障排除