セキュアリレーのインストールのトラブルシューティング

インストール中の EDR またはアンチウイルスによって設定ファイルが削除される

  • 原因: セキュアリレーのインストール中に、エンドポイントの検知と対応 (EDR) ソフトウェアまたはアンチウイルスプログラムが envoy.yaml 設定ファイルを自動的に削除して、インストールプロセスに干渉する場合があります。セキュアリレーが正しく機能するためにこのファイルは必要です。このファイルが削除されるとインストールは失敗します。

  • エラーメッセージ: EDR またはアンチウイルスソフトウェアが envoy.yaml ファイルを削除したことがインストール失敗の原因であると考えられる場合は、MSI エラーログをチェックすることで確認できます。MSI エラーログは、システムの TEMP フォルダーに生成されます。エラーメッセージ「Error: The file envoy.yaml is missing」を探してください。

    このエラーがログにある場合は、おそらくセキュリティソフトウェアによって envoy.yaml ファイルがインストールプロセス中に削除されたことを示しています。

  • 修正: この問題を解決し、インストールを成功させるには、次の手順に従います。

    1. インストールフォルダーまたは設定ファイルをホワイトリストに登録します。

      • EDR またはアンチウイルスソフトウェアの設定で、ディレクトリ [Install_path]\Tenable.ad\SecureRelay\ をスキャンおよび削除の対象から除外します。

      • フォルダー全体を除外できない場合は、[Install_path]\Tenable.ad\SecureRelay\envoy.yaml ファイルをホワイトリストに登録することもできます。

    2. インストールを再試行します。必要な除外を追加した後、セキュアリレーのインストールを再実行します。

スタンドアロンサーバーで複数または単一のセキュアリレーがインストールに失敗する

  • 原因: アップグレード中に、インストーラーが Ceti ホスト IP アドレスの環境変数を認識せず、デフォルトの「127.0.0.1」になっています。

  • エラーメッセージ — 送信中に予期しないエラーが発生したため、接続に失敗しました。

  • 修正

    1. ディレクトリリスナーサーバーの環境変数「TENABLE_CASSIOPEIA_CETI_Service__Broker__Host」を確認します。

    2. それが、セキュリティエンジンノードの IP アドレスに設定されていることを確認します。この変数がデフォルトの「127.0.0.1」に設定されていると、セキュアリレーのインストールが失敗します。

    3. 環境変数「TENABLE_CASSIOPEIA_CETI_Service__Broker__Host」を変更した後、Ceti サービスを再起動します。

    4. セキュアリレーのインストールをやり直します。そうしないと、ロールバックしてリレーと Envoy の各サービスがインストールされたままになり、それ以上インストールが進まなくなります。

無効な CetiDNS 名

  • 原因: セキュリティエンジンノードサーバーのアップグレードまたはインストール中に、Ceti サーバーの IP アドレスが設定されませんでした。インストーラーのデフォルト「127.0.0.1」になっています。

  • エラーメッセージ - 接続に失敗しました。リモートサーバーに接続できません。

一時停止状態の「tenable_envoy_server」サービスの場合: PowerShell コマンド netstat -anob | findstr 443 を使用して、現在ポート 0.0.0.0:443 を占有しているアプリケーションを特定します。別のアプリケーションを見つけた場合は、それを削除または停止して競合を解決し、「tenable_envoy_server」サービスが適切に機能するようにしてください。

修正

  1. セキュリティエンジンノードサーバーにログインします。

    • 分割セキュリティエンジンノードアーキテクチャを使用する場合は、Eridanis サービスを実行するサーバーにログインします。

  2. [環境変数] を開き、変数名 ERIDANIS_CETI_PUBLIC_DOMAIN を見つけます。

  3. ERIDANIS_CETI_PUBLIC_DOMAIN の変数値を編集して、ディレクトリリスナーの IP アドレスまたはホスト名を挿入します。

    • 環境変数 ERIDANIS_CETI_PUBLIC_DOMAIN を更新して、ディレクトリリスナーの IP アドレスまたはホスト名を一致させます。この同期により、別々のサーバーにデプロイされているコンポーネント間のシームレスな通信が促進されます。

    • 「ERIDANIS_CETI_PUBLIC_DOMAIN」の変数値 127.0.0.1 が、ディレクトリリスナー listener.test.lab の IP アドレスまたはホスト名に変わります。

  1. サービスを開き、サービス tenable_Eridanis を停止します。

  1. サービス tenable_Eridanis を開始します。

  1. セキュアリレーサーバーにログインします。セキュアリレーインストーラーが既に開いている場合は終了し、セキュアリレーのインストールをやり直します。

警告: 必ずインストーラーを終了してから、改めてインストールを開始してください。インストーラーを終了せずにインストールを続行すると、インストールプロセスが中断し、それ以上進まなくなります (ブロッカー)。

SSL/TLS セキュア接続に「信頼関係」がない

  • 原因: インストーラーがローカルサーバーの CA 証明書を見つけられません。

  • エラーメッセージ — 接続に失敗しました。基幹接続が閉じられました。SSL/TLS セキュアチャネルの信頼関係を確立できませんでした。

  • 修正

    1. ソースシステム (ディレクトリリスナーサーバー) または信頼できる CA 証明書が保存されているリポジトリにアクセスし、信頼できる CA 証明書を見つけます。通常は次のディレクトリにあります。

      • デフォルトの自己署名証明書の場所: “installation_drive”:\Tenable\Tenable.ad\DefaultPKI\Certificates\ca

      • カスタムの証明書の場所: “installation_drive”:\Tenable\Tenable.ad\Certificates

    2. 信頼できる CA 証明書ファイルをソースシステム (ディレクトリリスナーサーバー) からローカルサーバー (セキュアリレーサーバー) にコピーします。

    3. セキュアリレーサーバーの信頼できる証明書ストアに証明書をインポートします。

    4. インポートが正常に完了したら、セキュアリレーインストーラーを終了し、インストールをやり直します

      警告: 必ずインストーラーを終了してから、改めてインストールを開始してください。インストーラーを終了せずにインストールを続行すると、インストールプロセスが中断し、それ以上進まなくなります (ブロッカー)。