Résolution des problèmes liés à l'installation de Secure Relay

• Raison : lors de l'installation de Secure Relay, les logiciels EDR (détection et réponse des terminaux) ou les antivirus peuvent interférer avec le processus en supprimant automatiquement le fichier de configuration envoy.yaml. Ce fichier est essentiel pour le bon fonctionnement du Secure Relay. S'il est supprimé, l'installation échoue.

• Message d'erreur : si vous pensez que l'échec de l'installation est dû à la suppression du fichier envoy.yaml par votre solution EDR ou un logiciel antivirus, vous pouvez le vérifier en consultant le journal des erreurs MSI. Le journal des erreurs MSI est généré dans le dossier TEMP de votre système. Recherchez le message d'erreur suivant : Erreur : le fichier envoy.yaml est manquant.

  Si cette erreur apparaît dans votre journal, cela indique que le fichier envoy.yaml a été supprimé pendant le processus d'installation, probablement par un logiciel de sécurité.

• Correction : pour résoudre ce problème et assurer la réussite de l'installation, suivez ces étapes :

  1. Ajoutez le dossier d'installation ou le fichier de configuration à votre liste blanche :

     • Configurez votre logiciel EDR ou antivirus de manière à exclure le répertoire suivant des scans et des actions de suppression : [chemin_installation]\Tenable.ad\SecureRelay\

     • Vous pouvez également ajouter le fichier [chemin_installation]\Tenable.ad\SecureRelay\envoy.yaml à la liste blanche si l'exclusion de l'ensemble du dossier n'est pas possible.

  2. Tentez à nouveau l'installation : après avoir ajouté les exclusions nécessaires, relancez l'installation de Secure Relay.

• Cause : pendant la mise à niveau, le programme d'installation ne sélectionne pas la variable d'environnement pour l'adresse IP de l'hôte Ceti et utilise par défaut « 127.0.0.1 ».

• Message d'erreur  : la connexion a échoué en raison d'une erreur inattendue lors de la transmission.

  

• Correctif :

  1. Vérifiez la variable d'environnement « TENABLE_CASSIOPEIA_CETI_Service__Broker__Host » sur le serveur Directory Listener.

  2. Assurez-vous qu'elle est définie sur l'adresse IP du Security Engine Node. Si la variable est définie sur la valeur par défaut « 127.0.0.1 », elle entraîne l'échec de l'installation de Secure Relay.

  3. Une fois la variable d'environnement « TENABLE_CASSIOPEIA_CETI_Service__Broker__Host » mise à jour, redémarrez le service Ceti.

  4. Relancez l'installation de Secure Relay. Sinon, le processus revient en arrière, ne désinstalle pas les services Relay et Envoy et bloque toute autre installation.

• Cause : l'adresse IP du serveur Ceti n'a pas été définie lors de la mise à niveau ou de l'installation du serveur Security Engine Node. Le programme d'installation est défini par défaut sur la valeur « 127.0.0.1 » :

  

• Message d'erreur — Échec de la connexion : impossible de se connecter au serveur distant.

  

Pour le service « tenable_envoy_server » en pause : identifiez l'application occupant actuellement le port 0.0.0.0:443 à l'aide de la commande PowerShell netstat -anob | findstr 443. Si vous trouvez une autre application, supprimez-la ou arrêtez-la pour résoudre le conflit et permettre le bon fonctionnement du service « tenable_envoy_server ».

Correctif :

1. Connectez-vous au serveur Security Engine Node.

   • Si vous utilisez une architecture Security Engine Node fractionnée, connectez-vous au serveur qui exécute le service Eridanis.

2. Ouvrez les variables d'environnement et localisez le nom de la variable ERIDANIS_CETI_PUBLIC_DOMAIN.

   

3. Modifiez la valeur de la variable ERIDANIS_CETI_PUBLIC_DOMAIN pour insérer l'adresse IP ou le nom du Directory Listener :

   • Mettez à jour la valeur d'environnement ERIDANIS_CETI_PUBLIC_DOMAIN afin qu'elle corresponde à l'adresse IP ou au nom du Directory Listener. Cette synchronisation permet une communication transparente entre les composants déployés sur des serveurs distincts.

   • La valeur de la variable « ERIDANIS_CETI_PUBLIC_DOMAIN » passe de 127.0.0.1 à l'adresse IP ou au nom d'hôte du Directory Listener listener.test.lab.

     

4. Ouvrez les services et arrêtez le service tenable_Eridanis.

   

5. Démarrez le service tenable_Eridanis.

   

6. Connectez-vous au serveur Secure Relay. Quittez le programme d'installation de Secure Relay s'il est déjà ouvert et relancez l'installation de Secure Relay.

Attention : veillez à quitter le programme d'installation et à démarrer une nouvelle installation. Si vous ne quittez pas le programme d'installation et poursuivez l'installation, le processus d'installation sera interrompu et vous ne pourrez pas continuer (bloqueur).

• Cause : le programme d'installation ne trouve pas les certificats CA sur le serveur local.

• Message d'erreur — Échec de la connexion : la connexion sous-jacente a été fermée : une relation d'approbation n'a pas pu être établie pour le canal sécurisé SSL/TLS.

  

• Correctif :

  1. Accédez au système source (serveur Directory Listener) ou au référentiel où les certificats CA de confiance sont stockés et localisez ces derniers, généralement dans des répertoires tels que :

     • Emplacement du certificat auto-signé par défaut : “installation_drive”:\Tenable\Tenable.ad\DefaultPKI\Certificates\ca

     • Emplacement du certificat personnalisé : “installation_drive”:\Tenable\Tenable.ad\Certificates

  2. Copiez les fichiers de certificat CA de confiance du système source (serveur Directory Listener) vers le serveur local (serveur Secure Relay).

  3. Importez les certificats dans le magasin de certificats de confiance du serveur Secure Relay.

     

  4. Une fois l'importation réussie, quittez le programme d'installation de Secure Relay et relancez l'installation.

     Attention : veillez à quitter le programme d'installation et à démarrer une nouvelle installation. Si vous ne quittez pas le programme d'installation et poursuivez l'installation, le processus d'installation sera interrompu et vous ne pourrez pas continuer (bloqueur).