Informationen zur hohen Verfügbarkeit (Legacy)

Wichtig

Defender für IoT empfiehlt jetzt die Verwendung von Microsoft-Clouddiensten oder vorhandener IT-Infrastruktur für die zentrale Überwachung und Sensorverwaltung und plant, die lokale Verwaltungskonsole am 1. Januar 2025 zurückzuziehen.

Weitere Informationen finden Sie unter Bereitstellen einer hybriden oder luftgespaltenen OT-Sensorverwaltung.

Erhöhen Sie die Resilienz Ihrer Defender for IoT-Bereitstellung, indem Sie Hochverfügbarkeit auf Ihrer lokalen Verwaltungskonsole konfigurieren. Mit einer Hochverfügbarkeitsbereitstellung wird sichergestellt, dass Ihre verwalteten Sensoren laufend an eine aktive lokale Verwaltungskonsole berichten können.

Diese Bereitstellung wird mit einem Paar lokaler Verwaltungskonsolen implementiert, das sich aus einer primären und sekundären Appliance zusammensetzt.

Hinweis

In diesem Dokument wird der „Principal“ der lokalen Verwaltungskonsole als „primär“ und der „Agent“ als „sekundär“ bezeichnet.

Voraussetzungen

Bevor Sie die Verfahren in diesem Artikel ausführen, vergewissern Sie sich, dass Sie die folgenden Voraussetzungen erfüllt haben:

• Stellen Sie sicher, dass sowohl auf einer primären Appliance als auch auf einer sekundären Appliance eine lokale Verwaltungskonsole installiert ist.

  • Für Ihre primäre und sekundäre Verwaltungskonsolenappliance müssen identische Hardwaremodelle und Softwareversionen ausgeführt werden.
  • Sie müssen als privilegierter Benutzer auf die primäre und die sekundäre lokale Verwaltungskonsole zugreifen können, um CLI-Befehle auszuführen. Weitere Informationen finden Sie unter Lokale Benutzer und Rollen für die OT-Überwachung mit Defender for IoT.

• Stellen Sie sicher, dass die primäre lokale Verwaltungskonsole vollständig konfiguriert ist, u. a. mit mindestens zwei OT-Netzwerksensoren, die verbunden und in der Konsolenbenutzeroberfläche sichtbar sind, sowie geplanten Sicherungen oder VLAN-Einstellungen. Alle Einstellungen werden nach der Kopplung automatisch auf die sekundäre Appliance angewendet.

• Stellen Sie sicher, dass Ihre SSL/TLS-Zertifikate die erforderlichen Kriterien erfüllen. Weitere Informationen finden Sie unter SSL/TLS-Zertifikatanforderungen für lokale Ressourcen.

• Stellen Sie sicher, dass die Sicherheitsrichtlinie Ihres Unternehmens Ihnen den Zugriff auf die folgenden Dienste auf der primären und sekundären Verwaltungskonsole erlaubt. Diese Dienste ermöglichen auch die Verbindung zwischen den Sensoren und der sekundären lokalen Verwaltungskonsole:

  Port	Dienst	BESCHREIBUNG
  443 oder TCP	HTTPS	Erlaubt den Zugriff auf die Webkonsole der lokalen Verwaltungskonsole.
  22 oder TCP	SSH	Synchronisiert die Daten zwischen der primären und sekundären lokalen Verwaltungskonsolen-Appliance.
  123 oder UDP	NTP	Die NTP-Zeitsynchronisierung für die lokale Verwaltungskonsole. Vergewissern Sie sich, dass für die aktive und passive Appliance dieselbe Zeitzone definiert ist.

Erstellen der Kopplung aus primärer und sekundärer Appliance

Wichtig

Führen Sie Befehle mit „sudo“ nur dort aus, wo dies angegeben ist. Wenn nicht angegeben, führen Sie keine Befehle mit sudo aus.

1. Schalten Sie die primäre und sekundäre lokale Verwaltungskonsolen-Appliance ein.

2. Führen Sie auf der sekundären Appliance die folgenden Schritte aus, um die Verbindungszeichenfolge in Ihre Zwischenablage zu kopieren:

   1. Melden Sie sich bei der sekundären lokalen Verwaltungskonsole an, und wählen Sie Systemeinstellungen aus.

   2. Wählen Sie im Bereich Sensoreinrichtung – Verbindungszeichenfolge unter Verbindungszeichenfolge kopieren die -Schaltfläche aus, um die vollständige Verbindungszeichenfolge anzuzeigen.

   3. Die Verbindungszeichenfolge besteht aus der IP-Adresse und dem Token. Die IP-Adresse befindet sich vor dem Doppelpunkt und das Token hinter dem Doppelpunkt. Kopieren Sie die IP-Adresse und das Token separat. Wenn Ihre Verbindungszeichenfolge beispielsweise 172.10.246.232:a2c4gv9de23f56n078a44e12gf2ce77f lautet, kopieren Sie die IP-Adresse 172.10.246.232 und das Token a2c4gv9de23f56n078a44e12gf2ce77f separat.

      

3. Führen Sie auf der primären Appliance die folgenden Schritte aus, um die sekundäre Appliance über die CLI mit der primären Appliance zu verbinden:

   1. Melden Sie sich über SSH bei der primären lokalen Verwaltungskonsole an, um auf die CLI zuzugreifen, und führen Sie dann Folgendes aus:

      sudo cyberx-management-trusted-hosts-add -ip <Secondary IP> -token <Secondary token>
      

      Dabei ist <Secondary IP> die IP-Adresse der sekundären Appliance und <Secondary token> der zweite Teil der Verbindungszeichenfolge hinter dem Doppelpunkt, den Sie zuvor in die Zwischenablage kopiert haben.

      Beispiel:

      sudo cyberx-management-trusted-hosts-add -ip 172.10.246.232 -token a2c4gv9de23f56n078a44e12gf2ce77f

      Die IP-Adresse wird überprüft, das SSL/TLS-Zertifikat wird auf die primäre Appliance heruntergeladen, und alle Sensoren, die mit der primären Appliance verbunden sind, sind mit der sekundären Appliance verbunden.

   2. Wenden Sie Ihre Änderungen auf die primäre Appliance an. Führen Sie Folgendes aus:

      sudo cyberx-management-trusted-hosts-apply
      

   3. Vergewissern Sie sich, dass das Zertifikat ordnungsgemäß auf der primären Appliance installiert ist. Führen Sie Folgendes aus:

      cyberx-management-trusted-hosts-list
      

4. Lassen Sie die Verbindung zwischen dem Sicherungs- und Wiederherstellungsvorgang der primären und sekundären Appliance zu:

   • Führen Sie auf der primären Appliance Folgendes aus:

     cyberx-management-deploy-ssh-key <secondary appliance IP address>
     

   • Melden Sie sich auf der sekundären Appliance über SSH an, um auf die CLI zuzugreifen, und führen Sie Folgendes aus:

     cyberx-management-deploy-ssh-key <primary appliance IP address>
     

5. Vergewissern Sie sich, dass die Änderungen auf die sekundäre Appliance angewendet wurden. Führen Sie auf der sekundären Appliance Folgendes aus:

   cyberx-management-trusted-hosts-list
   

Nachverfolgen von Aktivitäten im Zusammenhang mit der Hochverfügbarkeit

Die Kernprotokolle der Anwendung können exportiert und an das Defender für IoT-Supportteam gesendet werden, um Probleme mit der Hochverfügbarkeit zu beheben.

So greifen Sie auf die Kernprotokolle zu:

1. Melden Sie sich bei der lokalen Verwaltungskonsole an, und wählen Sie Systemeinstellungen>Export aus. Weitere Informationen zum Exportieren von Protokollen zum Senden an das Supportteam finden Sie unter Exportieren von Protokollen über die Sensorkonsole zur Problembehandlung.

Update der lokalen Verwaltungskonsole auf Hochverfügbarkeit

Um eine lokale Verwaltungskonsole zu aktualisieren, für die eine hohe Verfügbarkeit konfiguriert ist, müssen Sie Folgendes ausführen:

1. Trennen Sie die hohe Verfügbarkeit von der primären und sekundären Appliance.
2. Aktualisieren Sie die Appliances auf die neue Version.
3. Konfigurieren Sie die hohe Verfügbarkeit auf beiden Appliances neu.

Führen Sie das Update in der folgenden Reihenfolge aus: Stellen Sie sicher, dass jeder Schritt beendet ist, bevor Sie mit einem neuen Schritt beginnen.

So aktualisieren Sie eine lokale Verwaltungskonsole auf Hochverfügbarkeit:

1. Trennen Sie die hohe Verfügbarkeit von primärer und sekundärer Appliance:

   Auf der primären Instanz:

   1. Rufen Sie die Liste der aktuell verbundenen Appliances ab. Führen Sie Folgendes aus:

      cyberx-management-trusted-hosts-list
      

   2. Suchen Sie die Domäne, die der sekundären Appliance zugeordnet ist, und kopieren Sie sie in die Zwischenablage. Beispiel:

      

   3. Entfernen Sie die sekundäre Domäne aus der Liste der vertrauenswürdigen Hosts. Führen Sie Folgendes aus:

      sudo cyberx-management-trusted-hosts-remove -d [Secondary domain]
      

   4. Überprüfen Sie, ob das Zertifikat richtig installiert wurde. Führen Sie Folgendes aus:

      sudo cyberx-management-trusted-hosts-apply
      

   Auf der sekundären:

   1. Rufen Sie die Liste der aktuell verbundenen Appliances ab. Führen Sie Folgendes aus:

      cyberx-management-trusted-hosts-list
      

   2. Suchen Sie die Domäne, die der primären Appliance zugeordnet ist, und kopieren Sie sie in die Zwischenablage.

   3. Entfernen Sie die primäre Domäne aus der Liste der vertrauenswürdigen Hosts. Führen Sie Folgendes aus:

      sudo cyberx-management-trusted-hosts-remove -d [Primary domain]
      

   4. Überprüfen Sie, ob das Zertifikat richtig installiert wurde. Führen Sie Folgendes aus:

      sudo cyberx-management-trusted-hosts-apply
      

2. Aktualisieren Sie sowohl die primäre als auch sekundäre Appliance auf die neue Version. Weitere Informationen finden Sie unter Aktualisieren der lokalen Verwaltungskonsole.

3. Richten Sie die hohe Verfügbarkeit erneut auf der primären und sekundären Appliance ein. Weitere Informationen finden Sie unter Erstellen der Kopplung aus primärer und sekundärer Appliance.

Failoverprozess

Nach dem Einrichten der Hochverfügbarkeit stellen OT-Sensoren automatisch eine Verbindung mit einer sekundären lokalen Verwaltungskonsole her, wenn keine Verbindung mit der primären Verwaltungskonsole hergestellt werden kann. Wenn aktuell weniger als die Hälfte der OT-Sensoren mit dem sekundären Computer kommuniziert, wird Ihr System gleichzeitig vom primären und sekundären Computer unterstützt. Wenn mehr als die Hälfte der OT-Sensoren mit dem sekundären Computer kommuniziert, übernimmt der sekundäre Computer die gesamte OT-Sensorkommunikation. Ein Failover vom primären zum sekundären Computer dauert ungefähr drei Minuten.

Beim Failover friert die primäre lokale Verwaltungskonsole ein, und Sie können sich mit den gleichen Anmeldeinformationen bei der sekundären Verwaltungskonsole anmelden.

Während des Failovers versuchen die Sensoren weiterhin, mit der primären Appliance zu kommunizieren. Wenn mehr als die Hälfte der verwalteten Sensoren erfolgreich mit der primären Verwaltungskonsole kommunizieren kann, wird die primäre Appliance wiederhergestellt. Bei Wiederherstellung der primären Verwaltungskonsole wird auf der sekundären Konsole die folgende Meldung angezeigt:

Melden Sie sich nach der Umleitung wieder bei der primären Appliance an.

Handhaben abgelaufener Aktivierungsdateien

Aktivierungsdateien können nur auf der primären lokalen Verwaltungskonsole aktualisiert werden.

Bevor die Aktivierungsdatei auf dem sekundären Computer abläuft, definieren Sie ihn als primären Computer, damit Sie die Lizenz aktualisieren können.

Weitere Informationen finden Sie unter Hochladen einer neuen Aktivierungsdatei.

Nächste Schritte

Weitere Informationen finden Sie unter Aktivieren und Einrichten einer lokalen Verwaltungskonsole.