Gewusst wie: installieren und Konfigurieren von Terminal Server-Agent
Environment
- PAN-OS 7.0 und 7.1.
- Palo Alto Firewall .
- Terminalserver-Agent.
Resolution
Der Artikel wurde durch Testen des Terminalserver-Agenten auf den älteren PAN-OS Versionen (7.1 oder darunter) geschrieben. Obwohl die Konfigurationsinformationen unverändert bleiben, finden Sie eine aktuelle Dokumentation unter Konfigurieren des Terminalserver-Agenten für die Benutzerzuordnung, wenn Sie Zertifikate zwischen dem TS Agent und Firewall verwenden.
Übersicht
Stellen Sie vor der Installation des Terminalserver- ( TS )-Agenten sicher, dass die folgenden Anforderungen erfüllt sind:
- Überprüfen Sie die Anforderungen in den Versionshinweisen der zu installierenden Version des Terminalserver-Agenten ( TS .
- Der Administrator auf dem Terminalserver muss den TS Agenten installieren. Der Agent sollte so konfiguriert werden, dass er TS nur vom Administrator gestartet wird, um zu verhindern, dass andere Remoteanmeldebenutzer ihn steuern.
- Damit der TS Agent den erforderlichen Treiber erfolgreich installiert. Beachten Sie, dass das Installationsprogramm über Administratorrechte verfügen muss.
- Unter Firewall Windows, in dem TS Agent installiert ist, können Sie die Verbindung zu Port 5009 zulassen.
Schritte
- Installation
- Bei der Installation wird zunächst überprüft, ob der TS Agent mit dem Betriebssystem kompatibel ist, auf dem er installiert wird. Wenn das Betriebssystem nicht kompatibel ist, wird eine Fehlermeldung ähnlich der folgenden angezeigt:
- Das TS Agent-Installationsprogramm fordert einen Zielordner für die Installation an.
- Bei einer Neuinstallation muss der Administrator das System nicht neu starten. Ohne Neustart kann der Agent jedoch TS nur den neuen ausgehenden TCP UDP /ausgehenden /Datenverkehr identifizieren. Für den TCP UDP /-Datenverkehr, der vor der Installation auftritt, kann der Palo Alto Networks TS Agent die Benutzer nicht identifizieren.
- Konfiguration des TS Agenten auf dem Terminalserver
- Hauptbereich
Der TS Agent-Controller ist die Anwendung, die auf dem Terminalserver für die Konfiguration und Überprüfung des Agentenstatus verwendet wird.
Im Hauptfenster wird die Verbindungsliste angezeigt, in der jedes mit dem Agenten verbundene Gerät angezeigt wird, PAN sowie die Liste der TS Gerätezugriffssteuerung. Standardmäßig ist die Liste der Gerätezugriffssteuerung deaktiviert. Aktivieren Sie diese Option, wenn Sie angeben möchten, auf welches PAN Gerät der TS Agent lauscht. Der TS Agent akzeptiert eingehende Verbindungen von den Geräten in der ONLY Zulassungsliste. - Panel konfigurieren
- Listening Port: Der Port, mit dem der TS Agent auf dem Palo Alto Networks-Gerät kommuniziert.
- Source Port Zuweisungsbereich: Quelle Häfen Anwenderkreis werden in der Lage, aus zu ziehen.
- Reservierte Quellports: Ports, die müssen aus der Quelle-Portbereich ausgenommen werden, da ein anderer Dienst auf dem Terminal Server zu kommunizieren benötigt.
- Zuordnungsgröße Start Port pro Benutzer: Minimal Portzuweisung für neue Benutzer Port Mietvertrag. Port-Zuordnung maximale Größe pro Benutzer: Maximum Portzuweisung für Benutzer Port Mietvertrag.
- Die Portbindung fehlschlagen, wenn verfügbare Anschlüsse aufgebraucht sind: über Läppen Port Zuteilungen verhindert.
- Monitorbereich
Der Monitorvorgang aus dem Navigationsfenster zeigt alle aktuellen Benutzer und Portzuweisungen an. Die "Ports Count" zeigt die aktuell verwendeten Ports für den Benutzer an. Die Anzahl der Ports kann aktualisiert werden, indem Sie auf "Aktualisieren Ports Count". Sie können auch manuell ein Aktualisierungsintervall festlegen, indem Sie das Kontrollkästchen "Intervall aktualisieren" aktivieren.
- Hauptbereich
- Konfigurieren des TS Agenten auf Palo Alto Networks Device
- Palo Alto Networks-Gerät muss so konfiguriert werden, mit den folgenden Informationen:
- IP Adresse: IP Adresse des Servers, auf dem Agent installiert TS ist.
- Port: TS Agent-Abhörport, der mit dem übereinstimmen soll, was auf Server konfiguriert TS ist.
- IP Liste (optional): Terminalserver-Quellliste, IP wenn der Terminalserver über mehrere Quell-IPs verfügt, max. 8 IPs.
- Verpflichten Sie die Änderungen auf der firewall
- Hinweise zur Fehlerbehebung
- Um detaillierte Informationen zum ID Benutzer-Agent-Vorgang zu aktivieren, gehen Sie zu Datei > Debuggen und wählen Sie Verboseaus.In den Protokollen werden nun detailliertere Meldungen angezeigt.
Nützliche CLI Befehle
Terminal Server-Agent zu konfigurieren:
# set ts-agent <name> <options>
where <options> include
ip-address terminal server agent ip address
port terminal server agent listening port
ip-list terminal server alternative ip list
Terminal Server Agentenstatus angezeigt:
> show user ts-agent statistics
IP Address Port Vsys State Users
----------------------------------------------
10.1.200.1 5009 vsys1 connected 8
10.16.3.249 5009 vsys1 connected 10
> show user ip-port-user-mapping all
User IP-Address Vsys Port-Range
------------------------------------------------
test1 10.1.200.1 vsys1 20000-20500
test2 10.1.200.1 vsys1 20500-21000
21500-22000
test3 10.1.200.1 vsys1 21000-21500
TS Der Agent muss möglicherweise einen Palo Alto Networks-Benutzer-Agent ID oder eine Gruppe zuordnende Daten suchen, um die Gruppeninformationen für einen bestimmten Domänenbenutzer abrufe.
Andere CLI Befehle
Der ID Konfigurationsbefehl "Enable-User-Identification" und "User Identification" des User-Agents ACL gilt auch für TS Agent. Dies bedeutet, dass, wenn die Benutzeridentifizierungsfunktion aktiviert ist, sowohl Benutzer-Agent- als auch ID TS Agent-Funktionen aktiviert werden.
Additional Information
Remote-Einsatz von Terminal Services Agent mit Ansible