Cómo instalar y configurar el agente de servidor de Terminal Server

El artículo fue escrito probando el agente de Terminal Server en las versiones anteriores PAN-OS (7.1 o menos). Aunque la información de configuración sigue siendo la misma, se puede hacer referencia a la documentación actualizada en Configuración del Agente de Terminal Server para la asignación de usuarios específicamente cuando se utilizan certificados entre el agente y TS Firewall .

Visión general

Antes de instalar el agente de Terminal Server ( TS ), asegúrese de que se cumplen los siguientes requisitos:

• Compruebe los requisitos de las notas de la versión de la versión del agente de Terminal Server ( TS ) que se va a instalar.
• El administrador del servidor terminal server debe instalar el TS agente. El TS agente debe ser configurado para ser iniciado solamente por el administrador para evitar que otros usuarios de inicio de sesión remotos lo controlen.
• Para que el TS agente instale correctamente el controlador necesario. Tenga en cuenta que el instalador debe tener derechos de administrador.
• En Windows Firewall donde está instalado el TS agente, permita la conexión al puerto 5009.

Pasos

1. Instalación
   • La instalación comprobará primero si el TS agente es compatible con el sistema operativo en el que se está instalando. Si el sistema operativo no es compatible, aparecerá con un mensaje de error similar al siguiente:

 

• El TS instalador del agente solicitará una carpeta de destino para la instalación.

• Para una nueva instalación, el administrador no necesita reiniciar el sistema; sin embargo, sin un reinicio, el TS agente sólo puede identificar la nueva salida / TCP UDP tráfico. Para el TCP / tráfico que ocurre antes de la UDP instalación, el Agente de redes de Palo Alto TS no puede identificar a los usuarios.

1. Configuración del TS agente en Terminal Server
   • Panel principal
     El controlador de agente es la aplicación utilizada en Terminal Server para la configuración y verificación del estado TS del agente.
     
     El panel principal mostrará la lista de conexiones que muestra cada PAN dispositivo conectado al TS agente, así como la lista de control de acceso del dispositivo. De forma predeterminada, la lista de control de acceso de dispositivos está deshabilitada. Habilite esta opción si desea especificar qué PAN dispositivo escuchará el TS agente. El TS agente ONLY aceptará conexiones entrantes desde los dispositivos de la lista de permitidos.
   • Configurar Panel
     
     • Puerto de escucha: el puerto con el que el TS agente se comunica en el dispositivo Palo Alto Networks.
     • Rango de asignación de puertos de origen: número de usuarios de puertos de origen serán capaces de tirar de.
     • Puertos reservados en fuente: Puertos que deben ser exceptuados de la gama del puerto de fuente porque necesita comunicarse con otro servicio ejecutando en el servidor de Terminal.
     • Tamaño de inicio de asignación de puerto por usuario: Mínimo puerto la asignación para el nuevo arrendamiento del puerto de usuario. Puerto asignación tamaño máximo por usuario: asignación de Puerto máximo por arrendamiento del puerto de usuario.
     • Falla enlace de puerto cuando se utilizan los puertos disponibles para arriba: previene sobre el chapaleteo asignaciones de puerto.
   • Panel Monitor
     
     La operación del monitor desde la ventana de navegación muestra todos los usuarios actuales y las asignaciones de puertos. El "Recuento de puertos" muestra los puertos utilizados actualmente para el usuario. El número de puertos se pueden actualizar haciendo clic en la cuenta"actualizar puertos". También puede establecer manualmente un intervalo de actualización seleccionando la casilla de verificación "Actualizar intervalo".
2. Configurar el TS agente en palo alto redes dispositivo

• El equipo de Palo Alto Networks debe configurarse con la siguiente información:
  • IP Dirección: IP dirección del servidor en el que se instaló el TS agente.
  • Puerto: TS Puerto de escucha del agente que debe hacer juego lo que está configurado en el TS servidor.
  • IP Lista (opcional): Lista de origen del servidor terminal IP server si el servidor terminal server tiene varias direcciones IP de origen, máx. de 8 DIRECCIONES IP.
• Confirmar los cambios en el firewall

3. Sugerencias para solucionar problemas

 

• Para habilitar información detallada sobre la ID operación Usuario-Agente, vaya a Archivo > Depurar y seleccione Detallado.Los registros ahora mostrarán mensajes más detallados.

Comandos útiles CLI

Configurar el agente de servidor de terminal server:

# set ts-agent <name> <options>

where <options> include 

ip-address   terminal server agent ip address
port         terminal server agent listening port
ip-list      terminal server alternative ip list

Mostrar el estado del agente de servidor de terminal server:

> show user ts-agent statistics

IP Address Port Vsys State Users
----------------------------------------------
10.1.200.1  5009 vsys1 connected 8
10.16.3.249 5009 vsys1 connected 10


> show user ip-port-user-mapping all

User IP-Address Vsys Port-Range
------------------------------------------------
test1 10.1.200.1  vsys1 20000-20500
test2 10.1.200.1  vsys1 20500-21000
                        21500-22000
test3 10.1.200.1  vsys1 21000-21500

TS Es posible que el agente deba buscar un agente de usuario o un grupo de Palo Alto Networks ID para obtener la información de grupo de un usuario de dominio específico.

Otros CLI comandos

El ID comando de configuración "enable-user-identification" y "User Identification" del agente también se aplica al ACL TS agente. Esto significa que si la característica de identificación de usuario está habilitada, ID se habilitarán las características User-Agent y TS Agent.