Cómo instalar y configurar el agente de servidor de Terminal Server
Environment
- PAN-OS 7.0 y 7.1.
- Palo Alto Firewall .
- Agente de Terminal Server.
Resolution
El artículo fue escrito probando el agente de Terminal Server en las versiones anteriores PAN-OS (7.1 o menos). Aunque la información de configuración sigue siendo la misma, se puede hacer referencia a la documentación actualizada en Configuración del Agente de Terminal Server para la asignación de usuarios específicamente cuando se utilizan certificados entre el agente y TS Firewall .
Visión general
Antes de instalar el agente de Terminal Server ( TS ), asegúrese de que se cumplen los siguientes requisitos:
- Compruebe los requisitos de las notas de la versión de la versión del agente de Terminal Server ( TS ) que se va a instalar.
- El administrador del servidor terminal server debe instalar el TS agente. El TS agente debe ser configurado para ser iniciado solamente por el administrador para evitar que otros usuarios de inicio de sesión remotos lo controlen.
- Para que el TS agente instale correctamente el controlador necesario. Tenga en cuenta que el instalador debe tener derechos de administrador.
- En Windows Firewall donde está instalado el TS agente, permita la conexión al puerto 5009.
Pasos
- Instalación
- La instalación comprobará primero si el TS agente es compatible con el sistema operativo en el que se está instalando. Si el sistema operativo no es compatible, aparecerá con un mensaje de error similar al siguiente:
- El TS instalador del agente solicitará una carpeta de destino para la instalación.
- Para una nueva instalación, el administrador no necesita reiniciar el sistema; sin embargo, sin un reinicio, el TS agente sólo puede identificar la nueva salida / TCP UDP tráfico. Para el TCP / tráfico que ocurre antes de la UDP instalación, el Agente de redes de Palo Alto TS no puede identificar a los usuarios.
- Configuración del TS agente en Terminal Server
- Panel principal
El controlador de agente es la aplicación utilizada en Terminal Server para la configuración y verificación del estado TS del agente.
El panel principal mostrará la lista de conexiones que muestra cada PAN dispositivo conectado al TS agente, así como la lista de control de acceso del dispositivo. De forma predeterminada, la lista de control de acceso de dispositivos está deshabilitada. Habilite esta opción si desea especificar qué PAN dispositivo escuchará el TS agente. El TS agente ONLY aceptará conexiones entrantes desde los dispositivos de la lista de permitidos. - Configurar Panel
- Puerto de escucha: el puerto con el que el TS agente se comunica en el dispositivo Palo Alto Networks.
- Rango de asignación de puertos de origen: número de usuarios de puertos de origen serán capaces de tirar de.
- Puertos reservados en fuente: Puertos que deben ser exceptuados de la gama del puerto de fuente porque necesita comunicarse con otro servicio ejecutando en el servidor de Terminal.
- Tamaño de inicio de asignación de puerto por usuario: Mínimo puerto la asignación para el nuevo arrendamiento del puerto de usuario. Puerto asignación tamaño máximo por usuario: asignación de Puerto máximo por arrendamiento del puerto de usuario.
- Falla enlace de puerto cuando se utilizan los puertos disponibles para arriba: previene sobre el chapaleteo asignaciones de puerto.
- Panel Monitor
La operación del monitor desde la ventana de navegación muestra todos los usuarios actuales y las asignaciones de puertos. El "Recuento de puertos" muestra los puertos utilizados actualmente para el usuario. El número de puertos se pueden actualizar haciendo clic en la cuenta"actualizar puertos". También puede establecer manualmente un intervalo de actualización seleccionando la casilla de verificación "Actualizar intervalo".
- Panel principal
- Configurar el TS agente en palo alto redes dispositivo
- El equipo de Palo Alto Networks debe configurarse con la siguiente información:
- IP Dirección: IP dirección del servidor en el que se instaló el TS agente.
- Puerto: TS Puerto de escucha del agente que debe hacer juego lo que está configurado en el TS servidor.
- IP Lista (opcional): Lista de origen del servidor terminal IP server si el servidor terminal server tiene varias direcciones IP de origen, máx. de 8 DIRECCIONES IP.
- Confirmar los cambios en el firewall
- Sugerencias para solucionar problemas
- Para habilitar información detallada sobre la ID operación Usuario-Agente, vaya a Archivo > Depurar y seleccione Detallado.Los registros ahora mostrarán mensajes más detallados.
Comandos útiles CLI
Configurar el agente de servidor de terminal server:
# set ts-agent <name> <options>
where <options> include
ip-address terminal server agent ip address
port terminal server agent listening port
ip-list terminal server alternative ip list
Mostrar el estado del agente de servidor de terminal server:
> show user ts-agent statistics
IP Address Port Vsys State Users
----------------------------------------------
10.1.200.1 5009 vsys1 connected 8
10.16.3.249 5009 vsys1 connected 10
> show user ip-port-user-mapping all
User IP-Address Vsys Port-Range
------------------------------------------------
test1 10.1.200.1 vsys1 20000-20500
test2 10.1.200.1 vsys1 20500-21000
21500-22000
test3 10.1.200.1 vsys1 21000-21500
TS Es posible que el agente deba buscar un agente de usuario o un grupo de Palo Alto Networks ID para obtener la información de grupo de un usuario de dominio específico.
Otros CLI comandos
El ID comando de configuración "enable-user-identification" y "User Identification" del agente también se aplica al ACL TS agente. Esto significa que si la característica de identificación de usuario está habilitada, ID se habilitarán las características User-Agent y TS Agent.
Additional Information
Implementación remota del agente de servicios de Terminal Server mediante ansible