Comment installer et configurer le serveur Terminal Server Agent
Environment
- PAN-OS 7,0 et 7,1.
- Palo Alto Firewall .
- Agent serveur terminal.
Resolution
L’article a été écrit en testant l’agent Terminal Server sur les PAN-OS anciennes versions (7.1 ou ci-dessous). Bien que les informations de configuration restent les mêmes, on peut se référer à la documentation mise à jour à Configuring Terminal Server Agent pour la cartographie utilisateur spécifiquement lors de l’utilisation de certificats entre TS l’agent et Firewall .
Aperçu
Avant d’installer le serveur terminal ( TS ) Agent, assurez-vous que les exigences suivantes sont remplies:
- Vérifiez les exigences dans les notes de version de la version de Terminal Server ( ) Agent TS à installer.
- L’administrateur du serveur terminal doit installer TS l’agent. TSL’agent doit être configuré pour être démarré uniquement par l’administrateur afin d’empêcher d’autres utilisateurs de logons distants de le contrôler.
- Pour que TS l’agent installe avec succès le pilote nécessaire. Notez que le programme d’installation doit avoir les droits d’administrateur.
- Sur Windows Firewall TS où l’agent est installé permettre la connexion au port 5009.
Étapes
- Installation
- L’installation vérifiera d’abord si TS l’agent est compatible avec le système d’exploitation sur qui il est installé. Si le système d’exploitation n’est pas compatible, il apparaîtra avec un message d’erreur similaire à ce qui suit :
- TSL’installateur d’agent demandera un dossier de destination pour l’installation.
- Pour une nouvelle installation, l’administrateur n’a pas besoin de redémarrer le système; toutefois, sans redémarrage, TS l’agent ne peut identifier que le nouveau trafic TCP UDP sortant. Pour le TCP / trafic se produisant avant UDP l’installation, l’agent de réseaux Palo Alto TS ne peut pas identifier les utilisateurs.
- Configuration de TS l’agent sur le serveur terminal
- Panneau principal Le
contrôleur TS d’agent est l’application utilisée sur le serveur terminal pour la configuration et la vérification de l’état de l’agent.
Le panneau principal affichera la liste de connexion qui affiche chaque appareil PAN connecté à TS l’agent ainsi que la liste de contrôle d’accès de l’appareil. Par défaut, la liste de contrôle d’accès à l’appareil est désactivée. Activez cette option si vous souhaitez spécifier PAN TS l’appareil que l’agent écoutera. TSL’agent ONLY acceptera les connexions entrantes à partir des périphériques de la liste de permis. - Panneau de configuration
- Port d’écoute : Le port avec TS qui l’agent communique sur l’appareil Palo Alto Networks.
- Plage d’affectation de port de source : variété d’utilisateurs, ports source sera en mesure de tirer.
- Ports Source réservés : Ports qui doivent être exemptés de la plage de ports source car un autre service qui s’exécute sur le serveur Terminal Server a besoin pour communiquer avec.
- Port Start taille d’Allocation par utilisateur : Allocation de port Minimum pour le renouvellement du bail port utilisateur. Port de répartition taille Maximum par utilisateur : allocation de port Maximum à louer port utilisateur.
- Échouer de liaison de ports lorsque ports disponibles ont été utilisés : interdit de franchir le clapotis des affectations de port.
- Panneau de surveillance
Le fonctionnement du moniteur à partir de la fenêtre de navigation affiche tous les utilisateurs actuels et les attributions de ports. Le « compte de ports » affiche les ports actuellement utilisés pour l’utilisateur. Le nombre de Ports pouvant être actualisé en cliquant sur le « nombre de Ports rafraîchir ». Vous pouvez également définir manuellement un intervalle de rafraîchissement en sélectionnant la case à cocher « Intervalle de rafraîchissement ».
- Panneau principal Le
- Configuration de TS l’agent sur l’appareil Palo Alto Networks
- Le dispositif de Palo Alto Networks doit être configuré avec les informations suivantes :
- IP Adresse : IP adresse du serveur sur lequel l’agent TS s’est installé.
- Port : TS Port d’écoute de l’agent qui doit correspondre à ce qui est configuré TS sur Server.
- IP Liste (facultatif) : Liste de source IP du serveur terminal si le serveur terminal dispose de plusieurs adresses IP source, maximum de 8 ADRESSES.
- Valider les modifications sur le firewall
- Conseils de dépannage
- Pour activer des informations détaillées sur l’opération ID Utilisateur-Agent, rendez-vous sur File > Debug et sélectionnez Verbose.Les journaux afficheront désormais des messages plus détaillés.
Commandes utiles CLI
Configurer l’agent de serveur terminal server :
# set ts-agent <name> <options>
where <options> include
ip-address terminal server agent ip address
port terminal server agent listening port
ip-list terminal server alternative ip list
Montrer l’état de l’agent serveur terminal server :
> show user ts-agent statistics
IP Address Port Vsys State Users
----------------------------------------------
10.1.200.1 5009 vsys1 connected 8
10.16.3.249 5009 vsys1 connected 10
> show user ip-port-user-mapping all
User IP-Address Vsys Port-Range
------------------------------------------------
test1 10.1.200.1 vsys1 20000-20500
test2 10.1.200.1 vsys1 20500-21000
21500-22000
test3 10.1.200.1 vsys1 21000-21500
TS L’agent peut avoir besoin de rechercher un utilisateur-agent de Palo Alto Networks ID ou des données de cartographie de groupe pour obtenir les informations de groupe pour un utilisateur de domaine spécifique.
Autres CLI commandes
La commande de ID configuration « enable-user-identification » et « User Identification » de l’agent ACL utilisateur s’applique également à TS l’agent. Cela signifie que si la fonction d’identification de l’utilisateur est activée, les fonctionnalités ID utilisateur-agent TS et agent seront activées.
Additional Information
Déploiement à distance d'Agent des services Terminal Server à l'Aide de Ansible