ターミナル サーバー エージェントをインストールおよび構成する方法
111041
Created On 09/25/18 17:27 PM - Last Modified 01/18/23 21:03 PM
Environment PAN-OS 7.0 と 7.1。 パロアルトFirewall. ターミナル サーバー エージェント。
Resolution
この記事は、古いバージョンのターミナル サーバー エージェントをテストして作成されました。PAN-OSバージョン (7.1 以下)。 構成情報は同じままですが、次の更新されたドキュメントを参照できます。ユーザー マッピング用のターミナル サーバー エージェントの構成 特に、TSエージェントとFirewall.
概要
ターミナル サーバーをインストールする前に (TS ) エージェントは、次の要件が満たされていることを確認してください。
の要件を確認します。リリースノート ターミナル サーバーのバージョン (TS ) インストールするエージェント。 ターミナル サーバーの管理者は、TSエージェント。 のTSエージェントは、他のリモート ログオン ユーザーがエージェントを制御できないように、管理者だけが開始できるように構成する必要があります。 のためにTSエージェント必要なドライバーを正常にインストールします。 インストーラーには管理者権限が必要です。 Windows の場合FirewallどこTSエージェントがインストールされ、ポート 5009 への接続が許可されます。
手順
インストールインストールは最初に、TSエージェントは、インストール先のオペレーティング システムと互換性があります。 オペレーティング システムに互換性がない場合は、次のようなエラー メッセージが表示されます。
のTSエージェント インストーラーは、インストール先のフォルダーを要求します。
新規インストールの場合、管理者はシステムを再起動する必要はありません。ただし、再起動しないと、TSエージェントは新しいアウトバウンドのみを識別できますTCP/UDPトラフィック。 のためにTCP/UDPインストール前に発生するトラフィック、Palo Alto NetworksTSエージェントはユーザーを識別できません。
の構成TSターミナル サーバー上のエージェントメインパネル のTSAgent Controller は、エージェント ステータスの構成と検証のためにターミナル サーバーで使用されるアプリケーションです。 メイン パネルには、それぞれを表示する接続リストが表示されます。PANに接続されているデバイスTSエージェントとデバイスのアクセス制御リスト。 デフォルトでは、デバイス アクセス コントロール リストは無効になっています。 を指定する場合は、このオプションを有効にします。PANデバイスTSエージェントが聞きます。 のTSエージェントはONLY許可リスト内のデバイスからの着信接続を受け入れます。 構成パネル リスニング ポート:TSエージェントは、Palo Alto Networks デバイスで通信します。 ソース ポートの割り当て範囲: ユーザーがプルできるソース ポートの範囲。 予約済み送信元ポート: ターミナル サーバーで実行されている別のサービスが通信するために必要なため、送信元ポート範囲から除外する必要があるポート。 ユーザーごとのポート割り当て開始サイズ: 新しいユーザー ポート リースの最小ポート割り当て。 ポート割り当て ユーザーごとの最大サイズ: ユーザー ポート リースの最大ポート割り当て。 使用可能なポートが使い果たされたときにポート バインディングを失敗させる: 重複するポート割り当てを防ぎます。
モニターパネルナビゲーション ウィンドウからの監視操作では、現在のユーザーとポートの割り当てがすべて表示されます。 「Ports Count」には、ユーザーが現在使用しているポートが表示されます。 「Refresh Ports Count」をクリックすると、Ports Count を更新できます。 「更新間隔」チェックボックスを選択して、更新間隔を手動で設定することもできます。
の構成TSPalo Alto Networks デバイスのエージェント
Palo Alto Networks デバイスは、次の情報で構成する必要があります。 IP 住所:IPサーバーのアドレスTSエージェントがインストールされています。 港:TS構成されているものと一致する必要があるエージェントのリッスン ポートTSサーバ。 IP リスト (オプション): ターミナル サーバー ソースIPターミナル サーバーに複数の送信元 IP があり、最大 8 個の IP がある場合はリストします。
で変更をコミットします。 firewall
トラブルシューティングのヒント
のTSエージェントは、トラブルシューティングに非常に役立つログ ファイルを維持します。 に問題がある場合TSエージェント、これらのログを収集して、TAC支援チーム。 ログファイルは、TS [ファイル] > [ログの表示] を使用するエージェント。
ユーザーの詳細情報を有効にするには-IDエージェント操作、に移動ファイル > デバッグ そして選択詳細 .ログには、より詳細なメッセージが表示されるようになりました。
使えるCLIコマンド
ターミナル サーバー エージェントを構成します。
# set ts-agent <name> <options>
where <options> include
ip-address terminal server agent ip address
port terminal server agent listening port
ip-list terminal server alternative ip list ターミナル サーバー エージェントのステータスを表示します。
> show user ts-agent statistics
IP Address Port Vsys State Users
----------------------------------------------
10.1.200.1 5009 vsys1 connected 8
10.16.3.249 5009 vsys1 connected 10
> show user ip-port-user-mapping all
User IP-Address Vsys Port-Range
------------------------------------------------
test1 10.1.200.1 vsys1 20000-20500
test2 10.1.200.1 vsys1 20500-21000
21500-22000
test3 10.1.200.1 vsys1 21000-21500 TS エージェントは、パロアルトネットワークユーザーを検索する必要がある場合があります-IDエージェントまたはグループ マッピング データを使用して、特定のドメイン ユーザーのグループ情報を取得します。
他のCLIコマンド
ユーザー-IDエージェントの「enable-user-identification」および「User Identification」ACL 」設定コマンドも適用TSエージェント。 これは、ユーザー識別機能が有効になっている場合、ユーザーとIDエージェントとTSエージェント機能が有効になります。
Additional Information Ansible を使用したターミナル サービス エージェントのリモート展開