ターミナル サーバー エージェントをインストールおよび構成する方法

この記事は、古いバージョンのターミナル サーバー エージェントをテストして作成されました。PAN-OSバージョン (7.1 以下)。 構成情報は同じままですが、次の更新されたドキュメントを参照できます。ユーザー マッピング用のターミナル サーバー エージェントの構成特に、TSエージェントとFirewall.

概要

ターミナル サーバーをインストールする前に (TS ) エージェントは、次の要件が満たされていることを確認してください。

• の要件を確認します。リリースノートターミナル サーバーのバージョン (TS ) インストールするエージェント。
• ターミナル サーバーの管理者は、TSエージェント。 のTSエージェントは、他のリモート ログオン ユーザーがエージェントを制御できないように、管理者だけが開始できるように構成する必要があります。
• のためにTSエージェント必要なドライバーを正常にインストールします。 インストーラーには管理者権限が必要です。
• Windows の場合FirewallどこTSエージェントがインストールされ、ポート 5009 への接続が許可されます。

手順

1. インストール
   • インストールは最初に、TSエージェントは、インストール先のオペレーティング システムと互換性があります。 オペレーティング システムに互換性がない場合は、次のようなエラー メッセージが表示されます。

 

• のTSエージェント インストーラーは、インストール先のフォルダーを要求します。

• 新規インストールの場合、管理者はシステムを再起動する必要はありません。ただし、再起動しないと、TSエージェントは新しいアウトバウンドのみを識別できますTCP/UDPトラフィック。 のためにTCP/UDPインストール前に発生するトラフィック、Palo Alto NetworksTSエージェントはユーザーを識別できません。

1. の構成TSターミナル サーバー上のエージェント
   • メインパネル
     のTSAgent Controller は、エージェント ステータスの構成と検証のためにターミナル サーバーで使用されるアプリケーションです。
     
     メイン パネルには、それぞれを表示する接続リストが表示されます。PANに接続されているデバイスTSエージェントとデバイスのアクセス制御リスト。 デフォルトでは、デバイス アクセス コントロール リストは無効になっています。 を指定する場合は、このオプションを有効にします。PANデバイスTSエージェントが聞きます。 のTSエージェントはONLY許可リスト内のデバイスからの着信接続を受け入れます。
   • 構成パネル
     
     • リスニング ポート:TSエージェントは、Palo Alto Networks デバイスで通信します。
     • ソース ポートの割り当て範囲: ユーザーがプルできるソース ポートの範囲。
     • 予約済み送信元ポート: ターミナル サーバーで実行されている別のサービスが通信するために必要なため、送信元ポート範囲から除外する必要があるポート。
     • ユーザーごとのポート割り当て開始サイズ: 新しいユーザー ポート リースの最小ポート割り当て。 ポート割り当て ユーザーごとの最大サイズ: ユーザー ポート リースの最大ポート割り当て。
     • 使用可能なポートが使い果たされたときにポート バインディングを失敗させる: 重複するポート割り当てを防ぎます。
   • モニターパネル
     
     ナビゲーション ウィンドウからの監視操作では、現在のユーザーとポートの割り当てがすべて表示されます。 「Ports Count」には、ユーザーが現在使用しているポートが表示されます。 「Refresh Ports Count」をクリックすると、Ports Count を更新できます。 「更新間隔」チェックボックスを選択して、更新間隔を手動で設定することもできます。
2. の構成TSPalo Alto Networks デバイスのエージェント

• Palo Alto Networks デバイスは、次の情報で構成する必要があります。
  • IP 住所：IPサーバーのアドレスTSエージェントがインストールされています。
  • 港：TS構成されているものと一致する必要があるエージェントのリッスン ポートTSサーバ。
  • IP リスト (オプション): ターミナル サーバー ソースIPターミナル サーバーに複数の送信元 IP があり、最大 8 個の IP がある場合はリストします。
• で変更をコミットします。 firewall

3. トラブルシューティングのヒント

 

• ユーザーの詳細情報を有効にするには-IDエージェント操作、に移動ファイル > デバッグそして選択詳細.ログには、より詳細なメッセージが表示されるようになりました。

使えるCLIコマンド

ターミナル サーバー エージェントを構成します。

# set ts-agent <name> <options>

where <options> include 

ip-address   terminal server agent ip address
port         terminal server agent listening port
ip-list      terminal server alternative ip list

ターミナル サーバー エージェントのステータスを表示します。

> show user ts-agent statistics

IP Address Port Vsys State Users
----------------------------------------------
10.1.200.1  5009 vsys1 connected 8
10.16.3.249 5009 vsys1 connected 10


> show user ip-port-user-mapping all

User IP-Address Vsys Port-Range
------------------------------------------------
test1 10.1.200.1  vsys1 20000-20500
test2 10.1.200.1  vsys1 20500-21000
                        21500-22000
test3 10.1.200.1  vsys1 21000-21500

TS エージェントは、パロアルトネットワークユーザーを検索する必要がある場合があります-IDエージェントまたはグループ マッピング データを使用して、特定のドメイン ユーザーのグループ情報を取得します。

他のCLIコマンド

ユーザー-IDエージェントの「enable-user-identification」および「User Identification」ACL 」設定コマンドも適用TSエージェント。 これは、ユーザー識別機能が有効になっている場合、ユーザーとIDエージェントとTSエージェント機能が有効になります。