如何安装和配置终端服务器代理

如何安装和配置终端服务器代理

111045
Created On 09/25/18 17:27 PM - Last Modified 01/18/23 20:52 PM


Environment


  • PAN-OS 7.0 和 7.1。
  • 帕洛阿尔托Firewall.
  • 终端服务器代理。

Resolution


这篇文章是通过在旧版本上测试终端服务器代理而写的PAN-OS版本(7.1 或以下)。 尽管配置信息保持不变,但可以参考更新的文档,网址为为用户映射配置终端服务器代理特别是在TS代理人和Firewall.


概述

在安装终端服务器之前(TS ) 代理,请确保满足以下要求:

  • 验证中的要求发行说明终端服务器的版本(TS ) 要安装的代理。
  • 终端服务器上的管理员需要安装TS代理人。 这TS代理应配置为仅由管理员启动,以防止其他远程登录用户控制它。
  • 为了TS代理人成功安装必要的驱动程序。 请注意,安装程序必须具有管理员权限。
  • 在 Windows 上Firewall在哪里TS安装代理允许连接到端口 5009。

 

脚步

  1. 安装
    • 安装将首先检查是否TS代理与安装它的操作系统兼容。 如果操作系统不兼容,则会弹出类似如下的错误信息:
ss1.gif
 
  • 这TS代理安装程序将请求安装的目标文件夹。
ss2.gif 格式
  • 对于全新安装,管理员无需重新启动系统;但是,如果不重新启动,TS代理只能识别新出站TCP/UDP交通。 为了TCP/UDP安装前发生的流量,Palo Alto NetworksTS代理无法识别用户。
  1. 配置的TS终端服务器上的代理
    • 主面板
      这TS代理控制器是终端服务器上用于配置和验证代理状态的应用程序。
      ss3.gif动图
      主面板将显示连接列表,其中显示每个PAN设备连接到TS代理以及设备访问控制列表。 默认情况下,设备访问控制列表是禁用的。 如果要指定哪个,请启用此选项PAN装置TS代理会听。 这TS代理人会ONLY接受来自允许列表中设备的传入连接。
    • 配置面板
      ss4.gif动图
      • 监听端口:监听的端口TS代理在帕洛阿尔托网络设备上进行通信。
      • 源端口分配范围:用户可以从中提取的源端口范围。
      • 保留的源端口:需要从源端口范围中排除的端口,因为在终端服务器上运行的另一个服务需要它与之通信。
      • Port Allocation Start Size Per User:新用户端口租约的最小端口分配。 Port allocation Maximum Size Per User:用户端口租约的最大端口分配。
      • 可用端口用完时端口绑定失败:防止重叠端口分配。
    • 监控面板
      ss5.gif动图
      导航窗口中的监控操作显示所有当前用户和端口分配。 “端口数”显示用户当前使用的端口。 单击“刷新端口数”可以刷新端口数。 您还可以通过选中“刷新间隔”复选框来手动设置刷新间隔。
  2. 配置的TS帕洛阿尔托网络设备上的代理
ts_agent。JPG .jpg
  • 帕洛阿尔托网络设备需要配置以下信息:
    • IP 地址:IP服务器地址TS代理安装在。
    • 港口:TS应与配置的内容匹配的代理侦听端口TS服务器。
    • IP 列表(可选):终端服务器源IP列出终端服务器是否有多个源 IP,最多 8 个 IP。
  • 提交更改 firewall
  1. 故障排除提示
这TS代理维护一个日志文件,这对故障排除非常有用。 如果出现问题TS特工,这些日志应该被收集并发送到TAC支持团队。 日志文件可以在TS代理使用文件 > 显示日志。
2015-05-11 08_13_58-PAN终端服务器代理安装步骤(一).pdf - Adobe Reader.jpg
 
  • 要启用有关用户的详细信息-ID代理操作,前往文件 > 调试并选择冗长的.日志现在将显示更详细的消息。

 

有用CLI命令

配置终端服务器代理:

# set ts-agent <name> <options>

where <options> include 

ip-address   terminal server agent ip address
port         terminal server agent listening port
ip-list      terminal server alternative ip list
 

显示终端服务器代理状态:

> show user ts-agent statistics

IP Address Port Vsys State Users
----------------------------------------------
10.1.200.1  5009 vsys1 connected 8
10.16.3.249 5009 vsys1 connected 10


> show user ip-port-user-mapping all

User IP-Address Vsys Port-Range
------------------------------------------------
test1 10.1.200.1  vsys1 20000-20500
test2 10.1.200.1  vsys1 20500-21000
                        21500-22000
test3 10.1.200.1  vsys1 21000-21500
 

TS 代理可能需要查找帕洛阿尔托网络用户-ID代理或组映射数据以获取特定域用户的组信息。

 

其他CLI命令

用户-ID代理的“enable-user-identification”和“User Identification”ACL ”配置命令也适用于TS代理人。 这意味着如果启用了用户识别功能,则用户-ID代理人和TS将启用代理功能。

Additional Information


使用 Ansible 远程部署终端服务代理
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFdCAK&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language