Tipps & Tricks: ÜberLegungen für TS Agent und User-ID Agent in einer gemischten Umgebung
Resolution
In einem Umfeld, in dem sowohl Terminal Services (TS) Agent als auch User Identification (User-ID) Agent verwendet werden, um festzustellen, welche Nutzer bei bestimmten Systemen angemeldet sind, müssen einige Vorsichtsmaßnahmen getroffen werden, um eine fehlerhafte Kartierung der Nutzer zu verhindern, vor allem in Bezug auf die Terminal Server, auf denen mehrere Benutzer gleichzeitig angemeldet werden können.
Beide Agenten erreichen die Benutzer Abbildung auf Ihre eigene Art und Weise:
- Der User-ID-Agent bildet einen einzelnen Benutzer zu einer einzigen IP aus, indem er Login-Ereignisse aus dem Active-Verzeichnis liest, einen eingeloggten Benutzer bestimmt, indem er eine NetBIOS-oder WMI-Sonde, den Zugriff auf ein Netzwerk-Laufwerk oder einen API-Anruf von einem integrierten AP durchführt.
- Der TSAgent ist nur auf dem System aktiv, auf dem er installiert ist, und arbeitet mit der Zuweisung von Quell Port-Bereichen (er beteiligt sich aktiv am Netzwerk-Stack) an eingeloggten Benutzern und informiert die Firewall, welche Quell Ports von jedem Benutzer verwendet werden.
Wenn beide Clients in der gleichen Umgebung aktiv sind und die TSAgent installierten Hosts Teil des gleichen Netzwerks sind wie die regulären Clients, können einige Konflikte auftreten. Am häufigsten könnte eine doppelte Kartierung erstellt werden, bei der sowohl der TSAgent als auch der UIDAgent eine Benutzer Abbildung für eine einzelne IP-Adresse haben.
> Benutzer-IP-User-Mapping alle
IP Vsys von User IdleTimeout (s) MaxTimeout (s)
---------------------------------------------------------------------------------------
10.192.16.98vsys1UIA pantac\ad ministrator3590 3590
> Benutzer-IP-Port-User-Mapping alle
globalen Max-Host-Index 1, Host-Hash-Zählung 1
TS-Agent 10.192.16.98
Vsys 1, Flag 3
-Port-Bereich: 20000-39999, Port count 20000
Anzahl der Ports pro User Terminal Session: 200; Max 2000
Anzahl der User-Terminal-Sessions (Port-Block-Zählung): 100
20000-20199: pantac\eng
20200-20399: pantac\tpiens
Diese Überschneidung ist in den meisten Fällen harmlos: Typischerweise wird den angemeldeten Benutzern ein Quell Port durch den TSAgent zugewiesen und von der Firewall als solcher identifiziert, während Service-Accounts UIDAgent-Login-Ereignisse auslösen könnten-die aus dem AD-Security-Log abgeholt werden- Erstellung eines UID-Eintrags in der IP-User-Mapping. Alle ausgehenden Verbindungen von solchen Service Konten würden durch die IP-User-Mapping anstelle der IP-Port-Mapping identifiziert.
In einigen Szenarien kann es unerwünscht sein, dass IP-User-Mapping für einen Terminal-Server auftritt, da diese Kartierung durch mehrere Prozesse ausgelöst werden kann und schwer zu kontrollieren ist (Drive Mapping auf einen Server mit installiertem UID-Agent, Durchführung von Remote-Aufgaben mit verschiedenen Benutzernamen), vor allem in einer gemischten Umgebung, in der Benutzer mit sehr unterschiedlichen Privilegien auf denselben Terminal Server zugreifen.
Aus der Perspektive der Best Practicesfür die Sicherheit wird empfohlen, die Terminal Server von der Entdeckung des uidagenten auszuschließen. Dadurch wird verhindert, dass für die IPs, die mit der Terminal Serverfarm verbunden sind, eine regelmäßige IP-User-Mapping auftritt, die eine zufällige Identifizierung der Aktivitäten eines Service Kontos mit einem bekannten Benutzer verhindert, der zufällig eine Aufgabe erfüllt hat, die die Identifikation durch der UIDAgent:
Alternativ oder zusätzlich können Nutzer in die Ignore-Benutzerliste aufgenommen werden, um zu verhindern, dass diese vom UIDAgent ganz abgebildet werden:
Gewusst wie: Hinzufügen/Löschen von Benutzern aus ignorieren Benutzerliste mit agentenlose User-ID
Gewusst wie: Benutzer im Benutzer-ID Agent ignorieren