ヒントとコツ: 混在環境での TS エージェントとユーザー ID エージェントに関する考慮事項
Resolution
ターミナルサービス (TS) エージェントとユーザー識別 (ユーザー id) エージェントの両方が、特定のシステムにログオンしているユーザーを確認するために使用される環境では、主に、ユーザーの不適切なマッピングを防ぐためにいくつかの注意事項を講じる必要があります。複数のユーザーが同時にログオンできるターミナルサーバー。
どちらのエージェントも、独自の方法でユーザーマッピングを実現します。
- ユーザー ID エージェントは、Active Directory からログインイベントを読み取り、netbios または WMI プローブ、ネットワークドライブへのアクセス、または統合された AP からの API 呼び出しを実行してユーザーを特定することによって、1人のユーザーを単一の IP にマップします。
- TSAgent は、インストールされているシステム上でのみアクティブになり、ソースポートの範囲 (ネットワークスタックに積極的に参加します) をログインユーザーに割り当てることによって動作し、各ユーザーが使用するソースポートをファイアウォールに通知します。
両方のクライアントが同じ環境でアクティブで、TSAgent インストールされたホストが通常のクライアントと同じネットワークの一部である場合、競合が発生することがあります。最も一般的には、TSAgent と UIDAgent の両方が1つの IP アドレスに対してユーザーマッピングを持っている場合に、ダブルマッピングを作成できます。
> ユーザーの ip を表示する-ユーザーマッピングすべての
ip Vsys からユーザー IdleTimeout MaxTimeout (秒)
---------------------------------------------------------------------------------------
10.192.16.98vsys1 UIA pantac\administrator3590 3590
> 表示ユーザー ip-ポート-ユーザ-マッピングすべて
のグローバル max ホストインデックス1、ホストハッシュカウント 1
TS エージェント10.192.16.98
Vsys 1、フラグ 3
ポート範囲: 2万-39999、ポート数 2万
あたり割り当てられたポート数ユーザーターミナルセッション: 200;最大 2000
ユーザ端末セッション数 (ポートブロック数): 100
20000-20199: pantac\eng
20200-20399: pantac\tpiens
この重複は、ほとんどの場合、無害です: 通常、ログインしているユーザーは、TSAgent によってソースポートが割り当てられ、ファイアウォールによってそのように識別されますが、サービスアカウントは UIDAgent ログインイベントをトリガすることができます--AD セキュリティログからピックアップ--ip-ユーザマッピングで UID エントリを生成する。このようなサービスアカウントからの発信接続は、ip ポートマッピングではなく、ip ユーザーマッピングによって識別されます。
一部のシナリオでは、このマッピングは複数のプロセスによってトリガーされ、制御が難しい (UID エージェントがインストールされているサーバーへのドライブマッピング、別のリモートタスクの実行など) ため、ターミナルサーバーに対して ip ユーザーマッピングを実行することが望ましくない場合があります。ユーザー名)、特に、非常に異なる権限を持つユーザが同じターミナルサーバにアクセスする混在環境で使用します。
セキュリティのベストプラクティスの観点からは、UIDAgent の検出からターミナルサーバーを除外することをお勧めします。これにより、ターミナルサーバーファームに関連付けられている ip に対して通常のユーザーマッピングが実行されなくなり、特定のユーザーが引き出すによって識別されるタスクを実行したことが判明した、サービスアカウントのアクティビティの偶発的な誤認を防止できます。UIDAgent:
または、ユーザーを [無視] リストに追加して、UIDAgent によってマップされないようにすることもできます。
エージェントレスでユーザー ID を使用して無視ユーザー リストからユーザーの追加/削除する方法