行政上登录到终端服务代理和源端口分配
16785
Created On 09/25/18 20:36 PM - Last Modified 06/09/23 03:03 AM
Resolution
症状
有两个设置为源端口分配下帕洛阿尔托网络 TS 代理
- 系统源端口分配范围: 显示并不是与单个用户相关联的系统进程的端口范围。格式是从低到高 (默认值 1025年-5000)。
- 源端口分配范围: 这个范围的端口将被分配到的用户会话。此设置控制过程属于远程用户 (默认 20000-39999) 源端口分配。
如果端口分配请求来自于无法被标识为一个特定的用户进程的系统服务,TS 代理可以让系统从系统的端口范围,不包括系统保留的源端口分配的源端口。
问题
如果用户建立控制台连接到哪里 TS 安装或通过 RDP 连接 (与"/admin"开关) 管理登录的服务器,该用户将永远未知。
发生了什么/解释
/Admin 开关绕过终端服务器软件,只是打的内置的 RDP 功能随每个安装的服务器。
开关将导致 RDP 会话绕过终端服务已经使用 TS 上运行管理任务,因此利用"系统源端口分配范围"
终端服务器映射 ip 地址的源端口从"源端口分配范围"因此日志在行政上将永远是未知的域用户。
所有者: ppatel