Terminalserver-Agent ( TSA ) Erweiterte Konfiguration mit Windows-Registrierung
40065
Created On 01/26/21 16:05 PM - Last Modified 12/01/22 09:11 AM
Symptom
Palo Alto Terminal Server Agent ( TSA ) ist eine Benutzersoftware, die auf ID kompatiblen Windows-Terminalservern installiert ist, um eine Herausforderung zu lösen, die mit der Identifizierung der Zuordnung von Benutzer zu Adresse auf Firewalls verbunden IP PAN ist. Die Herausforderung für die Zuordnung von Benutzern IP auf Terminalservern ist wie folgt:
- Definitionsgemäß identifiziert die Zuordnung von Benutzer zu Adresse einen Benutzer, der IP sich an einer bestimmten Adresse befindet; und vom Entwurf her werden IP Terminalserver von mehreren Benutzern zu einem bestimmten Zeitpunkt verwendet. Daher kann der firewall terminal Server nicht mehr einem Benutzer IP zuordnen.
- Alle angemeldeten Benutzer werden überwacht und einzelne Benutzer werden mit einem bestimmten Satz von Ports zugewiesen - Dies wird als User Source-Port Range bezeichnet
- Wenn a für den firewall Herstellen einer Verbindung mit an Port TSA TCP 5009 konfiguriert ist, firewall erfahren Sie mehr über jeden angemeldeten Benutzer auf dem Terminalserver und seinen Benutzerquellportbereich.
- Wenn ein Benutzer Netzwerkverkehr initiiert, fordert die Benutzeranwendung den Windows-Kernel auf, einen /socket zu TCP IP erstellen, der hauptsächlich eine Kombination aus Source- IP :Source-Port + Destination- IP :D estination-Port ist. TaService arbeitet TAD mit, um in diese Socketerstellung einzugreifen und den Source-Port aus dem User Source-Port Rangezuzuweisen.
- Wenn der firewall diesen Netzwerkverkehr vom Terminalserver empfängt, identifiziert er den Benutzer basierend auf dem Quell-Port des Benutzers.
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFdCAK
Environment
Die Kompatibilitätsmatrix für Windows-Server
finden Sie im folgenden Dokument:
https://docs.paloaltonetworks.com/compatibility-matrix/terminal-services-ts-agent/terminal-services-ts-agent-table.html
Cause
Die TSA Grundkonfiguration deckt die meisten Bereitstellungen ab, je nach Bedarf und Umgebung müssen wir die Konfiguration jedoch TSA anpassen. Im Folgenden finden Sie eine erschöpfende Liste aller Windows-Registrierungsschlüssel, die von unterstützt TSA werden.
Hinweis: Bitte konsultieren TAC Sie, wenn zusätzliche Klarstellung erforderlich ist. Seien Sie vorsichtig, wenn Sie Änderungen an der Windows-Registrierung durchführen.
Resolution
| HKEY_LOCAL_MACHINE- SOFTWARE und HKEY_LOCAL_MACHINE-Palo-Alto-Netzwerke, TS Agent, Conf. |
| Registrierungsschlüssel | Typ | Wert | Beschreibung |
|---|---|---|---|
| EnableTws | DWORD | 0 : Deaktivieren (Standard) 1 : aktivieren | Wenn dies aktiviert ist, TSA wird die Auswahl eines Ports für eine neue Verbindung vermieden, wenn sich dieser Port im Timed-Wait-State befindet. Hinweis: TSA Der Dienst (TaService) muss neu gestartet werden, damit dieser Registrierungsschlüssel wirksam wird. |
| FreePortBlockDelay | DWORD | 0 : Deaktivieren (Standard) N : Wert in Sekunden - Aktiviert den Timer | Wenn dies aktiviert ist, wird eine Funktion mit periodischem Timer gestartet, die TSA alle Sekunden läuft - Diese Funktion N scannt User Source-Port Range-Blöcke und gibt alle Ports frei, die sich nicht mehr im Timed-Wait-State befinden. Anmerkung 1: Diese Funktion ist wirksam, wenn EnableTws aktiviert ist Hinweis 2: Der empfohlene Wert N von ist derselbe wie der Registrierungsschlüssel, der den Timed-Wait-State-Timer steuert, der einem Port zugewiesen ist. Siehe TwsTimeout unten. |
| TwsTimeout | DWORD | 0 : Standard N : Wert in Sekunden | Wenn dies standardmäßig deaktiviert ist, beträgt das timed-Wait-State-Timeout, das einem Port zugewiesen ist, standardmäßig 240 Sekunden. Es kann mit der Windows / Registrierungseinstellung angepasst TCP IP werden, die eine systemweite Einstellung ist: HKEY_LOCAL_MACHINE , SYSTEM ,,CurrentControlSet, Services, Tcpip, Parameters, TcpTimedWaitDelay Wenn gesetzt N wird, verwendet diesen TSA Wert, um einem Port ein Timed-Wait-State-Timeout zuzuweisen, das zuvor einem Socket zugewiesen wurde TSA und jetzt freigegeben wird. Wenn sowohl TcpTimedWaitDelay als auch TwsTimeout definiert sind, TSA wird der Wert verwendet, der das Maximum der beiden ist. Hinweis: Diese Funktion ist wirksam, wenn EnableTws aktiviert ist |
| HKEY_LOCAL_MACHINE- SOFTWARE und -palo-Alto-Netzwerke, TS Agent, Protokoll |
| Registrierungsschlüssel | Typ | Wert | Beschreibung |
|---|---|---|---|
| IgnoreDrvLog | DWORD | 0 : Deaktivieren (Standard) 1 : aktivieren | Wenn dies aktiviert ist, TSA werden Treiber- ( TAD )-Protokolle nicht in die Protokolldatei geschrieben, TSA d. h. debug.log. Treiberprotokolle, die Protokollzeilen, die mit "Drv" beginnen, sind ausführliche Level-Protokolle, die Debug.log Datei füllen können und es schwierig machen, nicht fahrerbezogene Protokolle abzufangen. Dies muss nicht aktiviert werden, es sei denn, dies wird von TAC empfohlen. |
| LogPath | String | Windows-Dateisystempfad zu einem Ordner | Dies kann verwendet werden, um die Protokolldatei, d.h. debug.log in ein anderes Verzeichnis zu schreiben. Standardordner: TSA Installationsverzeichnis unter C :-Programmdateien, Palo Alto-Netzwerke, Terminalserver-Agent |
| HKEY_LOCAL_MACHINE- SOFTWARE und -palo-Alto-Netzwerke, TS Agent, Adv |
| Registrierungsschlüssel | Typ | Wert | Beschreibung |
|---|---|---|---|
| HonorSrcPortRequest | DWORD | 0 : Standard 1 2 | Wenn eine Benutzeranwendung versucht, einen Socket zu erstellen, TSA wird der Quellport der Verbindung umgangen. Und es gibt 3 Möglichkeiten: a. Die Anwendung kann anfordern, dass dem Socket ein bestimmter Quellport zugewiesen wird, und dieser Quellport kann innerhalb des konfigurierten Benutzerquell-Portbereichs b liegen. Die Anwendung kann anfordern, dass dem Socket ein bestimmter Quellport zugewiesen wird, und dieser Quellport kann außerhalb des konfigurierten Benutzerquell-Portbereichsliegen. C. Die Anwendung kann NOT verlangen, dass ein bestimmter Quellport dem Socket zugewiesen wird, und das System (d. TSA h.) einen Quellport für den Socket zuweisen lässt - Wenn HonorSrcPortRequest auf 0 gesetzt ist, was standardmäßig ist, TSA ignoriert alle oben genannten Und weist einen Quellport aus dem Portbereich des Benutzers zu. - Wenn HonorSrcPortRequest auf 1 gesetzt ist, TSA wird die Quellport-Anforderung der Anwendung in Szenario (a) d. h. Wenn der von der Anwendung angeforderte Quellport innerhalb des konfigurierten User Source-Port Rangeliegt. - Wenn HonorSrcPortRequest auf 2 gesetzt ist, TSA wird die Quellport-Anforderung der Anwendung in Szenario (a) und (b) d. h. TSA alle expliziten Quellport-Anfragen der Anwendung berücksichtigen. |
| MonitorInterval | DWORD | 1440000 : Standard N : Wert in Minuten | TSA kann so konfiguriert werden, dass Ereignisse der Benutzerabmeldung regelmäßig überwacht werden. Das Festlegen dieses Werts auf 1 würde dazu führen, dass TSA die überwachte Benutzerliste jede Minute auf abgemeldete Benutzer überprüft wird. |
| DelayStart | DWORD | 0 : Standard N : Wert in Sekunden | Wenn Windows Server hochfährt, TSA kann die TSA Treiberaktivierung ( ) für die konfigurierte Anzahl von Sekunden verzögert TAD werden. Dies kann verwendet werden, um Konflikte mit Anti-Virus-Software zu vermeiden - Dies sollte bestimmte Anti-Virus-Anbieter diskutiert werden, die solche Konflikte kennzeichnen. |
| DelayAtShutdown | DWORD | N : Wert in Sekunden | Wenn Windows Server heruntergefahren oder neu gestartet wird, TSA kann der Herunterfahren für die konfigurierte Anzahl von Sekunden verzögert werden. Wenn dieser Wert aktiviert ist, wird ein Wert von mehr als 15 standardmäßig 15 Sekunden angegeben, da Windows das Verzögern des Herunterfahrens um mehr als 15 Sekunden nicht zulässt. Verzögert TSA standardmäßig das Herunterfahren um 3 Sekunden. |
| EnableDetachFilter | DWORD | 0 : Standard 1 | Diese Einstellung wird empfohlen, in Citrix Umgebung aktiviert zu PVS werden. Wenn dies aktiviert ist, TS- aktiviert Agent PVS- bestimmte Feature-Sets (siehe zugehörige Registrierungsschlüssel unten), um Probleme wie nicht reagierende Windows Server nach Herunterfahren oder Failover zu vermeiden PVS |
| PvsHbInterval | DWORD | N : Wert in Millisekunden | Dies wird verwendet, um PVS Failover-Ereignisse zu erkennen. Und dieser Wert ist standardmäßig auf 500 ms festgelegt. Dieser Wert definiert das Intervall, in dem TSA Taktnachrichten an Driver gesendet werden TSA sollen. Verkürzen Sie das Intervall, schneller die Failovererkennung. |
| PvsDetectMode | DWORD | 1 : Standard 2 3 | Dieser Wert diktiert den PVS Failover-Erkennungsmechanismus in TSA . 1 - Heartbeat-Erkennung (Standard) - TSA sendet Taktnachrichten an Windows TAD Kernel. 2 - Source-Port-Erkennung - TSA versucht zu erkennen, ob PVS Failover initiiert wurde, indem überprüft wird, ob der PVS Failover-Port in einem aktiven Socket 3- Hybrid von 1 und 2 verwendet wird |
| PvsHbSuspendTimes | DWORD | 0 : Standard N : Zahl | Wenn PvsDetectMode auf 3 festgelegt ist, muss dieser Wert ungleich Null sein. Wenn PvsDetectMode 3 festgelegt ist und PVS ein Failover mithilfe von Taktmeldungen erkannt wird, TSA verzögert es das erneute Anfügen des TSA Treibers um X Sekunden, wobei X PvsHbInterval mit PvsHbSuspendTimes multipliziert wird. Beispielsweise X beträgt 100 Sekunden, wenn PvsHbInterval = 500 ms und PvsHbSuspendTimes = 200 Hinweis: Wenn PvsDetectMode auf 3 gesetzt ist und ein Failover mithilfe der PVS Erkennungsmethode für den Quellport erkannt wird, verzögert es das TSA erneute Anfügen des TSA Treibers für 60 Sekunden, der hartcodiert ist. Aber PVS Failover kann mithilfe von Taktmeldungen erkannt werden und versuchen, den Treiber sofort wieder anzuhängen, während 60 Sekunden auf die TSA erneute Anhaftung des Treibers gewartet wird - In einem solchen Szenario, um den Failover-Trigger zu unterscheiden und zu vermeiden, dass der Treiber zu früh wieder angefügt wird, sollte PvsHbSuspendTimes ungleich Null sein. |
| PvsHbFailureTimes | DWORD | N : Anzahl | Wenn PVS die Failover-Erkennung mit verlorenen Taktmeldungen verwendet wird (PvsDetectMode ist entweder 1 oder 3), löst der TSA TSA Treiber, wenn die Anzahl der verlorenen Taktnachrichten den Wert von PvsHbFailureTimes erreicht. Der Standardwert ist 4 |
| PvsFailoverPort | DWORD | N : Anzahl | Wenn die PVS Failovererkennung mithilfe des Quellports durchgeführt wird, TSA sucht sie mithilfe dieses Quellports nach aktiven Sockets. Der Standardwert ist 6901. Dies ist die Portnummer, die von PVS Client Windows Server für die Kommunikation mit Streaming Server während des PVS Failovers verwendet wird. |
| PvsNumPattern | DWORD | N : Anzahl | Wenn TSA PvsFailoverPort in einem aktiven Socket gefunden wird, bestimmt der Wert von PvsNumPattern, wie viele solcher Sockets, die PvsFailoverPort verwenden, erkannt werden sollten, bevor das PVS Failover-Ereignis deklariert wird. Wenn Sie diesen Wert auf 1 setzen, wird die PVS Failovererkennung beschleunigt. Der Standardwert ist 2. |