Agente de Terminal Server ( TSA ) Configuración avanzada mediante el Registro de Windows
40073
Created On 01/26/21 16:05 PM - Last Modified 12/01/22 09:11 AM
Symptom
Palo Alto Terminal Server Agent ( TSA ) es un software de usuario instalado en servidores de terminal de Windows ID compatibles para resolver un desafío asociado con la identificación de usuario para IP abordar la asignación en PAN firewalls. El desafío con el usuario de IP abordar la asignación en servidores de terminal server es el siguiente:
- Por definición, la asignación de usuarios a direcciones identifica a IP un usuario ubicado en una dirección IP específica; y por diseño, los servidores de terminal server son utilizados por varios usuarios en un momento dado. Por lo tanto, el firewall ya no puede asociar el Terminal Server con un IP usuario.
- Todos los usuarios que han iniciado sesión son monitoreados y los usuarios individuales se asignan con un conjunto específico de puertos - Esto se llama Rango de puerto de origen de usuario
- Cuando a firewall está configurado para establecer una conexión con el puerto TSA TCP 5009, firewall aprende sobre cada usuario que ha iniciado sesión en el Servidor Terminal Server y su rango de puertos de origen de usuario
- Cuando un usuario inicia cualquier tráfico de red, la aplicación de usuario solicita al kernel de Windows que cree un TCP IP / socket, que es principalmente una combinación de origen- IP :source-port + destino- IP :D estination-port. TaService colabora TAD para intervenir en esta creación de sockets y asignar el puerto de origen desde el intervalo de puertos de origen de usuario.
- Cuando firewall el recibe este tráfico de red del Terminal Server, identifica al Usuario en función del puerto de origen del usuario
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFdCAK
Environment
La matriz compatibilidad de servidores Windows
se puede encontrar en el siguiente documento:
https://docs.paloaltonetworks.com/compatibility-matrix/terminal-services-ts-agent/terminal-services-ts-agent-table.html
Cause
La configuración básica TSA satisface la mayoría de las implementaciones, sin embargo, dependiendo de la necesidad y el entorno, es posible que debamos personalizar la TSA configuración. A continuación se muestra una lista exhaustiva de todas las claves del Registro de Windows compatibles con TSA .
Nota: Consulte si TAC se necesita una aclaración adicional. Tenga cuidado al realizar modificaciones del registro de Windows.
Resolution
| HKEY_LOCAL_MACHINE\ SOFTWARE \Palo Alto Networks\ TS Agent\Conf |
| Clave del registro | Tipo | Valor | Descripción |
|---|---|---|---|
| EnableTws | DWORD | 0 : desactivar (predeterminado) 1 : activar | Cuando esto está habilitado, TSA evitará elegir un puerto para una nueva conexión, si ese puerto está en Timed-Wait-State. Nota: TSA El servicio (TaService) debe reiniciarse para que esta clave del Registro surta efecto. |
| FreePortBlockDelay | DWORD | 0 : desactivar (predeterminado): N valor en segundos - Activa el temporizador | Cuando esto está habilitado, se inicia una función con temporizador periódico TSA dentro de la cual se ejecuta cada N segundo: esta función examina los bloques de rango de puerto de origen de usuario y libera todos los puertos que ya no están en estado de espera cronometrado. Nota 1: Esta característica es efectiva si EnableTws está habilitado nota 2: El valor recomendado N es el mismo que el de la clave del Registro que controla el temporizador de estado de espera cronometrado asignado a un puerto. Vea TwsTimeout a continuación. |
| TwsTimeout | DWORD | 0 : valor predeterminado N : valor en segundos | Cuando se deshabilita de forma predeterminada, el tiempo de espera-estado de espera asignado a un puerto es de 240 segundos de forma predeterminada. Se puede personalizar mediante la configuración de Windows / Registro, que es una configuración de todo el TCP IP sistema: HKEY_LOCAL_MACHINE\ SYSTEM \CurrentControlSet\Services\Tcpip\Parameters\TcpTimedWaitDelay Cuando se N establece, utiliza este valor para asignar TSA timed-wait-state a un puerto, que anteriormente se asignó a un socket por TSA y ahora se está liberando. Cuando se definen TcpTimedWaitDelay y TwsTimeout, TSA usa el valor que es el máximo de los dos. Nota: Esta característica es efectiva si EnableTws está habilitado |
| HKEY_LOCAL_MACHINE\ SOFTWARE \Palo Alto Networks\ TS Agent\Log |
| Clave del registro | Tipo | Valor | Descripción |
|---|---|---|---|
| IgnoreDrvLog | DWORD | 0 : desactivar (predeterminado) 1 : activar | Cuando esto está habilitado, TSA los registros del controlador ( ) no se TAD escriben en el archivo de TSA registro, es decir, debug.log. Los registros de controladores, las líneas de registro que comienzan con "Drv", son registros de nivel detallados, que pueden llenar el archivo debug.log y dificultar la captura de registros no relacionados con el controlador. Esto no tiene por qué estar habilitado, a menos que lo aconseje TAC . |
| LogPath | Cadena | Ruta del sistema de archivos de Windows a una carpeta | Esto se puede utilizar para escribir el archivo de registro, es decir, debug.log en un directorio diferente. Carpeta predeterminada: TSA Directorio de instalación en C :\Archivos de programa\Palo Alto Networks\Terminal Server Agent |
| HKEY_LOCAL_MACHINE\ SOFTWARE \Palo Alto Networks\ TS Agente\Adv |
| Clave del registro | Tipo | Valor | Descripción |
|---|---|---|---|
| HonorSrcPortRequest | DWORD | 0 : por defecto 1 2 | Cuando una aplicación de usuario intenta crear un socket, TSA se preocupa por el puerto de origen de la conexión. Y hay 3 posibilidades: a. La aplicación puede solicitar que se asigne un puerto de origen específico al socket y este puerto de origen puede estar dentro del intervalo de puertos de origen de usuario b configurado. La aplicación puede solicitar que se asigne un puerto de origen específico al socket y este puerto de origen puede estar fuera del intervalo de puertos de origen de usuario configurado. C. La aplicación puede NOT solicitar que se asigne un puerto de origen específico al socket y permitir que el sistema (es TSA decir) asigne un puerto de origen para el socket: cuando HonorSrcPortRequest está establecido en 0, que es predeterminado, TSA omitirá todo lo anterior y asignará un puerto de origen desde el intervalo de puertos del usuario. - Cuando HonorSrcPortRequest se establece en 1, TSA respetará la solicitud de puerto de origen realizada por la aplicación en El escenario (a) es decir. Cuando el puerto de origen solicitado por la aplicación se encuentra dentro del intervalo de puertos de origen de usuario configurado. - Cuando HonorSrcPortRequest se establece en 2, TSA respetará la solicitud de puerto de origen de la aplicación en el escenario (a) y (b), es decir, TSA respetará todas las solicitudes explícitas de puerto de origen realizadas por la aplicación. |
| MonitorInterval | DWORD | 1440000 : valor N predeterminado: valor en minutos | TSA se puede configurar para supervisar periódicamente los eventos de cierre de sesión del usuario. Establecer este valor en 1 daría lugar a TSA comprobar su lista de usuarios supervisados para los usuarios que han iniciado sesión cada minuto. |
| DelayStart | DWORD | 0 : valor predeterminado N : valor en segundos | Cuando se inicia Windows Server, TSA puede retrasar la activación del controlador ( ) para el número configurado de TSA TAD segundos. Esto se puede utilizar para evitar cualquier conflicto con el software antivirus - Esto debe ser discutido proveedores antivirus específicos que marcan tales conflictos. |
| DelayAtShutdown | DWORD | N : valor en segundos | Cuando Windows Server está apagado o reiniciado, TSA puede retrasar la operación de apagado para el número de segundos configurado. Cuando este valor está habilitado, cualquier valor de más de 15 valores predeterminados a 15 segundos desde Windows no permite retrasar la operación de apagado durante más de 15 segundos. De forma predeterminada, TSA retrasa el apagado 3 segundos. |
| EnableDetachFilter | DWORD | 0 : predeterminado 1 | Se recomienda habilitar esta configuración en Citrix PVS Environment. Cuando esto está habilitado, TS- el agente activa un conjunto de características específico PVS- (consulte las claves del Registro relacionadas a continuación) para evitar problemas como Windows Server no receptivo después PVS de apagar o conmutación por error |
| PvsHbInterval | DWORD | N : valor en milisegundos | Esto se usa para detectar PVS eventos de conmutación por error. Y este valor se establece de forma predeterminada en 500 ms. Este valor define el intervalo en el que TSA se deben enviar mensajes de latido al TSA controlador. Acorte el intervalo, más rápido la detección de conmutación por error. |
| PvsDetectMode | DWORD | 1 : predeterminado 2 3 | Este valor dicta el PVS mecanismo de detección de conmutación por error en . TSA 1 - detección de latidos (predeterminado) - TSA envía mensajes de latido en el kernel de TAD Windows. 2 - detección de puerto de origen - TSA intenta detectar si la Conmutación por falla se ha iniciado PVS comprobando si el puerto de conmutación PVS por error se utiliza en un socket activo 3 - híbrido de 1 y 2 |
| PvsHbSuspendTimes | DWORD | 0 : predeterminado N : número | Cuando PvsDetectMode se establece en 3, este valor debe ser distinto de cero. Cuando Se establece PvsDetectMode 3 y PVS se detecta la conmutación por error mediante mensajes de latido, se retrasa TSA la volver a adjuntar driver durante TSA X segundos, donde X PvsHbInterval se multiplica por PvsHbSuspendTimes. Por ejemplo, X será 100 segundos cuando PvsHbInterval = 500 ms y PvsHbSuspendTimes = 200 Nota: Cuando PvsDetectMode se establece en 3 y PVS se detecta la conmutación por error mediante el método de detección de puertos de origen, a continuación, TSA retrasa la volver a adjuntar driver durante TSA 60 segundos, que está codificado de forma dura. Pero PVS la conmutación por error puede detectarse mediante mensajes de latido e intentar volver a conectar el controlador de inmediato, mientras espera TSA 60 segundos para el reasociamiento del controlador: en tal escenario, para distinguir el desencadenador de conmutación por error y evitar volver a conectar el controlador demasiado pronto, PvsHbSuspendTimes debe ser distinto de cero. |
| PvsHbFailureTimes | DWORD | N : número | Cuando PVS se utiliza la detección de conmutación por error mediante mensajes de latido perdidos (PvsDetectMode es 1 o 3), TSA separa el controlador cuando el número de mensajes de latido TSA perdidos alcanza el valor de PvsHbFailureTimes. El valor predeterminado es 4 |
| PvsFailoverPort | DWORD | N : número | Cuando PVS la detección de conmutación por error se realiza mediante puerto de origen, TSA busca sockets activos mediante este puerto de origen. El valor predeterminado es 6901. Este es el número de puerto utilizado por PVS Client Windows Server para comunicarse con streaming server durante la conmutación por PVS error. |
| PvsNumPattern | DWORD | N : número | Cuando TSA encuentra PvsFailoverPort en un socket activo, el valor de PvsNumPattern determina cuántos sockets de este tipo que usan PvsFailoverPort deben detectarse antes de declarar PVS el evento failover. Establecer este valor en 1 acelera la PVS detección de conmutación por error. El valor predeterminado es 2. |