Agent serveur terminal ( TSA ) Configuration avancée à l’aide du registre Windows
40039
Created On 01/26/21 16:05 PM - Last Modified 12/01/22 09:11 AM
Symptom
Palo Alto Terminal Server Agent ( TSA ) est un logiciel utilisateur installé sur les serveurs ID compatibles windows terminal pour résoudre un défi associé à l’identification de l’utilisateur pour IP traiter la cartographie sur les PAN pare-feu. Le défi avec l’utilisateur IP d’aborder la cartographie sur les serveurs terminaux est le suivant :
- Par définition, la cartographie IP d’adresse de l’utilisateur identifie un utilisateur situé à une IP adresse spécifique; et par conception, les serveurs terminaux sont utilisés par plusieurs utilisateurs à un moment donné. Par conséquent, firewall le ne peut plus associer le serveur terminal avec un seul IP utilisateur.
- Tous les utilisateurs connectés sont surveillés et les utilisateurs individuels sont affectés à un ensemble spécifique de ports - C’est ce qu’on appelle user source-port range
- firewallLorsqu’un utilisateur est configuré pour établir une connexion TSA avec le port TCP 5009, il en apprend davantage sur chaque utilisateur connecté firewall sur le serveur terminal et sa plage source utilisateur-port
- Lorsqu’un utilisateur lance un trafic réseau, l’application utilisateur demande au Noyau Windows de créer TCP une IP /prise, qui est principalement une combinaison source- IP :Source-Port + Destination- IP :D estination-Port. TaService collabore avec pour TAD intervenir dans cette création de prise et allouer le Source-Port à partir de la gamme Source-Port utilisateur.
- Lorsque firewall l’utilisateur reçoit ce trafic réseau du serveur terminal, il identifie l’utilisateur en fonction de la source-port de l’utilisateur
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFdCAK
Environment
La matrice
de compatibilité des serveurs Windows se trouve dans le document suivant :
https://docs.paloaltonetworks.com/compatibility-matrix/terminal-services-ts-agent/terminal-services-ts-agent-table.html
Cause
La TSA configuration de base répond à la plupart des déploiements, cependant, selon les besoins et l’environnement, nous pouvons avoir besoin de personnaliser la TSA configuration. Ce qui suit est une liste exhaustive de toutes les clés du registre Windows pris en charge par TSA .
Remarque : Veuillez consulter si TAC des éclaircissements supplémentaires sont nécessaires. Faites preuve de prudence lorsque vous effectuez des modifications au registre Windows.
Resolution
| HKEY_LOCAL_MACHINE\ SOFTWARE \Palo Alto Networks\ TS Agent\Conf |
| Clé de Registre | Type de | Valeur | Description |
|---|---|---|---|
| EnableTws | DWORD | 0 : désactiver (par défaut) 1 : activer | Lorsque cela est activé, TSA évitera de choisir un port pour une nouvelle connexion, si ce port est dans timed-wait-state. Remarque : TSA Le service (TaService) doit être redémarré pour que cette clé de registre prenne effet. |
| FreePortBlockDelay | DWORD | 0 : désactiver (par défaut) N : valeur en secondes - Permet la infaillible | Lorsque cela est activé, une fonction avec la inrévisurable périodique est démarré dans qui TSA s’exécute toutes les secondes - Cette fonction N scanne les blocs source utilisateur-plage de port et libérer tous les ports qui ne sont plus dans timed-wait-state. Note 1 : Cette fonctionnalité est efficace si EnableTws est activé Note 2 : la valeur recommandée est la même que celle de la clé de registre qui contrôle la mise à jour N timed-wait-state attribuée à un port. Voir TwsTimeout ci-dessous. |
| TwsTimeout (TwsTimeout) | DWORD | 0 : par défaut N : valeur en secondes | Lorsque cela est désactivé par défaut, timed-wait-state timeout attribué à un port est de 240 secondes par défaut. Il peut être personnalisé en utilisant le paramètre Windows TCP / IP registre, qui est un paramètre à l’échelle du système: HKEY_LOCAL_MACHINE\ SYSTEM \CurrentControlSet\Services\Tcpip\Parameters\TcpTimedWaitDelay Quand est défini, utilise cette valeur pour attribuer N TSA timed-wait-state timeout à un port, qui a été précédemment attribué à une prise par TSA et est maintenant libéré. Lorsque TcpTimedWaitDelay et TwsTimeout sont définis, TSA utilise alors la valeur qui est le maximum des deux. Remarque : Cette fonctionnalité est efficace si EnableTws est activé |
| HKEY_LOCAL_MACHINE\ SOFTWARE \Palo Alto Networks\ TS Agent\Log |
| Clé de Registre | Type de | Valeur | Description |
|---|---|---|---|
| IgnorerDrvLog | DWORD | 0 : désactiver (par défaut) 1 : activer | Lorsque cela est activé, les TSA journaux driver TAD () ne sont pas écrits dans TSA le fichier Journal, c’est-à-dire .log. Les journaux de pilote, les lignes de journal qui commencent par « Drv », sont des journaux de niveau verbeux, qui peuvent remplir le fichier debug.log et rendre difficile d’attraper les journaux non liés au pilote. Cela n’a pas besoin d’être activé, sauf avis de TAC . |
| LogPath (logpath) | String | Chemin du système de fichiers Windows vers un dossier | Cela peut être utilisé pour écrire le fichier journal c’est-à-dire .log dans un répertoire différent. Dossier par défaut: TSA Annuaire d’installation C à :\Program Files\Palo Alto Networks\Terminal Server Agent |
| HKEY_LOCAL_MACHINE\ SOFTWARE \Palo Alto Networks\ TS Agent\Adv |
| Clé de Registre | Type de | Valeur | Description |
|---|---|---|---|
| HonorSrcPortRequest | DWORD | 0 : par défaut 1 2 | Lorsqu’une application Utilisateur tente de créer une prise, TSA elle se soucie du source-port de la connexion. Et il ya 3 possibilités: a. L’application peut demander qu’un port source spécifique soit attribué à la prise et ce port source peut se trouver dans la plage source-port utilisateur configurée b. L’application peut demander qu’un port source spécifique soit attribué à la prise et ce port source peut se trouver en dehors de la plage source-port utilisateur configurée. C. NOTL’application peut demander qu’un port source spécifique soit attribué à la prise et laisser le système (c’est-à-dire) TSA allouer un port source pour la prise - Lorsque HonorSrcPortRequest est défini à 0, ce qui est par défaut, ignorera tout ce qui précède et attribuera un port source à partir de la TSA plage de port de l’utilisateur. - Lorsque HonorSrcPortRequest est défini à 1, TSA honorera la demande source-port faite par l’application dans scénario (a) c’est-à-dire Lorsque le port source demandé par l’application se trouve dans la plage source utilisateur-port configurée. - Lorsque HonorSrcPortRequest est défini à 2, TSA honorera la demande source-port par l’application dans scénario (a) et b) c’est-à-dire TSA honorera chaque demande explicite source-port faite par la demande. |
| MonitorInterval | DWORD | 1440000 : par défaut N : valeur en minutes | TSA peuvent être configurés pour surveiller périodiquement les événements utilisateur-logout. La fixation de cette valeur à 1 permettrait de TSA vérifier sa liste d’utilisateurs surveillés pour les utilisateurs déconnectés chaque minute. |
| DelayStart | DWORD | 0 : par défaut N : valeur en secondes | Lorsque Windows Server démarre, peut TSA retarder TSA l’activation du pilote TAD () pour le nombre configuré de secondes. Cela peut être utilisé pour éviter tout conflit avec les logiciels antivirus - Cela devrait être discuté spécifiques fournisseurs anti-virus qui signalnt de tels conflits. |
| DelayAtShutdown | DWORD | N : valeur en secondes | Lorsque Windows Server est arrêté ou redémarré, peut TSA retarder l’opération d’arrêt pour le nombre configuré de secondes. Lorsque cette valeur est activée, toute valeur de plus de 15 par défaut à 15 secondes puisque Windows ne permet pas de retarder l’opération d’arrêt de plus de 15 secondes. Par défaut, TSA retarde l’arrêt de 3 secondes. |
| ActiverDetachFilter | DWORD | 0 : par défaut 1 | Ce paramètre est recommandé pour être activé dans Citrix PVS Environment. Lorsque cela est activé, TS- Agent active un ensemble de PVS- fonctionnalités spécifiques (voir les clés de registre ci-dessous) pour éviter des problèmes tels que Windows Server non réactif après PVS l’arrêt ou l’échec |
| PvsHbInterval | DWORD | N : valeur en millisecondes | Ceci est utilisé pour détecter les PVS événements Failover. Et cette valeur est par défaut définie à 500 ms. Cette valeur définit l’intervalle auquel il faut envoyer TSA des messages de battements de cœur TSA au pilote. Raccourcir l’intervalle, plus rapide la détection failover. |
| PvsDetectMode | DWORD | 1 : par défaut 2 3 | Cette valeur dicte le PVS mécanisme de détection Failover dans . TSA 1 - détection des battements de cœur (par défaut) - TSA envoie des messages de TAD battements de cœur dans Windows Kernel. 2 - détection source-port - TSA tente de détecter si PVS Failover a été initié en vérifiant PVS si le port failover est utilisé dans une prise active 3 - hybride de 1 et 2 |
| PvsHbSuspendTimes PvsHbSuspendTimes | DWORD | 0 : par défaut N : nombre | Lorsque PvsDetectMode est défini à 3, cette valeur doit être non-zéro. Lorsque PvsDetectMode est défini 3, et PVS failover est détecté à l’aide de messages TSA cardiaques, puis retarde la ré-fixation TSA du pilote pendant quelques X secondes, X où est PvsHbInterval multiplié par PvsHbSuspendTimes. Par exemple, X sera de 100 secondes lorsque PvsHbInterval = 500 ms et PvsHbSuspendTimes = 200 Note: Lorsque PvsDetectMode est réglé à 3, et failover est détecté en utilisant PVS la méthode de détection source-port, TSA puis retarde la ré-fixation TSA du pilote pendant 60 secondes, qui est codée en dur. Mais PVS failover pourrait être détecté à l’aide de messages cardiaques et tenter de rattacher le pilote tout de suite, en TSA attendant 60 secondes pour le retour du conducteur - Dans un tel scénario, pour distinguer la gâchette failover et d’éviter de rattacher le pilote trop tôt, PvsHbSuspendTimes devrait être non-zéro. |
| PvsHbFailureTimes | DWORD | N : numéro | Lorsque PVS la détection Failover à l’aide de messages de battements de cœur perdus est utilisée (PvsDetectMode est soit 1 ou 3), TSA détache le pilote lorsque le nombre de messages de battements de cœur perdus atteignent la valeur de TSA PvsHbFailureTimes. La valeur par défaut est de 4 |
| PvsFailoverPort (en) | DWORD | N : numéro | Lorsque PVS la détection Failover est effectuée à l’aide du port source, TSA recherche des prises actives à l’aide de ce port source. La valeur par défaut est de 6901. Il s’agit du numéro de port PVS utilisé par Client Windows Server pour communiquer avec Streaming Server pendant PVS Failover. |
| PvsNumPattern | DWORD | N : numéro | Lorsque TSA trouve PvsFailoverPort dans une prise active, la valeur de PvsNumPattern dicte combien de ces prises utilisant PvsFailoverPort doivent être détectées avant de déclarer PVS l’événement Failover. Définir cette valeur à 1 accélère la PVS détection des échecs. La valeur par défaut est de 2. |