ターミナル サーバー エージェント ( TSA ) Windows レジストリを使用した詳細構成
40001
Created On 01/26/21 16:05 PM - Last Modified 12/01/22 09:11 AM
Symptom
パロアルトターミナルサーバーエージェント ( TSA ) は ID 、ファイアウォール上のマッピングをアドレス指定するユーザーを識別することに関連する課題を解決するために、互換性のある Windows ターミナル サーバーにインストールされているユーザー ソフトウェア IP PAN です。 IPターミナル サーバー上のマッピングに対処するユーザーの課題は次のとおりです。
- 定義上、アドレス マッピングを行うユーザーは IP 特定のアドレスに配置された 1 人のユーザーを識別 IP し、仕様上、ターミナル サーバーは、任意の時点で複数のユーザーによって使用されます。 そのため、 firewall ターミナル サーバーを 1 人のユーザーに関連付けることができ IP なくなりました。
- ログオンしているすべてのユーザーが監視され、個々のユーザーに特定のポートのセットが割り当てられます - これはユーザーソースポート範囲と呼ばれます
- ポート firewall 5009 で接続を確立するように a が構成されている場合 TSA TCP 、 firewall ターミナル サーバー上のすべてのログオン ユーザーとユーザーの送信元ポート範囲について学習します。
- ユーザーがネットワーク トラフィックを開始すると、ユーザー アプリケーション TCP は、主にソースの組み合わせである /ソケットを作成する Windows カーネルを要求します IP - IP :ソース ポート + 宛先 - IP :Dのポート。 TaService は、 TAD このソケット作成に介入し、ユーザー送信元ポート範囲から送信元ポートを割り当てる のに協力します。
- ターミナル firewall サーバーからこのネットワーク トラフィックを受信すると、ユーザーの送信元ポートに基づいてユーザーを識別します。
Environment
Windows サーバー
の互換性マトリックスは、次のドキュメントhttps://docs.paloaltonetworks.com/compatibility-matrix/terminal-services-ts-agent/terminal-services-ts-agent-table.html
Cause
基本的な TSA 構成はほとんどの展開に対応しますが、ニーズや環境によっては、構成をカスタマイズする必要があります TSA 。 次に、でサポートされているすべての Windows レジストリ キーの一覧を示 TSA します。
注: TAC 追加の明確化が必要な場合は、ご相談ください。 Windows レジストリの変更を行う際には注意してください。
Resolution
| HKEY_LOCAL_MACHINE\ SOFTWARE \パロアルトネットワーク\ TS エージェント\Conf |
| レジストリキー | タイプ | 値 | 説明 |
|---|---|---|---|
| EnableTws | DWORD | 0 : 無効 (デフォルト) 1 : 有効 | これが有効な場合 TSA 、そのポートが Timed-Wait 状態にある場合、新しい接続用のポートを選択する必要がなくなります。 注: TSA このレジストリ キーを有効にするには、サービス (TaService) を再起動する必要があります。 |
| FreePortBlockDelay | DWORD | 0 : 無効 (デフォルト) N : 秒単位の値 - タイマーを有効にします | これが有効な場合、定期的なタイマーを持つ関数は TSA 、秒ごとに実行される内で開始されます N - この関数は、ユーザーの送信元ポート範囲ブロックをスキャンし、Timed-Wait-State でなくなったすべてのポートを解放します。 注 1: この機能は、EnableTws が有効になっている場合に有効です 注 2: 推奨値 N は、ポートに割り当てられた Timed-Wait-State タイマーを制御するレジストリ キーの値と同じです。 以下のTwsTimeoutを参照してください。 |
| TWS タイムアウト | DWORD | 0 : デフォルト N : 秒単位の値 | デフォルトで無効になっている場合、ポートに割り当てられた Timed-Wait-State タイムアウトは、デフォルトで 240 秒です。 TCP IP これは、システム全体の設定であるWindows / レジストリ設定を使用してカスタマイズすることができます: SYSTEM HKEY_LOCAL_MACHINE\\CurrentControlSet\サービス\Tcpip\パラメータ\TcpTimedWaitDelay 設定 N されている場合、 TSA この値を使用して、以前にソケットに割り当てられ、現在リリースされているポートにTimed-Wait-Stateタイムアウトを割り当てます TSA 。 TcpTimedWaitDelay と TwsTimeout の両方が定義されている場合は TSA 、2 つの最大値の値を使用します。 注: この機能は、EnableTws が有効になっている場合に有効です。 |
| HKEY_LOCAL_MACHINE\ SOFTWARE \パロアルトネットワーク\ TS エージェント\ログ |
| レジストリキー | タイプ | 値 | 説明 |
|---|---|---|---|
| ドログログを無視する | DWORD | 0 : 無効 (デフォルト) 1 : 有効 | これが有効な場合、 TSA ドライバ ( TAD ) ログは TSA ログ ファイル、つまりデバッグ.logに書き込まれません。 ドライバログは、"Drv"で始まるログ行であり、詳細レベルのログであり、デバッグ.logファイルがいっぱいになり、ドライバに関連しないログを取得することが困難になる可能性があります。 によって助言されない限り、この機能を有効にする必要はありません TAC 。 |
| ログパス | 文字列 | フォルダーへの Windows ファイル システム パス | これは、デバッグ.logログファイルを別のディレクトリに書き込むために使用できます。 既定のフォルダ: TSA インストール ディレクトリ C :\プログラム ファイル\パロ アルト ネットワーク\ターミナル サーバー エージェント |
| HKEY_LOCAL_MACHINE\ SOFTWARE \パロアルトネットワーク\ TS エージェント\Adv |
| レジストリキー | タイプ | 値 | 説明 |
|---|---|---|---|
| オナース・セルポート・リクエスト | DWORD | 0 : デフォルト 1 2 | ユーザー アプリケーションがソケットを作成しようとするとき、 TSA 接続の送信元ポートを気にします。 そして、3つの可能性があります: a. アプリケーションは、ソケットに割り当てられる特定の送信元ポートを要求する場合があり、この送信元ポートは 、設定されたユーザ送信元ポート範囲 b 内にある可能性があります。 アプリケーションは、ソケットに割り当てられる特定の送信元ポートを要求する可能性があり、この送信元ポートは、構成されたユーザー送信元ポート範囲の外に配置できます。 C。 アプリケーションは NOT 、ソケットに割り当てられる特定の送信元ポートを要求し、システム (つまり TSA ) にソケットのソースポートを割り当てさせる可能性があります - HonorSrcPortRequest が 0 (デフォルト) に設定されている場合、 TSA 上記のすべてを無視し、ユーザーのポート範囲から送信元ポートを割り当てます。 - HonorSrcPortRequest が 1 に設定されている場合 TSA 、シナリオ (a) でアプリケーションによって行われた送信元ポート要求を受け入れられます。 アプリケーションによって要求された送信元ポートが、構成されたユーザ 送信元ポート範囲 内にある場合。 - HonorSrcPortRequest が 2 に設定されている場合 TSA 、シナリオ (a) でアプリケーションによる送信元ポート要求を受け入れ、(b) つまり TSA 、アプリケーションによって行われたすべての明示的な送信元ポート要求を受け入れられます。 |
| モニター間隔 | DWORD | 1440000 : デフォルト N : 分単位の値 | TSA ユーザーログアウト イベントを定期的に監視するように構成できます。 この値を 1 に設定すると、ログオフ TSA したユーザーの監視対象ユーザー一覧が 1 分ごとにチェックされます。 |
| ディレイスタート | DWORD | 0 : デフォルト N : 秒単位の値 | Windows Server が起動すると、 TSA TSA 構成された秒数のドライバー ( TAD ) のアクティブ化を遅延できます。 これは、ウイルス対策ソフトウェアとの競合を回避するために使用することができます - これは、このような競合にフラグを立てる特定のウイルス対策ベンダーについて議論する必要があります。 |
| シャットダウンを遅らせる | DWORD | N : 秒単位の値 | Windows Server がシャットダウンまたは再起動されると、 TSA 構成された秒数のシャットダウン操作が遅れる可能性があります。 この値が有効になっている場合、Windows ではシャットダウン操作の遅延が 15 秒を超えないため、15 秒を超える値はデフォルトで 15 秒になります。 デフォルトでは、 TSA シャットダウンは 3 秒遅れます。 |
| デタッチフィルターを有効にします。 | DWORD | 0 : デフォルト 1 | この設定は、Citrix環境で有効にすることをお勧めします PVS 。 これが有効な場合、 TS- エージェントは PVS- 特定の機能セットをアクティブ化します (以下の関連するレジストリ キーを参照してください) シャットダウンまたはフェールオーバー後の応答なしの Windows Server などの問題を回避 PVS します。 |
| 間隔 | DWORD | N : ミリ秒単位の値 | これは、フェールオーバー イベントを検出するために使用 PVS されます。 この値はデフォルトで 500 ミリ秒に設定されます。 この値は、ハートビート メッセージを TSA Driver に送信する間隔を定義 TSA します。 間隔を短くし、フェイルオーバー検出を高速化します。 |
| 検出モード | DWORD | 1 : デフォルト 2 3 | この値は PVS 、Windows カーネルでハートビート メッセージを送信する TSA ( 既定) の .1 - ハートビート検出のフェールオーバー検出メカニズム TSA を指定 TAD します。 2 - ソースポート検出 - TSA PVS PVS フェールオーバーポートがアクティブソケット3で使用されているかどうかを確認して、フェイルオーバーが開始されたかどうかの検出を試みます 3 - 1 と 2 のハイブリッド |
| 中断時間 | DWORD | 0 : デフォルト N : 数値 | PvsDetectMode が 3 に設定されている場合、この値は 0 以外でなければなりません。 PvsDetectMode が 3 に設定され、 PVS ハートビート メッセージを使用してフェールオーバーが検出されると、 TSA TSA 再アタッチされたドライバーが数秒間遅延します X X 。 たとえば X 、PvsHbInterval = 500 ミリ秒、PvsHbSuspendTimes = 200 注: PvsDetectMode が 3 に設定されている場合、 PVS ソース ポート検出方法を使用してフェールオーバーが検出された場合 TSA TSA 、再アタッチを 60 秒間遅延します。 しかし、 PVS フェールオーバーはハートビート メッセージを使用して検出され、ドライバーの再アタッチを 60 秒間待機している間に、すぐにドライバーを再接続しようとする可能性 TSA があります- このようなシナリオでは、フェールオーバー トリガーを区別し、ドライバーの再接続を早すぎることを避けるために、PvsHbSuspendTimes はゼロ以外である必要があります。 |
| 失敗時間 | DWORD | N : 数値 | PVS失われたハートビート メッセージを使用したフェールオーバー検出が使用されている場合 (PvsDetectMode は 1 または 3 のいずれか)、 TSA TSA 失われたハートビート メッセージの数が PvsHbFailureTimes の値に達すると、ドライバーをデタッチします。 デフォルト値は 4 です |
| ポート | DWORD | N : 数値 | PVSフェールオーバー検出がソース ポートを使用して実行される場合、 TSA このソース ポートを使用してアクティブ なソケットを探します。 デフォルト値は 6901 です。 これは、 PVS フェールオーバー中にストリーミング サーバーと通信するためにクライアント Windows サーバーによって使用されるポート番号 PVS です。 |
| パターン | DWORD | N : 数値 | TSAアクティブなソケットで PvsFailoverPort を検出すると、PvsNumPattern の値によって、フェールオーバー イベントを宣言する前に、PvsFailoverPort を使用して検出するソケットの数が決まります PVS 。 この値を 1 に設定すると、フェイルオーバー検出が高速化されます PVS 。 デフォルト値は 2 です。 |