终端服务器代理 ( TSA ) 使用 Windows 注册表的高级配置
40029
Created On 01/26/21 16:05 PM - Last Modified 12/01/22 09:11 AM
Symptom
Palo Alto 终端服务器代理 TSA () 是 ID 安装在兼容的 Windows 终端服务器上的用户软件,旨在解决与识别用户 IP 以解决 PAN 防火墙上的映射相关的难题。 用户 IP 解决终端服务器映射的挑战如下:
- 根据定义, IP 用于映射的用户可识别位于特定地址的一个用户 IP ;根据设计,终端服务器在任何给定时刻都由多个用户使用。 因此, firewall 无法将终端服务器 IP 与一个用户关联。
- 监视所有登录用户,并分配单个用户与一组特定的端口 - 这称为 用户源端口范围
- 当配置为 firewall 与 TSA TCP 端口 5009 建立连接时, firewall 了解终端服务器上的每位登录用户以及他/她的用户源端口范围
- 当用户启动任何网络流量时,用户应用程序请求 Windows 内核创建 TCP / IP 插座,这主要是源 IP -:源端口 +目的地 IP -:D估计端口的组合。 TaService 与该公司合作 TAD ,介入此插座的创建,并从 用户源端口范围分配源端口。
- 当 firewall 从终端服务器接收此网络流量时,它会根据用户的源端口识别用户
:https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFdCAK
Environment
Windows 服务器
兼容性矩阵可在以下文档中找到
:https://docs.paloaltonetworks.com/compatibility-matrix/terminal-services-ts-agent/terminal-services-ts-agent-table.html
Cause
基本 TSA 配置可满足大多数部署,但是,根据需求和环境,我们可能需要自定义 TSA 配置。 以下是所有 Windows 注册表密钥支持的详尽列表 TSA 。
注意: TAC 如果需要进一步澄清,请咨询。 执行 Windows 注册表修改时要小心。
Resolution
| SOFTWAREHKEY_LOCAL_MACHINE\\帕洛阿尔托网络\ TS 代理\康菲 |
| 注册表项 | 类型 | 价值 | 描述 |
|---|---|---|---|
| EnableTws | DWORD | 0 : 禁用(默认) 1 : 启用 | 启用此功能后, TSA 如果该端口处于"时间等待状态",则将避免为新连接选择端口。 注意: TSA 必须重新启动服务(TaService),才能使此注册表密钥生效。 |
| FreePortBlockDelay | DWORD | 0: 禁用(默认值): N 在几秒钟内值 - 启用分时器 | 启用此功能后,将启动具有周期性计时器的函数 TSA ,该函数运行每 N 秒 - 此功能扫描用户源端口范围块,并释放所有不再处于定时等待状态的端口。 注1:如果启用了启用Tws,此功能是有效的 注2:推荐值与 N 控制分配给端口的"时间等待状态"时间管理器的注册表密钥的值相同。 请参阅下面的 Tws 超时。 |
| Tws 超时 | DWORD | 0 : 默认 N 值:秒内值 | 默认情况下禁用此选项时,分配给端口的"时间-等待状态"超时默认为 240 秒。 它可以使用 Windows TCP / IP 注册表设置进行自定义,该设置是一个全系统的设置 :HKEY_LOCAL_MACHINE\[ SYSTEM 当前控制集]服务\Tcpp\参数\TcpTimedWaitDelay N 设置时, TSA 使用此值将定时等待状态超时分配到端口,该端口以前分配到插座上 TSA ,现在正在发布。 当 TcptimedWaitDelay 和 TwsTimeout 都被定义时, 然后 TSA 使用两者的最大值。 注意:如果启用启用Tws,此功能将有效 |
| SOFTWAREHKEY_LOCAL_MACHINE\\帕洛阿尔托网络\ TS 代理\日志 |
| 注册表项 | 类型 | 价值 | 描述 |
|---|---|---|---|
| 忽略Drvlog | DWORD | 0 : 禁用(默认) 1 : 启用 | 启用此功能后, TSA 驱动程序 TAD () 日志不会写入 TSA 日志文件,即.log。 驱动程序日志(以"Drv"为起点的日志行)是详细级别日志.log可能会填满调试文件,并难以捕获与驱动程序无关的日志。 除非有建议,否则无需启用此功能 TAC 。 |
| 日志路径 | 字符串 | 到文件夹的 Windows 文件系统路径 | 这可用于将日志文件(即调试.log到不同的目录中。 默认文件夹: TSA 安装目录 C :[程序文件]帕洛阿尔托网络-终端服务器代理 |
| SOFTWAREHKEY_LOCAL_MACHINE\[帕洛阿尔托网络] TS 代理 |
| 注册表项 | 类型 | 价值 | 描述 |
|---|---|---|---|
| 荣誉体育请求 | DWORD | 0 : 默认 1 2 | 当用户应用程序尝试创建插座时, TSA 注意连接的源端口。 有3种可能性 :a. 申请可以要求将特定源端口分配给插座,此源端口可能 位于配置的用户源端口范围 b 内。 申请可能会要求将特定源端口分配给插座,此源端口可能位于配置的用户源端口范围之外。 C。 申请可以 NOT 要求将特定的源端口分配到插座,并让系统(即 TSA )为插座分配源端口 - 当 HonorSrcPortRequest 设置为 0(默认值)时, TSA 将忽略上述所有内容,并从用户的端口范围分配源端口。 - 当荣誉请求设置为 1 时, TSA 将尊重在情景 (a) 中应用提出的源端口请求,即 当应用程序请求的源端口位于配置的用户源端口范围内时。 - 当 HonorSrcPort 请求设置为 2 时, TSA 将在情景 (a) 和 (b) 中通过应用程序履行 TSA 源端口请求,即将尊重应用程序提出的每一个明确的源端口请求。 |
| 监视器Interval | DWORD | 1440000 :默认 N 值:几分钟内值 | TSA 可配置为定期监控用户注销事件。 将此值设置为 1 将导致 TSA 每分钟检查其监视用户列表以注销用户。 |
| 延迟启动 | DWORD | 0 : 默认 N 值:秒内值 | 当 Windows 服务器启动时, TSA 可以延迟 TSA 驱动程序激活 TAD 的配置秒数。 这可用于避免与防病毒软件的任何冲突 - 这应该讨论标记此类冲突的特定防病毒供应商。 |
| 延迟下撤 | DWORD | N :在几秒钟内值 | 当 Windows 服务器关闭或重新启动时, TSA 可能会延迟配置的秒数的关机操作。 启用此值时,任何超过 15 的值均默认为 15 秒,因为 Windows 不允许将关机操作延迟超过 15 秒。 默认情况下, TSA 将关闭延迟 3 秒。 |
| 启用德塔赫过滤器 | DWORD | 0:默认 值1 | 建议在 Citrix 环境中启用此设置 PVS 。 启用此功能后 TS- ,Agent 会激活 PVS- 特定的功能集(请参阅下面的相关注册表键),以避免在 PVS 关闭或故障转移后出现非响应性 Windows 服务器等问题 |
| 普夫什布国际 | DWORD | N :以毫秒为值 | 这用于检测 PVS 故障转移事件。 默认情况下,此值设置为 500 毫秒。 此值定义了 TSA 向驱动程序发送心跳消息的间隔 TSA 。 缩短间隔,加快故障转移检测。 |
| 普夫斯德特莫德 | DWORD | 1:默认 2 3 | 此值指示在 PVS TSA 。 1 - 心跳检测 (默认值) 中故障转移检测机制 - TSA 向 Windows TAD 内核发送心跳消息。 2 - 源端口检测 - TSA 尝试 PVS 通过检查 PVS 故障转移端口是否用于活动插座 3 - 1 和 2 的混合体来检测故障转移是否已启动 |
| 普夫什布暂停时间 | DWORD | 0:默认 N 值:数字 | 当 PvsDetectMode 设置为 3 时,此值必须为非零。 当 PvsDetectMode 设置为 3,并且 PVS 使用心跳消息检测到故障转移时,则 TSA 延迟重新附加 TSA 驱动程序 X 几秒钟 X ,PvsHb 交行乘以 PvsHb 暂停时间。 例如, X 当 PvsHbInterval = 500 毫秒和 PvsHb 暂停时间 = 200 注:当 PvsDetectMode 设置为 3 时, PVS 并且使用源端口检测方法检测到故障转移,然后 TSA 延迟重新连接 TSA 驱动程序 60 秒,这是硬编码的。 但是 PVS ,可能会使用心跳消息检测故障转移,并尝试立即重新连接驱动程序,同时等待 TSA 60 秒的驱动程序重新连接 - 在这种情况下,为了区分故障转移触发器并避免过早重新连接驱动程序,PvsHb 暂停时间应该是非零。 |
| 普夫什布费勒时间 | DWORD | N :数字 | 当 PVS 使用丢失的心跳消息进行故障转移检测(PvsDetectMode 为 1 或 3) TSA TSA 时,当丢失的心跳消息数量达到 PvsHb 失败时间值时,分离驱动程序。 默认值为 4 |
| 普夫斯费洛弗港 | DWORD | N :数字 | PVS使用源端口执行故障转移检测时, TSA 使用此源端口查找活动插座。 默认值为 6901。 这是 PVS 客户端视窗服务器 PVS 在故障转移期间用于与流式处理服务器通信的端口号。 |
| 普夫斯努姆帕特伦 | DWORD | N :数字 | 当 TSA 在活动插座中发现 PvsFailoverPort 时,PvsNumPattern 的值在宣布故障转移事件之前,会指示在使用 PvsFailoverport 检测到多少个此类插座 PVS 。 将此值设置为 1 会加速 PVS 故障转移检测。 默认值为 2。 |