ターミナル サーバー エージェントのインストールと設定方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

How to Install and Configure Terminal Server Agent

https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Install-and-Configure-Terminal-Se...

 

 

概要

ターミナル サーバー (TS) エージェントをインストールする前に、以下の要件を満たしていることを確認します:

  • インストールするターミナル サーバー (TS) エージェントのバージョンの Release Notes に記載されている要件を確認します。
  • ターミナル サーバーの管理者が、TS エージェントをインストールする必要があります。TSエージェントは、他のリモート ユーザーによって操作されないように、管理者によってのみ起動するように設定する必要があります。
  • TS エージェンのために、必要なドライバーをインストールします。インストールには管理者権限が必要です。
  • TS エージェントがインストールされるコンピューターでは、Windowsファイアウォールを無効にする必要があります。

 

手順

  1. インストール
    • インストールされるTS エージェントは、オペレーティング システムと互換性があるかどうかを最初に確認します。オペレーティング システムに互換性がない場合、下記のようなエラー メッセージが表示されます:
      ss1.gif
    • TS エージェントのインストール フォルダを指定します。
      ss2.gif
    • 新規インストールのために、管理者はシステムを再起動する必要はありません。ただし再起動しない場合は、TS エージェントはインストール後に新たに生成されるTCP/UDP のトラフィックだけを識別することができます。インストール前に生成された TCP/UDP トラフィックについては、Palo Alto Networks TS エージェントはユーザーを識別することができません。
  2. ターミナル サーバー上の TS エージェントの設定
    • メイン パネル
      TS エージェント コントローラーは、TS エージェントの設定と状態を確認するためのアプリケーションです。
      ss3.gif
      メイン パネルには、TS エージェントに接続している各 PAN デバイスを確認できる "Connection List" と "Device Access Control List" が表示されます。初期状態では、"Device Access Control List" は無効になっています。このオプションを有効にすることで、TS エージェントに接続を許可する PAN デバイスを指定することができます。TS エージェントは、許可リスト内のデバイスからの接続のみを許可します。
    • 設定パネル
      ss4.gif
      • Listening Port: TS エージェントが Palo Alto Networks のデバイスと通信するポート
      • Source port allocation range: ユーザーが利用できる "source ports" の範囲
      • Reserved Source Ports: ターミナル サーバー上で実行されている他のサービスが通信するために、"source port" の範囲から除外する必要のあるポート
      • Port Allocation Start Size Per User: 新しいユーザーに割り当てられる最小ポート
      • Port allocation Maximum Size Per User: 新しいユーザーに割り当てられる最大ポート
      • Fail port binding when available ports are used up: ポート割り当て重複の防止
    • モニター パネル
      ss5.gif
      ナビゲーション ウィンドウのモニターでは、すべての現在のユーザーとポート割り当てを表示しています。"Ports Count" は、このユーザーが現在使用しているポートの数を表しています。"Ports Count" は、"Refresh Ports Count" をクリックすることで更新することができます。また、"Refresh Interval" のチェックボックスを選択することで、更新間隔を設定することもできます。
  3. Palo Alto Networks デバイス上の TS エージェントの設定
    ts_agent.JPG.jpg
    • Palo Alto Networks デバイスには、以下の情報を設定する必要があります:
      • ホスト: TS エージェントがインストールされているサーバーの IP アドレス
      • ポート: TS サーバー上で設定した "Listening Port" のポート番号
      • IPリスト (任意): ターミナル サーバーが複数の送信元 IP アドレス (最大8個) を持っている場合の、ターミナル サーバーの送信元 IP リスト
    • ファイアウォール上での変更を、コミットをクリックして反映させます。
  4. トラブルシューティング時のヒント
    TS エージェントは、トラブルシューティングにとても役に立つログ ファイルを保持しています。TS エージェントに問題が起きた場合、ログ ファイルを収集し TAC サポート チームに送付します。ログ ファイルは、TS エージェントから、[ File ] > [ Show Logs ] と辿ることで見ることができます。
    2015-05-11 08_13_58-PAN Terminal Server Agent install steps (1).pdf - Adobe Reader.jpg
    • エージェントの詳細な情報を有効にするには、[ File ] > [ Debug ] 内で "Verbose" を選択します。この操作により、より詳細なメッセージがログに表示されます。

 

有益なCLIコマンド

ターミナル サーバー エージェントを設定する:

# set ts-agent <name> <options>

where <options> include 

ip-address   terminal server agent ip address

port         terminal server agent listening port

ip-list      terminal server alternative ip list

 

ターミナル サーバー エージェントの状態を表示する:

> show user ts-agent statistics

IP Address Port Vsys State Users

-------------------------------------------------------------

10.1.200.1  5009 vsys1 connected 8

10.16.3.249 5009 vsys1 connected 10

 

> show user ip-port-user-mapping all

User IP-Address Vsys Port-Range

----------------------------------------------------------------------------

test1 10.1.200.1  vsys1 20000-20500

test2 10.1.200.1  vsys1 20500-21000

                        21500-22000

test3 10.1.200.1  vsys1 21000-21500

 

TS エージェントは、特定のドメイン ユーザーのグループ情報を得るために、Palo Alto Networks User-ID エージェント、あるいはグループ マッピング データを調べる必要がある場合があります。

 

その他のCLIコマンド

User-ID エージェントの "enable-user-identification" と "User Identification ACL" 設定コマンドは、TS エージェントに対しても適用されます。これは、User-ID の機能が有効である場合、User-ID エージェントと TS エージェントの機能が、どちらも有効になることを意味します。

 

 

著者:panagent