Installer et configurer l’ASA de l'Agent TS

Installer ou mettre à niveau l'Agent TS

Avant de commencer

Procédure

Étape 1

Connectez-vous à votre serveur en tant qu’utilisateur avec des privilèges d’administrateur.

Étape 2

Téléchargez le paquet de l'Agent TS à partir du site d’assistance : TSAgent-1.2.0.exe.

Remarque

 

Téléchargez la mise à jour directement à partir du site. Si vous transférez le fichier par courriel, il pourrait être corrompu.

Étape 3

Faites un clic droit sur TSAgent-1.2.0.exe, puis choisissez Run as Administrator (Exécuter en tant qu’administrateur).

Étape 4

Cliquez sur Install (Installer) et suivez les invites pour installer ou mettre à niveau l'Agent TS.

Vous devez redémarrer l’ordinateur avant de pouvoir utiliser l'Agent TS.

Prochaine étape


Remarque

Si le programme d’installation de l'Agent TS signale que le cadre .NET a échoué, exécutez la mise à jour de Windows et réessayez d’installer de l'Agent TS.

Démarrer l’interface de configuration de l'Agent TS

cite

S’il y a un raccourci Agent TS sur votre bureau, doublez cliquez sur celui-ci. Sinon, utilisez la procédure suivante pour lancer l’interface de configuration de l'Agent TS.

Procédure

Étape 1

Connectez-vous à votre serveur en tant qu’utilisateur avec des privilèges d’administrateur.

Étape 2

Ouvrez C:\Program Files (x86)\Cisco\Terminal Services Agent.

Étape 3

Affichez les fichiers de programme pour l'Agent TS.

Remarque

 

Les fichiers de programme sont en affichage seulement. Ne supprimez pas, ne déplacez pas et ne modifiez pas ces fichiers.

Étape 4

Double-cliquez sur le fichier TSAgentApp pour lancer l'Agent TS.

Configurer l'Agent TS

Utilisez l’interface Agent TS pour configurer l'Agent TS. Vous devez enregistrer vos modifications et redémarrer le serveur pour que vos modifications prennent effet.

Avant de commencer

  • Si vous vous connectez au système, configurez et activez un ou plusieurs domaines Active Directory ciblant les utilisateurs que votre serveur surveille, comme décrit dans le Guide de configuration de Cisco Secure Firewall Management Center.

  • Si vous vous connectez au système, configurez un compte d’utilisateur avec des privilèges REST VDI.

    Vous devez créer le rôle REST VDI dans le FMC, comme indiqué dans Création du rôle VDI REST.

  • Si vous êtes déjà connecté au système et que vous mettez à jour votre configuration Agent TS pour vous connecter à un autre FMC, vous devez mettre fin à toutes les sessions utilisateur en cours avant d’enregistrer la nouvelle configuration. Pour en savoir plus, consultez Mettre fin à une session d’utilisateur en cours .

  • Vous devez synchroniser l’heure sur votre serveur avec l’heure affichée sur l'Agent TS.

  • Passez en revue et comprenez les champs de configuration, comme décrit dans Champs de configuration de l'Agent TS.

Procédure

Étape 1

Sur le serveur où vous avez installé l'Agent TS, démarrez l'Agent TS comme décrit dans Démarrer l’interface de configuration de l'Agent TS.

Étape 2

Cliquez sur Configure (configurer).

Étape 3

Accédez à la section des paramètres généraux de la page de l’onglet.

Étape 4

Entrez une valeur pour Max User Sessions (Nombre maximal de sessions d’utilisateurs).

Étape 5

Choisissez la carte réseau du serveur à utiliser pour la traduction de ports et les communications.

Si l’adresse IP du serveur change ultérieurement, vous êtes invité à enregistrer la configuration et à redémarrer le serveur pour que la modification entre en vigueur.

Étape 6

Entrez les valeurs System Ports (Ports système) et User Ports (Ports utilisateur). Dans une configuration valide, les plages de ports système et d’utilisateur ne se chevauchent pas.

Étape 7

Saisissez les valeurs (Exclure port[s]) Reserve Port(s) (Réserver port[s]) sous la forme d’une liste séparée par des virgules.

Les champs (Exclure port[s]) Reserve port(s) (Réserver port[s]) sont automatiquement remplis avec les valeurs attendues pour les ports du client Citrix MA (2598), du et du serveur de terminaux Windows (3389). Vous devez exclure les ports du client Citrix MA et du serveur de terminaux Windows.

Étape 8

Accédez à la section des paramètres de connexion de l’API REST de l’onglet.

Étape 9

Saisissez les valeurs de Hostname/IP Address (Nom d’hôte/Adresse IP) et Port

Le FMC requiert le Port 443.

Étape 10

Entrez le nom d’utilisateur et le mot de passe.

Étape 11

Répétez les étapes 9 et 10 de la deuxième ligne de champs pour configurer une connexion de secours (basculement).

Étape 12

Cliquez sur Test (Tester) pour tester la connexion API REST entre l'Agent TS et le système.

Si vous avez configuré un FMC principal et secondaire, le test de connexion avec le secondaire échoue. Il s’agit du comportement attendu. L'Agent TS communique avec le FMC actif en tout temps. Si le principal est défaillant et devient le FMC inactif, l'Agent TS communique avec le FMC (qui est maintenant actif).

Étape 13

Cliquez sur Save (Enregistrer) et confirmez que vous souhaitez redémarrer le serveur.

Champs de configuration de l'Agent TS

Les champs suivants sont utilisés pour configurer les paramètres sur un Agent TS.

Paramètres généraux

Tableau 1. Champs des paramètres généraux

Champ

Description

Exemple

(Exclure port[s]) Reserve Port(s) (Réserver port[s])

Le ou les ports que vous souhaitez que l'Agent TS ignore. Saisissez les ports que vous souhaitez exclure sous forme de liste séparée par des virgules.

L'Agent TS remplit automatiquement les champs (Exclure port[s])Reserve Port(s) (Réserver port[s]) avec les valeurs de port par défaut pour le client Citrix MA (2598), leet le serveur de terminaux Windows (3389). Si vous n’excluez pas les ports appropriés, les applications nécessitant ces ports peuvent échouer.

Remarque

 

Si un processus sur votre serveur utilise un port qui ne se trouve pas dans votre plage System Ports (Ports système) ou écoute sur celui-ci, vous devez exclure manuellement ce port à l’aide du champ (Exclure port[s]) Reserve Port(s) (Réserver port[s]).

Remarque

 

Si une application cliente est installée sur votre serveur et que l’application est configurée pour se lier à un connecteur à l’aide d’un numéro de port précis, vous devez utiliser le champ (Exclure port[s]) Reserve Port(s) (Réserver port[s]) pour exclure ce port de la traduction.

Généralement, l’un des éléments suivants :

  • 2598,3389 (les ports du client Citrix MA et du serveur de terminaux Windows)

Nombre maximal de sessions par utilisateur

Le nombre maximal de sessions d’utilisateur que vous souhaitez que l'Agent TS surveille. Un seul utilisateur peut exécuter plusieurs sessions d’utilisateur à la fois.

Cette version de l'Agent TS prend en charge 29 sessions utilisateur par défaut, jusqu’à un maximum de 199 sessions utilisateur.

29 (la valeur maximale prise en charge dans cette version de l'Agent TS)

Carte réseau du serveur

Cette version de l'Agent TS prend en charge l’utilisation d’un contrôleur d’interface réseau (NIC) unique pour la traduction de ports et les communications entre systèmes de serveurs. Si au moins deux cartes réseau valides sont présentes sur votre serveur, l'Agent TS effectue la traduction de port uniquement sur l’adresse que vous précisez lors de la configuration.

L'Agent TS remplit automatiquement ce champ avec l’adresse IPv4 et/ou l’adresse IPv6 de chaque carte d’interface réseau sur le serveur sur lequel le Agent TS est installé. Une carte réseau valide doit avoir une adresse IPv4 ou IPv6 unique, ou une de chaque type; une carte réseau valide ne peut pas avoir plusieurs adresses du même type.

Remarque

 

Si l’adresse IP du serveur change, vous êtes invité à enregistrer la configuration et à redémarrer le serveur pour que la modification entre en vigueur.

Remarque

 

Vous devez désactiver les messages d’annonce du routeur sur tous les appareils connectés à votre serveur. Si les annonces de routeur sont activées, les appareils peuvent attribuer plusieurs adresses IPv6 aux NIC sur votre serveur et invalider les NIC pour une utilisation avec l'Agent TS.

Ethernet 2 (192.0.2.1) (une carte d’interface réseau sur votre serveur)

Ports du système

La plage de ports que vous utilisez pour les processus système. L'Agent TS ignore cette activité. Configurez un port Start (Début) pour indiquer où vous souhaitez commencer la plage. Configurez une valeur Range (Plage) pour indiquer le nombre de ports que vous souhaitez désigner pour chaque processus système individuel.

Cisco recommande une valeur Range (Plage) de de 5000 ou plus. Si vous remarquez que l'Agent TS manque fréquemment de ports pour les processus système, augmentez votre valeur Range (Plage).

Remarque

 

Si un processus système nécessite un port qui ne correspond pas à vos System ports (Ports système) désignés, ajoutez le port au champ Exclude port(s) (Exclure port[s]). Si vous n’identifiez pas un port utilisé par les processus système dans la plage System Ports (Ports système) ou si vous ne l’excluez pas, les processus système peuvent échouer.

L'Agent TS remplit automatiquement la valeur End (Fin) à l’aide de la formule suivante : 

( [Start value] + [Range value] ) - 1

Si vos entrées font que la valeur End (Fin) dépasse la valeur Start (Début) de User Ports (Ports utilsiateurs), vous devez ajuster vos valeurs Start (Début) et Range (Plage).

Start (Début) défini sur 10000 et Range (Plage) défini sur 5000

Ports utilisateur

La plage de ports que vous souhaitez désigner pour les utilisateurs. Configurez un port Start (Début) pour indiquer où vous souhaitez commencer la plage. Configurez une valeur Range (Plage) pour indiquer le nombre de ports que vous souhaitez désigner pour les connexions TCP ou UDP dans chaque session utilisateur individuelle.

Remarque

 

Le trafic ICMP est transmis sans mappage de port.

Cisco recommande une valeur Range (Plage) de de 1000 ou plus. Si vous remarquez que l'Agent TS manque fréquemment de ports pour le trafic utilisateur, augmentez votre valeur Range (Plage).

Remarque

 

Lorsque le nombre de ports utilisés dépasse la valeur de Range (Plage), le trafic utilisateur est bloqué.

L'Agent TS remplit automatiquement la valeur End (Fin) à l’aide de la formule suivante : 

[Start value] + ( [Range value] * [Max User Sessions value] ) - 1

Si vos entrées font que la valeur End (Fin) dépasse 65535, vous devez ajuster vos valeurs Start (Début) et Range (Plage).

Start (Début) défini sur 15000 et Range (plage) défini sur 1000

Ports éphémères

Saisissez une plage de ports éphémères (également appelés ports dynamiques) pour permettre à l'Agent TS de faire la surveillance.

Start (Début) défini sur 49152 et Range (Plage) défini sur 16384

Communication avec le trafic inconnu

Cochez la case Permit (Autoriser) pour permettre à l'Agent TS d’autoriser le trafic sur les ports système; cependant, l'Agent TS ne fait pas le suivi de l’utilisation du port. Les ports système sont utilisés par le compte de système local ou d’autres comptes d’utilisateurs locaux. (Un compte d’utilisateur local existe uniquement sur le serveur de l'Agent TS; il n’a pas de compte Active Directory correspondant.) Vous pouvez choisir cette option pour autoriser les types de trafic suivants :

  • Autorisez le trafic exécuté par le compte de système local (comme Server Message Block (SMB)) au lieu de le bloquer. Le FMC identifie ce trafic comme provenant de l’utilisateur Inconnu, car l’utilisateur n’existe pas dans Active Directory.

    L’activation de cette option vous permet également de tester avec succès la connexion avec le FMC si vous vous connectez au serveur de l'Agent TS à l’aide d’un compte de système local.

  • Lorsqu’une session d’utilisateur ou de système épuise tous les ports disponibles de sa plage, l'Agent TS autorise le trafic sur les ports éphémères. Cette option active le trafic; le FMC identifie le trafic comme provenant de l’utilisateur inconnu.

    Cela est particulièrement utile lorsque les ports système sont nécessaires pour maintenir le système en bon état, par exemple pour les mises à jour de contrôleur de domaine, les authentifications, les requêtes d’interface de gestion de fenêtres (WMI), etc.

Décocher la case pour bloquer le trafic sur les ports du système.

S.O.

Paramètres de connexion de l’API REST

Vous pouvez configurer un appareil de système principal de connexion et, éventuellement, des appareils de système de secours (basculement) :

  • Si votre appareil de système est autonome, laissez la deuxième ligne de champs de connexion de l’API REST vide.

  • Si votre appareil de système est déployé avec un appareil de secours (basculement), utilisez la première ligne pour configurer une connexion à l’appareil principal et la deuxième ligne pour configurer une connexion à l’appareil de secours (basculement).

Tableau 2. Champs des paramètres de connexion à l’API REST

Champ

Description

Exemple

Nom de domaine/adresse IP

Le nom d’hôte ou l’adresse IP de l’appliance du système.

192.0.2.1

Port

Le port utilisé par le système pour les communications de l’API REST. (Le FMC utilise généralement le port 443.)

443

Nom d’utilisateur et mot de passe

Les informations d’authentification pour la connexion.

  • Le système requiert un nom d’utilisateur et un mot de passe pour un utilisateur disposant de privilèges REST VDI sur le FMC. Pour en savoir plus sur la configuration de cet utilisateur, consultez le Guide de configuration de Cisco Secure Firewall Management Center.

S.O.

Création du rôle VDI REST

Pour connecter l'Agent TS au FMC, votre utilisateur doit avoir le rôle REST VDI. Le VDI REST n’est pas défini par défaut. Vous devez créer le rôle et l’attribuer à tout utilisateur utilisé dans la configuration de l'Agent TS.

Pour en savoir plus sur les utilisateurs et les rôles, consultez le Guide de configuration de Cisco Secure Firewall Management Center.

Procédure

Étape 1

Connectez-vous au FMC en tant qu’utilisateur disposant des autorisations pour créer des rôles.

Étape 2

Cliquez sur System > Users (Système > Utilisateurs).

Étape 3

Cliquez sur l’onglet Rôles d’utilisateur.

Étape 4

Dans la page de l’onglet User Roles (Rôles d’utilisateur), cliquez sur Create User Role (Créer le rôle d’utilisateur).

Étape 5

Dans le champ Name (nom), saisissez REST VDI.

Le nom du rôle n’est pas sensible à la casse.

Étape 6

Dans la section enu-Based Permissions (Autorisations basées sur le menu), cochez REST VDI et assurez-vous que la case Modify REST VDI (Modifier REST VDI) est également cochée.

Étape 7

Cliquez sur Save (enregistrer).

Étape 8

Attribuez le rôle à l’utilisateur utilisé dans la configuration de l'Agent TS.