Introduction à l’agent de services de terminaux de Management Center

À propos de l’Agent Terminal Services (TS)

L’agent de services de terminaux Cisco permet à Cisco Firepower Management Center d’identifier de façon unique le trafic utilisateur surveillé par un serveur de terminaux Microsoft Windows. Sans le Agent TS, les systèmes reconnaissent tout le trafic provenant d’un serveur de terminaux Microsoft Windows comme une seule session utilisateur provenant d’une adresse IP.


Remarque

Pour éviter les problèmes potentiels et pour vous assurer que vous utilisez le logiciel le plus récent, Cisco vous recommande d’utiliser la dernière version publiée de Agent TS. Pour trouver la dernière version, accédez au site d’assistance Cisco.

Lorsqu’il est installé et configuré sur votre serveur de terminaux Microsoft Windows, le Agent TS attribue une plage de ports aux sessions utilisateur individuelles et les ports de cette plage aux connexions TCP et UDP dans la session utilisateur. Les systèmes utilisent des ports uniques pour identifier les connexions TCP et UDP individuelles par les utilisateurs sur le réseau. Les plages de ports sont attribuées selon le principe du moins récemment utilisé, ce qui signifie qu’après la fin d’une session utilisateur, la même plage de ports n’est pas immédiatement réutilisée pour les nouvelles sessions utilisateur.


Remarque

Les messages ICMP sont transmis sans mappage de port.

Le trafic généré par un service exécuté dans le contexte système de l’ordinateur n’est pas suivi par le Agent TS. En particulier, le Agent TS n’identifie pas le trafic de blocage de message du serveur (SMB), car le trafic SMB est exécuté dans le contexte système.

Le Agent TS prend en charge jusqu’à 199 sessions utilisateur simultanées par hôte Agent TS. Si un seul utilisateur exécute plusieurs sessions utilisateur simultanées, le Agent TS attribue une plage de ports unique à chaque session utilisateur individuelle. Lorsqu’un utilisateur met fin à une session, le Agent TS peut utiliser cette plage de ports pour une autre session utilisateur.

Chaque FMC prend en charge jusqu’à 50 Agent TS, qui s’y connectent en même temps.

Trois composants principaux de Agent TS sont installés sur votre serveur :

  • Interface : application pour configurer le Agent TS et surveiller les sessions utilisateur actuelles

  • Service : programme qui surveille les connexions et les déconnexions des utilisateurs.

  • Pilote – programme qui effectue la traduction de port

Le Agent TS peut être utilisé pour éléments suivants :

  • Les données Agent TS sur le FMC peuvent être utilisées pour la sensibilisation et le contrôle de l’utilisateur. Pour en savoir plus sur l’utilisation des données Agent TS du système, consultez le Guide de configuration de Cisco Secure Firewall Management Center.


Remarque

Pour utiliser Agent TS à des fins de sensibilisation et de contrôle des utilisateurs, vous devez le configurer pour envoyer des données uniquement à FMC. Pour en savoir plus, consultez Configure the Agent TS (configurer le).

Exigences en matière d’environnement de serveur et de système

Vous devez satisfaire aux exigences suivantes pour installer et exécuter le Agent TS sur votre système.


Remarque

Pour éviter les problèmes potentiels et pour vous assurer que vous utilisez le logiciel le plus récent, Cisco vous recommande d’utiliser la dernière version publiée de Agent TS. Pour trouver la dernière version, accédez au site d’assistance Cisco.

Exigences en termes de serveur

Installez-le Agent TS sur l’une des versions de serveur de terminaux Microsoft Windows de 64 bits suivantes :

  • Microsoft Windows Server 2016

  • Microsoft Windows Server 2008 R2

  • Microsoft Windows Server 2012

  • Windows Server 2012 R de Microsoft 2


Remarque

L’installation Agent TS nécessite 653 Ko d’espace libre sur votre serveur.


Remarque

Si le serveur Agent TS utilise un logiciel antivirus qui traite le trafic Web, le trafic utilisateur est généralement affecté à l’utilisateur système et le FMC voit ces utilisateurs comme Inconnu. Pour éviter le problème, désactivez la fonction de mandataire pour le trafic Web.

Le Agent TS est compatible avec l’une des solutions de services de terminaux suivantes installées sur votre serveur :

  • Citrix XenDesktop

  • Citrix XenApp

  • Hyperviseur de projet Xen

  • Hyperviseur VMware vSphere/VMware ESXi 6.0

  • Services de terminaux Windows/Services de bureau à distance Windows (RDS)

Cette version de l'Agent TS prend en charge l’utilisation d’un contrôleur d’interface réseau (NIC) unique pour la traduction de ports et les communications entre systèmes de serveurs. Si au moins deux cartes réseau valides sont présentes sur votre serveur, l'Agent TS effectue la traduction de port uniquement sur l’adresse que vous précisez lors de la configuration. Une carte réseau valide doit avoir une adresse IPv4 ou IPv6 unique, ou une de chaque type; une carte réseau valide ne peut pas avoir plusieurs adresses du même type.


Remarque

Si les annonces de routeur sont activées sur des appareils connectés à votre serveur, les appareils peuvent attribuer plusieurs adresses IPv6 aux NIC sur votre serveur et invalider les NIC pour une utilisation avec Agent TS.

Configuration système requise

Cette version des Agent TS prend en charge la connexion aux FMC autonomes ou à haute disponibilité exécutant la version6.2 ou une version ultérieure du Système.

Résolution des problèmes du Firepower Management Center avec l’Agent TS

Consultez les sections suivantes pour plus de renseignements sur le dépannage des problèmes du Firepower Management Center avec l’agent TS.

Pour en savoir plus sur les problèmes connus et résolus de cette version, consultez Problèmes connus et problèmes résolus.

FMC n’affiche pas les renseignements sur les utilisateurs pour les processus du système

Le trafic généré par un service s’exécutant dans le contexte système n’est pas suivi par le Agent TS. Notez en particulier les éléments suivants :

  • Le Agent TS n’identifie pas le trafic de blocage de message du serveur (SMB), car le trafic SMB s’exécute dans le contexte système.

  • Certaines applications d’antivirus transmettent le trafic Web à une passerelle locale ou en nuage pour intercepter les virus avant qu’ils n’atteignent un ordinateur client. Cependant, cela signifie que le logiciel antivirus utilise généralement le compte système; dans ce cas, le FMC voit les utilisateurs comme inconnus. Pour résoudre le problème, désactivez le proxy du trafic Web.

les délais d’attente des utilisateurs Agent TS ne sont pas respectés

Vous devez synchroniser l’heure sur votre serveur avec l’heure affichée sur FMC.

Agent TS ne traduit pas les ports de session des utilisateurs

Le Agent TS n’effectue pas de traduction de port dans les cas suivants :

  • Une session d’utilisateur dépasse la valeur Max User Sessions (Nombre maximal de sessions d’utilisateur) définie. Par exemple, si la valeur Max User Sessions (Nombre maximal de sessions d’utilisateur) est définie sur 29, le Agent TS n’effectue pas de traduction de port sur la 30e session utilisateur.

  • Tous les ports disponibles sont utilisés. Par exemple, si votre valeur User Ports (Ports utilisateur) Range (Plage) désigne 1000 ports par session d’utilisateur, le Agent TS n’effectue pas de traduction de port sur la 1001e TCP/UDP jusqu’à ce que l’utilisateur met fin à une autre connexion TCP/UDP et libère un port.

  • Une session d’utilisateur n’a pas de domaine associé. Par exemple, si la session d’un administrateur de serveur est authentifiée par le système local et non par un serveur Active Directory externe, l’administrateur du serveur se connecte au serveur, mais ne peut pas accéder au réseau et le Agent TS n’attribue pas de ports à la session utilisateur.

Les sessions d’utilisateur ne sont pas rapportées au FMC comme prévu

Si vous mettez à jour la configuration de Agent TS pour vous connecter à un autre FMC, vous devez mettre fin à toutes les sessions utilisateur en cours avant d’enregistrer la nouvelle configuration. Pour en savoir plus, consultez Mettre fin à une session d’utilisateur en cours.

Le trafic des applications clientes est signalé au FMC comme trafic utilisateur

Si une application cliente est installée sur votre serveur et que l’application est configurée pour se lier à un connecteur qui utilise un port qui ne figure pas dans vos System Ports (Ports système), vous devez utiliser le champ Exclude Port(s) (Exclure port[s]) pour exclure ce port de la traduction. Si vous n’excluez pas le port et qu’il fait partie de vos ports utilisateur, le Agent TS peut signaler le trafic sur ce port comme trafic utilisateur non lié.

Pour éviter cela, configurez votre application client pour se lier à un connecteur qui utilise un port compris dans votre System Ports (Ports du système).

Le délai d’expiration de l’application du serveur, le délai d’expiration du navigateur ou l’échec de connexion de Agent TS-FMC

Si une application sur le serveur Agent TS met fin à une connexion TCP/UDP, mais ferme incomplètement le port associé, le Agent TS ne peut pas utiliser ce port pour la traduction. Si le Agent TS tente d’utiliser le port pour la traduction avant que le serveur ne ferme complètement le port, la connexion échoue.


Remarque
Vous pouvez utiliser la commande netstat (pour un résumé) ou la commande netstat -a -o -n -b (pour des renseignements détaillés) pour désigner les ports incomplètement fermés; ces ports ont l’état TEMP_WAIT ou CLOSE_WAIT.

Si vous voyez ce problème, augmentez la plage de ports Agent TS touchée par le problème :

  • Le délai d’expiration de l’application du serveur ou du navigateur se produit si un port fermé de manière incorrecte tombe dans la plage User Ports (Ports utilisateur).

  • Un échec de la connexion Agent TS-FMC se produit si un port fermé de manière incorrecte tombe dans la plage System Ports (Ports du système).

Agent TS-FMC Échec de connexion

Si Agent TS ne parvient pas à établir de connexion avec FMC lorsque vous cliquez sur le bouton Test (Tester) pendant la configuration, vérifiez les éléments suivants :

  • Assurez-vous que pas plus de 50 clients Agent TS tentent de se connecter au FMC en même temps.

  • Confirmez que le Username (Nom d’utilisateur) et le Password (Mot de passe) que vous avez fournis sont les bonnes informations d’authentification pour un utilisateur FMC disposant des privilèges REST VDI, comme indiqué dans Création du rôle VDI REST.

    Vous pouvez afficher les journaux d’audit sur le FMC pour confirmer que l’authentification de l’utilisateur à partir du Agent TS a réussi.

  • Si la connexion au FMC secondaire dans une configuration à haute disponibilité échoue immédiatement après la configuration, voici le comportement attendu. Le Agent TS communique avec le FMC actif en tout temps.

    Si le secondaire est le FMC, la connexion au FMC principal échoue.

Des processus système ou des applications sur le serveur sont défectueux

Si un processus système sur votre serveur utilise un port qui ne se trouve pas dans votre plage System Ports (Ports système) ou écoute sur celui-ci, vous devez exclure manuellement ce port à l’aide du champ Exclude Port(s) (Exclure port[s]) Reserve Port(s) (Réserver port[s]).

Si une application sur votre serveur utilise ou écoute dans sur votre port Citrix MA Client (2598) ou Windows Terminal Server (3389), confirmez que ces ports sont exclus dans le champ Exclude Port(s) (Exclure port[s]).

FMC affiche les utilisateurs inconnus de Agent TS

Le FMC affiche les utilisateurs inconnus du Agent TS dans les situations suivantes :

  • Si le composant du pilote Agent TS tombe en panne de façon inattendue, les sessions utilisateur vues pendant le temps d’arrêt sont enregistrées comme des utilisateurs inconnus sur le FMC.

  • Certaines applications d’antivirus transmettent le trafic Web à une passerelle locale ou en nuage pour intercepter les virus avant qu’ils n’atteignent un ordinateur client. Cependant, cela signifie que le logiciel antivirus utilise généralement le compte système; dans ce cas, le FMC voit les utilisateurs comme inconnus. Pour résoudre le problème, désactivez le proxy du trafic Web.

  • En cas de défaillance du FMC principal dans une configuration à haute disponibilité, les connexions signalées par l'Agent TS pendant les 10 minutes d’arrêt lors du basculement sont gérées comme suit :

    • Si un utilisateur n’a pas été vu précédemment sur le FMC et que l'Agent TS rapporte les données de session d’utilisateur, les données sont enregistrées comme activité d’utilisateur inconnue sur le FMC.

    • Si l’utilisateur a déjà été vu sur le FMC, les données sont traitées normalement.

    Après le temps d’arrêt, les utilisateurs inconnus sont réidentifiés et traités selon les règles de votre politique d’identité.

Les NIC ne s’affichent pas dans la liste des NIC du serveur

Vous devez désactiver les messages d’annonce du routeur sur tous les appareils connectés à votre serveur. Si les annonces de routeur sont activées, les appareils peuvent attribuer plusieurs adresses IPv6 aux NIC sur votre serveur et invalider les NIC pour une utilisation avec Agent TS.

Une carte réseau valide doit avoir une adresse IPv4 ou IPv6 unique, ou une de chaque type; une carte réseau valide ne peut pas avoir plusieurs adresses du même type.

Dépanner le problème en utilisant l'Agent TS

Le test de connexion FMC a échoué

Si vous êtes connecté au serveur de l'Agent TS en tant qu’utilisateur local (par opposition à un utilisateur de domaine), le test de connexion Agent TS échoue avec le test FMC. Cela se produit parce que, par défaut, l'Agent TS ne permet pas aux processus système de communiquer sur le réseau.

Pour contourner le problème, effectuez l’une des opérations suivantes :

  • Cochez Unknown Traffic Communication (Communication du trafic inconnu) sur la page de l’onglet Configure (Configurer) pour autoriser le trafic, comme indiqué dans Champs de configuration de l'Agent TS.

  • Connectez-vous à l’ordinateur de l'Agent TS en tant qu’utilisateur de domaine plutôt qu’en tant qu’utilisateur local.

L'Agent TS signale les utilisateurs comme inconnus et règles non correspondantes

Si des agents de services de terminaux d’autres fournisseurs s’exécutent sur le même serveur que l’agent de services de terminaux Cisco (TS), les numéros de port pour les connexions utilisateur peuvent ne pas être dans la plage de ports utilisateur attribuée. Par conséquent, les utilisateurs peuvent être identifiés comme Unknown (Inconnus) et, par conséquent, les règles d’identité ne correspondent pas pour les utilisateurs.

Pour résoudre ce problème, désactivez ou désinstallez les autres agents des services de terminaux s’exécutant sur le même serveur que l'Agent TS de Cisco.

Agent TS invite à redémarrer lors de la mise à niveau

Parfois, même si l’adresse IP de la machine ne change pas, Agent TS signale un changement d’adresse IP après la mise à niveau et vous invite à redémarrer le serveur. Cela se produit parce que l'Agent TS détecte une différence entre l’adresse IP et la valeur de la clé de registre suivante :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TSAgent\{IPv4 | IPv6}

Si la valeur de clé est différente de l’adresse IP de l’adaptateur principal configurée, Agent TS signale la modification et vous demande d’enregistrer la configuration et de redémarrer l’ordinateur.

Cela peut se produire, par exemple, si l’ordinateur a été recréé ou restauré à partir d’une sauvegarde et que DHCP attribue une nouvelle adresse IP.

Vous pouvez ignorer l’erreur, mais vous devez quand même redémarrer l’ordinateur après la mise à niveau.

Exceptions lors de l’enregistrement de l’adresse IP Agent TS

Dans de rares cas, des exceptions s’affichent lorsque vous tentez d’enregistrer la configuration Agent TS avec une adresse IP non valide. Une adresse IP non valide peut être de l’une des options suivantes :

  • La même adresse IP qu’un autre appareil sur le réseau.

  • Modification de l’adresse IP statique dans Windows lorsque l’application Agent TS est ouverte.

Les exceptions comprennent les éléments suivants :

  • System.argumentsException : un élément avec la même clé a déjà été ajouté.

  • System.NullReferenceException : référence d’objet non définie sur une instance d’objet.

Solution de contournement : définissez l’adresse IP du serveur Agent TS sur une adresse IP valide, enregistrez la configuration Agent TS et redémarrez le serveur.

Dépanner le problème en utilisant l’Agent utilisateur

Si vous utilisez à la fois l'Agent TS et l’agent d’utilisateur, vous pouvez éviter les erreurs non critiques dans les journaux en excluant l’adresse IP de l'Agent TS de l’agent d’utilisateur. Si le même utilisateur est détecté par l'Agent TS et l’agent d’utilisateur, les erreurs non critiques sont inscrites dans les journaux.

Pour éviter cela, empêchez l’adresse IP de l'Agent TS d’être enregistrée par l’agent d’utilisateur. Pour en savoir plus, consultez le Guide de configuration de Firepower User Agent.

Problèmes connus et problèmes résolus

Problèmes connus

Numéro d’identification de la mise en garde Description
CSCvf63615

Au niveau de journalisation 6, des noms de fonctions incorrects s’affichent dans les journaux.

CSCvf25546

Lorsque les adresses IPv4 et IPv6 sont utilisées sur le serveur d’agent TS, moins de ports de mappage sont disponibles que prévu.

CSCvf25342

Si vos Firepower Management Center sont configurés avec une haute disponibilité et que vous précisez les informations de connexion vers un nom d’hôte plutôt qu’à une adresse IP, l’agent TS ne se connecte jamais au nouveau système actif après le basculement.

CSCvf65188

Dans certains cas, les connexions ne sont pas libérées comme prévu après la déconnexion d’un utilisateur du serveur d’agent TS. Parfois, le protocole TCP permet à une connexion obsolète de se poursuivre plus longtemps que prévu. Ce comportement peut être confirmé par le message suivant dans le journal des événements de Windows :

Event 4227: TCP/IP failed to establish an outgoing connection because the selected local endpoint was recently used to connect to the same remote endpoint. (Événement 4227 : TCP/IP n’a pas réussi à établir une connexion sortante, car le terminal local sélectionné a récemment été utilisé pour se connecter au même terminal distant.)

Solutions :

  • Augmentez le nombre de ports de la plage.

  • Réduisez le temps d’attente de la pile TCP jusqu’à ce que ces connexions soient entièrement libérées : TcpTimedWaitDelay, trouvé à l’emplacement suivant dans le registre Windows : HKEY_LOCAL-MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters

    Pour en savoir plus, consultez la description de TcpTimedWaitDelay sur MSDN.

Problèmes résolus

Numéro d’identification de la mise en garde Description
CSCvg65335​

L’agent TS vous informe désormais lorsque l’adresse IP du serveur change, après quoi vous devez enregistrer la modification et redémarrer le serveur.

CSCvg65253

Les liaisons IP des utilisateurs sont maintenant envoyées au centre de gestion Cisco Firepower Management Center. Par conséquent, l’erreur suivante ne s’affiche pas dans le journal de la visionneuse d’événements de l’agent TS et dans la colonne Status (État) de la page de l’onglet Monitor (Surveiller) de l’agent TS : FMC_STATS_TO_BE_CONNECT .

Historique pour l'Agent TS

Fonctionnalités

Version

1.2

  • Le nombre maximal de sessions d’utilisateur par défaut a été modifié de 200 à 30.

  • La plage de ports est passée de 200 ou plus à 5 000 ou plus

Ces modifications sont toutes abordées dans Champs de configuration de l'Agent TS.

1.1

Agent TS

Fonctionnalité introduite. L'Agent TS permet aux administrateurs de suivre l’activité des utilisateurs à l’aide du mappage de port. L'Agent TS, lorsqu’il est installé sur un serveur de terminaux, affecte une plage de ports aux sessions utilisateur individuelles et les ports de cette plage aux connexions TCP et UDP dans la session utilisateur. Les systèmes utilisent des ports uniques pour identifier les connexions TCP et UDP individuelles par les utilisateurs sur le réseau.

1.0