安装和配置 TS 代理

安装或升级 TS 代理

开始之前

过程

步骤 1

以具有管理员权限的用户身份登录到服务器。

步骤 2

从支持站点下载 TS 代理软件包:TSAgent-1.3.0.exe

 

直接从站点下载更新。如果通过邮件传输文件,文件可能会损坏。

步骤 3

右键点击TSAgent-1.3.0.exe,然后选择以管理员身份运行 (Run as Administrator)

步骤 4

点击安装 (Install),然后按照提示安装或升级 TS 代理

您需要重新启动计算机才能使用 TS 代理

下一步做什么

如果 TS 代理安装程序报告 .NET Framework 失败,请运行 Windows 更新并尝试重新安装 TS 代理

启动TS 代理配置界面

引用

如果桌面上有 TS 代理快捷方式,请双击该快捷方式。否则,请使用以下程序启动 TS 代理配置界面。

过程

步骤 1

以具有管理员权限的用户身份登录到服务器。

步骤 2

打开 C:\Program Files (x86)\Cisco\Terminal Services Agent

步骤 3

查看 TS 代理的程序文件。

 

程序文件仅供查看。请勿删除、移动或修改这些文件。

步骤 4

双击 TSAgentApp 文件以启动 TS 代理

配置 TS 代理

使用 TS 代理接口来配置 TS 代理。您必须保存更改并重新引导服务器,更改才会生效。

开始之前

  • 如果要连接到系统,请按照《Cisco Secure Firewall Management Center 配置指南》中的说明,针对服务器要监控的用户配置并启用一个或多个 Active Directory 领域。

  • 如果要连接到系统,请配置具有 REST VDI 权限的用户帐户。

    您必须在管理中心中创建 REST VDI 角色,如创建 REST VDI 角色中所述。

  • 如果您已经连接到系统,并且正在更新 TS 代理配置以连接到不同的管理中心,则必须在保存新配置之前结束当前的所有用户会话。有关详细信息,请参阅结束当前用户会话

  • TS 代理服务器上的时间与系统上的时间同步。

  • 查看并了解配置字段,如 TS 代理配置字段中所述。

过程

步骤 1

在安装了 TS 代理的服务器上,启动 TS 代理,如启动TS 代理配置界面中所述。

步骤 2

点击配置 (Configure)

步骤 3

导航到选项卡页面的常规设置部分。

步骤 4

最大用户会话数 (Max User Sessions) 中输入值。

步骤 5

选择要用于端口转换和通信的服务器 NIC

如果服务器的 IP 地址稍后发生变化,则系统会提示您保存配置并重新启动服务器以便让变化生效。

步骤 6

系统端口 (System Ports)用户端口 (User Ports) 中输入值。在有效配置中,系统和用户端口范围不重叠。

步骤 7

保留端口 (Reserve Port) 中输入值(以逗号分隔)。

预留端口 (Reserve Port) 会自动填充 Citrix MA 客户端 (2598)、Citrix Provisioning (6910) 和 Windows 终端服务器端口的预期值。您必须排除 Citrix MA 客户端和 Windows 终端服务器端口。

如果您使用的是 Citrix Provisioning,并且是从较早的 TS 代理版本升级,则必须在此字段中输入 6910

步骤 8

导航到选项卡的 REST API 连接 (REST API Connection) 设置部分。

步骤 9

主机名/IP 地址 (Hostname/IP Address) 端口 (Port) 中输入值。

管理中心 需要使用端口 443。

步骤 10

输入用户名密码

步骤 11

或者,在第二行字段中重复步骤 9 和 10,以配置备用(故障转移)连接。

步骤 12

点击测试 (Test) 以测试 TS 代理与系统之间的 REST API 连接。

如果配置了主和辅助管理中心,则与辅助管理中心的测试连接会失败。这是预期行为。TS 代理始终与主用管理中心通信。如果主管理中心进行故障转移并变为非活动管理中心,则 TS 代理会与辅助(现在处于活动状态)管理中心通信。

步骤 13

点击保存 (Save) 并确认要重新启动服务器。

TS 代理配置字段

以下字段用于配置 TS 代理上的设置。

常规设置

表 1. “常规设置”字段

字段

说明

示例

保留端口 (Reserve Port)

要让 TS 代理忽略的端口。以逗号分隔列表的形式输入要排除的端口。

TS 代理会使用 Citrix MA 客户端 (2598)、Citrix Provisioning (6910) 和 Windows 终端服务器 (3389) 的默认端口值来自动填充保留端口 (Reserve Port)。如果未排除正确的端口,需要使用这些端口的应用可能会失败。

TS 代理保留端口 (Reserve Port)字段中指定的值必须与 Citrix 调配第一个和最后一个 UDP 端口号 (First and Last UDP port numbers) 端口中的一个相匹配。

小心

 

如果未指定正确的端口,客户端将无法启动。

 

如果服务器上的进程正在使用或侦听不在系统端口范围内的端口,则必须使用保留端口 (Reserve Port) 字段手动排除该端口。

 

如果服务器上安装了客户端应用,并且该应用配置为使用特定端口号绑定到套接字,则必须使用保留端口 (Reserve Port) 字段从转换中排除该端口。

通常是以下情况之一:

  • 2598,3389(Citrix MA 客户端和 Windows 终端服务器端口)

  • 2598,3389, 6910(Citrix MA 客户端、Windows 终端服务器和 Citrix Provisioning 端口)

最大用户会话数

您希望 TS 代理监控的最大用户会话数。一个用户一次可以运行多个用户会话。

默认情况下,此版本的 TS 代理支持 29 个用户会话,最多 199 个用户会话。

29 29(此版本 TS 代理中支持的最大值)

服务器 NIC

此版本的 TS 代理支持使用单个网络接口控制器 (NIC) 进行端口转换和服务器-系统通信。如果服务器上有两个或多个有效 NIC,则 TS 代理只会对您在配置期间指定的地址执行端口转换。

TS 代理会使用安装TS 代理的服务器上的每个 NIC 的 IPv4 地址和/或 IPv6 地址自动填充此字段。有效的 NIC 必须有一个 IPv4 或 IPv6 地址,或每种类型的一个地址;一个有效的 NIC 不能有多个相同类型的地址。

 

如果服务器的 IP 地址发生变化,则系统会提示您保存配置并重新启动服务器以便让变化生效。

 

您必须在任何连接到服务器的设备上禁用路由器通告消息。如果启用了路由器通告,则设备就可以为服务器上的 NIC 分配多个 IPv6 地址,从而让 NIC 无法与 TS 代理一起使用。

以太网 2 (192.0.2.1)(服务器上的 NIC)

系统端口

用于系统进程的端口范围。TS 代理将忽略此活动。配置开始端口以指示要开始范围的位置。配置范围值以指示要为每个单独的系统进程指定的端口数。

思科建议的范围值为5000 或更大。如果您发现TS 代理经常用完系统进程的端口,请增大范围值。

 

如果系统进程需要指定的系统端口之外的端口,请将该端口添加到排除端口 (Exclude Port) 字段中。如果未在系统端口 (System Ports) 范围内识别或排除系统进程使用的端口,则系统进程可能会失败。

TS 代理使用以下公式自动填充结束值: 

( [Start value] + [Range value] ) - 1

如果您的输入导致结束值超出了用户端口开始值,则必须调整开始范围值。

开始设置为 10000,而范围设置为 5000

用户端口

要为用户指定的端口范围。配置开始端口以指示要开始范围的位置。配置范围值以指示要在每个用户会话中为 TCP 或 UDP 连接指定的端口数。

 

ICMP 流量无需端口映射即可进行传递。

思科建议的范围值为1000 或更大。如果您发现TS 代理经常用完用户流量的端口,请增大范围值。

 

当使用的端口数超过范围值时,系统将阻止用户流量。

TS 代理使用以下公式自动填充结束值: 

[Start value] + ( [Range value] * [Max User Sessions value] ) - 1

如果您的输入导致结束值超过 65535,则必须调整开始范围值。

开始设置为 15000,而范围设置为 1000

临时端口

输入允许TS 代理监控的临时端口(也称为动态端口)范围。

开始设置为 49152,而范围设置为 16384

未知流量通信

选中允许 (Permit) 以便让 TS 代理允许流量通过系统端口;但是,TS 代理不会跟踪端口使用情况。系统端口供本地系统帐户或其他本地用户帐户使用。(本地用户帐户仅存在于 TS 代理服务器上;它没有相应的 Active Directory 帐户。)您可以选择此选项以允许以下类型的流量:

  • 允许本地系统帐户运行的流量(例如服务器消息块 (SMB)),而不是将其阻止。管理中心会将此流量识别为来自“未知”用户,因为该用户并不存在于 Active Directory 中。

    如果您使用本地系统帐户登录到 TS 代理服务器,启用此选项还使您能够成功测试与管理中心的连接。

  • 当用户或系统会话用完其范围内的所有可用端口时,TS 代理将允许流量通过临时端口。此选项会启用流量;管理中心会将流量识别为来自未知用户。

    当系统端口需要用于保持系统健康时,如域控制器更新、身份验证、Windows 管理接口 (WMI) 查询等,这尤其有用。

取消选中可阻止系统端口上的流量。

不适用

REST API 连接设置

您可以配置主连接和备用(故障转移)系统设备:

  • 如果您的系统设备是独立的,请将 REST API 连接字段的第二行留空。

  • 如果系统设备部署有备用(故障转移)设备,请使用第一行配置与主设备的连接,使用第二行配置与备用(故障转移)设备的连接。

表 2. “REST API 连接设置”字段

字段

说明

示例

主机名/IP 地址 (Hostname/IP Address)

系统设备的主机名或 IP 地址。

192.0.2.1

端口 (Port)

系统用于 REST API 通信的端口。(管理中心通常使用端口 443。)

443

用户名 (Username) 和密码 (Password)

用于连接的凭证。

  • 系统需要在管理中心上具有 REST VDI 权限的用户的用户名和密码。有关配置该用户的详细信息,请参阅《Cisco Secure Firewall Management Center Snort 3 配置指南》。

不适用

创建 REST VDI 角色

要将TS 代理连接到管理中心,您的用户必须具有 REST VDI 角色。默认情况下未定义 REST VDI。您必须创建角色并将其分配给 TS 代理配置中使用的任何用户。

有关用户和角色的详细信息,请参阅《Cisco Secure Firewall Management Center Snort 3 配置指南》。

过程

步骤 1

以有权创建角色的用户身份登录管理中心

步骤 2

点击系统 (System) > 用户 (Users)

步骤 3

点击用户角色 (User Roles) 选项卡。

步骤 4

在“用户角色”(User Roles) 选项卡页面上,点击创建用户角色 (Create User Role)

步骤 5

在“名称”(Name) 字段中输入 REST VDI

角色名称不区分大小写。

步骤 6

在基于菜单的权限部分,选中 REST VDI 并确保同时选中修改 REST VDI (Modify REST VDI)

步骤 7

点击保存 (Save)

步骤 8

将角色分配给 TS 代理配置中使用的用户。