您必须满足以下要求才能在系统上安装和运行 TS 代理。

注	为避免潜在问题并确保您使用的最新软件，思科建议使用最新发布的 TS 代理版本。要查找最新版本，请访问思科支持站点。

服务器要求

在以下 64 位 Microsoft Windows 终端服务器版本之一上安装 TS 代理：

• Microsoft Windows Server 2019

• Microsoft Windows Server 2016

• Microsoft Windows Server 2008 R2

• Microsoft Windows Server 2012

• Microsoft Windows Server 2012 R2

注	TS 代理安装需要服务器上有 653KB 的可用空间。

注	如果 TS 代理服务器使用代理 Web 流量的防病毒软件，则用户流量通常会分配给系统用户，并且管理中心会将这些用户视为“未知”。要避免此问题，请禁用网络流量代理。

TS 代理是与您的服务器上安装的以下终端服务解决方案兼容：

• Citrix Provisioning

• Citrix XenDesktop

• Citrix XenApp

• Xen 项目虚拟机监控程序

• VMware vSphere 虚拟机监控程序/VMware ESXi 6.0

• Windows 终端服务/Windows 远程桌面服务 (RDS)

此版本的 TS 代理支持使用单个网络接口控制器 (NIC) 进行端口转换和服务器-系统通信。如果服务器上有两个或多个有效 NIC，则 TS 代理只会对您在配置期间指定的地址执行端口转换。有效的 NIC 必须有一个 IPv4 或 IPv6 地址，或每种类型的一个地址；一个有效的 NIC 不能有多个相同类型的地址。

注	如果在连接到服务器的任何设备上启用了路由器通告，则这些设备可以将多个 IPv6 地址分配给服务器上的 NIC，并让用于 TS 代理的 NIC 失效。

系统要求

此版本的TS 代理支持连接到运行 6.4 或更高版本系统的独立或高可用性管理中心。

请参阅以下部分以了解通过 TS 代理对管理中心问题进行故障排除的信息。

有关此版本中已知问题和已修复问题的信息，请参阅已解决的问题。

管理中心不显示系统进程的用户信息

TS 代理不会跟踪在系统情景中运行的服务所生成的流量。特别是，请注意以下事项：

• TS 代理不会识别服务器消息块 (SMB) 流量，因为 SMB 流量在系统环境中运行。

• 一些防病毒应用会将 Web 流量代理到内部网关或云网关，以便在病毒到达客户端计算机之前将其捕获。但是，这意味着防病毒软件通常使用系统帐户；在这种情况下，管理中心会将用户视为“未知”。要解决此问题，请禁用网络流量代理。

未按预期发生 TS 代理用户超时

您必须将服务器上的时间与 管理中心上的时间进行同步。

TS 代理不转换用户会话端口

在以下情况下，TS 代理不会执行端口转换：

• 用户会话超过设置的最大用户会话数。例如，如果最大用户会话数 (Max User Sessions) 被设置为 29，则 TS 代理不会对第 30 个用户会话执行端口转换。

• 所有可用端口都在使用中。例如，如果用户端口 范围值为每个用户会话指定 1000 个端口，则 TS 代理不会对第 1001 个 TCP/UDP 连接执行端口转换，直到用户结束另一个 TCP/UDP 连接并释放端口。

• 用户会话没有关联的域。例如，如果服务器管理员的会话由本地系统而非外部 Active Directory 服务器进行身份验证，则服务器管理员登录到服务器但无法访问网络，并且 TS 代理不会为用户会话分配端口。

TS 代理未按预期执行端口转换

如果手动编辑服务器的 IP 地址，则必须编辑TS 代理上的服务器 NIC (Server NIC)。然后，保存 TS 代理配置并重新启动服务器。

TS 代理将用户报告为“未知”且规则不匹配

如果其他供应商的终端服务代理与思科终端服务 (TS) 代理在同一服务器上运行，则用户连接的端口号可能不在指定的用户端口范围内。因此，用户可能会被标识为“未知”用户，从而导致身份规则与用户不匹配。

要解决此问题，请禁用或卸载与思科 TS 代理在同一服务器上运行的其他终端服务代理。

未按预期向管理中心报告用户会话

如果更新 TS 代理配置以连接到不同的管理中心，则必须在保存新配置之前结束所有当前用户会话。有关详细信息，请参阅结束当前用户会话。

客户端应用流量作为用户流量报告给管理中心

如果服务器上安装了客户端应用，并且该应用配置为绑定到使用系统端口之外的端口的套接字，则必须使用排除端口 (Exclude Port) 字段从转换中排除该端口。如果未排除该端口且该端口属于您的用户端口，则 TS 代理可能会将该端口上的流量报告为不相关的用户流量。

为防止出现这种情况，请将客户端应用配置为绑定到使用系统端口范围内的端口的套接字。

服务器应用超时、浏览器超时或 TS 代理-管理中心连接失败

如果 TS 代理服务器上的应用结束 TCP/UDP 连接，但未完全关闭关联的端口，则 TS 代理无法使用该端口进行转换。如果 TS 代理在服务器完全关闭端口之前尝试使用该端口进行转换，则连接会失败。

注	您可以使用 netstat 命令（用于摘要信息）或 netstat -a -o -n -b 命令（用于详细信息）来识别未完全关闭的端口；这些端口的状态为 TIME_WAIT 或 CLOSE_WAIT。

如果您遇到此问题，请扩大受此问题影响的 TS 代理端口范围：

• 如果错误关闭的端口在用户端口范围内，则会发生服务器应用或浏览器超时。

• 如果错误关闭的端口在系统端口范围内，则会发生 TS 代理-管理中心连接失败。

TS 代理-管理中心连接失败

如果在配置过程中点击测试 (Test) 按钮时 TS 代理无法与管理中心建立连接，请检查以下各项：

• 确保不超过 50 个 TS 代理客户端同时尝试连接到管理中心。

• 确认您提供的用户名和密码是具有 REST VDI 权限的 管理中心用户的正确凭证，如创建 REST VDI 角色中所述。

  您可以查看管理中心上的审核日志，以确认 TS 代理的用户身份验证是否成功。

• 如果在配置后立即连接到高可用性配置中的辅助管理中心失败，则这属于预期的行为。TS 代理始终与主用管理中心通信。

  如果辅助管理中心被激活，则与主要管理中心的连接将失败。

服务器上的系统进程或应用出现故障

如果服务器上的系统进程正在使用或侦听不在系统端口范围内的端口，则必须使用排除端口 (Exclude Port) 字段手动排除该端口。

如果服务器上的应用正在使用或侦听 Citrix MA 客户端 (2598) 或 Windows 终端服务器 (3389) 端口，请确认在排除端口 (Exclude Port) 字段中排除这些端口。

管理中心 显示 TS 代理中的“未知”用户

在以下情况下，管理中心会显示来自 TS 代理中的“未知”用户：

• 如果 TS 代理驱动程序组件意外失败，则在停机期间看到的用户会话将在管理中心上记录为未知用户。

• 一些防病毒应用会将 Web 流量代理到内部网关或云网关，以便在病毒到达客户端计算机之前将其捕获。但是，这意味着防病毒软件通常使用系统帐户；在这种情况下，管理中心会将用户视为“未知”。要解决此问题，请禁用网络流量代理。

• 如果高可用性配置中的主管理中心发生故障，则在故障转移期间的 10 分钟停机时间内由 TS 代理报告的登录将按如下方式进行处理：

  • 如果以前未在管理中心上看到过用户，并且 TS 代理报告了用户会话数据，则该数据在管理中心上记录为“未知”用户活动。

  • 如果之前在管理中心上看到过该用户，则会正常处理数据。

  停机时间过后，系统将根据身份策略中的规则重新识别和处理“未知”(Unknown) 用户。

NIC 未显示在服务器 NIC 列表中

您必须在任何连接到服务器的设备上禁用路由器通告消息。如果启用了路由器通告，则设备就会为服务器上的 NIC 分配多个 IPv6 地址，从而让 NIC 无法与 TS 代理一起使用。

有效的 NIC 必须有一个 IPv4 或 IPv6 地址，或每种类型的一个地址；一个有效的 NIC 不能有多个相同类型的地址。

管理中心测试连接失败

如果您以本地用户（而不是域用户）身份登录到 TS 代理服务器，则管理中心测试的 TS 代理测试连接将失败。发生这种情况是因为，默认情况下，TS 代理不允许系统进程在网络上通信。

要解决此问题，请执行以下任一操作：

• 选中配置 (Configure) 选项卡页面上的未知流量通信 (Unknown Traffic Communication) 以允许流量，如 TS 代理配置字段中所述。

• 以域用户（而不是本地用户）身份登录 TS 代理计算机。

TS 代理将用户报告为“未知”且规则不匹配

如果其他供应商的终端服务代理与思科终端服务 (TS) 代理在同一服务器上运行，则用户连接的端口号可能不在指定的用户端口范围内。因此，用户可能会被标识为“未知”用户，从而导致身份规则与用户不匹配。

要解决此问题，请禁用或卸载与思科 TS 代理在同一服务器上运行的其他终端服务代理。

升级时 TS 代理提示重启

有时，即使计算机的 IP 地址未发生变化，升级后 TS 代理也会报告 IP 地址更改，并提示您重新启动服务器。出现这种情况是因为 TS 代理检测到 IP 地址与以下注册表键值之间存在差异：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TSAgent\{IPv4 | IPv6}

如果键值与配置的主适配器 IP 地址不同，TS 代理会报告这一变化，并指示您保存配置和重启计算机。

例如，如果计算机被重新镜像或从备份中恢复，而 DHCP 分配了一个新的 IP 地址，就会出现这种情况。

您可以忽略该错误，但升级后无论如何都必须重启计算机。

Citrix Provisioning 客户端无法启动

您必须将 TS 代理配置为忽略为 Citrix Provisioning 服务器配置的 UDP 端口。

在TS 代理保留端口 (Reserve Port)字段中指定的值必须与 Citrix 调配第一个和最后一个 UDP 端口号 (First and Last UDP port numbers) 端口中的一个相匹配。

小心	如果未指定正确的端口，客户端将无法启动。

保存 TS 代理 IP 地址时的例外情况

当您尝试使用无效 IP 地址保存 TS 代理配置时，在极少数情况下会显示例外情况。无效 IP 地址可以是以下任何一种：

• 与网络上其他设备的 IP 地址相同。

• 在 TS 代理应用打开时更改 Windows 中的静态 IP 地址。

例外情况包括：

• System.ArgumentException：已经添加了具有相同密钥的项目。

• System.NullReferenceException：对象引用未设置为对象实例。

解决方法：将 TS 代理服务器的 IP 地址设置为有效的 IP 地址，保存 TS 代理配置，然后重新启动服务器。

如果使用 TS 代理 和用户代理，则可以从用户代理排除 TS 代理 IP 地址，以免日志中出现非关键性错误。如果 TS 代理和用户代理检测到同一用户，则非关键性错误会写入日志。

为防止出现此情况，请排除 TS 代理的 IP 地址，以免用户代理进行记录。有关详细信息，请参阅《Firepower 用户代理配置指南》。

已解决的问题