认证 > 安装和配置 Terminal Services Agent

安装和配置 Terminal Services Agent

当存在多个用户连接在您的终端服务器或 Citrix 服务器进而连接到您的网络或 Internet 时,很难根据他们的用户名或者组员身份单独控制其各自的流量。 这是因为当某个用户认证到 XTM 设备时,XTM 设备会将该用户映射到终端服务器或 Citrix 服务器的 IP 地址。 然后,当其他用户从该终端服务器或 Citrix 服务器 IP 地址发送流量时,在 XTM 设备看来此流量也来自第一个通过认证的用户。 XTM 设备不能分辨出同时登录到终端服务器或 Citrix 服务器上的多个用户中具体哪些用户生成了哪些流量。

如果设备运行 Fireware XTM v11.0–v11.3.x,则 Terminal Services 支持不可用,并且 Web UI 中不会出现相关的配置设置。

要确保正确地识别用户,必须:

  1. 在您的终端服务器(2003 或 2008)或者 Citrix 服务器上安装 WatchGuard 终端服务代理。
  2. 配置您的 XTM 设备以通过 4100 端口在认证门户上进行用户认证。
  3. 在 XTM 设备配置文件中启用终端服务设置。

完成这些配置设置后,当每个终端服务器或者 Citrix 服务器用户在 XTM 设备上进行认证时,该 XTM 设备会针对每个登录的用户向 Terminal Services Agent (TO Agent) 发送一个用户会话 ID。 终端服务代理分别监视各个用户生成的流量,并就终端服务器或 Citrix 服务器客户端生成的每一种流量把用户会话 ID 报告给 XTM 设备。 然后,根据用户名或者组名,XTM 设备就可以正确地识别每个用户并为每个用户的流量应用正确的安全策略。

有关如何启用 XTM 设备以通过 4100 端口进行用户认证的详细信息,请参阅将 XTM 设备配置为认证服务器关于 WatchGuard 认证(WG 认证)策略

当您使用终端服务代理时,您的 XTM 设备仅可以为通过认证的流量强制执行基于用户名或组名的策略。 如果到 XTM 设备的流量没有会话 ID 信息,XTM 设备将对该流量进行管理,其方式和管理任何其他用户名没有映射到 IP 地址的流量相同。 如果您的配置文件中有一条可以处理来自该 IP 地址的流量的策略,XTM 设备将使用该策略处理此流量。 如果没有与流量的源 IP 地址相匹配的策略,XTM 设备将按未处理的数据包规则处理流量。

有关如何为未处理的数据包配置设置的详细信息,请参阅关于 未处理的数据包

如果使用了终端服务代理,则您的 XTM 设备不能自动将用户重定向到认证门户。

为了让 XTM 设备能够正确处理来自终端服务器或 Citrix 服务器的系统相关流量,Terminal Services Agent 将使用一个名为 Backend-Service 的特殊用户帐户,该帐户属于 Terminal Services Agent 的一部分。 终端服务代理能够通过 Backend-Service 用户帐户识别由系统进程生成的流量(而不是用户流量)。 可以将该用户添加到 XTM 设备配置中的已授权用户和组列表,并在一条策略中应用它以允许发往或来自服务器的流量通过。 例如,您可以添加一条与默认的传出策略类似的自定义数据包筛选器策略。 配置该策略以使用 TCP-UDP 协议并允许从 Backend-Service 用户帐户到 Any-External 的流量。

有关如何在 XTM 设备配置中添加 Backend-Service 用户帐户的详细信息,请参阅使用策略中的授权用户和组。 确保在认证服务器下拉列表中选择任意

有关如何添加策略的详细信息,请参阅在配置中添加策略

确保您的终端服务器或 Citrix 服务器上的更新像系统、本地服务或网络服务用户帐户一样按照计划运行。 Terminal Services Agent 将把这些用户帐户识别为 Backend-Service 帐户并允许其流量。 如果您计划用一个不同的用户帐户运行更新,该用户必须手动认证到应用程序门户以使服务器接收更新。 如果该用户没有认证到认证门户,其流量将被禁止且服务器无法收到更新。

终端服务代理不能控制 ICMP、NetBIOS 或 DNS 流量。 也不会为控制到 4000 端口的 Firebox 认证流量。 要控制此类流量,必须将具体的策略添加到 XTM 设备配置文件以允许流量。

如果 XTM 设备处于桥接模式,或者是活动/活动 FireCluster 的成员,则 Terminal Services 支持不可用。

关于 Terminal Services 的单一登录

Terminal Services 还支持使用 Terminal Services Agent 进行单一登录 (SSO)。 用户登录到域时,Terminal Services Agent 会从 Windows 用户登录事件收集用户信息(用户凭据、用户组和域名),并将其发送到 XTM 设备。 然后,XTM 设备将为用户创建认证会话,并将用户会话 ID 发送到 Terminal Services Agent,从而使用户无需在认证门户中进行手动认证。 用户注销时,Terminal Services Agent 会自动将注销信息发送到 XTM 设备,然后 XTM 设备将关闭该用户已通过认证的会话。

Terminal Services SSO 使用户只需登录一次,即可自动获取网络的访问权限,并且无需额外的身份验证步骤。 通过 Terminal Services 的 SSO,用户无需手动认证到认证门户。 但是,通过 Terminal Services 登录的用户仍然可以使用不同的用户凭据进行手动认证。 手动身份验证始终会覆盖 SSO 身份验证。

开始之前

在终端服务器或 Citrix 服务器上安装 Terminal Services Agent 之前,请确保:

安装终端服务代理

您可以在 32 位或 64 位操作系统的终端服务器或 Citrix 服务器上安装终端服务代理。 这两种操作系统使用同一种版本的 Terminal Services Agent 安装程序。

要在服务器上安装终端服务代理,请执行下列操作:

  1. 登录 WatchGuard 网站并选择项目与软件选项卡。
  2. 查找适用于 XTM 设备的软件下载。
  3. 获取最新版本的 TO Agent 安装程序并将其复制到安装了 Terminal Services 的服务器或 Citrix 服务器上。
  4. 启动安装程序。
    将显示 TO 代理向导。
  5. 单击下一步启动向导。
  6. 完成向导以在服务器上安装 Terminal Services Agent。
  7. 重新启动您的终端服务器或 Citrix 服务器。

配置终端服务代理

将 Terminal Services Agent 安装在终端服务器或 Citrix 服务器上后,可以使用 TO Setting Tool 配置 Terminal Services Agent 的设置。

  1. 选择开始 > 所有程序 > WatchGuard > TO Agent > 设置工具
    将显示 TO Agent 设置对话框,已选择例外目标列表选项卡。
  1. 要配置 Terminal Services Agent 的设置,请按后续部分中的说明操作。
  2. 单击关闭

管理例外目标列表

由于 Terminal Services Agent 无需监控不受 XTM 设备控制的流量,因此可以指定一个或多个目标 IP 地址或目标 IP 地址的范围,以用于不希望由 Terminal Services Agent 监视的流量。 这通常是不通过 XTM 设备的流量,例如不包括用户帐户的流量(认证策略不适用)、内联网中的流量,或传输到网络打印机的流量。

可以为不希望由 Terminal Services Agent 监视的流量添加、编辑和删除目标。

要添加目标:

  1. 选择例外目标列表选项卡。
  2. 单击添加
    将显示添加例外目标对话框。
  1. 选择类型下拉列表中,选择一个选项:
  2. 如果选择主机 IP 地址,请键入例外的 IP 地址
    如果选择网络 IP 地址,请键入例外的网络地址子网掩码
    如果选择 IP 地址范围,请输入例外的范围开始 IP 地址和范围结束 IP 地址。
  3. 单击添加
    您指定的信息将出现在例外目标列表中。
  4. 要在例外目标列表中添加更多地址,请重复步骤 4-7。

要编辑列表中的目标:

  1. 例外目标列表选择目标。
  2. 单击编辑
    将显示例外目标对话框。
  3. 更新目标的详细信息。
  4. 单击确定

要从列表删除目标:

  1. 例外目标列表选择目标。
  2. 单击删除
    将从列表移除所选地址。

指定 Backend-Service 用户帐户的程序

Terminal Services Agent 能够通过 Backend-Service 用户帐户识别由系统进程生成的流量。 默认情况下,这包括来自系统、网络服务和本地服务程序的流量。 也可以指定其他具有 EXE 文件扩展名的程序,以便 Terminal Services Agent 将这些程序与 Backend-Service 帐户相关联,从而使其能够通过防火墙。 例如 clamwin.exe、SoftwareUpdate.exe、Safari.exe 或 ieexplore.exe。

要为 Terminal Services Agent 指定与 Backend-Service 用户帐户关联的程序:

  1. 选择 Backend-Service 选项卡。
  1. 单击添加
    将显示打开对话框。
  2. 浏览以选择具有 EXE 扩展名的程序。
    程序路径将显示在 Backend-Service 列表中。
  3. 要从 Backend-Service 列表移除程序,请选择此程序并单击删除
    将从列表中移除程序路径。

设置诊断日志级别和查看日志消息

可以为 Terminal Services Agent (TO Agent) 和 TO Set Tool 应用程序配置诊断日志级别。 每个应用程序生成的日志消息都保存在文本文件中。 要查看为 TO Agent 或 TO Set Tool 生成的日志消息,可以在诊断日志级别选项卡中打开每个应用程序的日志文件。

  1. 选择诊断日志级别选项卡。
  1. 设置此应用程序的诊断日志级别下拉列表中,选择应用程序:
  2. 移动设置滑块以设置选定应用程序的诊断日志级别。
  3. 要查看所选应用程序的可用日志文件,请单击查看日志
    将打开一个文本文件,其中包含所选应用程序的日志消息。
  4. 要为其他应用程序配置设置,以及查看其日志消息,请重复步骤 2-4。

有关如何完成 XTM 设备 Terminal Services 配置的详细步骤,请参阅配置 Terminal Services 设置

请参阅

配置 Terminal Services 设置

配置 Active Directory Authentication

设置全局防火墙认证值

设置诊断日志级别

提供反馈  •   获得支持  •   全部产品文件  •   知识库