- О единой регистрации для служб терминалов
- Прежде чем вы начнете
- Установите агент служб терминалов
- Настройте агент служб терминалов
- Управление списком исключений получателей
- Укажите программы для учетной записи пользователя Backend-Service
- Установить уровень журнала диагностики и просмотреть сообщения журнала
- Смотрите также
Если у вас есть несколько пользователей, которые подключаются к вашему серверу терминалов или серверу Citrix, а затем подключаются к вашей сети или Интернету, может быть трудно контролировать отдельные потоки трафика от этих пользователей на основе их имен пользователей или членства в группах. Это происходит потому, что когда один пользователь проходит аутентификацию в Firebox, устройство сопоставляет этого пользователя с IP-адресом сервера терминалов или сервера Citrix. Затем, когда другой пользователь отправляет трафик с IP-адреса сервера терминалов или сервера Citrix, в Firebox появляется сообщение о том, что этот трафик также поступил от первого пользователя, прошедшего проверку подлинности. Firebox не может определить, кто из нескольких пользователей, одновременно подключенных к вашему серверу терминалов или серверу Citrix, генерировал какой-либо определенный трафик.
Если ваше устройство работает с Fireware v11.0 – v11.3.x, поддержка служб терминалов недоступна и параметры конфигурации не отображаются.
Чтобы убедиться, что ваши пользователи правильно идентифицированы, вы должны:
- Установите агент служб терминалов WatchGuard на свой сервер терминалов (2012 или более позднюю версию) или сервер Citrix.
Информацию о совместимости операционной системы см. В заметках о выпуске версии Fireware на вашей Firebox. - Настройте Firebox для аутентификации пользователей на портале аутентификации через порт 4100.
- Включите настройки служб терминалов в файле конфигурации Firebox.
После выполнения этих параметров конфигурации, когда каждый пользователь сервера терминалов или сервера Citrix проходит проверку подлинности в своей Firebox, устройство отправляет агенту служб терминалов (агенту TO) идентификатор сеанса пользователя для каждого пользователя, который входит в систему. Агент служб терминалов также известен как Агент TO (владелец трафика). Агент служб терминалов отслеживает трафик, генерируемый отдельными пользователями (владельцами трафика), и сообщает идентификатор сеанса пользователя на устройство для каждого потока трафика, генерируемого клиентом сервера терминалов или сервера Citrix. Затем ваше устройство может правильно идентифицировать каждого пользователя и применять правильные политики безопасности к трафику для каждого пользователя на основе имен пользователей или групп.
Для получения дополнительной информации о том, как включить ваш Firebox для аутентификации пользователей через порт 4100, см. Настройте ваш Firebox в качестве сервера аутентификации а также О политике проверки подлинности WatchGuard (WG-Auth) ,
Когда вы используете агент служб терминалов, ваш Firebox может применять политики, основанные на именах пользователей или групп, только для трафика, который аутентифицирован. Если трафик поступает на устройство без информации об идентификаторе сеанса, устройство управляет трафиком так же, как оно управляет любым другим трафиком, для которого у него нет имени пользователя, сопоставленного с IP-адресом. Если в вашем файле конфигурации есть политика, которая может обрабатывать трафик с этого IP-адреса, устройство использует эту политику для обработки трафика. Если нет политики, соответствующей исходному IP-адресу трафика, устройство использует необработанные правила пакетов для обработки трафика.
Для получения дополнительной информации о том, как настроить параметры для необработанных пакетов, см. О необработанных пакетах ,
Если вы используете агент служб терминалов, ваш Firebox не сможет автоматически перенаправлять пользователей на портал аутентификации.
Чтобы ваша Firebox мог правильно обрабатывать системный трафик с сервера терминалов или сервера Citrix, агент служб терминалов использует специальную учетную запись пользователя с именем Backend-Service , которая является частью агента служб терминалов. Агент служб терминалов идентифицирует трафик, генерируемый системными процессами (вместо трафика пользователя), с помощью учетной записи пользователя Backend-Service. Вы можете добавить этого пользователя в список авторизованных пользователей и групп в конфигурации Firebox, а затем использовать его в политике, чтобы разрешить трафик на сервер и с него. Например, вы можете добавить настраиваемую политику фильтрации пакетов, аналогичную исходящей политике по умолчанию. Настройте политику для использования протокола TCP-UDP и разрешения трафика от учетной записи пользователя Backend-Service к Any-External .
В Fireware v11.11.2 и выше учетная запись пользователя Backend-Service автоматически добавляется при включении служб терминалов в настройках глобальной аутентификации служб терминалов в Firebox. Если вы используете более раннюю версию Fireware, вы должны добавить этого пользователя вручную. Для получения дополнительной информации о том, как добавить учетную запись пользователя Backend-Service в конфигурацию Firebox, см. Использование пользователей и групп в политиках , Обязательно выберите Any из выпадающего списка Auth Server .
Для получения дополнительной информации о том, как добавить политику, см. Добавить политики в вашу конфигурацию ,
Убедитесь, что обновления на вашем сервере терминалов или сервере Citrix запланированы для запуска под учетной записью пользователя системы, локальной службы или сетевой службы. Агент служб терминалов распознает эти учетные записи пользователей как учетную запись Backend-Service и разрешает трафик. Если вы планируете запускать обновления от имени другой учетной записи, этот пользователь должен вручную пройти аутентификацию на портале приложений, чтобы сервер получал обновления. Если этот пользователь не аутентифицирован на портале аутентификации, трафик не разрешается, и сервер не получает обновления.
Агент служб терминалов не может контролировать трафик ICMP, NetBIOS или DNS. Это также не управляет трафиком к порту 4100 для Аутентификации Firebox. Чтобы контролировать эти типы трафика, вы должны добавить определенные политики в ваш файл конфигурации Firebox, чтобы разрешить трафик.
Поддержка служб терминалов недоступна, если ваш Firebox находится в режиме моста или является членом активного / активного FireCluster.
О единой регистрации для служб терминалов
Решение служб терминалов WatchGuard также поддерживает функцию единого входа с агентом служб терминалов. Когда пользователь входит в домен, агент служб терминалов собирает информацию о пользователе (учетные данные пользователя, группы пользователей и имя домена) из события входа пользователя в систему Windows и отправляет ее в Firebox. Затем устройство создает сеанс аутентификации для пользователя и отправляет идентификатор сеанса пользователя агенту служб терминалов, чтобы пользователю не приходилось вручную проходить аутентификацию на портале аутентификации. Когда пользователь выходит из системы, агент служб терминалов автоматически отправляет информацию о выходе из системы на устройство, и устройство закрывает аутентифицированный сеанс для этого пользователя.
Параметр единого входа для агента служб терминалов не использует какие-либо компоненты решения WatchGuard для единого входа (агент единого входа, клиент единого входа, монитор журнала событий, монитор Exchange). Вам не нужно устанавливать какие-либо компоненты единого входа в WatchGuard, чтобы использовать параметр единого входа для агента служб терминалов.
Служба единого входа в службы терминалов позволяет пользователям войти в систему один раз и автоматически получить доступ к вашей сети без дополнительных шагов аутентификации. Благодаря единому входу в систему для служб терминалов пользователям не нужно вручную проходить аутентификацию на портале аутентификации. Однако пользователи, вошедшие в систему через терминальные службы, могут по-прежнему вручную проходить аутентификацию с другими учетными данными. Аутентификация вручную всегда отменяет аутентификацию единого входа с агентом служб терминалов.
Хотя агент служб терминалов не взаимодействует с компонентами решения WatchGuard Single Sign-On, если вы используете компоненты решения WatchGuard Single Sign-On и агент служб терминалов, WatchGuard рекомендует добавить любые серверы терминалов, которые вы используете с агент служб терминалов в список исключений единого входа. Дополнительные сведения см. В разделе « Определение исключений единого входа » в разделе. Включить единый вход Active Directory (SSO) ,
Прежде чем вы начнете
Перед установкой агента служб терминалов на сервер терминалов или сервер Citrix убедитесь, что:
- Операционная система сервера - Windows Server 2012 или более поздняя.
- Службы терминалов или службы удаленных рабочих столов включены на вашем сервере
- Порты 4131–4134 открыты
Установите агент служб терминалов
Агент служб терминалов можно установить на сервере терминалов или сервере Citrix с 32-разрядной или 64-разрядной операционной системой. Существует одна версия установщика агента служб терминалов для обеих операционных систем.
Чтобы установить агент служб терминалов на свой сервер:
- Перейти к Центр загрузки программного обеспечения WatchGuard ,
- Найдите страницу загрузки программного обеспечения для вашего Firebox.
- Загрузите последнюю версию установщика агента служб терминалов и скопируйте его на сервер, на котором установлены службы терминалов, или сервер Citrix.
- Запустите установщик.
Откроется мастер TO Agent. - Чтобы запустить мастер, нажмите Далее .
- Завершите работу мастера, чтобы установить агент служб терминалов на свой сервер.
- Перезагрузите ваш сервер терминалов или сервер Citrix.
Настройте агент служб терминалов
После установки агента служб терминалов на сервере терминалов или сервере Citrix вы можете использовать инструмент TO Settings для настройки параметров агента служб терминалов.
- Выберите Пуск> Все программы> WatchGuard> TO Agent> Set Tool .
Откроется диалоговое окно «Настройки агента TO» с выбранной вкладкой «Список исключений получателей».
- Чтобы настроить параметры агента служб терминалов, следуйте инструкциям в следующих разделах.
- Нажмите Закрыть .
Управление списком исключений получателей
Поскольку агенту служб терминалов не нужно отслеживать трафик, который не контролируется Firebox, вы можете указать один или несколько IP-адресов назначения или диапазон IP-адресов назначения для трафика, который вам не нужен агент служб терминалов. контролировать. Обычно это трафик, который не проходит через ваш Firebox, такой как трафик, который не включает учетную запись пользователя (к которой не применяются политики аутентификации), трафик в вашей сетевой интрасети или трафик на сетевые принтеры.
Вы можете добавлять, редактировать и удалять пункты назначения для трафика, который вы не хотите отслеживать агентом служб терминалов.
Чтобы добавить пункт назначения:
- Выберите вкладку « Список исключений получателей ».
- Нажмите Добавить .
Откроется диалоговое окно Add Destination Exception.
- В раскрывающемся списке « Выберите тип» выберите параметр:
- IP-адрес хоста
- Сетевой IP-адрес
- Диапазон IP-адресов
- Если вы выбираете IP-адрес хоста , введите IP-адрес для исключения.
Если вы выбираете Сетевой IP-адрес , введите Сетевой адрес и Маску для исключения.
Если вы выберете Диапазон IP-адресов , введите Исключительный IP-адрес начала диапазона и Конечный IP-адрес диапазона. - Нажмите Добавить .
Указанная вами информация появится в списке исключений получателей. - Чтобы добавить дополнительные адреса в список исключений получателей , повторите шаги 4–7.
Чтобы изменить пункт назначения в списке:
- Из списка исключений адресатов выберите пункт назначения.
- Нажмите Изменить .
Откроется диалоговое окно «Исключение получателя». - Обновите информацию о месте назначения.
- Нажмите ОК .
Чтобы удалить пункт назначения из списка:
- Из списка исключений адресатов выберите пункт назначения.
- Нажмите Удалить .
Выбранный адрес будет удален из списка.
Укажите программы для учетной записи пользователя Backend-Service
Агент служб терминалов идентифицирует трафик, генерируемый системными процессами, с помощью учетной записи пользователя Backend-Service. По умолчанию это включает трафик от программ SYSTEM, Network Service и Local Service. Вы также можете указать другие программы с расширением EXE, которые вы хотите, чтобы агент служб терминалов связывал с учетной записью Backend-Service, чтобы они разрешались через ваш брандмауэр. Например, clamwin.exe, SoftwareUpdate.exe, Safari.exe или ieexplore.exe.
Чтобы указать программы для агента служб терминалов, которые будут связаны с учетной записью пользователя Backend-Service:
- Выберите вкладку Backend-Service .
- Нажмите Добавить .
Откроется диалоговое окно «Открыть». - Найдите и выберите программу с расширением EXE.
Путь к программе появится в списке Backend-Service. - Чтобы удалить программу из списка Backend-Service , выберите программу и нажмите « Удалить» .
Путь к программе удаляется из списка.
Установить уровень журнала диагностики и просмотреть сообщения журнала
Можно настроить уровень журнала диагностики для агента служб терминалов (агента TO) и приложений TO Set Tool. Сообщения журнала, создаваемые каждым приложением, сохраняются в текстовом файле.
Размер файла журнала ограничен 10 МБ. Когда максимальный размер файла журнала составляет 10 МБ, он сжимается в формате GZIP до размера приблизительно 1 МБ и перемещается в папку архива, которая является подпапкой в каталоге \ LOGS для вашего экземпляра агента TO. В папке архива может быть не более 30 сжатых файлов. Когда достигается максимум 30 файлов и в папку добавляется новый сжатый файл GZIP, самый старый файл GZIP удаляется, чтобы освободить место для нового файла.
Чтобы просмотреть сообщения журнала, сгенерированные для агента TO или инструмента Set Set, вы можете открыть файл журнала для каждого приложения на вкладке « Уровень журнала диагностики ».
- Выберите вкладку « Уровень журнала диагностики ».
- В раскрывающемся списке « Установить уровень журнала диагностики» выберите приложение:
- TOAgent (это агент служб терминалов.)
- Установить инструмент
- Переместите ползунок « Настройки», чтобы установить уровень журнала диагностики для выбранного приложения.
- Чтобы просмотреть доступные файлы журнала для выбранного приложения, нажмите « Просмотреть журнал» .
Откроется текстовый файл с доступными сообщениями журнала для выбранного приложения. - Чтобы настроить параметры и просмотреть сообщения журнала для другого приложения, повторите шаги 2–4.
Подробные инструкции о том, как выполнить настройку служб терминалов для вашей Firebox, см. В разделе Настройка параметров служб терминалов ,
Смотрите также
Настройка параметров служб терминалов
Настройте проверку подлинности Active Directory
Установить значения глобальной аутентификации брандмауэра
Установите уровень журнала диагностики
Похожие
Как установить Tor Browser 7.0 на Ubuntu 17.04 и Linux MintTor Browser 7.0, браузер безопасности конфиденциальности, который позволяет использовать Tor в Windows, Mac OS X или Linux без необходимости устанавливать какое-либо программное обеспечение, был недавно выпущен, и это первый стабильный выпуск в серии 7.0. Прежде чем мы приступим к установке Tor Browser, давайте кратко рассмотрим, что может предложить этот выпуск. Одна из наиболее заметных функций - это поддержка Mozilla. Знаете ли вы, как создать сайт, где ваши фотографии будут в безопасности?
При создании интернет-портфолио вы тщательно выбираете лучшую работу. Все отлично - фотография выглядит великолепно, на Фейсбуке она собирает десятки лайков. И затем вы получаете сообщение от кого-то, кого вы знаете: «Эй, разве это не ваша фотография этой стороны»? Статья была создана в сотрудничестве с WebWave Вы определенно хотите, чтобы ваше портфолио было уникальным. Вы работаете в мастерской, много тратите на оборудование, каждый день учитесь 12 лучших браузеров для iPhone, которые вы можете использовать (2019)
IOS App Store заполнен сторонними браузерами, которые довольно хороши. Некоторые браузеры делают ваш просмотр безопасным, мешая онлайн-трекерам отслеживать вашу привычку просмотра. Некоторые предлагают простой в использовании интерфейс, а некоторые лучше работают с учетными записями Google. Война браузеров сильнее, чем когда-либо, и если вам трудно выбрать лучший браузер для iPhone для вашего устройства, эта статья поможет вам. В этой статье мы перечислили все лучшие веб-браузеры iPhone Как отменить проект
читать статью на английском Отмена проекта все еще необычна для многих компаний. Хотя, по крайней мере в теории, большинство людей считают целесообразным Дешевое позиционирование (SEO) - что дает SEO-агентство?
... служба, которая хочет зарабатывать деньги, должна вести интенсивную и профессиональную деятельность, делая доступ к первым позициям намного более сложным и зарезервированным для лучших. во-вторых Google это не облегчает жизнь позиционерам, постоянно меняя алгоритм поиска. Что это значит? Вы не можете позиционировать себя дешево, и в то же время ожидать долгосрочных эффектов. Эти услуги стали более сложными и всеобъемлющими, Как добавить видео в интерактивные PDF-файлы
Картинка стоит тысячи слов, а видео - миллион. Видео может передавать больше информации быстрее, чем печатные или статические изображения. Это может привести к тому, что другие документы останутся привлекательными. Растущая популярность YouTube, Facebook Video и Facebook Live свидетельствует о привлекательности видео. Сообщество бегунов adidas: новая функция в приложении Runtastic!
Глобальный «Сообщество бегунов adidas» теперь доступно в приложении Runtastic ! Присоединяйтесь к мотивированному сообществу, участвуйте в проводимых мероприятиях и достигайте уровней Adidas Runners, которые могут дать вам преимущества. Что такое Adidas Runners? Со своими сообществами adidas Runners, adidas уже много лет Новые гибридные часы WearOS от LG обещают до 100 дней автономной работы
Вчера вечером корейская компания LG обнародовала новости осени 2018. Прежде всего, это был LG V40, о котором мы рассмотрим в следующей статье. Но сначала у нас появились новые гибридные часы LG Watch W7. На первый взгляд они выглядят очень хорошо, но у них также есть «умная» деталь с поддержкой WearOS, но они также могут превратиться в классические аналоговые часы со сроком до 100 дней. Это звучит очень хорошо на бумаге. Но на самом деле есть несколько проблем, которые заставляют эти часы Создайте свой собственный блог в 2019 году: идеальное руководство для начинающих
Вы решили создать свой собственный блог. Но у вас в голове тысячи вопросов: Какие платформы для блогов существуют? Где я могу создать блог бесплатно? Как мне найти подходящую тему для моего блога? Как мне получить посетителей? И как я могу заработать деньги как блогер? Не волнуйся! Потому что это руководство, которое мне бы понравилось 8 лет назад, когда я сам хотел создать блог (и был совершенно случайным). В этом уроке я покажу вам Android Троянский конь
... служба, которая работает в фоновом режиме и прослушивает телефонный звонок до конца. Как только он узнает, что вызов завершен, он установит будильник на 1 минуту, чтобы триггер SendSmsReceiver вызвал свой метод onReceive. GetGPSReceiever.java Этот приемник срабатывает через 5 минут после первого открытия приложения и каждые 15 минут после этого молча. Когда он запущен, он найдет местоположение GPS пользователя, используя класс MyLocation с открытым Лучший портативный жесткий диск
После 18 часов новых исследований и испытаний мы обнаружили, что Seagate Backup Plus Slim 2 ТБ все еще лучший портативный жесткий диск для большинства людей. Это надежно, это один из самых
Комментарии
Вы хотите удалить запрос пароля для учетной записи, учетные данные которой вы не можете запомнить?Вы хотите удалить запрос пароля для учетной записи, учетные данные которой вы не можете запомнить? Вы можете сделать это тоже, я говорил вам об этом в моем уроке на как передать пароль Windows , но это очень деликатная операция (потенциально незаконная, если вы пытаетесь нарушить чужую учетную запись). Используйте решения такого рода только в случаях крайней необходимости и, прежде всего, только в законных Но что вы можете с этим поделать?
Но что вы можете с этим поделать? Вы, наверное, знаете, что легко получить фотографии с большинства сайтов, где фотографы публикуют свои работы. Щелкните правой кнопкой мыши на фото, затем «сохранить изображение как», и тогда все готово. Обычно, когда вы загружаете Мне бы хотелось услышать, что именно вы ищете в мобильном браузере и какой веб-браузер вы предпочитаете на iPhone?
Мне бы хотелось услышать, что именно вы ищете в мобильном браузере и какой веб-браузер вы предпочитаете на iPhone? Также, если мы пропустили какой-либо браузер, который заслуживает того, чтобы быть в этом списке лучших браузеров iPhone, сообщите нам об этом в разделе комментариев ниже. Можете ли вы дать что-то лучше, чем натуральный продукт?
Можете ли вы дать что-то лучше, чем натуральный продукт? Мы уделяем больше внимания тому, что мы едим, натуральные продукты очень желательны и ценны. Мы рады, что мы также начинаем смотреть на косметику и ее композиции. Не просто упаковка, которая производит впечатление. Наша косметика действительно натуральная, в чистом виде - органическая, что гарантировано международными сертификатами - Ecocert и Cosmebio. Мы не добавляем искусственные красители, ароматизаторы или синтетические вещества с Можете ли вы представить себе видео или написать книгу об этом?
Можете ли вы представить себе видео или написать книгу об этом? Или читать лекции по этому поводу? Если вы сядете с бумагой и ручкой в течение получаса, вы найдете 20 идей для потенциальных статей? Вы часто и часто рассказываете своим друзьям об этой теме? Можете ли вы ответить «да» на все или большинство вопросов? Если так, то тема правильная. Возможность зарабатывать деньги с темой также является важным фактором. Особенно, если вы хотите стать постоянным Вы знали?
Вы знали? Персональные бесплатные домены входят тарифам хостинга Премиум и Бизнес! Гарантия возврата денег - 30 дней Если вы довольны услугами Hostinger не на 100%, мы вернем ваш платеж. Никаких сложностей, никаких рисков. узнать детали Мы и наши партнёры используем файлы cookie для предоставления наших Прежде всего, убедитесь, что они вам вообще нужны, потому что, может быть, Flash в эпоху HTML 5 не полезен для вас, а только влияет на безопасность вашего компьютера?
Прежде всего, убедитесь, что они вам вообще нужны, потому что, может быть, Flash в эпоху HTML 5 не полезен для вас, а только влияет на безопасность вашего компьютера? Просмотрите параметры и включите автоматическое обновление, когда это возможно. Если вы не знаете, какие программы у вас на компьютере - вы можете использовать готовые решения он найдет для вас потенциальные векторы атак и даже предоставит вам ссылки Что вы думаете о гибридных часах LG Watch W7?
Что вы думаете о гибридных часах LG Watch W7? источники: gsmarena.com , androidpolice.com Как вы управляете проектом без потери лица?
Как вы управляете проектом без потери лица? Есть несколько способов защитить себя от полной потери лица. С одной стороны, важно указать на последствия, которые может иметь продолжение проекта. В большинстве случаев это приводит к огромной потере денег и растрате ценных ресурсов. Это наверняка найдет слушание виновных. С другой стороны, вы должны решиться Принимать неправильные решения называть плохие выступления по имени, понимают, В чем секрет?
В чем секрет? Легко, удалить функции. 😮 как? Adobe удалила функции из своих приложений? Разве не предполагается, что каждая новая версия добавляет функции вместо их удаления? Что ж, как я сказал в начале, если функции не будут удалены, приложения будут очень большими, поэтому любой разработчик, включая Adobe, должен исключить функции, которые, по его мнению, не были широко использованы или которые могут быть интегрированы с другими инструментами, для этого Поэтому мы редко замечаем его отсутствие. Так о чем это?
Так о чем это? позиционирование сайта на немецком языке Google ? Основная цель - избежать использования элементов сайта на польском языке и максимально использовать элементы, которые будут использоваться потенциальными клиентами.
Знаете ли вы, как создать сайт, где ваши фотографии будут в безопасности?
И затем вы получаете сообщение от кого-то, кого вы знаете: «Эй, разве это не ваша фотография этой стороны»?
Что это значит?
Что такое Adidas Runners?
Но у вас в голове тысячи вопросов: Какие платформы для блогов существуют?
Где я могу создать блог бесплатно?
Как мне найти подходящую тему для моего блога?
Как мне получить посетителей?
И как я могу заработать деньги как блогер?
Вы хотите удалить запрос пароля для учетной записи, учетные данные которой вы не можете запомнить?