お使いのシステム上で TS エージェントをインストールして実行するには、次の要件を満たす必要があります。

（注）	潜在的な問題を回避するとともに、ご使用のソフトウェアが最新であることを確保するため、シスコは、TS エージェントの最も新しくリリースされたバージョンを使用することを推奨します。最新バージョンを確認するには、シスコ サポートのサイトを参照してください。TS エージェントをアップグレードすることはできません。新しいバージョンをインストールする前に古いバージョンをアンインストールする必要があります。詳細については、TS エージェントのアンインストールを参照してください。

関連するトラブルシューティング情報については、Firepower Management Center での TS エージェントに関する問題のトラブルシューティングを参照してください。

サーバ

64 ビット Microsoft Windows ターミナル サーバの次のバージョンのいずれかに TS エージェントをインストールします。

• Microsoft Windows Server 2008 R2

• Microsoft Windows Server 2012

• Microsoft Windows Server 2012 R2

（注）	TS エージェントのインストールには、サーバ上に 576 KB の空き領域が必要です。

TS エージェントは、サーバにインストールされるターミナル サービス ソリューションのうち、以下のものと同時に使用することができます。

• Citrix XenDesktop

• Citrix XenApp

• Xen Project Hypervisor

• VMware vSphere Hypervisor/VMware ESXi 6.0

• Windows ターミナル サービス または Windows リモート デスクトップ サービス（RDS）

このバージョンの TS エージェントでは、ポート変換およびサーバ システム間の通信に、単一のネットワーク インターフェイス コント ローラ（NIC）を使用することができます。サーバに有効な NIC が 2 つ以上存在する場合、TS エージェントは、設定の際に指定されたアドレスに対してのみポートの変換を実行します。有効な NIC には必ず、IPv4 もしくは IPv6 のアドレスが 1 つだけ、または各タイプのアドレスが 1 つずつあります。有効な NIC が同じ種類のアドレスを複数持つことはできません。

（注）	サーバに接続されているデバイスのいずれかでルータ アドバタイズメントが有効になっていると、それらのデバイスがサーバ上の NIC に複数の IPv6 アドレスを割り当て、TS エージェントで使用する NIC を無効にしてしまう可能性があります。

システム：Firepower システム

このバージョンの TS エージェントは、バージョン 6.2 以降の Firepower システムを実行するスタンドアロンまたはハイ アベイラビリティの Firepower Management Center との接続をサポートします。

Firepower Management Center での TS エージェントに関する問題の詳細については、次の項を参照してください。

Firepower Management Center がシステム プロセスについてはユーザ情報を表示しない

システム コンテキスト内で実行されるサービスによって生成されるトラフィックは、TS エージェントによって追跡されません。特に、サーバ メッセージ ブロック（SMB）トラフィックはシステム コンテキスト内で実行されるため、TS エージェントは、SMB トラフィックを識別しません。

TS エージェント ユーザのタイムアウトが期待されるときに発生しない

サーバと Firepower Management Center の時計を同期させる必要があります。

TS エージェントがユーザ セッション ポートの変換を実行しない

TS エージェントは、次の場合はポート変換を実行しません。

• ユーザ セッションが、設定されている [最大ユーザ セッション（Max User Sessions）] の値を超えている。たとえば、[最大ユーザ セッション（Max User Sessions）] が 199 に設定されている場合、TS エージェントは、200 番目のユーザ セッションに対しては、ポート変換を実行しません。

• 使用可能なポートがすべて使用中。たとえば、[ユーザ ポート（User Ports）] の [範囲（Range）] の値がユーザ セッションごとに 200 ポートに指定されている場合、TS エージェントは、201 番目の TCP/UDP 接続に対しては、ユーザが別の TCP/UDP 接続を終了してポートを開放するまで、ポート変換を実行しません。

• ユーザ セッションに関連付けられたドメインがない。たとえば、サーバ管理者のセッションが、ローカル システムには認証されたものの外部の Active Directory サーバには認証されなかった場合、サーバ管理者は、サーバにログインしますがネットワークおよび TS エージェントにはアクセスできず、TS エージェントは、そのユーザ セッションにポートを割り当てません。

TS エージェントがポート変換を期待されるように実行しない

サーバの IP アドレスを手動で編集する場合、TS エージェント上で [サーバ NIC（Server NIC）] を編集する必要があります。その後で、TS エージェント設定を保存し、サーバを再起動します。

ユーザ セッションが Firepower Management Center に期待されるように報告されない

別の Firepower Management Center に接続するように TS エージェント設定を更新する場合は、新しい設定を保存する前に、現在のすべてのユーザ セッションを終了する必要があります。詳細については、現在のユーザ セッションの終了を参照してください。

クライアント アプリケーションのトラフィックがユーザ トラフィックとして Firepower Management Center に報告される

サーバにクライアント アプリケーションがインストールされており、そのアプリケーションが、[システム ポート（System Ports）] の範囲外のポートを使用するソケットにバインドするよう設定されている場合、[除外ポート（Exclude Port(s)）] フィールドを使用して、そのポートを変換から除外する必要があります。そのポートを除外しないと、そのポートが [ユーザ ポート（User Ports）] の範囲内である場合、TS エージェントは、そのポートでのトラフィックを、関係のないユーザ トラフィックとして報告する可能性があります。

これを防ぐには、クライアント アプリケーションを、[システム ポート（System Ports）] の範囲内のポートを使用するソケットにバインドするように設定します。

サーバ アプリケーションのタイムアウト、ブラウザのタイムアウト、または TS エージェントと Firepower Management Center の間の接続障害

TS エージェント サーバ上のアプリケーションが TCP/UDP 接続を終了したものの、それに関連するポートが完全に閉じられていない場合、TS エージェントは、そのポートを変換に使用できません。サーバがポートを完全に閉じる前に TS エージェントがそのポートを変換に使用しようとすると、接続は失敗します。

（注）	完全に閉じられていないポートを特定するには、netstat コマンド（サマリー情報用）または netstat -a -o -n -b コマンド（詳細情報用）を使用できます。これらのポートのステータスは、TIME_WAIT または CLOSE_WAIT です。

この問題が発生する場合は、問題によって影響を受ける TS エージェント ポートの範囲を大きくします。

• 正しく閉じられていないポートが [ユーザ ポート（User Ports）] の範囲内である場合、サーバ アプリケーションまたはブラウザのタイムアウトが発生します。

• 正しく閉じられていないポートが [システム ポート（System Ports）] の範囲内である場合、TS エージェントと Firepower Management Center の間で接続障害が発生します。

TS エージェントと Firepower Management Center の間の接続障害

設定中に [テスト（Test）] ボタンをクリックしたときに TS エージェントが Firepower Management Center との接続を確立できなかった場合は、次のことを確認してください。

• 入力した [ユーザ名（Username）] と [パスワード（Password）] が、REST VDI ロールの作成で説明するように、REST VDI 特権を有する Firepower Management Center ユーザの正しいクレデンシャルであるか確認します。

  TS エージェントからのユーザ認証が成功したかを確認するには、Firepower Management Center で監査ログを表示します。

• ハイ アベイラビリティ設定で、設定の直後にセカンダリの Firepower Management Center への接続が失敗した場合、それは、想定されている動作です。TS エージェントは、アクティブな Firepower Management Center と常に通信します。

  セカンダリがアクティブな Firepower Management Center となっている場合、プライマリの Firepower Management Center への接続は失敗します。

システム プロセスまたはサーバ上のアプリケーションが誤動作している

お使いのサーバ上のシステム プロセスが [システム ポート（System Ports）] の範囲にないポートを使用またはリッスンしている場合、そのポートは、[除外ポート（Exclude Port(s)）] フィールドを使用して手動で除外する必要があります。

お使いのサーバ上のアプリケーションが Citrix MA クライアントのポート（2598）または Windows ターミナル サーバのポート（3389）を使用またはリッスンしている場合、それらのポートが [除外ポート（Exclude Port(s)）] フィールドで除外されていることを確認してください。

Firepower Management Center に TS エージェントからの不明なユーザが表示される

Firepower Management Center が TS エージェントからの不明なユーザを表示するのは、次の状況です。

• TS エージェントのドライバ コンポーネントがクラッシュすると、ダウンタイム中に見られたユーザ セッションは、Firepower Management Center 上に不明なユーザとして記録されます。

• ハイ アベイラビリティ設定でプライマリの Firepower Management Center がダウンすると、フェールオーバー中の 10 分のダウンタイムの間に TS エージェントによって報告されるログインは、次のように処理されます。

  • Firepower Management Center で以前に見られたことのないユーザについて TS エージェントがユーザ セッション データを報告した場合、そのデータは、Firepower Management Center には、不明なユーザ アクティビティとして記録されます。

  • Firepower Management Center で以前に見られたことがあるユーザの場合、データは正常に処理されます。

  ダウンタイム後、不明のユーザはアイデンティティ ポリシーのルールに従って再確認され、処理されます。

サーバの NIC リストに NIC が表示されない

サーバに接続されているデバイスで、ルータ アドバタイズメント メッセージを無効にする必要があります。ルータ アドバタイズメントが有効になっていると、デバイスがサーバ上の NIC に複数の IPv6 アドレスを割り当て、TS エージェントで使用する NIC を無効にしてしまう可能性があります。

有効な NIC には必ず、IPv4 もしくは IPv6 のアドレスが 1 つだけ、または各タイプのアドレスが 1 つずつあります。有効な NIC が同じ種類のアドレスを複数持つことはできません。

既知の問題

解決済みの問題