Firepower Management Center での TS エージェントに関する問題の詳細については、次の項を参照してください。
このリリースで解決された既知の問題の詳細については、解決済みの問題を参照してください。
Firepower Management Center がシステム プロセスについてはユーザ情報を表示しない
システム コンテキスト内で実行されるサービスによって生成されるトラフィックは、TS エージェントによって追跡されません。特に、次の点に注意してください。
-
サーバメッセージブロック(SMB)トラフィックはシステムコンテキスト内で実行されるため、TS エージェントは SMB トラフィックを識別しません。
-
一部のアンチウイルス アプリケーションは、Web トラフィックをオンプレミスまたはクラウドゲートウェイにプロキシして、クライアントコンピュータに到達する前にウイルスを捕捉します。ただし、これは、アンチウイルスソフトウェアが通常はシステムアカウントを使用することを意味します。この場合、FMC
はユーザを不明なユーザと見なします。この問題を解決するには、Web トラフィックプロキシを無効にします。
TS エージェント ユーザのタイムアウトが期待されるときに発生しない
サーバと Firepower Management Center の時計を同期させる必要があります。
TS エージェントがユーザ セッション ポートの変換を実行しない
TS エージェントは、次の場合はポート変換を実行しません。
-
ユーザ セッションが、設定されている [最大ユーザ セッション(Max User Sessions)] の値を超えている。たとえば、[最大ユーザ セッション(Max User Sessions)] が 29 に設定されている場合、TS エージェントは、30 番目のユーザ セッションに対しては、ポート変換を実行しません。
-
使用可能なポートがすべて使用中。たとえば、[ユーザ ポート(User Ports)] の [範囲(Range)] の値がユーザ セッションごとに 1000 ポートに指定されている場合、TS エージェントは、1001 番目の TCP/UDP 接続に対しては、ユーザが別の TCP/UDP 接続を終了してポートを開放するまで、ポート変換を実行しません。
-
ユーザ セッションに関連付けられたドメインがない。たとえば、サーバ管理者のセッションが、ローカル システムには認証されたものの外部の Active Directory サーバには認証されなかった場合、サーバ管理者は、サーバにログインしますがネットワークおよび
TS エージェントにはアクセスできず、TS エージェントは、そのユーザ セッションにポートを割り当てません。
TS エージェントがポート変換を期待されるように実行しない
サーバの IP アドレスを手動で編集する場合、TS エージェント上で [サーバ NIC(Server NIC)] を編集する必要があります。その後で、TS エージェント設定を保存し、サーバを再起動します。
ユーザ セッションが Firepower Management Center に期待されるように報告されない
別の Firepower Management Center に接続するように TS エージェント設定を更新する場合は、新しい設定を保存する前に、現在のすべてのユーザ セッションを終了する必要があります。詳細については、現在のユーザ セッションの終了を参照してください。
クライアント アプリケーションのトラフィックがユーザ トラフィックとして Firepower Management Center に報告される
サーバにクライアント アプリケーションがインストールされており、そのアプリケーションが、[システム ポート(System Ports)] の範囲外のポートを使用するソケットにバインドするよう設定されている場合、[除外ポート(Exclude Port(s))] フィールドを使用して、そのポートを変換から除外する必要があります。そのポートを除外しないと、そのポートが [ユーザ ポート(User Ports)] の範囲内である場合、TS エージェントは、そのポートでのトラフィックを、関係のないユーザ トラフィックとして報告する可能性があります。
これを防ぐには、クライアント アプリケーションを、[システム ポート(System Ports)] の範囲内のポートを使用するソケットにバインドするように設定します。
サーバ アプリケーションのタイムアウト、ブラウザのタイムアウト、または TS エージェントと Firepower Management Center の間の接続障害
TS エージェント サーバ上のアプリケーションが TCP/UDP 接続を終了したものの、それに関連するポートが完全に閉じられていない場合、TS エージェントは、そのポートを変換に使用できません。サーバがポートを完全に閉じる前に TS エージェントがそのポートを変換に使用しようとすると、接続は失敗します。
(注) |
完全に閉じられていないポートを特定するには、netstat コマンド(サマリー情報用)または netstat -a -o -n -b コマンド(詳細情報用)を使用できます。これらのポートのステータスは、TIME_WAIT または CLOSE_WAIT です。
|
この問題が発生する場合は、問題によって影響を受ける TS エージェント ポートの範囲を大きくします。
TS エージェントと Firepower Management Center の間の接続障害
設定中に [テスト(Test)] ボタンをクリックしたときに TS エージェントが Firepower Management Center との接続を確立できなかった場合は、次のことを確認してください。
-
50 を超える TS エージェントクライアントが同時に FMC への接続を試行していないことを確認します。
-
入力した [ユーザ名(Username)] と [パスワード(Password)] が、REST VDI ロールの作成で説明するように、REST VDI 特権を有する Firepower Management Center ユーザの正しいクレデンシャルであるか確認します。
TS エージェントからのユーザ認証が成功したかを確認するには、Firepower Management Center で監査ログを表示します。
-
ハイ アベイラビリティ設定で、設定の直後にセカンダリの Firepower Management Center への接続が失敗した場合、それは、想定されている動作です。TS エージェントは、アクティブな Firepower Management
Center と常に通信します。
セカンダリがアクティブな Firepower Management Center となっている場合、プライマリの Firepower Management Center への接続は失敗します。
システム プロセスまたはサーバ上のアプリケーションが誤動作している
お使いのサーバ上のシステム プロセスが [システム ポート(System Ports)] の範囲にないポートを使用またはリッスンしている場合、そのポートは、[除外ポート(Exclude Port(s))] フィールドを使用して手動で除外する必要があります。
お使いのサーバ上のアプリケーションが Citrix MA クライアントのポート(2598)または Windows ターミナル サーバのポート(3389)を使用またはリッスンしている場合、それらのポートが [除外ポート(Exclude Port(s))] フィールドで除外されていることを確認してください。
Firepower Management Center に TS エージェントからの不明なユーザが表示される
Firepower Management Center が TS エージェントからの不明なユーザを表示するのは、次の状況です。
-
TS エージェントのドライバコンポーネントがクラッシュすると、ダウンタイム中に発生したユーザセッションは、Firepower Management Center のログに不明なユーザとして記録されます。
-
一部のアンチウイルス アプリケーションは、Web トラフィックをオンプレミスまたはクラウドゲートウェイにプロキシして、クライアントコンピュータに到達する前にウイルスを捕捉します。ただし、これは、アンチウイルスソフトウェアが通常はシステムアカウントを使用することを意味します。この場合、FMC
はユーザを不明なユーザと見なします。この問題を解決するには、Web トラフィックプロキシを無効にします。
-
-
ハイ アベイラビリティ設定でプライマリの Firepower Management Center がダウンすると、フェールオーバー中の 10 分のダウンタイムの間に TS エージェントによって報告されるログインは、次のように処理されます。
-
Firepower Management Center で以前に見られたことのないユーザについて TS エージェントがユーザ セッション データを報告した場合、そのデータは、Firepower Management Center には、不明なユーザ
アクティビティとして記録されます。
-
Firepower Management Center で以前に見られたことがあるユーザの場合、データは正常に処理されます。
ダウンタイム後、不明のユーザはアイデンティティ ポリシーのルールに従って再確認され、処理されます。
サーバの NIC リストに NIC が表示されない
サーバに接続されているデバイスで、ルータ アドバタイズメント メッセージを無効にする必要があります。ルータ アドバタイズメントが有効になっていると、デバイスがサーバ上の NIC に複数の IPv6 アドレスを割り当て、TS エージェントで使用する
NIC を無効にしてしまう可能性があります。
有効な NIC には必ず、IPv4 もしくは IPv6 のアドレスが 1 つだけ、または各タイプのアドレスが 1 つずつあります。有効な NIC が同じ種類のアドレスを複数持つことはできません。