Identifier / modifier les paramètres de fonctionnement de l'Agent TS

L'Agent TS ne dispose pas d'une interface graphique de configuration : ses paramètres de fonctionnement sont consultables dans la base de registre du serveur sur lequel il est installé.

Pour consulter / modifier les paramètres de l'Agent TS :

Ouvrez une session administrateur sur le serveur sur lequel est installé l'Agent TS.
Ouvrez la base de registre du serveur (regedit).

Vous retrouvez dans la base de registre les paramètres du pilote de l'Agent TS et les paramètres du service de l'Agent TS. L'emplacement de ces paramètres est différent.

Paramètres du pilote de l'Agent TS

IMPORTANT
Toute modification des clés de registre du pilote de l'Agent TS nécessite le redémarrage du serveur pour être prise en compte.

Emplacement dans la base de registre :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\StormshieldRdsDrv\Parameters

Paramètre	Description / Valeurs possibles
ExhaustedPortAction	Action effectuée par l'Agent TS lorsqu'un utilisateur n'a plus de port disponible dans ses plages de ports pour une nouvelle connexion. pass (par défaut) : la connexion est autorisée par l'Agent TS et un port issu de la plage [EphemeralPortMin-EphemeralPortMax] est attribué à l'utilisateur. Ces connexions sont anonymes pour le firewall. Sa politique de filtrage doit laisser passer les connexions réseau anonymes dont les ports sources sont supérieurs ou égaux à la valeur du paramètre EphemeralPortMin. Dans le cas contraire, ces connexions seront bloquées par le firewall. block : la connexion est bloquée par l'Agent TS.
ReservedPortAction	Action effectuée par l'Agent TS lorsqu'une application tente d'utiliser un port de la plage de ports réservée aux utilisateurs [TotalPortsRangeLow-TotalPortsRangeHigh]. block (par défaut) : la connexion est bloquée par l'Agent TS, sauf si l'utilisateur concerné dispose de ce port dans ses plages de ports attribuées. Dans le cas d'un blocage, un événement est généré dans l'Observateur d'événements Windows : Process [...] has been blocked because it tried to use a port [...] which is reserved by the driver. pass : la connexion est autorisée par l'Agent TS. Modifier ce paramètre en "pass" est considéré comme une configuration avancée, car cela peut entraîner des problèmes d'attribution des ports sur la machine.
PortsPerRange	Nombre de ports inclus dans chaque plage de ports attribuée à chaque utilisateur (200 par défaut). Minimum : 50, Maximum : 1000. Si la valeur par défaut est inadaptée, par exemple si certaines applications nécessitent un grand nombre de ports pour fonctionner, vous pouvez la modifier. Ceci permet d'éviter que les utilisateurs se retrouvent à court de ports disponibles, mais réduit le nombre maximal d'utilisateurs sur l'Agent TS.
RangePerUser	Nombre de plages de ports attribuées à un utilisateur (2 par défaut). Minimum : 1, Maximum : 20. Si la valeur par défaut est inadaptée, par exemple si certaines applications nécessitent un grand nombre de ports pour fonctionner, vous pouvez la modifier. Ceci permet d'éviter que les utilisateurs se retrouvent à court de ports disponibles, mais réduit le nombre maximal d'utilisateurs sur l'Agent TS.
ReservedSystemPorts	Liste des ports compris dans l'intervalle [TotalPortsRangeLow-TotalPortsRangeHigh] devant être réservés au fonctionnement du système. Ces ports ne pourront pas être attribués à un utilisateur. Vous pouvez définir plusieurs chaînes en respectant le format "[aaaaa-bbbbb]". Par exemple : Pour réserver le port 20025 : [20025-20025] Pour réserver la plage de ports [20025-20358] : [20025-20358] Par défaut, les ports suivants sont réservés : [1303-1303] [3389-3389] [5353-5353] [5355-5355] Vous pouvez exécuter un script qui analyse les ports susceptibles d'entrer en conflit avec l'Agent TS et qui les ajoute à ce paramètre. Pour plus d'informations, reportez-vous à la section Annexe : utiliser le script de configuration des ports réservés au fonctionnement du système. NOTE Lorsqu'un port est ajouté à cette liste, c'est toute la plage de ports (paramètre PortsPerRange) qui contient ce port qui est réservée.
TcpTimedWaitDelay	Délai en secondes entre la fermeture d'une connexion et le moment où le port associé est de nouveau disponible (120 par défaut). Minimum : 30, Maximum : 300. La valeur doit correspondre à celle utilisée par le serveur Windows sous la clé de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters (120 par défaut). Assurez-vous d'utiliser la même valeur pour les deux paramètres.
TotalPortsRangeLow	Borne inférieure de la plage de ports réservée aux utilisateurs (20000 par défaut). Minimum : 1024. Si vous abaissez cette valeur, assurez-vous que les ports de la nouvelle plage ne sont pas utilisés par d'autres applications. Vous pouvez réserver des ports au fonctionnement du système avec le paramètre ReservedSystemPorts.
TotalPortsRangeHigh	Borne supérieure de la plage de ports réservée aux utilisateurs (49151 par défaut). Maximum : 65535. Si vous augmentez cette valeur, assurez-vous qu'aucune plage de ports dynamiques de Windows ne chevauche la nouvelle plage de ports réservée aux utilisateurs. Utilisez la commande suivante pour le vérifier : netsh int <ipv4\|ipv6> show dynamicport <tcp\|udp> NOTE Le pilote de l'Agent TS ne gère qu'une seule plage de ports.
MaximumNumberRequests	Nombre de requêtes pouvant être traitées simultanément par le pilote (512 par défaut). Ajustez cette valeur selon la capacité mémoire du serveur. Minimum : 1, Maximum : 65535. La valeur 0 désactive la limitation du nombre de requêtes simultanées. Il est fortement recommandé de ne pas désactiver cette limitation : ceci pourrait entraîner une surconsommation de la mémoire du serveur RDS / Citrix.

Paramètres du service Agent TS

IMPORTANT
Toute modification des clés de registre du service de l'Agent TS nécessite le redémarrage du service "Stormshield-rds-service" pour être prise en compte.

Emplacement dans la base de registre :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\stormshield-rds-service\Parameters

Paramètre	Description
PSK	Clé pré-partagée pour les échanges avec le firewall. Cette clé est renseignée lors de l'installation de l'Agent TS. NOTE Modifiez cette valeur si la clé pré-partagée est changée sur le firewall.
EphemeralPortMin	Borne inférieure de la plage de ports additionnels attribuables aux utilisateurs (49152 par défaut). Elle est utilisée lorsqu'un utilisateur n'a plus de port disponible dans ses plages de ports (paramètre ExhaustedPortAction positionné sur "pass"). Minimum : 1, Maximum : 65535. Si vous modifiez cette valeur, assurez-vous que la plage de ports [EphemeralPortMin-EphemeralPortMax] englobe la totalité des plages de ports dynamiques de Windows. Utilisez la commande suivante pour le vérifier : netsh int <ipv4\|ipv6> show dynamicport <tcp\|udp> NOTE Le service de l'Agent TS n'envoie qu'une seule plage de ports au pilote.
EphemeralPortMax	Borne supérieure de la plage de ports additionnels attribuables aux utilisateurs (65535 par défaut). Elle est utilisée lorsqu'un utilisateur n'a plus de port disponible dans ses plages de ports (paramètre ExhaustedPortAction positionné sur "pass"). Minimum : 1, Maximum : 65535. Si vous modifiez cette valeur, assurez-vous que la plage de ports [EphemeralPortMin-EphemeralPortMax] englobe la totalité des plages de ports dynamiques de Windows. Utilisez la commande suivante pour le vérifier : netsh int <ipv4\|ipv6> show dynamicport <tcp\|udp> NOTE Le service de l'Agent TS n'envoie qu'une seule plage de ports au pilote.
LogLevel	Niveau des logs (verbose) pour les communications entre l'Agent TS et le firewall. Ces logs sont consultables dans l'Observateur d'événements Windows du serveur sur lequel l'Agent TS est installé. Niveau 1 : erreurs uniquement, Niveau 2 : erreurs et informations (par défaut), Niveau 3 : erreurs, informations et debug.
ServerPort	Port de communication avec le firewall (par défaut TCP/1303). Le port par défaut correspond à l'objet réseau prédéfini agent_ts sur le firewall. NOTE Modifiez cette valeur si le port de connexion déclaré sur le firewall est différent de l'objet agent_ts (TCP/1303).
SNS Timeout	Temps d'attente en secondes avant que le firewall ne soit considéré par l'Agent TS comme injoignable (2 par défaut). Une fois ce délai atteint, l'Agent TS coupe la communication avec le firewall. Il conserve alors toutes les informations concernant les utilisateurs authentifiés et les transmet au firewall lorsque celui-ci parvient à rétablir la connexion avec l'Agent TS. Minimum : 0, Maximum : 60.