Vai al contenuto

Installazione e utilizzo dell'agente di registrazione per Windows

  • Installazione

    Installazione e distribuzione dell'agente di registrazione Windows.

    Installare

  • Configurazione

    Configurare l'agente di registrazione Windows per funzionare con le applicazioni RDP e HTML5 RDP e/o l'accesso diretto.

    Configurare

Utilizzo dell'agente di registrazione con applicazioni RDP e HTML5 RDP

Consentire l'uso dell'agente di registrazione

Se l'agente di registrazione è installato e configurato correttamente, l'abilitazione dell'uso dell'agente avviene a livello dell'applicazione RDP o RDP HTML5 preferita:

Tre parametri sono coinvolti nel meccanismo:

Without agent mode
Questa opzione deve rimanere deselezionata affinché l'agente di registrazione funzioni.
Disconnect session if the recorder is not working
Questo abilita o disattiva una funzione di sicurezza quando la registrazione della sessione non riesce per vari motivi. Se la registrazione non può essere eseguita, la sessione RDP o HTML5 RDP dell'utente verrà terminata. Si consiglia di abilitare questa impostazione per impedire le connessioni utente senza registrazione (ad esempio, in caso di malfunzionamento dell'agente di registrazione).
Time before disconnection
Se l'opzione precedente è abilitata, questa opzione consente di impostare il tempo in secondi prima che venga eseguita la disconnessione. L'impostazione predefinita è 30 secondi, ma può essere ridotta per aumentare la reattività o aumentata se, ad esempio, si sa che le sessioni utente sono lunghe.

Limite di movimento laterale

Limiting lateral movement è una funzione che limita le connessioni di rete per la sessione utente. Questa funzione blocca di default tutto il traffico TCP/UDP all'interno della sessione utente, ma gli amministratori possono aprire diversi flussi di accesso.

Le restrizioni sono configurate nel access policy e possono quindi variare a seconda dell'utente e avere impostazioni diverse per un singolo utente (multiplicando le politiche di accesso assegnate a loro).

Una volta che un'applicazione RDP o RDP HTML5 con agente è autorizzata in una politica di accesso, la scheda Network connections diventa disponibile. Da lì, è possibile abilitare il filtraggio e specificare le reti autorizzate per l'utente:

Info

Qualsiasi modifica di queste impostazioni sarà applicata agli utenti solo quando utilizzeranno la prossima volta l'applicazione RDP o HTML5 RDP pertinente.

Configurare le registrazioni di accesso diretto con l'agente

Declare server preparati per l'accesso diretto con l'agente

Per dichiarare un server che deve operare in accesso diretto con modalità agente, è necessario prima aprire il modulo Machines management:

Poi clicca sul pulsante per aggiungere un nuovo server. Una nuova finestra apparirà per configurare il nuovo server:

Name
Nome della macchina come visualizzato nella console cyberelements.io o cyberelements Cleanroom.
Notification text
Messaggio di notifica che gli utenti riceveranno quando si connetteranno al server.
Record sessions as videos
Consente o disattiva la registrazione video della sessione. Se disattivata, verranno catturati e registrati solo gli eventi della sessione.
Check video integriyt at playback
Quando si crea l'archivio video, viene calcolato e memorizzato un hash (SHA-256) del file video. Quando gli amministratori visualizzano l'archivio, controllano che l'hash non sia stato modificato. Se è stato modificato, verrà inviato un messaggio di avviso all'amministratore, poiché ci saranno probabilmente modifiche alla registrazione video (ad esempio, sostituzione o sequenze di taglio).
Allow manual removal of archives
Consentire o negare agli amministratori la possibilità di eliminare gli archivi video.

Info

Gli archivi generati conservano le impostazioni in vigore al momento della registrazione. La modifica di questa impostazione influirà solo sugli archivi nuovi.
Delete archives automatically
Impostazione di una cancellazione automatica degli archivi dopo il superamento di un numero specifico di giorni.

Info

Gli archivi generati conservano le impostazioni in vigore al momento della registrazione. La modifica di questa impostazione influirà solo sugli archivi nuovi.
Use agent mode
Opzione che deve essere abilitata affinché il server disponga del meccanismo di accesso diretto con agente attivo.
Host (CN of the certificate)
Indicazione della NC del certificato utilizzato dall'agente di registrazione per autenticarsi presso il Edge GatewayQuesto corrisponde al impostazioni del certificato della macchina.
Use no agent
Se un parametro non è utile per la modalità di funzionamento desiderata, può essere disattivato.

Configurazione dei diritti di accesso diretto con un agente

Configurare i diritti di accesso diretto con un agente è simile a configurare le politiche di accesso per le applicazioni. I nuovi diritti vengono dichiarati e i diritti esistenti vengono modificati tramite Configurations d'enregistrement direct:

È possibile aggiungere una nuova configurazione facendo clic sul pulsante .

Le varie schede di impostazioni sono simili a quelle per le politiche di accesso alle applicazioni, ad eccezione della scheda gruppi, che consente di aggiungere un gruppo manualmente:

Dopo aver cliccato sul pulsante aggiungere manualmente, apparirà una nuova finestra per recuperare il nome del gruppo e il suo dominio:

Tip

Questa funzione è particolarmente utile se si desidera aggiungere un gruppo locale o un gruppo in un'unità operativa diversa da quella impostata nelle configurazioni di dominio LDAP.

Le altre schede sono:

  • Sites: localizza la configurazione in uno o più siti e, per estensione, consente all'agente di registrazione di connettersi a uno o più gateway di bordo collegati ai siti autorizzati.
  • Machines: aggiungere i server RDP dichiarati in il capitolo precedente.
  • Alerts: collegare gli avvisi alla configurazione.
  • Network connections: limita i movimenti laterali degli utenti durante le loro sessioni con funzionalità identiche alle limitazioni dei movimenti laterali delle applicazioni RDP e HTML5 RDP.

Gli archivi dell'agente di registrazione

Abilitazione dei registri degli agenti di registrazione

Warning

L'attivazione dei log richiede il riavvio del servizio di recording agent, che fermerà tutte le registrazioni di sessione attualmente in corso sul server.
A seconda delle impostazioni della chiave LogOffOnFailure, l'utente sarà disconnesso o resterà connesso.

Per consentire l'accesso al registro per l'agente di registrazione, è necessario eseguire le seguenti operazioni:

  1. Creare una directory denominata Log nella directory di installazione dell'agente (per impostazione predefinita, questa è C:\Program Files (x86)\Systancia\Safe per ** cyberelements Cleanroom e C:\Program Files (x86)\Systancia\cyberelements per ** cyberelements.io).

  2. Riavviare il servizio CleanroomAgent, ad esempio con il seguente comando di amministratore PowerShell:

    1
    Restart-Service -Name 'CleanroomAgent'

Ogni volta che il servizio di recording agent viene avviato, viene generato un nuovo file di registro nella directory Log creata al passaggio 1.

Contenuto dei registri dell'agente di registrazione

I log generati dall'agente di registrazione avranno questo aspetto:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
16-06-25 14:49:02.604 [6364] TRACE Console.infoSystem System directory: C:\Windows\system32
16-06-25 14:49:02.604 [6364] TRACE Console.infoSystem Windows directory: C:\Windows
16-06-25 14:49:02.604 [6364] TRACE Console.infoSystem Windows temporary directory: C:\Windows\TEMP\
16-06-25 14:49:02.605 [6364] TRACE Console.infoSystem User profile directory: C:\Windows\system32\config\systemprofile
16-06-25 14:49:02.605 [6364] TRACE Console.infoSystem Current directory: C:\Windows\system32
16-06-25 14:49:02.605 [6364] TRACE Console.infoSystem Application Data directory: C:\Windows\system32\config\systemprofile\AppData\Roaming
16-06-25 14:49:02.606 [6364] TRACE Console.infoSystem Command line: C:\Program Files (x86)\Systancia\Safe\IpDivaCareSupervisor.exe
16-06-25 14:49:02.606 [6364] TRACE Console.infoSystem Current exe directory: C:/Program Files (x86)/Systancia/Safe/
16-06-25 14:49:02.606 [6364] TRACE Console.infoSystem Root directory: C:/Program Files (x86)/Systancia/
16-06-25 14:49:02.607 [6364] TRACE Console.infoSystem Microsoft Windows NT family
16-06-25 14:49:02.607 [6364] TRACE Console.infoSystem Service Pack 0.0
16-06-25 14:49:02.607 [6364] TRACE Console.infoSystem OEM ID: 0
16-06-25 14:49:02.607 [6364] TRACE Console.infoSystem Number of Processors: 8
16-06-25 14:49:02.607 [6364] TRACE Console.infoSystem Page size: 4096
16-06-25 14:49:02.607 [6364] TRACE Console.infoSystem Processor Type: 586
16-06-25 14:49:02.607 [6364] TRACE Console.infoSystem Active processor mask: 255
16-06-25 14:49:02.608 [6364] TRACE Console.infoSystem Username: Système
16-06-25 14:49:02.608 [6364] TRACE Console.infoSystem -----------------------------------
16-06-25 14:49:02.609 [4620] TRACE main.run Loaded 1 gateways from file C:/Program Files (x86)/Systancia/Safe/gateways.xml
16-06-25 14:49:02.610 [4620] ERROR main.run Error loading public keys. boost::filesystem::directory_iterator::construct: Le fichier spécifié est introuvable [system:2]: "C:/Program Files (x86)/Systancia/pubkeys"
16-06-25 14:49:02.610 [4620] TRACE main.wtssessionchange Copying C:/Program Files (x86)/Systancia/Safe/CareInit.exe to C:/Windows/system32/CareInit.exe
16-06-25 14:49:12.298 [6364] TRACE main.wtssessionchange Session logon or connect :6 event:3
16-06-25 14:49:12.299 [6364] TRACE main.wtssessionchange
16-06-25 14:49:13.301 [6364] TRACE main.wtssessionchange Session logon or connect :6 event:5
16-06-25 14:49:13.303 [6364] TRACE main.wtssessionchange cyberelements_user
16-06-25 14:49:13.319 [6364] TRACE wtssessionchange.wtssessionchange 17 bytes written
16-06-25 14:49:13.319 [6364] TRACE wtssessionchange.wtssessionchange Opened VC clr
16-06-25 14:49:13.371 [6364] TRACE main.wtssessionchange Recording server retrieved via VC clr:my-edge-gateway.domain.local
16-06-25 14:49:13.371 [6364] TRACE main.wtssessionchange care password :K5efPBwVM2cIU0LaYQucZp0FV19nRIE5f5VYoBZz6EqlZOxNGM
16-06-25 14:49:13.371 [6364] TRACE SelectConfig.autoconf poll() is not supported on this platform, using select()
16-06-25 14:49:13.418 [6364] TRACE main.getNetFilterRulesInformation Filter not enabled
16-06-25 14:49:13.419 [6364] TRACE main.getNetFilterRulesInformation FALSE
16-06-25 14:49:13.419 [6364] ERROR main.getNetFilterRulesInformation No public key configured. Cannot verify net filtering rules.
16-06-25 14:49:13.419 [6364] TRACE Socket.incrCounters 0 UDP, 0 TCP, 1 Objs
16-06-25 14:49:13.421 [6364] TRACE main.createRecorderProcess launching whith password :K5efPBwVM2cIU0LaYQucZp0FV19nRIE5f5VYoBZz6EqlZOxNGM
16-06-25 14:49:26.664 [4620] TRACE main.createRecorderProcess Calling logoff.exe 6
16-06-25 14:49:26.990 [6364] TRACE main.wtssessionchange User DOMAIN\cyberelements_user has no other session. Dropping network filter rules
16-06-25 14:49:26.990 [6364] TRACE main.wtssessionchange Session logoff or disconnect :6 event:6
16-06-25 14:49:27.331 [6364] TRACE main.wtssessionchange Session logoff or disconnect :6 event:4
16-06-25 14:49:38.964 [6364] TRACE main.wtssessionchange Session logon or connect :7 event:3
16-06-25 14:49:38.965 [6364] TRACE main.wtssessionchange
16-06-25 14:49:40.75 [6364] TRACE main.wtssessionchange Session logon or connect :7 event:5
16-06-25 14:49:40.76 [6364] TRACE main.wtssessionchange cyberelements_user
16-06-25 14:49:40.178 [6364] TRACE wtssessionchange.wtssessionchange WTSVirtualChannelOpenEx failure.31 Not a Cleanroom session, or the client has no support for the clr virtual channel
16-06-25 14:49:40.179 [6364] TRACE main.wtssessionchange prog :
16-06-25 14:49:40.185 [6364] TRACE main.createRecorderProcess User groups :DOMAIN\Utilisateurs du domaine domain.local\Utilisateurs du domaine \Tout le monde domain.local\Tout le monde BUILTIN\Utilisateurs BUILTIN\Utilisateurs du Bureau à distance AUTORITE NT\REMOTE INTERACTIVE LOGON AUTORITE NT\INTERACTIF AUTORITE NT\Utilisateurs authentifiés domain.local\LOCAL DOMAIN\cyberelements_users domain.local\cyberelements_users 
16-06-25 14:49:40.186 [6364] TRACE getDirectRecordInformation.getDirectRecordInformation gateways: my-edge-gateway.domain.local
16-06-25 14:49:40.199 [6364] TRACE SecChannelClient.ClientCreateCredentials looking for a certificate with name containing:my-rds-server
16-06-25 14:49:40.199 [6364] TRACE SecChannelClient.ClientCreateCredentials looking for a certificate with name containing:my-rds-server.domain.local in the local machine store
16-06-25 14:49:40.201 [6364] TRACE SecChannelClient.ClientCreateCredentials certificate subject:C=FR, S=Grand-Est, L=Sausheim, O=Systancia, CN=my-rds-server.domain.local
16-06-25 14:49:40.201 [6364] TRACE SecChannelClient.ClientCreateCredentials certificate issuer:C=FR, S=Grand-Est, L=Sausheim, O=Systancia, CN=SUB-CA
16-06-25 14:49:40.404 [6364] TRACE Socket.incrCounters 0 UDP, 0 TCP, 1 Objs
16-06-25 14:49:40.404 [6364] TRACE main.createRecorderProcess Net filter enabled
16-06-25 14:49:40.426 [3948] TRACE CleanroomNetFilter.addRule User DOMAIN\cyberelements_user Remote address: 168427818 (10.10.1.42) Remote port: 443 Protocol condition: TCP
16-06-25 14:49:40.427 [3948] TRACE CleanroomNetFilter.addRule User DOMAIN\cyberelements_user Remote address: 168432641 (10.10.20.1) Remote port: 53 Protocol condition: UDP
16-06-25 14:49:40.428 [6364] TRACE CleanroomNetFilter.addRule User DOMAIN\cyberelements_user Application: C:/Program Files (x86)/Systancia/Safe/IpdivaCareRecorder.exe Remote address: 168427791 (10.10.1.15) Remote port: 8443 Protocol condition: TCP
16-06-25 14:49:40.430 [6364] TRACE main.createRecorderProcess launching whith password :DIRECT_33fRBYAwVDEKs8n3bGFwlIgKYd39C2Ubcl4pkLLC0YAouL4Gml
16-06-25 14:49:48.690 [4620] TRACE main.createRecorderProcess Calling logoff.exe 7
16-06-25 14:49:50.13 [6364] TRACE main.wtssessionchange User DOMAIN\cyberelements_user has no other session. Dropping network filter rules
16-06-25 14:49:50.13 [6364] TRACE main.wtssessionchange Session logoff or disconnect :7 event:6
16-06-25 14:49:50.379 [6364] TRACE main.wtssessionchange Session logoff or disconnect :7 event:4
16-06-25 14:49:54.658 [6364] TRACE main.wtssessionchange Removing C:/Windows/system32/CareInit.exe
Inizializzazione dell'agente di registrazione (linee 1-21)

Quando l'agente di registrazione viene inizializzato (linee 1-18), vengono registrate varie informazioni sul sistema.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
16-06-25 14:49:02.604 [6364] TRACE Console.infoSystem System directory: C:\Windows\system32
16-06-25 14:49:02.604 [6364] TRACE Console.infoSystem Windows directory: C:\Windows
16-06-25 14:49:02.604 [6364] TRACE Console.infoSystem Windows temporary directory: C:\Windows\TEMP\
16-06-25 14:49:02.605 [6364] TRACE Console.infoSystem User profile directory: C:\Windows\system32\config\systemprofile
16-06-25 14:49:02.605 [6364] TRACE Console.infoSystem Current directory: C:\Windows\system32
16-06-25 14:49:02.605 [6364] TRACE Console.infoSystem Application Data directory: C:\Windows\system32\config\systemprofile\AppData\Roaming
16-06-25 14:49:02.606 [6364] TRACE Console.infoSystem Command line: C:\Program Files (x86)\Systancia\Safe\IpDivaCareSupervisor.exe
16-06-25 14:49:02.606 [6364] TRACE Console.infoSystem Current exe directory: C:/Program Files (x86)/Systancia/Safe/
16-06-25 14:49:02.606 [6364] TRACE Console.infoSystem Root directory: C:/Program Files (x86)/Systancia/
16-06-25 14:49:02.607 [6364] TRACE Console.infoSystem Microsoft Windows NT family
16-06-25 14:49:02.607 [6364] TRACE Console.infoSystem Service Pack 0.0
16-06-25 14:49:02.607 [6364] TRACE Console.infoSystem OEM ID: 0
16-06-25 14:49:02.607 [6364] TRACE Console.infoSystem Number of Processors: 8
16-06-25 14:49:02.607 [6364] TRACE Console.infoSystem Page size: 4096
16-06-25 14:49:02.607 [6364] TRACE Console.infoSystem Processor Type: 586
16-06-25 14:49:02.607 [6364] TRACE Console.infoSystem Active processor mask: 255
16-06-25 14:49:02.608 [6364] TRACE Console.infoSystem Username: Système
16-06-25 14:49:02.608 [6364] TRACE Console.infoSystem -----------------------------------

La riga 19 specifica il numero di Edge Gateway presenti nel file gateways.xml per l'operazione in modalità diretta.

19
16-06-25 14:49:02.609 [4620] TRACE main.run Loaded 1 gateways from file C:/Program Files (x86)/Systancia/Safe/gateways.xml

La riga 20 indica un problema di caricamento di chiavi in una directory inesistente. Questa è una vecchia funzione che non influenza il funzionamento generale dell'agente. Questo registro di errori può quindi essere ignorato.

20
16-06-25 14:49:02.610 [4620] ERROR main.run Error loading public keys. boost::filesystem::directory_iterator::construct: Le fichier spécifié est introuvable [system:2]: "C:/Program Files (x86)/Systancia/pubkeys"

La riga 21 specifica l'azione di copiare il CareInit.exe eseguibile a System32 per coprire i casi in cui un'applicazione RDP con agente viene avviata da una macchina macOS o Ubuntu.
In questa condizione, la connessione al server richiede di eseguire CareInit.exe come programma di avvio.

21
16-06-25 14:49:02.610 [4620] TRACE main.wtssessionchange Copying C:/Program Files (x86)/Systancia/Safe/CareInit.exe to C:/Windows/system32/CareInit.exe
Connezione di un'applicazione RDP o RDP HTML5 con un agente (linee 22-39)

Quando viene rilevata una nuova sessione RDP, vengono scritti i seguenti registri per indicare il rilevamento di una nuova sessione RDP e registrare il nome utente che ha effettuato l'accesso:

22
23
24
25
16-06-25 14:49:12.298 [6364] TRACE main.wtssessionchange Session logon or connect :6 event:3
16-06-25 14:49:12.299 [6364] TRACE main.wtssessionchange
16-06-25 14:49:13.301 [6364] TRACE main.wtssessionchange Session logon or connect :6 event:5
16-06-25 14:49:13.303 [6364] TRACE main.wtssessionchange cyberelements_user

Nel registro di cui sopra, si tratta del cyberelements_user utente che si è connesso tramite RDP.

Quando si avvia un'applicazione RDP o RDP HTML5 con un agente, viene creato uno specifico canale RDP virtuale per inviare all'agente di registrazione l'indirizzo di connessione Edge Gateway e la password unica per la connessione al servizio di registrazione Edge Gateway.
Questo indica due cose:

  1. L'agente di registrazione ha rilevato che si tratta di una connessione RDP avviata da cyberelements Cleanroom o cyberelements.io, quindi non dovrebbe trattare la sessione come un accesso diretto.
  2. L'agente di registrazione è stato in grado di recuperare l'indirizzo del Edge Gateway alla quale deve inviare le registrazioni video e gli eventi.

Queste informazioni corrispondevano alle righe 27-29, dove nell'esempio l'agente di registrazione ha recuperato l'indirizzo di connessione per Edge Gateway (my-edge-gateway.domain.local) e una password di una sola volta (K5efPBwVM2cIU0LaYQucZp0FV19nRIE5f5VYoBZz6EqlZOxNGM):

29
30
31
16-06-25 14:49:13.319 [6364] TRACE wtssessionchange.wtssessionchange Opened VC clr
16-06-25 14:49:13.371 [6364] TRACE main.wtssessionchange Recording server retrieved via VC clr:my-edge-gateway.domain.local
16-06-25 14:49:13.371 [6364] TRACE main.wtssessionchange care password :K5efPBwVM2cIU0LaYQucZp0FV19nRIE5f5VYoBZz6EqlZOxNGM

Successivamente vengono riportati i registri relativi all'applicazione delle regole di filtraggio della rete, che sono dettagliati in un'altra sezione informativa più in basso nella pagina.

Un log specifica quando l'agente di registrazione avvia la connessione con il Edge Gateway e quale password unica utilizza per autenticarsi.

35
16-06-25 14:49:13.421 [6364] TRACE main.createRecorderProcess launching whith password :K5efPBwVM2cIU0LaYQucZp0FV19nRIE5f5VYoBZz6EqlZOxNGM

Infine, quando l'utente avvia una disconnessione, viene catturata dall'agente di registrazione per terminare la registrazione e rimuovere eventuali regole di filtraggio della rete.

36
37
38
39
16-06-25 14:49:26.664 [4620] TRACE main.createRecorderProcess Calling logoff.exe 6
16-06-25 14:49:26.990 [6364] TRACE main.wtssessionchange User DOMAIN\cyberelements_user has no other session. Dropping network filter rules
16-06-25 14:49:26.990 [6364] TRACE main.wtssessionchange Session logoff or disconnect :6 event:6
16-06-25 14:49:27.331 [6364] TRACE main.wtssessionchange Session logoff or disconnect :6 event:4
Connezione diretta di accesso RDP (linee 40-61)

Quando viene rilevata una nuova sessione RDP, vengono scritti i seguenti registri per indicare il rilevamento di una nuova sessione RDP e registrare il nome utente che ha effettuato l'accesso:

40
41
42
43
16-06-25 14:49:38.964 [6364] TRACE main.wtssessionchange Session logon or connect :7 event:3
16-06-25 14:49:38.965 [6364] TRACE main.wtssessionchange
16-06-25 14:49:40.75 [6364] TRACE main.wtssessionchange Session logon or connect :7 event:5
16-06-25 14:49:40.76 [6364] TRACE main.wtssessionchange cyberelements_user

Nel registro di cui sopra, si tratta del cyberelements_user utente che si è connesso tramite RDP.

Durante una connessione RDP live, non viene utilizzato lo specifico canale virtuale RDP per l'esecuzione di applicazioni RDP o HTML5 RDP con un agente.

44
16-06-25 14:49:40.178 [6364] TRACE wtssessionchange.wtssessionchange WTSVirtualChannelOpenEx failure.31 Not a Cleanroom session, or the client has no support for the clr virtual channel

Dato il rilevamento dell'accesso diretto, l'agente di registrazione registra i diversi gruppi di utenti dell'utente che si è appena connesso:

46
16-06-25 14:49:40.185 [6364] TRACE main.createRecorderProcess User groups :DOMAIN\Utilisateurs du domaine domain.local\Utilisateurs du domaine \Tout le monde domain.local\Tout le monde BUILTIN\Utilisateurs BUILTIN\Utilisateurs du Bureau à distance AUTORITE NT\REMOTE INTERACTIVE LOGON AUTORITE NT\INTERACTIF AUTORITE NT\Utilisateurs authentifiés domain.local\LOCAL DOMAIN\cyberelements_users domain.local\cyberelements_users

Tip

Con queste informazioni è possibile determinare i motivi per cui le registrazioni di accesso diretto non vengono attivate: se il contratto di accesso diretto non autorizza uno dei gruppi di utenti, o se il nome di dominio specificato deve essere il nome breve (nome netBIOS) o il nome completo.

L'agente di registrazione specifica a quali Gateway Edge potrà connettersi per caricare la registrazione della sessione dell'utente.
Per ricordare, questi sono gli Edge Gateway che fanno parte del file gateways.xml configurato durante la configurazione dell'agente di registrazione .

47
16-06-25 14:49:40.186 [6364] TRACE getDirectRecordInformation.getDirectRecordInformation gateways: my-edge-gateway.domain.local

Poi c'è il certificato client che l'agente di registrazione utilizza per autenticare con il servizio di registrazione.
In modo predefinito, l'agente di registrazione cerca un certificato contenente il nome del server RDP nella sua CN, a meno che non sia stato definito il codice MachineName.
Il responsabile della registrazione specifica quindi il certificato selezionato e le informazioni sull'autorità di certificazione che lo ha generato.

48
49
50
51
16-06-25 14:49:40.199 [6364] TRACE SecChannelClient.ClientCreateCredentials looking for a certificate with name containing:my-rds-server
16-06-25 14:49:40.199 [6364] TRACE SecChannelClient.ClientCreateCredentials looking for a certificate with name containing:my-rds-server.domain.local in the local machine store
16-06-25 14:49:40.201 [6364] TRACE SecChannelClient.ClientCreateCredentials certificate subject:C=FR, S=Grand-Est, L=Sausheim, O=Systancia, CN=my-rds-server.domain.local
16-06-25 14:49:40.201 [6364] TRACE SecChannelClient.ClientCreateCredentials certificate issuer:C=FR, S=Grand-Est, L=Sausheim, O=Systancia, CN=SUB-CA

Nell'esempio precedente, l'agente di registrazione ha cercato un certificato contenente my-rds-server e ne ha trovato uno con la NC my-rds-server.domain.local rilasciato per l'autorità di certificazione SUB-CA.

Successivamente vengono riportati i registri relativi all'applicazione delle regole di filtraggio della rete, che sono dettagliati in un'altra sezione informativa più in basso nella pagina.

Un log specifica quando l'agente di registrazione avvia la connessione con il Edge Gateway e quale password unica utilizza per autenticarsi.

57
16-06-25 14:49:40.430 [6364] TRACE main.createRecorderProcess launching whith password :DIRECT_33fRBYAwVDEKs8n3bGFwlIgKYd39C2Ubcl4pkLLC0YAouL4Gml

Infine, quando l'utente avvia una disconnessione, viene catturata dall'agente di registrazione per terminare la registrazione e rimuovere eventuali regole di filtraggio della rete.

58
59
60
61
16-06-25 14:49:48.690 [4620] TRACE main.createRecorderProcess Calling logoff.exe 7
16-06-25 14:49:50.13 [6364] TRACE main.wtssessionchange User DOMAIN\cyberelements_user has no other session. Dropping network filter rules
16-06-25 14:49:50.13 [6364] TRACE main.wtssessionchange Session logoff or disconnect :7 event:6
16-06-25 14:49:50.379 [6364] TRACE main.wtssessionchange Session logoff or disconnect :7 event:4
Applicazione delle regole di filtraggio della rete (linee 31 e 53-56)

Per ogni sessione rilevata dall'agente di registrazione, quest'ultimo determinerà se è necessario applicare regole di filtraggio di rete alla sessione dell'utente.

Se non è necessario applicare regole di filtraggio della rete, l'agente di registrazione indica Filter not enabled.

31
16-06-25 14:49:13.418 [6364] TRACE main.getNetFilterRulesInformation Filter not enabled

Se è necessario applicare le regole di filtraggio della rete, verrà visualizzato il messaggio Net filter enabled.
Dopo questa riga di attivazione del filtro, viene indicato ciascuno dei filtri applicati, uno per riga:

53
54
55
56
16-06-25 14:49:40.404 [6364] TRACE main.createRecorderProcess Net filter enabled
16-06-25 14:49:40.426 [3948] TRACE CleanroomNetFilter.addRule User DOMAIN\cyberelements_user Remote address: 168427818 (10.10.1.42) Remote port: 443 Protocol condition: TCP
16-06-25 14:49:40.427 [3948] TRACE CleanroomNetFilter.addRule User DOMAIN\cyberelements_user Remote address: 168432641 (10.10.20.1) Remote port: 53 Protocol condition: UDP
16-06-25 14:49:40.428 [6364] TRACE CleanroomNetFilter.addRule User DOMAIN\cyberelements_user Application: C:/Program Files (x86)/Systancia/Safe/IpdivaCareRecorder.exe Remote address: 168427791 (10.10.1.15) Remote port: 8443 Protocol condition: TCP

Per ricordare, quando il filtro di rete è attivato, il comportamento predefinito è quello di bloccare tutto il traffico TCP/UDP. Pertanto, i filtri indicati sono gli unici traffico TCP/UDP autorizzati per i programmi in esecuzione nel contesto dell'utente.
Nell'esempio precedente, i collegamenti a TCP 10.10.1.42:443 e UDP 10.10.20.1:53 Oltre a questi due flussi autorizzati dall'amministratore, il flusso di connessione al servizio di registrazione è anche aperto per consentire la registrazione della sessione di essere inviata dal programma responsabile di esso.

Tip

Se non sono autorizzati flussi per l'utente, solo le linee che indicano che il filtro è attivo e che il processo di registrazione può contattare il Edge Gateway verrà visualizzato il servizio di registrazione.

Non è riuscito a connettersi al servizio di registrazione

Diversi problemi possono causare l'impossibilità per l'agente di registrazione di connettersi al servizio di registrazione su Edge Gateway.

Il primo è un blocco di flusso di rete. In questo caso, quando il servizio di registrazione tenta di connettersi al servizio di registrazione, scrive log simili a questi:

1
2
3
4
18-06-25 15:29:45.805 [2456] TRACE Socket.connect error during select or socket not writable, rc=0
18-06-25 15:29:45.805 [2456] TRACE Socket.raise error not registered: 0
18-06-25 15:29:45.809 [2456] ERROR main.getDirectRecordInformation Could not connect to gateway my-edge-gateway.domain.local Exception :ESocket:errors.cpp:242
18-06-25 15:29:45.809 [2456] ERROR main.getDirectRecordInformation No gateway available

In questo esempio, la riga 1 indica che il flusso non è stato avviato, mentre la riga 3 specifica il Edge Gateway (si noti anche il numero di unità di controllo) 242 alla fine della riga 3 per questo tipo di problema).

Il secondo problema che si può incontrare è l'incapacità dell'agente di registrazione, e per estensione del server RDP, di risolvere il nome del file. Edge Gateway: 

1
2
3
18-06-25 15:37:07.539 [2456] ERROR Socket.DNSLookup getaddrinfo() Hôte inconnu. 
18-06-25 15:37:07.539 [2456] ERROR main.getNetFilterRulesInformation Could not retrieve netfilter rule with gateway wrong-dns-edge-gateway.domain.local Exception :ESocketLookupFailed:socket2.cpp:232
18-06-25 15:37:07.539 [2456] ERROR main.getNetFilterRulesInformation The gateway may need an upgrade

In questo esempio, la riga 1 conferma il problema di risoluzione DNS con il nome del Edge Gateway.
La seconda riga specifica il guasto di connessione e il nome del Edge Gateway. Si noti che la riga termina con il numero 232 quando si verifica un errore di risoluzione DNS.

Il terzo problema che può verificarsi è una connessione a un servizio che non è un servizio di registrazione, ad esempio, un server web che ascolta su porta 8443. In questo caso si ottengono i seguenti log: 

1
2
3
18-06-25 15:38:33.607 [2456] TRACE IO.read problem when read data
18-06-25 15:38:33.608 [2456] ERROR main.getNetFilterRulesInformation Could not retrieve netfilter rule with gateway wrong-server.domain.local Exception :IOException:io.cpp:140
18-06-25 15:38:33.608 [2456] ERROR main.getNetFilterRulesInformation The gateway may need an upgrade

La riga 1 indica un errore con i dati scambiati, la riga 2 conferma il problema di connessione e specifica l'errore 140 alla fine della riga.

Nessun contratto di accesso diretto consente di attivare la registrazione diretta della sessione.

Durante l'accesso diretto, non tutti gli utenti devono necessariamente essere registrati.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
16-06-25 14:49:38.964 [6364] TRACE main.wtssessionchange Session logon or connect :7 event:3
16-06-25 14:49:38.965 [6364] TRACE main.wtssessionchange
16-06-25 14:49:40.75 [6364] TRACE main.wtssessionchange Session logon or connect :7 event:5
16-06-25 14:49:40.76 [6364] TRACE main.wtssessionchange cyberelements_user
16-06-25 14:49:40.178 [6364] TRACE wtssessionchange.wtssessionchange WTSVirtualChannelOpenEx failure.31 Not a Cleanroom session, or the client has no support for the clr virtual channel
16-06-25 14:49:40.179 [6364] TRACE main.wtssessionchange prog :
16-06-25 14:49:40.185 [6364] TRACE main.createRecorderProcess User groups :DOMAIN\Utilisateurs du domaine domain.local\Utilisateurs du domaine \Tout le monde domain.local\Tout le monde BUILTIN\Utilisateurs BUILTIN\Utilisateurs du Bureau à distance AUTORITE NT\REMOTE INTERACTIVE LOGON AUTORITE NT\INTERACTIF AUTORITE NT\Utilisateurs authentifiés domain.local\LOCAL DOMAIN\cyberelements_users domain.local\cyberelements_users 
16-06-25 14:49:40.186 [6364] TRACE getDirectRecordInformation.getDirectRecordInformation gateways: my-edge-gateway.domain.local
16-06-25 14:49:40.199 [6364] TRACE SecChannelClient.ClientCreateCredentials looking for a certificate with name containing:my-rds-server
16-06-25 14:49:40.199 [6364] TRACE SecChannelClient.ClientCreateCredentials looking for a certificate with name containing:my-rds-server.domain.local in the local machine store
16-06-25 14:49:40.201 [6364] TRACE SecChannelClient.ClientCreateCredentials certificate subject:C=FR, S=Grand-Est, L=Sausheim, O=Systancia, CN=my-rds-server.domain.local
16-06-25 14:49:40.201 [6364] TRACE SecChannelClient.ClientCreateCredentials certificate issuer:C=FR, S=Grand-Est, L=Sausheim, O=Systancia, CN=SUB-CA
16-06-25 14:49:40.404 [6364] TRACE Socket.incrCounters 0 UDP, 0 TCP, 1 Objs
16-06-25 14:49:40.406 [6364] TRACE main.createRecorderProcess no need to record

I log ottenuti iniziano come tutte le sessioni dirette catturate dall'agente di registrazione. Tuttavia, una volta stabilita la connessione al servizio di registrazione Edge Gateway, quest'ultimo restituisce all'agente di registrazione informazioni che indicano che l'utente che si è connesso non è soggetto a registrazione.
L'agente di registrazione indica quindi che non è necessario registrare la sessione dell'utente (linea 14 dell'esempio precedente).

La riga 7 elenca tutti i gruppi recuperati dall'agente di registrazione per l'utente che si è connesso.
Queste informazioni consentono di determinare le ragioni per cui le registrazioni di accesso diretto non vengono attivate: se il contratto di accesso diretto non autorizza uno dei gruppi di utenti, o se il nome di dominio specificato deve essere il nome breve (nome netBIOS) o il nome completo.