TSA経由のユーザ識別がHTTPに対して機能しない

dyamada · ‎06-08-2017

※この記事は以下の記事の日本語訳です。

User Identification through TSA not working for HTTP

ターミナルサーバーエージェント(TSA) の ip-user-port マッピングが、http トラフィックにおいて正しく実施されません。（事象が報告された環境では）80以上のCitrixサーバーが構成されており、すべてがパロアルトネットワークスのターミナルサービスエージェントを実行しています。
ユーザーが PC で https サイトを閲覧すると、トラフィックは Citrix サーバーに送信され、ip-port-user-mapping は正しく（TSAで設定された範囲内で）https トラフィックが許可されます。
ユーザーが同じマシンと同じブラウザー（Internet Explorer）から http サイトを閲覧すると、トラフィックは Citrix サーバーに送信されますが、誤った送信元ポートが割り当てられてしまいます（TSAで割り当てられた範囲外のポート）。送信元ポートが正しくないためなので、誤った ip-port-user-mapping が原因でファイアウォールによってトラフィックが拒否されます。

Citrix ターミナルサーバーに TrendMicro 製品がインストールされている場合、TrendMicro プロキシ機能によって問題が発生している可能性が考えられます。

この問題を解決するには、TrendMicro プロキシ機能、またはすべての TrendMicro サービスを無効にします。

（※日本語訳者注：この問題は、同様のプロキシ機能を持つ他製品/ソフトウェアの場合にも発生する可能性が考えられます。）

owner: tpiens