※この記事は以下の記事の日本語訳です。
User Identification through TSA not working for HTTP
https://live.paloaltonetworks.com/t5/Management-Articles/User-Identification-through-TSA-not-working...
問題
- ターミナルサーバーエージェント(TSA) の ip-user-port マッピングが、http トラフィックにおいて正しく実施されません。(事象が報告された環境では)80以上のCitrixサーバーが構成されており、すべてがパロアルトネットワークスのターミナルサービスエージェントを実行しています。
- ユーザーが PC で https サイトを閲覧すると、トラフィックは Citrix サーバーに送信され、ip-port-user-mapping は正しく(TSAで設定された範囲内で)https トラフィックが許可されます。
- ユーザーが同じマシンと同じブラウザー(Internet Explorer)から http サイトを閲覧すると、トラフィックは Citrix サーバーに送信されますが、誤った送信元ポートが割り当てられてしまいます(TSAで割り当てられた範囲外のポート)。送信元ポートが正しくないためなので、誤った ip-port-user-mapping が原因でファイアウォールによってトラフィックが拒否されます。
原因
Citrix ターミナルサーバーに TrendMicro 製品がインストールされている場合、TrendMicro プロキシ機能によって問題が発生している可能性が考えられます。
解決方法
この問題を解決するには、TrendMicro プロキシ機能、またはすべての TrendMicro サービスを無効にします。
(※日本語訳者注:この問題は、同様のプロキシ機能を持つ 他製品/ソフトウェア の場合にも発生する可能性が考えられます。)
owner: tpiens