※この記事は以下の記事の日本語訳です。

User Identification through TSA not working for HTTP

https://live.paloaltonetworks.com/t5/Management-Articles/User-Identification-through-TSA-not-working...

問題

• ターミナルサーバーエージェント(TSA) の ip-user-port マッピングが、http トラフィックにおいて正しく実施されません。（事象が報告された環境では）80以上のCitrixサーバーが構成されており、すべてがパロアルトネットワークスのターミナルサービスエージェントを実行しています。
• ユーザーが PC で https サイトを閲覧すると、トラフィックは Citrix サーバーに送信され、ip-port-user-mapping は正しく（TSAで設定された範囲内で）https トラフィックが許可されます。
• ユーザーが同じマシンと同じブラウザー（Internet Explorer）から http サイトを閲覧すると、トラフィックは Citrix サーバーに送信されますが、誤った送信元ポートが割り当てられてしまいます（TSAで割り当てられた範囲外のポート）。送信元ポートが正しくないためなので、誤った ip-port-user-mapping が原因でファイアウォールによってトラフィックが拒否されます。

原因

Citrix ターミナルサーバーに TrendMicro 製品がインストールされている場合、TrendMicro プロキシ機能によって問題が発生している可能性が考えられます。

解決方法

この問題を解決するには、TrendMicro プロキシ機能、またはすべての TrendMicro サービスを無効にします。

（※日本語訳者注：この問題は、同様のプロキシ機能を持つ 他製品/ソフトウェア の場合にも発生する可能性が考えられます。）

owner:  tpiens