TSA経由のユーザ識別がHTTPに対して機能しない

Printer Friendly Page

 ※この記事は以下の記事の日本語訳です。

User Identification through TSA not working for HTTP

https://live.paloaltonetworks.com/t5/Management-Articles/User-Identification-through-TSA-not-working...

 

問題

  • ターミナルサーバーエージェント(TSA) の ip-user-port マッピングが、http トラフィックにおいて正しく実施されません。(事象が報告された環境では)80以上のCitrixサーバーが構成されており、すべてがパロアルトネットワークスのターミナルサービスエージェントを実行しています。
  • ユーザーが PC で https サイトを閲覧すると、トラフィックは Citrix サーバーに送信され、ip-port-user-mapping は正しく(TSAで設定された範囲内で)https トラフィックが許可されます。
  • ユーザーが同じマシンと同じブラウザー(Internet Explorer)から http サイトを閲覧すると、トラフィックは Citrix サーバーに送信されますが、誤った送信元ポートが割り当てられてしまいます(TSAで割り当てられた範囲外のポート)。送信元ポートが正しくないためなので、誤った ip-port-user-mapping が原因でファイアウォールによってトラフィックが拒否されます。

 

原因

Citrix ターミナルサーバーに TrendMicro 製品がインストールされている場合、TrendMicro プロキシ機能によって問題が発生している可能性が考えられます。

 

解決方法

この問題を解決するには、TrendMicro プロキシ機能、またはすべての TrendMicro サービスを無効にします。

(※日本語訳者注:この問題は、同様のプロキシ機能を持つ 他製品/ソフトウェア の場合にも発生する可能性が考えられます。)

 

owner:  tpiens