既知の問題

このリリースの既知の問題を、以下に記載します。

PACファイルの更新がすぐに反映されない

PACファイルはブラウザにキャッシュされるため、TMWSaaSPACファイルの内容を更新しても、エンドユーザのブラウザにすぐには反映されません。最終的に更新が反映されるまでの時間は状況によって異なります。場合によっては、Internet Explorerのキャッシュをクリアしたりブラウザを再起動したりしても問題が解消されないことがあります。

更新をテストするには、TMWSaaSにトラフィックを転送するコンピュータでGoogle Chromeを開き、次の手順を実行してください。

重要:

この手順を実行すると、Chromeのプロセスが停止します。Chromeで保留中のタスクがある場合は、手順を開始する前に完了してください。

  1. 管理者権限でコマンドプロンプト (cmd.exe) を実行します。

  2. 次のコマンドを実行します (Windowsで使用する場合):

    taskkill /F /IM chrome.exe
  3. Chromeを開き、PACファイルの更新が反映されているかどうかを確認します。

透過認証が動作しない

次のシナリオのいずれかに該当する場合、透過認証が正常に動作しません。

  • トラフィック転送メカニズムとしてポート転送が使用されている場合。

  • ユーザが、認証サーバのTMWSaaSプロキシをバイパスするようにブラウザを設定している場合。たとえば、プロキシ例外リストまたはPACファイルのskiphostリストのいずれかに認証サーバを追加するケースが考えられます。

    この場合、認証リクエストは認証サーバを迂回して直接送信されます。透過認証は、標準のHTTPプロキシプロトコルをベースにしているため、プロキシがないとブラウザは認証サーバからのリクエストに応答できません。

    Active Directory直接認証方式の認証サーバはauth.iws-hybrid.trendmicro.com.で、AD FS方式およびエージェント方式の認証サーバは、AD FSサーバまたは認証エージェントサーバです。

プロキシをバイパスするためにPACファイルでWebサイトを「DIRECT」に設定すると、Internet ExplorerでそのWebサイトを正しく表示できないことがある

プロキシ自動設定 (PAC) ファイルで「DIRECT」に設定されたWebサイトは、Internet Explorerの「ローカルイントラネット」ゾーンとして扱われます。その結果、そのサイトのメインページ以外のドメインに所属する埋め込みオブジェクトは、正しく表示されない場合があります。これは、Internet Explorerがメインページ以外のドメインを「インターネット」ゾーンとして扱い、メインページとのTMWSaaSログオンCookieの共有がセキュリティ設定で許可されないためです。

解決方法:

  1. [ツール] > [インターネット オプション] > [セキュリティ] の順に選択し、すべてのゾーンの [保護モード] を有効にします。

  2. [ツール] > [インターネット オプション] > [一般] の順に選択します。[閲覧の履歴] セクションから、一時インターネットファイル、履歴、Cookie、保存されたパスワード、およびWebフォーム情報を削除します。

  3. Internet Explorerを再起動します。

ブラウザ以外のアプリケーションの一部で、TMWSaaSプロキシ経由でログオンできない場合がある

これはゲートウェイとモバイルVPNどちらのユーザにも該当する問題です。ブラウザ以外のアプリケーションはHTTPプロトコルに完全に対応していないため、TMWSaaSへの認証に失敗します。

この問題を解決するには、ブラウザを使用して任意のHTTPサイトにアクセスし、その後ブラウザ以外のアプリケーションを試してください。ブラウザ以外のアプリケーションに直接はログオンできるが、TMWSaaS経由ではログオンできない場合は、トレンドマイクロのテクニカルサポートサイトにお問い合わせください。

クライアントブラウザからWebサイトにアクセスできない

クライアントのシステム時間に2時間以上の誤差がある場合、クライアントブラウザからWebサイトにアクセスできません。

この問題を解決するには、クライアントのシステム時間を修正してください。

TMWSaaSが正規のWebサイトからブロックされることがある

Webサーバの中には、特定のIPアドレスへの接続を動的にブロックするものがあります。そのため、あるWebサイトに直接はアクセスできてTMWSaaS経由では失敗する場合、そのWebサイトがTMWSaaSを許可していない可能性があります。このような場合は、テクニカルサポートに問い合わせてください。

「キーワード」一致モードのマルチバイト文字がURLのパスに含まれる場合、TMWSaaSでは認識されない

承認済み/ブロックするURLおよびカスタマイズされたURLカテゴリの一致モードが「キーワード」に設定されている場合、マルチバイト文字がドメイン名ではなくURLのパスに含まれると、TMWSaaSでは認識されません。たとえば、「サービス」は「www.サービス.com」に一致しますが、「www.bing.com/サービス」には一致しません。

ローミングユーザの最初のWebトラフィックリクエストがHTTPS URLへのものである場合、初期設定のTMWSaaSルートCA証明書が使用される

組織には独自のCA証明書があり、トレンドマイクロが提供するCertificate Signing Request (CSR) ファイルでクロス署名されています。

この場合、ローミングユーザがHTTPSリクエストをはじめて開始し、HTTPリクエストを今まで送信したことがなければ、クロス署名されたCA証明書ではなく、初期設定のTMWSaaSルートCA証明書が使用されます。HTTPSトラフィックが正常に復号された後でなければ、ユーザが属する組織を特定できないためです。この処理を行うと、以降のユーザによるHTTPSリクエストでは、クロス署名された組織のCA証明書が使用されます。

TMWSaaSは、このバージョンではIPv4しかサポートしない

このバージョンでは、TMWSaaSはIPv4のみサポートし、IPv6はサポートしません。

実装ウィザードで選択しなかったNICの設定がプロセスの完了後に消去される

オンプレミスゲートウェイで使用可能なNICが2つある場合、実装ウィザードのプロセスでデータ転送用にいずれかを選択して設定します。他のNICの設定は、プロセスが完了すると消去されます。NICを再度設定する場合は、[ネットワーク] > [インタフェース] で設定します。

オンプレミスゲートウェイで常に最後に変更されたIPv4ゲートウェイアドレスが有効になる

オンプレミスゲートウェイでNICが2つ設定されている場合、常に最後に変更されたIPv4ゲートウェイアドレスが有効になります。

帯域幅制御が最初に設定したNICにしか適用されない

オンプレミスゲートウェイで使用可能なNICが複数ある場合、帯域幅制御ルールは、/etc/sysconfig/network-scriptsにあるifcfg-*という名前の最初に設定したNICにのみ適用されます。*はNICの名前で、eth0eth0.5などです。

Microsoft ADグローバルカタログ (GC) で複数のActive Directory (AD) ユーザが同じ「sAMAccountName」を所有している場合に認証が失敗する

サポートされる3つの認証方式のいずれかで、管理コンソールで透過認証の初期設定のドメインとしてMicrosoft AD GCを追加して選択した場合に、TMWSaaSでは同じ「sAMAccountName」を所有しているADユーザを区別できません。そのため、認証が失敗します。

次のいずれかを実行します。

  • ユーザ認証ページでユーザプリンシパル名 (UPN) を入力するようユーザに求めます。

  • ディレクトリサービス」の手順に従い、この制限を受けるADドメインを個別に追加して設定します。

Webレピュテーションサービス (WRS) による照会時にタイムアウトが発生するとWebサイトのURLカテゴリが「不明」とマークされる

内部エラーによりWRSでWebサイトのURLカテゴリの照会に失敗すると、TMWSaaSでは、このWebサイトのカテゴリの種類が「不明」とマークされます。そのため、次のケースでは、ポリシー適用中にこのWebサイトが適切に処理されない可能性があります。

ユーザが初期設定のクラウドアクセスルールの処理をすべてのトラフィックの種類をブロックするように設定したうえで、特定のURLカテゴリ (例: バンキングサイト) のトラフィックのみを許可する新しいルールを作成したとします。WRSがバンキングサイトの照会に失敗すると、TMWSaaSではこのサイトが「不明」とマークされます。これは、設定したクラウドアクセスルールには一致せず、初期設定のルールが適用されることを意味します。初期設定のルールの処理に基づき、このサイトはユーザの想定に反してブロックされます。

この問題を解決するには、[トラフィックの種類][すべて] に設定しないでください。代わりに、[選択したアプリケーションカテゴリとURLカテゴリ] をクリックし、[URLカテゴリ] ですべてのカテゴリを選択します。これで、初期設定のクラウドアクセスルールから「不明」という種類が除外され、このサイトからのトラフィックに想定どおりにアクセスできるようになります。

TMWSaaSから不審オブジェクト関連の検出ログがApex Centralに返されない

このバージョンのTMWSaaSは、Apex Centralと統合されると、Apex Centralから同期された不審オブジェクトを使用して脅威を検出しますが、対応する検出ログをApex Centralに返すことはありません。