はじめに
このドキュメントでは、NetskopeとUmbrellaローミングクライアント間の互換性の問題をトラブルシューティングする方法について説明します。
概要
このKBAは、ローミングクライアントがUmbrellaダッシュボードとの同期に失敗するという問題が発生しているNetskopeプロキシのユーザを対象としています。この結果、ローミングクライアントがネットワーク上で正しくアクティブ化されません。 この記事では、Netskopeプロキシから同期を除外する方法について説明します。
この情報は、WindowsとMacOSの両方のクライアントのローミングに適用されます。
影響
SSLトラフィックをNetskopeサーバに送信するNetskopeプロキシを介してSSLがトンネリングされている場合、ローミングクライアントはUmbrellaと正常に同期できません。これにより、パケットは保護されていない非暗号化状態のままになります。場合によっては、クライアントが最初の同期の前に暗号化されることがあり、その結果、既知の問題が発生し、(ローカルDNS検索サフィックスの一覧にない)内部ドメインの解決に失敗することがあります。
一部のネイティブアプリは、Netskopeで証明書がピン接続されているかのように動作するため、サードパーティの証明書が受け入れられません。このピニングは、ローミングクライアントで使用される.NET暗号化フレームワークの結果として発生します。
解決策:プロキシからのローミングクライアントのバイパス
このソリューションは、ローミングしているクライアントのサービスプロセスが、「証明書の固定アプリケーション」機能を介してNetskopeのプロキシ経由で転送されないようにします。
アプリケーションは、定義されている場合、アプリケーションのブロックまたはバイパスを許可します。 [バイパス(クライアント同期のローミングに必要) ]を選択した場合、NetskopeクライアントはクラウドのエンドポイントからNetskopeプロキシへのトラフィックを誘導せず、アプリケーションは引き続き機能します。 Blockを選択すると、トラフィックはNetskopeクライアントによってブロックされます。デフォルトでは、すべてのアプリケーションがバイパスされますが、必要な設定はローミングクライアントのサービスをバイパスすることです。
証明書ピニングアプリケーションを編集してUmbrellaローミングクライアントサービスを追加するには、次の手順を使用します。
- Settings > Manage > Certificate Pinned Applications > Advanced Settingsの順に移動します。[詳細設定]ウィンドウが表示されます。
- [詳細設定]ウィンドウで、[各アプリケーションのカスタム設定]を選択します。カスタムサービス/アプリケーションを追加するには、次のサブステップを使用します
- アプリケーションリストでMicrosoft Office 365 Outlook.comを選択し(Umbrellaオプションはありません。これにより先に進むことができます)、[操作]で[バイパス]を選択します。
- [モード]で、[直接]を選択します。
- 「プラグインプロセス」フィールドで、スタンドアロンのローミングクライアントに「ercservice.exe」と入力します。AnyConnectローミングモジュールの場合は、「acumbrellaplugin.exe」と入力します。
- [Submit] をクリックします。[詳細設定]が閉じます。
- クライアントマシンで、Netskopeエージェントを再起動して、これらの新しい設定をすぐに取得します。(通常、クライアントは更新を求めてNetskopeに連絡するため、1時間以内にクライアントが更新されます)。
詳細設定が存在します。どちらのシナリオでも動作すると考えられますが、Bypass + directを使用することをお勧めします。
- Bypass + Direct:このオプションを選択すると、クライアントから設定済みのアプリケーション/ドメインがバイパスされます。Netskopeへは移動しません。
- Bypass + Tunnel:このオプションを選択すると、クライアントはアプリケーション/ドメインからトラフィックをトンネリングしますが、Netskopeプロキシはこれをバイパスします。このオプションは、SSO認証サービスに関連付けられたドメインに対して便利です。これらのサービスでは、NetskopeクラウドのソースIPを使用して、クラウドアプリケーションへのアクセスがNetskopeによって保護されているかどうかを判別するためです。
フィードバック