Verzögerung beim Herstellen einer Verbindung zu GlobalProtect Windows 10-Clients

Verzögerung beim Herstellen einer Verbindung zu GlobalProtect Windows 10-Clients

23511
Created On 03/25/22 11:43 AM - Last Modified 09/30/23 22:00 PM


Symptom


  • GlobalProtect Die Verbindung der Anwendung dauert mehr als 1 Minute
  • DNSQuery überschreitet 1 Minute
  • DNSQuery gibt 1460 zurück
  • In den PanGPS-Protokollen unten sehen wir die folgenden Meldungen:
Debug(1908): 03/16/22 08:53:47:095 Already takes 53 seconds for all dns queries.
Debug(1882): 03/16/22 08:53:48:148 DnsQuery returns 1460
Debug(1908): 03/16/22 08:53:51:151 Already takes 57 seconds for all dns queries.
Debug(1882): 03/16/22 08:53:52:191 DnsQuery returns 1460
Debug(1890): 03/16/22 08:53:55:197 Retry DnsQuery.
Debug(1908): 03/16/22 08:53:55:197 Already takes 61 seconds for all dns queries.
Debug(1910): 03/16/22 08:53:55:197 Exceeds 1 minute. Do not retry DnsQuery.

Environment


  • Alle Palo Alto Netzwerke firewall
  • GlobalProtect VPN Aktiviert
  • GlobalProtect Windows-Anwendungsversion zwischen 5.2.6 und 5.2.8
  • Windows 10-Clientsystem

Cause


  • Wenn die interne Hosterkennung auf GlobalProtectkonfiguriert ist, führt Windows während der globalen Schutzverbindung (GP) erstmals eine Netzwerkerkennung durch
  • Dazu werden sowohl Abfragen als auch DNS MDNS gesendet, um zu überprüfen, ob sich der Client im internen oder externen Netzwerk befindet.
  • Dies geschieht durch Ausführen eines Reverse-Lookups DNS für ein privates IP Lookup, das GlobalProtect im Portal konfiguriert ist.
  • Sobald DNS wir mit "No such name " antworten, sollten wir DNSQuery 9003 sehen, das dem GP Client anzeigt, dass der Endpunkt extern ist
  • GlobalProtect Vor Clients mit Windows Update KB5001330 schlug die Suche fehl, wenn der Client eine Verbindung von einem externen Netzwerk herstellte, und gab DNSQuery 9003 "No such name" zurück.
  • Bei Windows-Clients, auf denen KB5001330 installiert ist, gibt DNSQuery 1460 (Timeout) zurück, was angibt, dass keine Antwort vom DNS Server empfangen wurde.
  • Dies fordert den Client auf, den GP Server bis zu 20 Mal nach einer Antwort abzufragen, was zu einer Verzögerung von 60+ Sekunden bei der DNS Verbindung von Benutzern führt.

Resolution


Aktualisieren Sie GlobalProtect die Windows-Anwendung auf Version 5.2.9 oder höher

Additional Information


GPC-13693 : Es wurde ein Problem behoben, bei dem sich die DNS Auflösung zur internen Hosterkennung aufgrund von mDNS verzögerte

Verwandte Dokumente:
  • https://answers.microsoft.com/en-us/windows/forum/all/vpn-issue-with-update-kb5001330-global-protect/c64c5d54-49f6-4644-8a18-032305bf014d
  • https://docs.microsoft.com/en-us/answers/questions/166816/disable-mdns.html
  • https://hsione.force.com/dentrixguest/s/article/Unable-To-Access-Common-Folder-Due-to-Windows-Update-KB001330
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004NmlCAE&lang=de%E2%80%A9&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language