Retraso en la conexión desde GlobalProtect clientes de Windows 10

Retraso en la conexión desde GlobalProtect clientes de Windows 10

23560
Created On 03/25/22 11:43 AM - Last Modified 09/30/23 22:00 PM


Symptom


  • GlobalProtect La aplicación tarda más de 1 minuto en conectarse
  • DNSQuery supera 1 minuto
  • DNSQuery devuelve 1460
  • En los registros de PanGPS a continuación, vemos los siguientes mensajes:
Debug(1908): 03/16/22 08:53:47:095 Already takes 53 seconds for all dns queries.
Debug(1882): 03/16/22 08:53:48:148 DnsQuery returns 1460
Debug(1908): 03/16/22 08:53:51:151 Already takes 57 seconds for all dns queries.
Debug(1882): 03/16/22 08:53:52:191 DnsQuery returns 1460
Debug(1890): 03/16/22 08:53:55:197 Retry DnsQuery.
Debug(1908): 03/16/22 08:53:55:197 Already takes 61 seconds for all dns queries.
Debug(1910): 03/16/22 08:53:55:197 Exceeds 1 minute. Do not retry DnsQuery.

Environment


  • Cualquier red de Palo Alto firewall
  • GlobalProtect VPN Habilitado
  • GlobalProtect Versión de la aplicación para Windows entre 5.2.6 y 5.2.8
  • Sistema cliente Windows 10

Cause


  • Cuando la detección de host interno está configurada en GlobalProtect, durante la conexión de protección global,GP Windows realiza primero una detección de redes
  • Esto se hace enviando consultas DNS MDNS para verificar si el cliente está en la red interna o externa.
  • Esto se hace realizando una búsqueda inversa DNS en un privado IP configurado en el GlobalProtect Portal
  • Una vez respondida DNS con "No such name " deberíamos ver DNSQuery 9003, que indica al GP cliente que el end-point es externo
  • Antes de los GlobalProtect clientes con Windows Update - KB5001330, cuando el cliente se conectaba desde una red externa, la búsqueda fallaba y devolvía DNSQuery 9003 "No such name".
  • Con los clientes de Windows que instalaron KB5001330, DNSQuery devuelve 1460 (tiempo de espera), lo que indica que no se recibió ninguna respuesta del DNS servidor.
  • Esto hace que el cliente continúe consultando el DNS servidor hasta 20 veces para obtener una respuesta y resulta en un retraso de 60+ segundos en la GP conexión de los usuarios.

Resolution


Actualizar GlobalProtect la aplicación de Windows a la versión 5.2.9 o superior

Additional Information


GPC-13693 : Se ha corregido un problema por el que la DNS resolución de la detección de host interno se retrasaba debido a mDNS

Documentos relacionados:
  • https://answers.microsoft.com/en-us/windows/forum/all/vpn-issue-with-update-kb5001330-global-protect/c64c5d54-49f6-4644-8a18-032305bf014d
  • https://docs.microsoft.com/en-us/answers/questions/166816/disable-mdns.html
  • https://hsione.force.com/dentrixguest/s/article/Unable-To-Access-Common-Folder-Due-to-Windows-Update-KB001330
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004NmlCAE&lang=es%E2%80%A9&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language