Pourquoi le pare-feu envoie-t-il une requête DNS pour AAAA toutes les 60 secondes lorsque le « Temps d'actualisation minimum du FQDN » est défini sur plus de 60 secondes ?

Pourquoi le pare-feu envoie-t-il une requête DNS pour AAAA toutes les 60 secondes lorsque le « Temps d'actualisation minimum du FQDN » est défini sur plus de 60 secondes ?

4956
Created On 06/14/22 09:13 AM - Last Modified 01/03/25 04:46 AM


Question


Pourquoi le pare-feu envoie-t-il une requête DNS pour AAAA toutes les 60 secondes même si « Temps d'actualisation minimum du FQDN » est défini sur une valeur supérieure à 60 secondes ?
Le message d'erreur suivant apparaît toutes les 60 secondes sur dnsproxyd.log (moins mp-log dnsproxyd.log).

admin@PA-VM> tail follow yes mp-log dnsproxyd.log
(snip)
18:24:35.013 +0900 Warning:  pan_dnsproxy_log_resolve_fail(pan_dnsproxy_util.c:651): Failed to resolve domain name:www.paloaltonetworks.com AAAA after trying all attempts to name server(s): 8.8.8.8
18:25:35.013 +0900 Warning:  pan_dnsproxy_log_resolve_fail(pan_dnsproxy_util.c:651): Failed to resolve domain name:www.paloaltonetworks.com AAAA after trying all attempts to name server(s): 8.8.8.8
18:26:35.013 +0900 Warning:  pan_dnsproxy_log_resolve_fail(pan_dnsproxy_util.c:651): Failed to resolve domain name:www.paloaltonetworks.com AAAA after trying all attempts to name server(s): 8.8.8.8
18:27:35.013 +0900 Warning:  pan_dnsproxy_log_resolve_fail(pan_dnsproxy_util.c:651): Failed to resolve domain name:www.paloaltonetworks.com AAAA after trying all attempts to name server(s): 8.8.8.8

Dans ce cas, le « temps d'actualisation minimum du FQDN » est défini sur 180 secondes.

image.png

L'objet d'adresse FQDN a l'adresse IPv4 .

image.png

Le pare-feu envoie une requête DNS pour AAAA non pas toutes les 180 secondes mais toutes les 60 secondes.

Environment


  • Pare-feu Palo Alto
  • PAN-OS 9.1 et versions ultérieures
  • Objets FQDN utilisés avec l'adresse IPv4
  • DNS

Answer


  1. Le pare-feu envoie une requête DNS de A et AAAA pour résoudre un objet d'adresse FQDN .
  2. Lorsque le pare-feu a résolu un objet d'adresse FQDN et dispose de son cache, le pare-feu envoie une requête DNS pour l' actualiser conformément à « Temps d'actualisation minimum du FQDN ? ».
  3. Lorsque le FQDN n'a pas d'adresse IPv6 et que le pare-feu ne peut pas résoudre l'objet d'adresse FQDN en adresse IPv6 , le pare-feu réessaie d'envoyer une requête DNS pour AAAA toutes les 60 secondes.

Additional Information


  • Ce comportement est lié à l’amélioration de l’actualisation du FQDN à partir de PAN-OS 9.0.
  • Si IPv6 n'est pas utilisé sur le réseau, il est possible d'éviter les messages d'erreur en désactivant le pare-feu IPv6 .
  • Lorsque le pare-feu IPv6 est désactivé, le pare-feu envoie uniquement une requête DNS pour A pour résoudre un objet d'adresse FQDN , mais le pare-feu ne traite aucun paquet IPv6 .
  • Comment activer et désactiver le pare-feu IPv6

    image.png
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000Cq1uCAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language