「最小FQDN更新時間」が 60 秒以上に設定されているのに、ファイアウォールが60 秒ごとに AAAA のDNSクエリを送信するのはなぜですか?

「最小FQDN更新時間」が 60 秒を超える値に設定されているにもかかわらず、ファイアウォールが60 秒ごとに AAAA のDNSクエリを送信するのはなぜですか?
次のエラー メッセージが dnsproxyd.log (mp-log dnsproxyd.log 未満) に 60 秒ごとに表示されます。

admin@PA-VM> tail follow yes mp-log dnsproxyd.log
(snip)
18:24:35.013 +0900 Warning:  pan_dnsproxy_log_resolve_fail(pan_dnsproxy_util.c:651): Failed to resolve domain name:www.paloaltonetworks.com AAAA after trying all attempts to name server(s): 8.8.8.8
18:25:35.013 +0900 Warning:  pan_dnsproxy_log_resolve_fail(pan_dnsproxy_util.c:651): Failed to resolve domain name:www.paloaltonetworks.com AAAA after trying all attempts to name server(s): 8.8.8.8
18:26:35.013 +0900 Warning:  pan_dnsproxy_log_resolve_fail(pan_dnsproxy_util.c:651): Failed to resolve domain name:www.paloaltonetworks.com AAAA after trying all attempts to name server(s): 8.8.8.8
18:27:35.013 +0900 Warning:  pan_dnsproxy_log_resolve_fail(pan_dnsproxy_util.c:651): Failed to resolve domain name:www.paloaltonetworks.com AAAA after trying all attempts to name server(s): 8.8.8.8

この場合、「最小FQDN更新時間」は 180 秒に設定されています。



FQDNアドレス オブジェクトにはIPv4アドレスがあります。



ファイアウォールは、AAAA のDNSクエリを 180 秒ごとではなく 60 秒ごとに送信します。

• パロアルトファイアウォール
• PAN-OS 9.1 以上
• IPv4アドレスで使用されるFQDNオブジェクト
• DNS

1. ファイアウォールは、 FQDNアドレス オブジェクトを解決するために、A と AAAA の両方にDNSクエリを送信します。
2. ファイアウォールがFQDNアドレス オブジェクトを解決し、そのキャッシュを持っている場合、ファイアウォールは「最小FQDN更新時間」に従ってそれを更新ためにDNSクエリを送信します。
3. FQDNにIPv6アドレスがなく、ファイアウォールがFQDNアドレス オブジェクトをIPv6アドレスに解決できない場合、ファイアウォールは60 秒ごとに AAAA のDNSクエリの送信を再試行します。

• この動作は、PAN-OS 9.0 以降のFQDN更新拡張機能に関連しています。
• ネットワークでIPv6が使用されていない場合は、 IPv6ファイアウォールを無効にすることでエラー メッセージを回避できます。
• IPv6ファイアウォールが無効になっている場合、ファイアウォールはFQDNアドレス オブジェクトを解決IPv6ために A のDNSクエリのみを送信しますが、 ファイアウォールパケットは処理しません。
• IPv6ファイアウォールを有効または無効にする方法