GlobalProtect -DNSクライアントの解決は、次の場合に失敗する可能性があります。DNSスプリット トンネリングが有効になっています

• GlobalProtect で応答しますNXDOMAINインターフェースの見出しの場合のコードDNSリクエストは、スプリット トンネルの除外/包含ドメインの一致と一致しません。
• 「reply no such name = 1」と「ST 、READER 、返品拒否DNS今」ログは、PanGPS ダンプ ログに表示されます。

(P6160-T6308)Dump (  91): 06/11/22 15:27:24:908 Received DNS request for ctldl.windowsupdate.com with type 1
(P6160-T6308)Dump (1585): 06/11/22 15:27:24:908 Domain name ctldl.windowsupdate.com matches exclude wildcard domain
(P6160-T6308)Dump ( 531): 06/11/22 15:27:24:908 EnforceSplitDns, ret1=0, ret2=-1, type1=4, type2=0 (3/4-in/exclude), bReplyNoSuchName=1
(P6160-T6308)Dump ( 532): 06/11/22 15:27:24:908 EnforceSplitDns, qname=ctldl.windowsupdate.com, from tunnel=1, reply no such name = 1
(P6160-T6308)Dump ( 590): 06/11/22 15:27:24:908 EnforceSplitDns: Handle DNS request ctldl.windowsupdate.com to server 192.168.1.30
(P6160-T6308)Dump ( 942): 06/11/22 15:27:24:908 HandleDnsCallback result=split dns
(P6160-T6308)Dump ( 615): 06/11/22 15:27:24:908 ST,READER, return reject DNS now

• Windows 10 クライアント
• GlobalProtect 5.2以上
• GlobalProtect ポータルとゲートウェイ
• 全て PAN-OS
• Split-Tunnel オプションを「ネットワーク トラフィックとDNS」 ポータル エージェント構成
• GP 同じで構成されたトンネルとクライアントのローカル インターフェイスDNSサーバー
• スプリット トンネルの包含/除外ドメイン リストの設定

• クライアントが同じように構成されている場合DNSのサーバーGPおよびローカル インターフェイス、DNSスプリット トンネル機能が正しく動作しません。
• いいえの場合も同じことが起こる可能性がありますDNSサーバーは Gateway Agent 構成で定義され、GPAppを使用しますDNSローカル インターフェイスで定義されたサーバー。
• その理由は、この機能がGPターゲットを区別するように設計されていますDNSサーバー (VPN要求されたドメインに基づいて割り当てられたまたはローカル)。
• さらに、スプリットDNSの機能GPすべてに依存しますDNSWindows からのクエリDNSクライアント (スタブリゾルバ) と同じ場合DNSサーバーは複数のインターフェイスで構成されており、その動作は定義されていません。

• *.windowsupdate.comスプリット トンネル除外ドメイン リストで設定されている
• 見出しのインターフェースDNSクエリはGP代わりにトンネル (トンネル=1 ) そのため、除外されたルールと一致しません
• GP で応答しますNXDOMAIN(そのような名前を返信しない= 1 )

(P6160-T6308)Dump ( 532): 06/11/22 15:27:24:908 EnforceSplitDns, qname=ctldl.windowsupdate.com, from tunnel=1, reply no such name = 1

• ウィンドウズDNSクライアントは何も送信しませんDNSクライアントが要求されたドメインの解決に失敗することになります。