GlobalProtect -DNS客户端解析可能会失败DNS拆分隧道已启用

• GlobalProtect 将回应NXDOMAIN如果界面标题为DNS请求与拆分隧道排除/包含域匹配不一致。
• “回复没有这样的名字= 1”和“ST ,READER , 返回拒绝DNS现在”日志在 PanGPS 转储日志中看到：

(P6160-T6308)Dump (  91): 06/11/22 15:27:24:908 Received DNS request for ctldl.windowsupdate.com with type 1
(P6160-T6308)Dump (1585): 06/11/22 15:27:24:908 Domain name ctldl.windowsupdate.com matches exclude wildcard domain
(P6160-T6308)Dump ( 531): 06/11/22 15:27:24:908 EnforceSplitDns, ret1=0, ret2=-1, type1=4, type2=0 (3/4-in/exclude), bReplyNoSuchName=1
(P6160-T6308)Dump ( 532): 06/11/22 15:27:24:908 EnforceSplitDns, qname=ctldl.windowsupdate.com, from tunnel=1, reply no such name = 1
(P6160-T6308)Dump ( 590): 06/11/22 15:27:24:908 EnforceSplitDns: Handle DNS request ctldl.windowsupdate.com to server 192.168.1.30
(P6160-T6308)Dump ( 942): 06/11/22 15:27:24:908 HandleDnsCallback result=split dns
(P6160-T6308)Dump ( 615): 06/11/22 15:27:24:908 ST,READER, return reject DNS now

• Windows 10 客户端
• GlobalProtect 5.2或更高
• GlobalProtect 门户和网关
• 全部 PAN-OS
• 拆分隧道选项设置为“网络流量和DNS” 在 Portal 代理配置上
• GP 隧道和客户端本地接口配置相同DNS服务器
• 拆分隧道包含/排除域列表已配置

• 如果客户端配置相同DNS服务器的GP和本地接口，DNS拆分隧道功能将无法正常工作。
• 没有时也可能发生同样的情况DNS服务器是在网关代理配置上定义的，并且GPApp将使用DNS在本地接口上定义的服务器。
• 原因是这个功能在GP旨在区分目标DNS服务器 （VPN assigned or local) 基于请求的域。
• 此外，分裂DNS特色在GP一切都取决于DNS来自 Windows 的查询DNS客户端（存根解析器）和相同时DNS服务器在多个接口上配置，其行为未定义。

• *.windowsupdate.com在拆分隧道排除域列表中配置
• 界面标题为DNS查询是GP代替隧道（隧道=1 ) 所以它不符合排除规则
• GP 回应NXDOMAIN(回复没有这样的名字 = 1 )

(P6160-T6308)Dump ( 532): 06/11/22 15:27:24:908 EnforceSplitDns, qname=ctldl.windowsupdate.com, from tunnel=1, reply no such name = 1

• 视窗DNS客户不发送任何DNS通过本地适配器请求，因此客户端最终将无法解析所请求的域。