Einige GlobalProtect-Benutzer können nicht auf ausgeschlossene Domänen zugreifen

Einige GlobalProtect-Benutzer können nicht auf ausgeschlossene Domänen zugreifen

6078
Created On 10/21/20 02:22 AM - Last Modified 01/06/25 19:59 PM


Symptom


GlobalProtect wurde mit geteiltem Tunnelverkehr bereitgestellt, um eine Liste von Domänen auszuschließen.
Die GlobalProtect-Protokolle zeigen, dass die ausgeschlossenen Domänen ordnungsgemäß ausgeschlossen sind.

Einige Benutzer können die ausgeschlossenen Domänen nicht erreichen.
Im Browser Google Chrome wird der Fehler "ERR_ADDRESS_INVALID" angezeigt.

Wenn GlobalProtect deaktiviert ist, können Benutzer auf die ausgeschlossenen Domänen zugreifen.

Environment


PAN-OS
GlobalProtect
aktivierter Split-Tunnel mit Domänenausschluss konfiguriert

Cause


Der Client kann sich in einem nativen IPv6-Netzwerk befinden.
Wenn eine Verbindung mit GlobalProtect besteht, verwendet es einen IPv4-DNS-Server und versucht, Server mit IPv4-Adressen über das IPv6-Netzwerk zu kontaktieren.

Der Computer versucht, über ein IPv6-Netzwerk eine Verbindung mit der IPv4-Adresse herzustellen.

Um dies zu überprüfen:
Wenn die Verbindung zum GP getrennt ist, pingen Sie eine ausgeschlossene Domäne an, um die ip-Kontaktierte im IPv4- oder IPv6-Format anzuzeigen.

Resolution


Eine Lösung besteht darin, die Split DNS-Funktion (Admin Guide )
zu aktivieren. Die ausgeschlossenen Domänen/URLs werden mit dem öffentlichen DNS-Server aufgelöst.

Mit Split DNS kann der Computer ausgeschlossene Domänen erreichen.

Additional Information


IPv4-Format
32 Bits dargestellt durch 4 Dezimalzahl durch Punkte getrennt.

IPv6-Format
128 Bits durch bis zu 8 hexadezimale Zahlen durch Doppelpunkte getrennt dargestellt.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HBGBCA4&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language