ドメインを除外し、アプリケーション分割トンネリングを除外して、macOS Catalina 上の複数のアプリケーションで問題を引き起こす

ドメインを除外し、アプリケーション分割トンネリングを除外して、macOS Catalina 上の複数のアプリケーションで問題を引き起こす

24780
Created On 12/04/20 21:59 PM - Last Modified 04/23/24 00:15 AM


Symptom


GlobalProtect物理アダプタを介してトラフィックを送信する除外ドメインまたは除外アプリケーションを使用して設定すると、複数のアプリケーションが macOS Catalina 10.15.x でフリーズまたはエラー発生しています。

たとえば、Google Chrome では、ブラウザに「ERR_NETWORK_CHANGED」や「ERR_TIMED_OUT」などのエラーが表示されます。
同様に、Microsoft Teamsアプリでは、アプリケーションが断続的に接続を失い、チームログに同様のエラーが表示されます(以下のエラーを参照)

-- info -- OnErrorOccurred - Description: CNS:Get Method: GET Error: net::ERR_TIMED_OUT

Environment


  • GlobalProtect クライアント 5.1 および 5.2.
  • macOS カタリナ 10.15.x.
  • 影響を受けるブラウザ: Chrome
  • 影響を受けるアプリケーション: Microsoft Teams。

 

Cause


  • この問題は、 GlobalProtect ゲートウェイが「除外ドメイン」または「除外アプリケーション」を使用するように設定されている場合にのみ、macOS Catalina 10.15.x に影響を与えているようです。
  • 原因は、macOS API カタリナに固有のシステム拡張に関連するmacOSシステムコールにあるようです。
  • パロアルトネットワークスは、アップルとの問い合わせを開いており、詳細はアップルの開発者フォーラムでこの リンクで見ることができます。
  • 詳細は、Apple Bug ID FB7868606 を参照し、下記パロアルトネットワークスの免責事項を参照してください。

Resolution


  • 最新の macOS BigSur 11.2.x 以降にアップグレード
  • macOS BigSur にアップグレードできない場合は、スプリット トンネルを GlobalProtect 無効にしてゲートウェイ設定で完全トンネルを使用してください。
  • ゲートウェイ設定でスプリットトンネリングを無効にできない場合 GlobalProtect は、回避策としてSafariまたはFirefoxブラウザを使用することもできます。

Additional Information



免責事項: Appleのシステム拡張機能と Chrome ブラウザに関する以下の記述は、それぞれのウェブサイト、ドキュメント、およびサポートチケットを通じて提供される限られた情報で作成されています。 パロアルトネットワークスは、第三者製品、第三者製品の機能、または第三者製品の将来の製品変更に関して提供される情報について責任を負うものではありません。 
Apple の推奨事項に従って、macOS Catalina を起動すると GlobalProtect 、5.2.4 は macOS システム拡張を使用して、ゲートウェイの設定に基づいて宛先へのトラフィックのスプリット トンネリングを容易にします。 エンドユーザーはSafariでスプリットトンネルの宛先にアクセスする問題に直面していないのを観察しましたが、Chromeブラウザには「 A ネットワークの変化が検出され、ERR_NETWORK_CHANGED」と表示されたり、ロードに時間がかかることが常に確認されました。 
GlobalProtectAPI IP は、特定のドメイン/サブドメインの変更に対して新しい IP を設定するために [ setTunnelNetworkSettings ] を使用します TCP UDP GlobalProtect 。 これを頻繁に呼び出す必要性 API は、SaaS アプリケーションのクラウド IP を絶えず変化させるためです。 Apple は、アプリケーションがこれを API 複数回または頻繁に呼び出すことは制限しません。 Google の Chrome ブラウザは、優れたユーザー エクスペリエンスを確保するために、ネットワーク インターフェイスの変更を監視しようとします。 GlobalProtectドメインによるスプリットトンネリングのユースケースをサポートするために[NEAppProxyProvider setTunnelNetworkSettings]を呼び出すと、Chromeはこれをネットワークインターフェイスの変更として認識し、ウェブサイトドメインへの接続を中断します。 この問題は、Safari や Firefox などの他の主流のブラウザでは見られない。
また、上記のユースケースが5.2.4バージョンと共にmacOS Big Surでテストされたとき GlobalProtect 、ドメインを含め、ドメインを除外し、クロムブラウザでerr_network_changedエラーなしで開かれたすべてのドメインにも気付きました。 これは、システム拡張の動作に影響を与えるAppleによってBig Surで行われた変更が原因である可能性があると予想しています。 アップルまたはグーグルはこの問題に関する公式な確認を提供していない。

Apple 開発者フォーラム

: 他のアプリケーションもこの問題の影響を受ける可能性があります。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HBqECAW&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language