排除域并排除应用程序拆分隧道导致 macOS Catalina 上的多个应用程序的问题

当 GlobalProtect 配置为排除域和/或排除通过物理适配器发送流量的应用程序时，多个应用程序在 macOS 卡塔利娜 10.15.x 上冻结或出错。

例如，在 Google Chrome 中，浏览器中会看到"ERR_NETWORK_CHANGED"或"ERR_TIMED_OUT"等错误。
同样，对于 Microsoft 团队应用程序，应用程序间歇性地失去连接，我们将在"团队"日志中看到类似的错误（见下面的错误）

-- info -- OnErrorOccurred - Description: CNS:Get Method: GET Error: net::ERR_TIMED_OUT

• GlobalProtect 客户端5.1和5.2。
• 马科斯 · 卡塔利娜 10.15. x.
• 受影响的浏览器： Chrome
• 受影响的应用程序：微软团队。

• 当 GlobalProtect 网关配置为使用"排除域"和/或"排除应用程序"时，该问题似乎仅影响 macOS 卡塔利娜 10.15.x。
• 原因似乎是与 macOS 系统 API 调用相关的系统扩展特定于 macOS 卡塔利娜。
• Palo Alto 网络公司已与 Apple 展开询价，可以在苹果开发者 论坛上查看此链接的更多详细信息。
• 有关详细信息，请参阅苹果 Bug ID FB7868606，并查看下面帕洛阿尔托网络的免责声明。

• 升级到最新的马科斯大苏尔 11.2.x 或更高
• 如果您无法升级到 macOS BigSur，则只需 GlobalProtect 通过禁用拆分隧道来使用网关配置上的完整隧道即可。
• 如果您无法禁用网关配置上的拆分隧道 GlobalProtect ，您也可以使用 Safari 或 Firefox 浏览器作为解决方法。

免责声明：请注意，以下有关 Apple 系统扩展和 Chrome 浏览器的声明包含通过各自网站、文档和支持票证提供的有限信息。 Palo Alto 网络对有关第三方产品、第三方产品的功能或第三方产品的未来产品更改不承担责任，也不对它负责。 
根据 Apple 的建议，从 macOS 卡塔利娜开始 GlobalProtect ，5.2.4 使用 macOS 系统扩展，以方便基于网关配置的前往目的地的交通分隧道。 我们观察到，最终用户在访问 Safari 上的分隧道目的地时没有遇到问题，但 Chrome 浏览器不断显示" A 已检测到网络更改，ERR_NETWORK_CHANGED"，有时加载需要很长时间。 
GlobalProtect 使用 API [设置隧道网络设置] 设置新的 IP，一旦 IP 特定域/子域更改，否则系统不会重定向 TCP / UDP 连接 GlobalProtect 。 经常调用此请求的需要 API 归因于 SaaS 应用程序的云 IPs 不断变化。 Apple 不会限制应用程序多次或频繁调用此电话 API 。 谷歌的Chrome浏览器试图监控网络界面的变化，以确保良好的用户体验。 当 GlobalProtect 调用 [NEAppProxy 提供器设置隧道网络设置]以支持域的拆分隧道使用案例时，Chrome 认为这是网络界面更改，中断了与网站域的连接。 这个问题在其他主流浏览器（如 Safari 和 Firefox）中看不到。
我们最近还注意到，当上述用例与 macOS Big Sur 一起测试时，以及 GlobalProtect 5.2.4 版本：包括域名、排除域以及所有打开的域名，在 Chrome 浏览器上没有任何err_network_changed错误。 我们预计这可能是由于苹果在大苏尔所做的更改，影响系统扩展行为。 苹果或谷歌尚未就此问题提供官方确认。

苹果开发

者论坛注意：其他应用程序也可能受到此问题的影响。