内部主机检测已配置,但全局保护用户仍连接到外部网关

内部主机检测已配置,但全局保护用户仍连接到外部网关

37255
Created On 12/15/20 21:16 PM - Last Modified 10/19/21 21:14 PM


Symptom


  • 已配置内部主机检测。
  • 从内部网络连接的用户。
  • 连接成功连接到外部网关而不是内部网关。
  • 查看客户全球保护 PanGPS .log"DnsQuery 返回 9003"
13:33:48:529 No <host> or <ip-address> in internal-host-detection
13:33:48:599 IP 10.10.10.10 
13:33:48:599 host 10.10.10.10 
13:33:49:601 DnsQuery returns 9003
13:33:49:601 Resolved 254.10.10.10.in-addr.arpa for internal host detection with return value 9003
13:33:49:601 NetworkDiscoverThread: network type is external.
13:33:49:601 NetworkDiscoverThread: Discover external network.

 

Environment


  • Prisma Access (Panorama Managed)
  • 已配置全局保护。

Cause


  • 错误代码 9003 表示" DNS 名称不存在"(有关响应的文章请参阅其他信息 DNS )
  • 在 IP 客户端配置中配置用于内部主机检测的地址 GlobalProtect 与指定的 DNS 名称不匹配。

Resolution


配置可以在内部解析的主机。
  1. 登录到 Panorama
  2. 单击 GUI : Panorama >> Cloud Services 配置
  3. 单击 "移动用户" 选项卡
  4. "入载 "下,选择要配置的配置
  5. 一>内部主机 检测(单击复选框以启用)
    1. 输入仅可从内部网络到达的主机IP地址
    2. 输入您输入的地址的 DNS 主机名 IP 。
  6. 点击 OK
  7. 提交并推送 到普里斯马

Additional Information


Prisma Access 用户配置(见步骤 6,内部主机检测 5 号)
DNS 内部主机检测最常见的查询响应
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HByICAW&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language