Problembehandlung bei FQDN-Objekten, die nicht aufgelöst werden können
20719
Created On 07/08/24 20:30 PM - Last Modified 12/09/24 18:39 PM
Objective
Behebung des Problems der Behebung von Fehlern bei FQDN-Objekten.
Environment
- NGFW
- FQDN
- Dns
Procedure
- Überprüfen Sie die DNS-Konfiguration, navigieren Sie zu UI: DEVICE > Setup > Services.
- Stellen Sie sicher, dass Sie die minimale FQDN-Aktualisierungszeit und das FQDN-Zeitlimit für den veralteten FQDN-Eintrag (min) gemäß der bewährten Methode ordnungsgemäß konfiguriert haben.
- Stellen Sie sicher, dass die DNS-Server von der Firewall aus erreichbar sind. Überprüfen Sie die Service-Route-Konfiguration des DNS-Servers, navigieren Sie zu DEVICE > Setup > Services , klicken Sie auf Service Route Configuration und überprüfen Sie die Quellschnittstelle des DNS-Dienstes .
- Wenn die Service-Route zum DNS-Server die Standardeinstellung ist (auch bekannt als Verwaltungsschnittstelle), können Sie den folgenden Befehl verwenden:
ping host <IP address of the DNS server> traceroute host <IP address of the DNS server>
- Wenn es sich bei der Quellschnittstelle der Dienstroute zum DNS-Server um eine Datenebenenschnittstelle handelt, können Sie den folgenden Befehl verwenden:
ping source <IP address of the dataplane interface> host <IP address of the DNS server> traceroute source <IP address of the dataplane interface> host <IP address of the DNS server>
- Wenn die Service-Route zum DNS-Server die Standardeinstellung ist (auch bekannt als Verwaltungsschnittstelle), können Sie den folgenden Befehl verwenden:
- Überprüfen Sie, ob Sicherheitsrichtlinien vorhanden sind, die den DNS-Datenverkehr blockieren (Dienstports udp/53, tcp/53, 5353 oder Anwendungs-DNS).
- Überprüfen Sie, ob Ihre FQDN-Objekte ordnungsgemäß konfiguriert sind:
- Navigieren Sie zu UI: OBJECTS > Addresses. Sie können überprüfen, ob ein bestimmtes FQDN-Objekt aufgelöst werden kann, indem Sie in der Benutzeroberfläche auf seinen Namen und dann auf die Schaltfläche Auflösen klicken.
- Verwenden Sie den CLI-Befehl:
show dns-proxy fqdn all
- Löschen Sie alle falsch konfigurierten oder doppelten FQDN-Objekte.
- Wenn das Problem spezifisch für ein bestimmtes FQDN-Objekt ist, überprüfen Sie, ob der konfigurierte DNS-Server über den A- oder AAAA-Eintrag für das konfigurierte FQDN-Objekt verfügt.
- Navigieren Sie zu UI: OBJECTS > Addresses. Sie können überprüfen, ob ein bestimmtes FQDN-Objekt aufgelöst werden kann, indem Sie in der Benutzeroberfläche auf seinen Namen und dann auf die Schaltfläche Auflösen klicken.
Additional Information
- FQDN-Objekte können nicht aufgelöst werden, wenn das DNS-Proxyobjekt konfiguriert ist
- VERWENDEN DES FQDN-ADRESSOBJEKTS MIT DYNAMISCHER IP-ADRESSE FÜR RICHTLINIEN
- SO ÄNDERN SIE DIE FQDN-AKTUALISIERUNGS-TIMER
- WAS GESCHIEHT MIT FQDNS IN EINER SICHERHEITSRICHTLINIE, WENN DIE DNS-GÜLTIGKEITSDAUER ABLÄUFT UND DAS GERÄT DEN DNS-SERVER NICHT ERREICHEN KANN?
- KONFIGURIEREN UND TESTEN VON FQDN-OBJEKTEN