如何解决无法解析的 FQDN 对象问题

如何解决无法解析的 FQDN 对象问题

20491
Created On 07/08/24 20:30 PM - Last Modified 12/09/24 18:39 PM


Objective


解决解决 FQDN 对象失败的问题。

Environment


  • NGFW
  • FQDN
  • DNS

Procedure


  1. 检查DNS配置,导航到UI: 设备>设置>服务
    1. 确保您已按照最佳实践正确配置了最小 FQDN 刷新时间和 FQDN 过时条目超时(分钟)。
  2. 确保可以从防火墙访问 DNS 服务器。 检查DNS服务器的服务路由配置,导航到DEVICE>设置>服务 ,点击 服务路由配置 ,检查 DNS 服务的源接口。
    1. 如果到DNS服务器的服务路由是默认的(又名管理接口),则可以使用以下命令: 
      ping host <IP address of the DNS server>
traceroute host <IP address of the DNS server>
    2. 如果到 DNS 服务器的服务路由的源接口是数据平面接口,则可以使用以下命令: 
      ping source <IP address of the dataplane interface> host <IP address of the DNS server>
traceroute source <IP address of the dataplane interface> host <IP address of the DNS server>
  3. 检查是否存在可能阻止 DNS 流量的安全策略(服务端口 udp/53、tcp/53、5353 或应用程序 DNS)。
  4. 检查 FQDN 对象是否已正确配置:
    1. 导航到 UI:对象>地址。 您可以通过在 UI 中单击其名称,然后单击“ 解决 ”按钮来检查某个 FQDN 对象是否能够解析。解析 FQDN 对象
    2. 使用 CLI 命令: 
       show dns-proxy fqdn all
    3. 删除任何配置错误或重复的 FQDN 对象。
    4. 如果问题特定于某个 FQDN 对象,请检查配置的 DNS 服务器是否具有配置的 FQDN 对象的 A 或 AAAA 记录。
 

Additional Information


  1. 配置 DNS 代理对象时,FQDN 对象无法解决
  2. 将 FQDN 地址对象与策略动态 IP 结合使用
  3. 如何更改 FQDN 刷新计时器
  4. 当 DNS 生存时间过期且设备无法访问 DNS 服务器时,安全策略中的 FQDN 会发生什么情况?
  5. 如何配置和测试 FQDN 对象
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HDWkCAO&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language