GlobalProtect Windows App kann die Domänennamen des lokalen Netzwerks nicht auflösen

GlobalProtect Windows App kann die Domänennamen des lokalen Netzwerks nicht auflösen

4179
Created On 05/11/23 14:19 PM - Last Modified 05/17/23 05:27 AM


Symptom


  • Wenn die Option "Alle FQDNs mithilfe DNS von Servern, die vom Tunnel zugewiesen sind (nur Windows)" auf Ja (Standard) festgelegt ist, antwortet sie mit Code auf NXDOMAIN jede DNS Anforderung, die an DNS Server gerichtet ist, GlobalProtect die GlobalProtect nicht vom Gateway gepusht wurden.
  • Die Protokolle "reply no such name = 1" und "ST,,READER return reject DNS now" sind in den PanGPS-Dump-Protokollen zu sehen:
(P2808-T6804)Dump (  91): 05/11/23 16:45:41:352 Received DNS request for home.local with type 1
(P2808-T6804)Dump ( 531): 05/11/23 16:45:41:352 EnforceSplitDns, ret1=-1, ret2=-1, type1=0, type2=0 (3/4-in/exclude), bReplyNoSuchName=1
(P2808-T6804)Dump ( 532): 05/11/23 16:45:41:352 EnforceSplitDns, qname=home.local, from tunnel=0, reply no such name = 1
(P2808-T6804)Dump ( 590): 05/11/23 16:45:41:352 EnforceSplitDns: Handle DNS request home.local to server 192.168.3.50
(P2808-T6804)Dump ( 937): 05/11/23 16:45:41:352 HandleDnsCallback result=split dns
(P2808-T6804)Dump ( 611): 05/11/23 16:45:41:352 ST,READER, return reject DNS now


Environment


  • Windows 10-Client
  • GlobalProtect 5.2 oder höher
  • All PAN-OS
  • DNS Split ist deaktiviert, > die Option "Split-Tunnel" auf "Nur Netzwerkverkehr" eingestellt ist (Standard)
  • Alle FQDNs mithilfe DNS von Servern auflösen, die vom Tunnel zugewiesen sind (nur Windows) auf Ja (Standard) festlegen

Cause


  • Alle Anforderungen, die DNS an den Server gerichtet sind, der DNS dem lokalen physischen Adapter zugewiesen ist, werden vom GlobalProtect Client (mit der NXDOMAIN Antwort) abgelehnt.
  • Wenn diese Einstellung aktiviert ist, GlobalProtect antwortet in NXDOMAIN folgenden Fällen:
    • Die DNS Anforderung wird nicht an die GP Tunnelschnittstelle weitergeleitet
    • Die DNS Anforderung wird an die GP Tunnelschnittstelle an einen DNS Server weitergeleitet, der nicht vom Gateway gepusht wird
In unserem Beispiel:
  • home.local ist die lokale Clientdomäne und 192.168.3.50 ist der Server, der DNS dem physischen Adapter zugewiesen ist.
  • Die Schnittstelle, die die Abfrage überschreibt, ist die DNS physische Schnittstelle (von tunnel=0) und antwortet daher GP mit NXDOMAIN (reply no such name = 1)
(P2808-T6804)Dump ( 532): 05/11/23 16:45:41:352 EnforceSplitDns, qname=home.local, from tunnel=0, reply no such name = 1

Resolution


Legen Sie die Option "Alle FQDNs mithilfe DNS von Servern auflösen, die vom Tunnel zugewiesen sind (nur Windows)" auf Nein fest

GUI: Netzwerk- > > GlobalProtect Portale > <portal-config> > Agent > <agent-config> > App 
Bild.png
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000g1lzCAA&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language