GlobalProtect Windows App ne peut pas résoudre les noms de domaine du réseau local

GlobalProtect Windows App ne peut pas résoudre les noms de domaine du réseau local

4185
Created On 05/11/23 14:19 PM - Last Modified 05/17/23 05:27 AM


Symptom


  • Lorsque l’option « Résoudre tous les noms de domaine complets à l’aide de serveurs affectés par le tunnel (Windows uniquement) » est définie sur Oui (par défaut), répond avec NXDOMAIN du code à DNS chaque DNS demande adressée aux DNS serveurs qui n’ont pas été poussés par la GlobalProtect passerelle. GlobalProtect
  • Les logs « reply no such name = 1 » et « ST,,READER return reject DNS now » sont visibles dans les logs PanGPS Dump :
(P2808-T6804)Dump (  91): 05/11/23 16:45:41:352 Received DNS request for home.local with type 1
(P2808-T6804)Dump ( 531): 05/11/23 16:45:41:352 EnforceSplitDns, ret1=-1, ret2=-1, type1=0, type2=0 (3/4-in/exclude), bReplyNoSuchName=1
(P2808-T6804)Dump ( 532): 05/11/23 16:45:41:352 EnforceSplitDns, qname=home.local, from tunnel=0, reply no such name = 1
(P2808-T6804)Dump ( 590): 05/11/23 16:45:41:352 EnforceSplitDns: Handle DNS request home.local to server 192.168.3.50
(P2808-T6804)Dump ( 937): 05/11/23 16:45:41:352 HandleDnsCallback result=split dns
(P2808-T6804)Dump ( 611): 05/11/23 16:45:41:352 ST,READER, return reject DNS now


Environment


  • Client Windows 10
  • GlobalProtect 5.2 ou supérieur
  • Tout PAN-OS
  • DNS Le fractionnement est désactivé > l’option Split-Tunnel définie sur « Trafic réseau uniquement » (par défaut)
  • Résoudre tous les noms de domaine complets à l’aide DNS de serveurs affectés par le tunnel (Windows uniquement) défini sur Oui (par défaut)

Cause


  • Toutes les DNS demandes adressées au DNS serveur affecté à la carte physique locale seront rejetées par GlobalProtect le client (avec la NXDOMAIN réponse).
  • Lorsque ce paramètre est activé, GlobalProtect répondra avec NXDOMAIN dans le cas où:
    • La DNS demande n’est pas transmise à l’interface du GP tunnel
    • La DNS demande est transmise à l’interface du GP tunnel vers un DNS serveur non poussé par la passerelle
Dans notre exemple :
  • home.local est le domaine local client et 192.168.3.50 est le DNS serveur affecté à la carte physique.
  • L’en-tête de l’interface de la requête est l’interface physique (deDNS tunnel = 0) répond donc GP avec NXDOMAIN (répondre pas un tel nom = 1
(P2808-T6804)Dump ( 532): 05/11/23 16:45:41:352 EnforceSplitDns, qname=home.local, from tunnel=0, reply no such name = 1

Resolution


Définissez l’option « Résoudre tous les noms de domaine complets à l’aide DNS de serveurs affectés par le tunnel (Windows uniquement) » sur Non.

GUI : Network > > Portals > GlobalProtect Agent <portal-config> > > <agent-config> > App  
image.png
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000g1lzCAA&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language