视窗GlobalProtect客户需要A长时间连接

视窗GlobalProtect客户需要A长时间连接

25104
Created On 09/01/21 19:00 PM - Last Modified 04/23/24 03:26 AM


Symptom


  • GlobalProtect 连接需要一分钟才能连接
  • 在 PanGPS.log 中看到“DnsQuery 返回 1460”
(P20096-T14052)Debug(1925): 06/18/21 18:49:41:649 Retry DnsQuery.
(P20096-T14052)Debug(1943): 06/18/21 18:49:41:649 Already takes 12 seconds for all dns queries.
(P20096-T14052)Debug(1917): 06/18/21 18:49:42:691 DnsQuery returns 1460
(P20096-T14052)Debug(1925): 06/18/21 18:49:45:697 Retry DnsQuery.
(P20096-T14052)Debug(1943): 06/18/21 18:49:45:697 Already takes 16 seconds for all dns queries.
(P20096-T14052)Debug(1917): 06/18/21 18:49:46:734 DnsQuery returns 1460
  • Windows 更新后影响 Windows 用户 - KB5001330

Environment


  • GlobalProtect 适用于 Windows
  • Windows 更新 - KB5001330
  • 已配置内部主机检测

Cause


当内部主机检测配置为GlobalProtect, 在此期间GP连接 Windows 首先执行网络发现,它同时发送DNS和MDNS查询以验证客户端是在内部网络还是外部网络中。 它通过执行反向操作来做到这一点DNS查找私人IP配置在上GlobalProtect中的门户配置PAN-OS. 一次DNS响应“No such name”,我们应该看到 DNSQuery 9003,它指示GP端点是外部的客户端

之前GlobalProtect使用 Windows 更新的客户端 - KB5001330,当客户端从外部网络连接时,查找将失败并返回 DNSQuery 9003“没有这样的名称”。 对于安装了 KB5001330 的 Windows 客户端,DNSQuery 返回 1460(超时),表示未收到来自DNS服务器。 这促使GP客户端继续查询DNS服务器最多响应 20 次,导致连接用户延迟 60 秒以上。

Resolution


解决方法

选项1

  • 在 Windows 客户端上禁用 mDNS

选项 2

  • 卸载 Windows 更新 KB5001330
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oMT0CAM&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language