Alle Adapter werden nach der Verbindung mit GlobalProtect als Domänennetzwerke erkannt, wenn domänenbasiertes Split-Tunneling verwendet wird.
3428
Created On 08/26/22 13:32 PM - Last Modified 04/25/25 20:18 PM
Symptom
Wenn die Active Directory (Aktives Verzeichnis - AD) Domäne in der Split-Tunnel Konfiguration auf einem GlobalProtect-Gateway als Include-Domäne konfiguriert ist, werden alle Schnittstellen nach der Verbindung mit GlobalProtect als im Domänennetzwerk befindlich erkannt. Dies geschieht auch dann, wenn die physischen Schnittstellen keinen Zugriff auf das Domänennetzwerk haben.
Environment
- GlobalProtect Gateway
- Die Active Directory (Aktives Verzeichnis - AD) Domäne ist in der Split-Tunnel Konfiguration als Include-Domäne konfiguriert.
- Windows-Clients
- Alle PAN-OS-Geräte
Cause
Wenn domänenbasiertes Split-Tunneling aktiviert ist, überwachen GlobalProtect alle Verbindungen auf Kernelebene und entscheidet, ob die Verbindung an den physischen Adapter oder den virtuellen GlobalProtect-Adapter gebunden wird.
Wenn die Active Directory (Aktives Verzeichnis - AD) Domäne so konfiguriert ist, dass sie in der Split-Tunnel Konfiguration eine eingeschlossene Domäne ist, bindet Globalprotect alle Verbindungen zu dieser Domäne erneut an die IP des virtuellen GlobalProtect-Adapters, unabhängig davon, welche Schnittstelle sie initiiert hat.
Wenn GlobalProtect eine Verbindung herstellt, überprüft Windows NLA aufgrund der Netzwerkänderung den Standort jedes Adapters erneut. Dabei besteht ein Teil des Prozesses darin, die Erreichbarkeit des Domänencontrollers über das Netzwerk auf jedem Adapter zu testen.
Da die Active Directory (Aktives Verzeichnis - AD) Domäne in der Split-Tunneling- Konfiguration enthalten ist, werden alle auf separaten Adaptern initiierten Erreichbarkeitsprüfungen stattdessen an die GlobalProtect- Schnittstelle gebunden, über die der Domänencontroller tatsächlich erreichbar ist.
Dies führt dazu, dass alle Adapter die Domänenstandortprüfung bestehen.
Resolution
Wenn die Active Directory (Aktives Verzeichnis - AD) Domäne in den Domänen-Split-Tunnel-Einstellungen enthalten sein muss, ist dies das erwartete Verhalten von Microsoft NLA und es gibt keine bekannte Workaround.