Todos los adaptadores se detectan como redes de dominio después de conectarse a GlobalProtect cuando se utiliza la tunelización dividida basada en dominio
3446
Created On 08/26/22 13:32 PM - Last Modified 04/25/25 20:18 PM
Symptom
Cuando el dominio de Active Directory (Directorio Activo - AD) se configura como un dominio de inclusión en la configuración de túnel dividido en una puerta de enlace de GlobalProtect, se detectan todas las interfaces como pertenecientes a la red de dominio después de conectarse a GlobalProtect. Esto sucede incluso cuando las interfaces físicas no tienen acceso a la red de dominio.
Environment
- Puerta de enlace GlobalProtect
- El dominio de Active Directory (Directorio Activo - AD) está configurado como un dominio incluido en la configuración del túnel dividido
- Clientes de Windows
- Todos los dispositivos PAN-OS
Cause
Cuando la tunelización dividida basada en dominio está activa, GlobalProtect supervisar todas las conexiones a nivel de kernel y tomará la decisión sobre si vincular la conexión al adaptador físico o al adaptador virtual de GlobalProtect.
Si el dominio de Active Directory (Directorio Activo - AD) está configurado para ser un dominio incluido en la configuración del túnel dividido, Globalprotect volverá a vincular todas las conexiones a ese dominio a la IP del adaptador virtual de GlobalProtect, independientemente de qué interfaz las haya iniciado.
Cuando GlobalProtect se conecta, Windows NLA vuelve a verificar la ubicación de cada adaptador debido al cambio de red. Cuando esto sucede, una parte del proceso consiste en probar la accesibilidad del controlador de dominio a través de la red en cada adaptador.
Debido a que el dominio de Active Directory (Directorio Activo - AD) está incluido en la configuración de túnel dividido, todas esas comprobaciones de accesibilidad iniciadas en adaptadores separados están vinculadas a la interfaz de GlobalProtect donde el controlador de dominio es realmente accesible.
Esto hace que todos los adaptadores pasen la comprobación de ubicación del dominio.
Resolution
Si el dominio de Active Directory (Directorio Activo - AD) debe incluirse en la configuración del túnel dividido de dominio, este es el comportamiento esperado de Microsoft NLA y no existe una solución alternativa conocida.