ドメインベースのスプリットトンネリングを使用する場合、GlobalProtect に接続した後、すべてのアダプタがドメインネットワークとして検出されます。
3474
Created On 08/26/22 13:32 PM - Last Modified 04/25/25 20:18 PM
Symptom
Active Directory (アクティブディレクトリー - AD )ドメインが GlobalProtect ゲートウェイのスプリット トンネル設定で Include Domain として構成されている場合、GlobalProtect に接続した後、すべてのインターフェイスがドメイン ネットワーク上にあるものとして検出されます。これは、物理インターフェイスがドメイン ネットワークにアクセスできない場合でも発生します。
Environment
- グローバルプロテクトゲートウェイ
- Active Directory (アクティブディレクトリー - AD )ドメインは、スプリットトンネル設定の包含ドメインとして構成されています。
- Windows クライアント
- すべてのPAN-OSデバイス
Cause
ドメイン ベースのスプリット トンネリングが有効な場合、GlobalProtect はカーネル レベルですべての接続を監視する、接続を物理アダプタにバインドするか、GlobalProtect 仮想アダプタにバインドするかを決定します。
Active Directory (アクティブディレクトリー - AD )ドメインがスプリット トンネル設定に含まれるドメインとして構成されている場合、Globalprotect は、どのインターフェイスが接続を開始したかに関係なく、そのドメインへのすべての接続を GlobalProtect 仮想アダプタ IP に再バインドします。
GlobalProtect が接続すると、Windows NLA はネットワークの変更によりすべてのアダプタの場所を再確認します。このとき、プロセスの一部として、各アダプタのネットワーク経由でドメイン コントローラの到達可能性をテストします。
Active Directory (アクティブディレクトリー - AD )ドメインはスプリット トンネリング設定に含まれているため、個別のアダプタで開始されたすべての到達可能性チェックは、ドメイン コントローラが実際に到達可能な GlobalProtectインターフェイスにバインドされます。
これにより、すべてのアダプタがドメインの場所のチェックに合格することになります。
Resolution
Active Directory (アクティブディレクトリー - AD )ドメインをドメイン分割トンネル設定に含める必要がある場合、これは Microsoft NLA からの予想される動作であり、既知の回避策はありません。