도메인 기반 분할 터널링을 사용할 때 GlobalProtect에 연결한 후 모든 어댑터가 도메인 네트워크로 감지됨
4313
Created On 08/26/22 13:32 PM - Last Modified 04/25/25 20:18 PM
Symptom
GlobalProtect Gateway의 분할 터널 구성 에서 Active Directory 도메인이 포함 도메인으로 구성된 경우 모든 인터페이스는 GlobalProtect에 연결한 후 도메인 네트워크에 있는 것으로 감지됩니다. 이는 물리적 인터페이스가 도메인 네트워크에 액세스할 수 없는 경우에도 발생합니다.
Environment
- GlobalProtect 게이트웨이
- Active Directory 도메인은 분할 터널 구성 에서 포함 도메인으로 구성됩니다.
- 윈도우 클라이언트
- 모든 PAN-OS 장치
Cause
도메인 기반 분할 터널링이 적용되는 경우 GlobalProtect는 커널 수준에서 모든 연결을 모니터 하고 연결을 물리적 어댑터나 GlobalProtect 가상 어댑터에 바인딩할지 여부를 결정합니다.
Active Directory 도메인이 분할 터널 구성 에 포함되는 도메인으로 구성된 경우 Globalprotect는 어떤 인터페이스 연결을 시작했는지에 관계없이 해당 도메인에 대한 모든 연결을 GlobalProtect 가상 어댑터 IP에 다시 바인딩합니다.
GlobalProtect가 연결되면 Windows NLA는 네트워크 변경으로 인해 모든 어댑터의 위치를 다시 확인합니다. 이를 수행할 때 프로세스의 일부는 각 어댑터에서 네트워크를 통해 도메인 컨트롤러 도달 가능성을 테스트하는 것입니다.
Active Directory 도메인이 분할 터널링 구성 에 포함되므로 별도의 어댑터에서 시작된 모든 도달 가능성 검사는 도메인 컨트롤러에 실제로 도달할 수 있는 GlobalProtect 인터페이스 에 바인딩됩니다.
이를 통해 모든 어댑터가 도메인 위치 검사를 통과하게 됩니다.
Resolution
Active Directory 도메인을 도메인 분할 터널 설정에 포함해야 하는 경우 이는 Microsoft NLA에서 예상되는 동작이며 알려진 회피 방법 없습니다.