使用基于域的拆分隧道时,连接到 GlobalProtect 后所有适配器均被检测为域网络
3444
Created On 08/26/22 13:32 PM - Last Modified 04/25/25 20:18 PM
Symptom
当Active Directory(活动目录-AC)域在 GlobalProtect 网关的拆分隧道配置中配置为包含域时,连接到 GlobalProtect 后,所有接口都被检测为位于域网络上。即使物理接口无法访问域网络,也会发生这种情况。
Environment
- GlobalProtect 网关
- Active Directory(活动目录-AC)域在拆分隧道配置中配置为包含域
- Windows 客户端
- 所有 PAN-OS 设备
Cause
当基于域的分割隧道生效时,GlobalProtect 将在内核级别监视器所有连接,并决定是否将连接绑定到物理适配器还是 GlobalProtect 虚拟适配器。
如果将Active Directory(活动目录-AC)域配置为拆分隧道配置中的包含域,则 Globalprotect 会将与该域的所有连接重新绑定到 GlobalProtect 虚拟适配器 IP,而不管哪个接口启动它们。
当 GlobalProtect 连接时,Windows NLA 将由于网络变化而重新检查每个适配器的位置。执行此操作时,过程的一部分是通过网络在每个适配器上测试域控制器可达性。
由于Active Directory(活动目录-AC)域包含在拆分隧道配置中,因此在单独的适配器上启动的所有可达性检查都将绑定到域控制器实际可访问的 GlobalProtect接口。
这会导致所有适配器通过域位置检查。
Resolution
如果必须将Active Directory(活动目录-AC)域包含在域拆分隧道设置中,则这是 Microsoft NLA 的预期行为,并且没有已知的解决方法。