فحص سلوك استعلامات DNS ودقة اسم المجال

المقدمة

يصف هذا المستند كيفية معالجة Cisco OS^® لاستعلامات DNS والتأثيرات على تحليل اسم المجال باستخدام Cisco AnyConnect وتقسيم الاتصال النفقي الكامل أو فصله.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

انقسام مقابل DNS القياسي

عندما تستخدم إنشاء قنوات تقسيم-يتضمن، فإن هذه هي الخيارات الثلاثة التي لديك لنظام اسم المجال (DNS):

1. انقسام DNS - تم تكوين استعلامات DNS التي تطابق أسماء المجالات على جهاز الأمان القابل للتكيف (ASA) من Cisco. وهم يتحركون عبر النفق (إلى خوادم DNS التي يتم تعريفها على ASA، على سبيل المثال) في حين لا تتحرك خوادم أخرى.
   
   
2. Tunnel-all-DNS - يسمح فقط لحركة مرور DNS إلى خوادم DNS التي يتم تعريفها بواسطة ASA. تم تكوين هذا الإعداد في نهج المجموعة.
   
   
3. DNS القياسي - تنتقل جميع استعلامات DNS عبر خوادم DNS التي تم تعريفها بواسطة ASA. في حالة الاستجابة السلبية، يمكن لاستعلامات DNS أيضا الانتقال إلى خوادم DNS التي تم تكوينها على المحول الفعلي.
   
   

ملاحظة: تم تنفيذ الأمر split-tunnel-all-dns لأول مرة في الإصدار 8.2(5) من ASA. قبل هذا الإصدار، يمكنك تقسيم DNS أو DNS القياسي فقط.

في جميع الحالات، تنتقل استعلامات DNS التي تم تعريفها للتنقل عبر النفق، إلى أي خوادم DNS تم تعريفها بواسطة ASA. في حالة عدم وجود خوادم DNS معرفة بواسطة ASA، تكون إعدادات DNS فارغة للنفق. إذا لم يكن لديك تقسيم DNS معرف، فسيتم إرسال جميع استعلامات DNS إلى خوادم DNS التي تم تعريفها بواسطة ASA. ومع ذلك، يمكن أن تكون السلوكيات الموضحة في هذا المستند مختلفة، وذلك استنادا إلى نظام التشغيل (OS).

ملاحظة: تجنب إستخدام NSLookup عند إختبار دقة الاسم على العميل. بدلا من ذلك، اعتمد على متصفح أو أستخدم الأمر ping. وذلك لأن NSLookup لا يعتمد على محلل DNS لنظام التشغيل. لا يفرض AnyConnect طلب DNS عبر واجهة معينة ولكنه يسمح به أو يرفضه اعتمادا على تكوين DNS المقسم. لإجبار محلل DNS على تجربة خادم DNS مقبول للطلب، من المهم إجراء إختبار DNS المقسم فقط مع التطبيقات التي تعتمد على محلل DNS الأصلي لدقة اسم المجال (كل التطبيقات باستثناء NSLoup، و Dig، والتطبيقات المماثلة التي تعالج تحليل DNS بنفسها، على سبيل المثال).

DNS صحيح مقابل أفضل الجهود

يدعم AnyConnect الإصدار 2.4 تعيين DNS الاحتياطي المقسم (DNS الخاصة بتقسيم أفضل الجهود)، والذي لا يعد هو تقسيم DNS الحقيقي والذي تم العثور عليه في عميل IPsec القديم. إذا تطابق الطلب مع مجال DNS مقسم، فإن AnyConnect يسمح بانفاق الطلب في ASA. إذا تعذر على الخادم حل اسم المضيف، يستمر محلل DNS ويرسل نفس الاستعلام إلى خادم DNS الذي تم تعيينه إلى الواجهة الفعلية.

من ناحية أخرى، إذا لم يتطابق الطلب مع أي من مجالات DNS المقسمة، فلا يقوم AnyConnect بإدخاله إلى ASA. بدلا من ذلك، فإنه يقوم بإنشاء إستجابة DNS بحيث يرجع محلل DNS ويرسل الاستعلام إلى خادم DNS الذي تم تعيينه إلى الواجهة الفعلية. ولهذا السبب لا تسمى هذه الميزة تقسيم DNS، ولكن DNS إحتياطي للاتصال النفقي المنقسم. لا يضمن AnyConnect إنشاء قنوات لمجالات DNS ذات التقسيم الهدف فقط، بل يعتمد أيضا على سلوك محلل DNS لنظام التشغيل العميل لحل اسم المضيف.

وهذا يثير مخاوف أمنية بسبب احتمال تسرب اسم مجال خاص. على سبيل المثال، يمكن لعميل DNS الأصلي إرسال استعلام لاسم مجال خاص إلى خادم DNS عام بالتحديد عندما تعذر على خادم اسم VPN DNS حل استعلام DNS.

أحلت cisco بق id CSCtn14578، حللت حاليا على Microsoft Windows فقط، as of صيغة 3.0(4235). يقوم الحل بتنفيذ DNS المقسم الحقيقي، ويستعلم بشكل صارم عن أسماء المجالات التي تم تكوينها والتي تتطابق مع خوادم DNS الخاصة بالشبكة الخاصة الظاهرية (VPN) وسمح لها بذلك. كافة الاستعلامات الأخرى مسموح بها فقط إلى خوادم DNS الأخرى، مثل تلك التي تم تكوينها على المحول (المحولات) الفعلي.

Tunnel-all و Tunnel-all DNS

عندما يتم تعطيل الاتصال النفقي المنقسم (تكوين Tunnel-all)، يتم السماح بحركة مرور DNS بشكل صارم عبر النفق. يرسل تكوين Tunnel-all DNS (الذي تم تكوينه في نهج المجموعة) جميع عمليات بحث DNS من خلال النفق، مع نوع ما من تقسيم الاتصال النفقي، ويتم السماح بحركة مرور DNS بشكل صارم عبر النفق.

وهذا يتفق عبر الأنظمة الأساسية مع تحذير واحد على Microsoft Windows: عند تكوين أي Tunnel-all أو Tunnel-all DNS ، يسمح AnyConnect لحركة مرور DNS بشكل صارم إلى خوادم DNS التي تم تكوينها على البوابة الآمنة (مطبقة على مهايئ VPN). هذا هو تحسين الأمان الذي يتم تنفيذه مع حل DNS الحقيقي المنقسم المذكور سابقا.

إذا أثبت هذا وجود إشكالية في سيناريوهات معينة (على سبيل المثال، يجب إرسال طلبات تحديث/تسجيل DNS إلى خوادم DNS بخلاف VPN)، فأكمل الخطوات التالية:

1. إذا كان التكوين الحالي هو Tunnel-all، فقم بتمكين Split-exclude tunneling . يكون أي شبكة أحادية المضيف ذات فصل إستثناء مقبولا للاستخدام، مثل عنوان الربط المحلي.
   
   
2. تأكد من عدم تكوين DNS Tunnel-all في نهج المجموعة.

تم حل مشكلة أداء DNS في AnyConnect الإصدار 3.0(4235)

غالبا ما تكون مشكلة Microsoft Windows هذه شائعة في ظل هذه الظروف:

• مع إعداد الموجه المنزلي، يتم تعيين عنوان IP نفسه لخوادم DNS و DHCP (يقوم AnyConnect بإنشاء مسار ضروري لخادم DHCP).
• يوجد عدد كبير من مجالات DNS في نهج المجموعة.
• يتم إستخدام تكوين Tunnel-all.
• يتم تنفيذ تحليل الاسم بواسطة اسم مضيف غير مؤهل، مما يعني أن المحلل يجب أن يحاول عدد من لاحقات DNS على جميع خوادم DNS المتاحة حتى تتم محاولة تحليل الاسم ذي الصلة باسم المضيف المستفسر. ترجع هذه المشكلة إلى عميل DNS الأصلي الذي يحاول إرسال استعلامات DNS عبر المحول الفعلي، والذي يحجبه AnyConnect (مع مراعاة تكوين Tunnel-all). يؤدي ذلك إلى تأخير تحليل الاسم الذي يمكن أن يكون كبيرا، خاصة إذا تم دفع عدد كبير من لاحقات DNS بواسطة وحدة الاستقبال والبث. يجب على عميل DNS التنقل عبر كافة الاستعلامات وخوادم DNS المتاحة حتى يستلم إستجابة إيجابية.

تم حل هذه المشكلة في AnyConnect الإصدار 3.0(4235). راجع معرفات أخطاء Cisco CSCtq02141 ومعرف تصحيح الأخطاء من Cisco CSCtn14578، مع المقدمة إلى حل DNS الصحيح المذكور سابقا، للحصول على مزيد من المعلومات.

إذا تعذر تنفيذ ترقية، فإن هذه هي الحلول الممكنة:

• قم بتمكين الاتصال النفقي باستبعاد الانقسام لعنوان IP، والذي يسمح لطلبات DNS المحلية بالتدفق من خلال المهايئ الفعلي. يمكنك إستخدام عنوان من الشبكة الفرعية 169.254.0.0/16 من LinkLocal لأنه من غير المحتمل أن يرسل أي جهاز حركة مرور البيانات إلى أحد عناوين IP هذه عبر شبكة VPN. بعد تمكين نفق split-exclude، قم بتمكين الوصول إلى LAN المحلي على ملف تعريف العميل أو على العميل نفسه، وتعطيل Tunnel-all dDNS.
  
  على ال ASA، جعلت هذا تشكيل تغير:
  
  

  access-list acl_linklocal_169.254.1.1 standard permit host 169.254.1.1
   group-policy gp_access-14 attributes
   split-tunnel-policy excludespecified
   split-tunnel-network-list value acl_linklocal_169.254.1.1
   split- Tunnel-all-dns disable
  exit

  
  في ملف تعريف العميل، يجب إضافة هذا السطر:
  
  

  <LocalLanAccess UserControllable="true">true</LocalLanAccess>

  
  كما يمكنك تمكين هذا الأمر على أساس كل عميل في واجهة المستخدم الرسومية (GUI) ل AnyConnect. انتقل إلى قائمة تفضيل AnyConnect، وحدد خانة الاختيار تمكين الوصول إلى شبكة LAN المحلية.
  
  
• أستخدم أسماء المجالات المؤهلة بالكامل (FQDNs) بدلا من أسماء المضيف غير المؤهلة لدقة الاسم.
  
  
• أستخدم عنوان IP مختلف لخادم DNS على الواجهة المادية.

DNS مع تقسيم الاتصال النفقي على نظام تشغيل Cisco مختلف

يبحث DNS عن معالج Cisco OS المختلف بطرق مختلفة عند إستخدامه مع نفق التقسيم (بدون تقسيم DNS) ل AnyConnect. يصف هذا القسم تلك الاختلافات.

مايكروسوفت ويندوز

في أنظمة Microsoft Windows، تكون إعدادات DNS لكل واجهة. إذا تم إستخدام أنفاق التقسيم، يمكن أن ترجع استعلامات DNS إلى خوادم Adaptor DNS المادية بعد فشلها على مهايئ نفق VPN. إذا تم تحديد تقسيم الاتصال النفقي بدون تقسيم DNS، تعمل دقة DNS الداخلية والخارجية على حد سواء لأنه يرجع إلى خوادم DNS الخارجية.

حدث تغيير في السلوك في آلية DNS التي تتعامل مع هذا على AnyConnect ل Windows، في الإصدار 4.2 بعد إصلاح معرف تصحيح الأخطاء من Cisco CSCuf07885.

نظام التشغيل Windows 7+

تكوين Tunnel-all (وتقسيم الاتصال النفقي مع تمكين جميع DNS للنفق)

قبل AnyConnect 4.2:

مسموح فقط بطلبات DNS إلى خوادم DNS التي تم تكوينها ضمن نهج المجموعة (خوادم DNS للنفق). يستجيب برنامج تشغيل AnyConnect لجميع الطلبات الأخرى باستجابة "بدون مثل هذا الاسم". ونتيجة لذلك، لا يمكن تنفيذ دقة DNS إلا باستخدام خوادم DNS النفق.

AnyConnect 4.2 +

يسمح بطلبات DNS إلى أي من خوادم DNS، طالما تم إنشاؤها من محول VPN ويتم إرسالها عبر النفق. يتم الاستجابة لجميع الطلبات الأخرى بدون هذا الاسم، ويمكن تنفيذ دقة DNS عبر نفق VPN فقط.

قبل إصلاح معرف تصحيح الأخطاء من Cisco CSCuf07885، قام AC بتقييد خوادم DNS الهدف، ومع ذلك باستخدام إصلاح هذا الخطأ، فإنه الآن يقيد أي مهايئات الشبكة يمكن أن تبدأ طلبات DNS.

تكوين Split-include (Tunnel-all DNS معطل و no split-DNS)

لا يتعارض برنامج تشغيل AnyConnect مع محلل DNS الأصلي. وبالتالي، يتم إجراء تحليل DNS بناء على ترتيب مهايئات الشبكة حيث يكون AnyConnect هو المهايئ المفضل دائما عندما تكون الشبكة الخاصة الظاهرية (VPN) متصلة. علاوة على ذلك، يتم إرسال استعلام DNS أولا عبر النفق وإذا لم يتم حله، يحاول المحلل حله عبر الواجهة العامة. تتضمن قائمة الوصول ذات التضمين المقسم الشبكة الفرعية التي تغطي خادم (خوادم) DNS للنفق. للبدء باستخدام AnyConnect 4.2، تتم إضافة المسارات المضيفة لخادم (خوادم) DNS للنفق تلقائيا كشبكات ذات تضمين انقسام (مسارات آمنة) بواسطة عميل AnyConnect، وبالتالي لم تعد قائمة الوصول ذات التضمين المنقسم تتطلب إضافة صريحة للشبكة الفرعية لخادم DNS للنفق.

تكوين Split-exclude (Tunnel-all DNS معطل و no split-DNS)

لا يتعارض برنامج تشغيل AnyConnect مع محلل DNS الأصلي. وبالتالي، يتم إجراء تحليل DNS بناء على ترتيب مهايئات الشبكة حيث يكون AnyConnect هو المهايئ المفضل دائما عندما تكون الشبكة الخاصة الظاهرية (VPN) متصلة. علاوة على ذلك، يتم إرسال استعلام DNS أولا عبر النفق وإذا لم يتم حله، يحاول المحلل حله عبر الواجهة العامة. يجب ألا تتضمن قائمة الوصول القابلة للاستبعاد المقسمة الشبكة الفرعية التي تغطي خادم (خوادم) DNS للنفق. للبدء باستخدام AnyConnect 4.2، تتم إضافة المسارات المضيفة لخادم (خوادم) DNS للنفق تلقائيا كشبكات ذات تضمين انقسام (مسارات آمنة) بواسطة عميل AnyConnect، وبالتالي تمنع التكوين الخاطئ في قائمة الوصول للاستبعاد المقسم.

Split-DNS (Tunnel-all DNS معطل، split-include يشكل)

قبل AnyConnect 4.2

يتم السماح لطلبات DNS، التي تتطابق مع مجالات DNS المقسمة، بتقسيم خوادم DNS، ولكن غير مسموح بها لخوادم DNS الأخرى. لمنع استعلامات DNS الداخلية هذه من تسريب النفق، يستجيب برنامج تشغيل AnyConnect ب "لا يوجد مثل هذا الاسم" إذا تم إرسال الاستعلام إلى خوادم DNS أخرى. لذلك، لا يمكن حل مجالات DNS المقسمة إلا عبر خوادم DNS للنفق.

يتم السماح لطلبات DNS، التي لا تتطابق مع مجالات DNS المقسمة إلى خوادم DNS الأخرى، ولكن لا يسمح لها بنفق خوادم DNS. حتى في هذه الحالة، يستجيب برنامج تشغيل AnyConnect ب "لا يوجد اسم كهذا" إذا تمت محاولة استعلام لمجالات غير مقسمة عبر النفق. لذلك، يمكن حل مجالات بدون DNS فقط عبر خوادم DNS العامة خارج النفق.

AnyConnect 4.2 +

يسمح لطلبات DNS، التي تطابق مجالات DNS المقسمة، بأي خوادم DNS، طالما أنها تنشأ من محول VPN. إذا تم إنشاء الاستعلام بواسطة الواجهة العامة، فإن برنامج تشغيل AnyConnect يستجيب ب "لا يوجد اسم من هذا القبيل" لإجبار المحلل على إستخدام النفق دائما لحل الاسم. لذلك، لا يمكن حل مجالات Split-DNS إلا عبر النفق.

يتم السماح لطلبات DNS، التي لا تطابق مجالات DNS المقسمة إلى أي خوادم DNS طالما أنها تنشأ من المهايئ الفعلي. إذا تم إنشاء الاستعلام بواسطة محول الشبكة الخاصة الظاهرية (VPN)، فإن AnyConnect يستجيب "بلا مثل هذا الاسم" لإجبار المحلل على محاولة تحليل الاسم دائما عبر الواجهة العامة. لذلك، يمكن حل المجالات التي ليس لها تقسيم DNS فقط عبر الواجهة العامة.

ماك أو إس إكس

في أنظمة Macintosh، تكون إعدادات DNS عمومية. إذا تم إستخدام أنفاق التقسيم، ولكن لم يتم إستخدام DNS المقسمة، لا يمكن لاستعلامات DNS الوصول إلى خوادم DNS خارج النفق. يمكنك فقط الحل داخليا، وليس خارجيا.

وثقت هذا في cisco بق id CSCtf20226 و cisco بق id CSCtz86314. في كلتا الحالتين، يجب أن يحل هذا الحل المشكلة:

• حدد عنوان IP خارجي لخادم DNS ضمن نهج المجموعة واستخدم FQDN لاستعلامات DNS الداخلية.
  
  
• إذا كانت الأسماء الخارجية قابلة للحل من خلال النفق، ثم انتقل إلى متقدم > تقسيم نفق وتعطيل DNS المقسم من خلال إزالة أسماء DNS التي تم تكوينها في نهج المجموعة. وهذا يتطلب إستخدام FQDN لاستعلامات DNS الداخلية.

تم حل حالة DNS المقسمة في إصدار AnyConnect 3.1. ومع ذلك، يجب عليك التأكد من أن أحد هذه الشروط قد تم الوفاء به:

• يجب تمكين DNS المنقسم لكل من بروتوكولات IP، وهو ما يتطلب الإصدار 9.0 من Cisco ASA أو الأحدث.
  
  
• يجب تمكين DNS المقسم لبروتوكول IP واحد. إذا قمت بتشغيل Cisco ASA الإصدار 9.0 أو إصدار أحدث، فعليك إستخدام بروتوكول تجاوز العميل لبروتوكول IP الآخر. على سبيل المثال، تأكد من عدم وجود تجمع عناوين ومن تمكين بروتوكول تجاوز العميل في نهج المجموعة. بدلا من ذلك، إذا قمت بتشغيل إصدار ASA أقدم من الإصدار 9.0، فتأكد من عدم تكوين تجمع عناوين لبروتوكول IP الآخر. وهذا يعني ضمنا أن بروتوكول IP الآخر هو IPv6.
  
  

ملاحظة: لا يقوم AnyConnect بتغيير ملف resolv.conf على Macintosh OS X، ولكنه يغير إعدادات DNS الخاصة بنظام التشغيل X. يبقي نظام التشغيل Macintosh OS X ملف resolv.conf متداولا لأسباب التوافق. أستخدم الأمر scutil —dns لعرض إعدادات DNS على Macintosh OS X.

تكوين Tunnel-all (وتقسيم الاتصال النفقي مع تمكين جميع DNS للنفق)

عند اتصال AnyConnect، يتم الاحتفاظ بخوادم DNS للنفق فقط في تكوين DNS للنظام، وبالتالي يمكن إرسال طلبات DNS فقط إلى خادم (خوادم) DNS للنفق.

تكوين Split-include (Tunnel-all DNS معطل و no split-DNS)

لا يتعارض AnyConnect مع محلل DNS الأصلي. يتم تكوين خوادم DNS للنفق كعناصر حل مفضلة، مما يعطي الأولوية على خوادم DNS العامة، وبالتالي يضمن إرسال طلب DNS الأولي لدقة الاسم عبر النفق. بما أن إعدادات DNS عمومية على Mac OS X، فلا يمكن لاستعلامات DNS إستخدام خوادم DNS العامة خارج النفق كما هو موثق في معرف تصحيح الأخطاء من Cisco CSCtf20226 . للبدء باستخدام AnyConnect 4.2، تتم إضافة المسارات المضيفة لخادم (خوادم) DNS للنفق تلقائيا كشبكات ذات تضمين انقسام (مسارات آمنة) بواسطة عميل AnyConnect، وبالتالي لم تعد قائمة الوصول ذات التضمين المنقسم تتطلب إضافة صريحة للشبكة الفرعية لخادم DNS للنفق.

تكوين Split-exclude (Tunnel-all DNS معطل و no split-DNS)

لا يتعارض AnyConnect مع محلل DNS الأصلي. يتم تكوين خوادم DNS للنفق كحلول مفضلة، وتأخذ الأولوية على خوادم DNS العامة، وبالتالي يضمن ذلك إرسال طلب DNS الأولي لدقة الاسم عبر النفق. بما أن إعدادات DNS عمومية على Mac OS X، فلا يمكن لاستعلامات DNS إستخدام خوادم DNS العامة خارج النفق كما هو موثق في معرف تصحيح الأخطاء من Cisco CSCtf20226 . للبدء باستخدام AnyConnect 4.2، تتم إضافة المسارات المضيفة لخادم (خوادم) DNS للنفق تلقائيا كشبكات ذات تضمين انقسام (مسارات آمنة) بواسطة عميل AnyConnect، وبالتالي لم تعد قائمة الوصول ذات التضمين المنقسم تتطلب إضافة صريحة للشبكة الفرعية لخادم DNS للنفق.

Split-DNS (Tunnel-all DNS معطل، split-include يشكل)

إذا تم تمكين Split-DNS لكل من بروتوكولات IP (IPv4 و IPv6) أو تم تمكينه لبروتوكول واحد فقط ولا يوجد تجمع عناوين تم تكوينه للبروتوكول الآخر:
يتم فرض تقسيم DNS الحقيقي، المماثل ل Windows. يعني True Split-DNS أن الطلب الذي يتطابق مع مجالات DNS المقسمة يتم تحليله فقط عبر النفق، ولا يتم تسريبه إلى خوادم DNS خارج النفق.

إذا تم تمكين انقسام-DNS لبروتوكول واحد فقط وتم تعيين عنوان عميل للبروتوكول الآخر، يتم فرض وضع DNS الاحتياطي فقط للاتصال النفقي المنقسم. هذا يعني أن AC يسمح فقط بطلب DNS الذي يطابق مجالات DNS المقسمة عبر نفق (يتم الرد على الطلبات الأخرى بواسطة AC مع إستجابة "مرفوض" لفرض تجاوز الفشل إلى خوادم DNS العامة)، ولكن لا يمكنه فرض الطلب الذي يطابق مجالات DNS المقسمة التي لا يتم إرسالها في المسح، عبر المهايئ العام.

لينكس

تكوين Tunnel-all (وتقسيم الاتصال النفقي مع تمكين جميع DNS للنفق)

عند اتصال AnyConnect، يتم الاحتفاظ بخوادم DNS للنفق فقط في تكوين DNS للنظام، وبالتالي يمكن إرسال طلبات DNS فقط إلى خادم (خوادم) DNS للنفق.

تكوين Split-include (Tunnel-all DNS معطل و no split-DNS)

لا يتعارض AnyConnect مع محلل DNS الأصلي. يتم تكوين خوادم DNS للنفق كعناصر حل مفضلة، مما يعطي الأولوية على خوادم DNS العامة، وبالتالي يضمن إرسال طلب DNS الأولي لدقة الاسم عبر النفق.

تكوين Split-exclude (Tunnel-all DNS معطل و no split-DNS)

لا يتعارض AnyConnect مع محلل DNS الأصلي. يتم تكوين خوادم DNS للنفق كعناصر حل مفضلة، مما يعطي الأولوية على خوادم DNS العامة، وبالتالي يضمن إرسال طلب DNS الأولي لدقة الاسم عبر النفق.

Split-DNS (Tunnel-all DNS معطل، split-include يشكل)

في حالة تمكين انقسام-DNS، يتم فرض وضع DNS الاحتياطي فقط للاتصال النفقي المنقسم. هذا يعني أن AC يسمح فقط بطلب DNS الذي يتطابق مع مجالات DNS المقسمة عبر النفق (يتم رد الطلبات الأخرى بواسطة AC مع إستجابة "مرفوض" لفرض تجاوز الفشل على خوادم DNS العامة)، ولكن لا يمكنه فرض هذا الطلب الذي يتطابق مع مجالات DNS المقسمة التي لا يتم إرسالها في الخالي من الأخطاء، عبر المهايئ العام.

آي فون

إن iPhone هو نقيض تام لنظام ماكنتوش وليس مشابها لنظام مايكروسوفت ويندوز. إذا تم تعريف تقسيم الاتصال النفقي ولكن لم يتم تعريف تقسيم DNS، فعندئذ تخرج استعلامات DNS من خلال خادم DNS العمومي الذي تم تعريفه. على سبيل المثال، إدخالات مجال DNS المقسمة إلزامية للتحليل الداخلي. وثقت هذا تصرف في cisco بق id CSCtq09624 وصلح في صيغة 2.5.4038 ل Apple iOS AnyConnect زبون.

ملاحظة: كن على علم بأن استعلامات DNS ل iPhone تتجاهل .المجالات المحلية.  وثقت هذا في cisco بق id CSCts89292. يؤكد مهندسو أبل أن هذه المشكلة ناتجة عن وظائف نظام التشغيل. هذا هو السلوك المصمم، وأبل تؤكد أنه لا يوجد تغيير له.

معلومات الخطأ ذات الصلة 

• معرف تصحيح الأخطاء من Cisco CSCsv34395 - إضافة دعم في AnyConnect لذلك الوكيل FQDN إلى خادم DHCP

• معرف تصحيح الأخطاء من Cisco CSCtn14578 - AnyConnect لدعم تقسيم DNS الحقيقي، وليس الإصدارات الاحتياطية

• معرف تصحيح الأخطاء من Cisco CSCtq02141 - يصدر AnyConnect DNS عندما يكون ISP DNS على الشبكة الفرعية نفسها الخاصة ب IP العام

• معرف تصحيح الأخطاء من Cisco CSCtf20226 - جعل AnyConnect DNS مع/ انقسام سلوك النفق ل Mac مثل Windows

• معرف تصحيح الأخطاء من Cisco CSCtz86314 - Mac: لم يتم إرسال استعلامات DNS بشكل غير صحيح عبر النفق مع تقسيم DNS

• معرف تصحيح الأخطاء من Cisco CSCtq09624 - جعل AnyConnect DNS مع/ انقسام سلوك الاتصال النفقي مثل Windows

• معرف تصحيح الأخطاء من Cisco CSCts89292 - تجاهل استعلامات DNS ل iPhone المجالات المحلية

معلومات ذات صلة

• جدار حماية Cisco IOS®
• الدعم الفني والتنزيلات من Cisco