大家,希望我发帖到正确的论坛,Palo Alto 支持还无法为我解决这个问题。
安装了 Palo Alto Global Protect 的用户发现他们的数据包被防火墙拒绝,但只是间歇性的,并且只有当 Global Protect 加入域时才会拒绝,到目前为止仅在 Windows 10 上出现。Windows 7 上可能也会发生这种情况,不确定。
我应该明确说明,这不是 Global Protect 断开连接的情况。它保持连接状态,但数据包开始在防火墙处被拒绝。它在 Global Protect IP 的防火墙日志中显示为在此期间被拒绝。在此期间,该 IP 也不会出现在 PA IP 阻止列表中。这种情况确实会在一段时间后自行清除,而且我没有看到任何在拒绝阻止之前指向原因的事件。它显示为流量被阻止了一段时间,有时长达一个小时左右,然后神秘的是,如前所述,这种情况自行清除,流量又开始正常流动。
它与任何 GPO 都无关(我不认为),因为有一次,我在受影响的计算机上禁用了组策略客户端,但仍然看到间歇性的数据包阻塞。
在我将计算机加入域并重新启动后,问题几乎立即出现。如果我将其从域中分离出来并重新启动,情况就不会再出现。
对于受 AD 绑定的 MacOS 机器来说,这不是一个问题。
我尝试调整时间,看看是否会导致问题,但没有成功。机器的域关系中还有什么其他因素会导致我看到的问题?