Cisco Secure AccessとBanyanセキュリティアプリケーションのDNS解決の競合
内容
お問い合わせ内容
Cisco Secure AccessをWindowsエンドポイントのBanyan Security Appと同時に導入すると、DNS解決の大幅な速度低下とタイムアウトが発生します。具体的な症状は次のとおりです。
Banyanセキュリティアプリケーションが接続されると、DNS解決がタイムアウトし始めます。
Webページのロードは、最終的に解決しても非常に遅くなります。
Banyanアプリケーションは、Umbrella動作と同様に、ループバックインターフェイスでローカルDNSプロキシを開始します。
このDNSプロキシ設定は、通常のDNS解決動作を妨げます。
この問題は、主なネットワークセキュリティとしてCisco Secure Accessを導入している間に外部環境にアクセスする必要があるユーザに特に影響を与えます。
環境
インターネットアクセスコンポーネント(Roaming Module、VA、DNS、SWG、PAC、IPS、証明書)を使用して導入されたCisco Secure Access
Windowsエンドポイントで実行されているBanyanセキュリティアプリケーション
安全なアクセス接続を維持しながら、Banyan経由で外部環境へのアクセスを必要とするユーザ
両方のアプリケーションのループバックインターフェイスで実行されているDNSプロキシサービス
内部ドメインバイパスは、FQDN解決用にセキュアアクセスですでに設定されています
解決策
Cisco Secure AccessとBanyan Security App間のDNS解決の競合を解決するには、次のアプローチを実装します。
主な解決手順
これは既知のCisco Bug ID CSCwr21575で、ローカルDNSプロキシを実装するCisco Secure Accessとサードパーティ製セキュリティアプリケーション間の既知のDNSプロキシの競合に対処します。
症状
DNS解決がタイムアウトになるか、大幅に遅延します。
条件
Cisco Secure Client Umbrellaモジュールによって代行受信されるDNSクエリ。
プライマリDNSサーバは、ループバック範囲127.0.0.0/8からのIPアドレスに設定され、DNSクエリーはそのサーバを対象とします。
同じアダプタまたは別のアダプタに、ループバック以外のIPv4 DNSサーバが少なくとも1つ存在する。
回避策
プライマリDNSサーバを非ループバックIPアドレスに設定します。恒久的な修正は、Cisco Secure Clientを5.1.13以降にアップグレードすることです。
検証およびテスト
解決手順を実行した後、次の検証を実行します。
Cisco Secure AccessとBanyan Security Appの両方をアクティブにしてDNS解決速度をテストする
Webページのロード時間が許容レベルに戻ることを確認します。
Banyanを介した外部環境へのアクセスが引き続き機能することを確認
セキュアアクセスバイパスによる内部ドメイン解決が引き続き動作可能であることを検証する
原因
DNS解決の遅延は、Cisco Secure AccessとBanyan Security Appの間でDNSプロキシの実装が競合することによって発生します。どちらのアプリケーションもループバックインターフェイスでローカルDNSプロキシを確立し、競合するDNS解決パスを作成します。その結果、タイムアウトと応答の遅延が発生します。
Banyan Security AppのDNSプロキシの動作は、Cisco Secure Access DNSの処理に干渉し、特にWindowsエンドポイントでのDNSクエリ処理の順序と優先順位に影響を与えます。
Cisco Bug ID CSCwr21575(登録ユーザ専用)で、この特定の互換性問題が取り上げられています。
関連コンテンツ
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
04-May-2026
|
初版 |
フィードバック