Onderzoek het gedrag van DNS-query's en de resolutie van domeinnamen

Downloadopties

  • PDF     (283.8 KB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:23 mei 2024
Document-id:116016

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe Cisco OS® omgaat met DNS-query's en de effecten op de resolutie van domeinnamen met Cisco AnyConnect en gesplitste of volledige tunneling.

    Voorwaarden

    Vereisten

    Er zijn geen specifieke vereisten van toepassing op dit document.

    Gebruikte componenten

    Dit document is niet beperkt tot specifieke software- en hardware-versies.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Splitsen versus standaard DNS

    Wanneer u split-include tunneling gebruikt, zijn dit de drie opties die u hebt voor het Domain Name System (DNS):

    1. Gesplitste DNS - De DNS-query's die overeenkomen met de domeinnamen, worden geconfigureerd op de Cisco Adaptive Security Appliance (ASA). Ze bewegen door de tunnel (naar de DNS-servers die bijvoorbeeld op de ASA zijn gedefinieerd) terwijl anderen dat niet doen.

    2. Tunnel-all-DNS - Alleen DNS-verkeer naar de DNS-servers die zijn gedefinieerd door de ASA is toegestaan. Deze instelling is geconfigureerd in het groepsbeleid.

    3. Standaard DNS - Alle DNS-query's gaan door de DNS-servers die zijn gedefinieerd door de ASA. In het geval van een negatieve respons kunnen de DNS-query's ook naar de DNS-servers gaan die op de fysieke adapter zijn geconfigureerd.

    Opmerking: De split-tunnel-all-dns opdracht werd voor het eerst geïmplementeerd in ASA versie 8.2(5). Voor deze versie kon je alleen split DNS of standaard DNS doen.

    In alle gevallen gaan de DNS-query's die zijn gedefinieerd om door de tunnel te gaan, naar alle DNS-servers die zijn gedefinieerd door ASA. Als er geen DNS-servers zijn gedefinieerd door de ASA, zijn de DNS-instellingen leeg voor de tunnel.

    Als u geen gesplitste DNS hebt gedefinieerd, worden alle DNS-query's verzonden naar de DNS-servers die zijn gedefinieerd door de ASA.

    De gedragingen die in dit document worden beschreven, kunnen echter verschillen, afhankelijk van het besturingssysteem (OS).

    Opmerking: Vermijd het gebruik van de NSLookup wanneer u de naamresolutie op de client test. Vertrouw in plaats daarvan op een browser of gebruik de ping-opdracht. Dit komt omdat NSLookup niet afhankelijk is van de DNS-resolver van het besturingssysteem. AnyConnect forceert het DNS-verzoek niet via een bepaalde interface, maar staat het toe of wijst het af afhankelijk van de gesplitste DNS-configuratie. Om de DNS-resolver te dwingen een acceptabele DNS-server voor een verzoek te proberen, is het belangrijk dat gesplitste DNS-tests alleen worden uitgevoerd met toepassingen die afhankelijk zijn van de native DNS-resolver voor de oplossing van domeinnamen (alle toepassingen behalve NSLookup, Dig en soortgelijke toepassingen die de DNS-resolutie zelf afhandelen, bijvoorbeeld).

    True versus Best Effort Split DNS

    AnyConnect Release 2.4 ondersteunt gesplitste DNS Fallback (best effort split DNS), wat niet de echte gesplitste DNS is en wordt aangetroffen in de oudere IPsec-client.

    Als het verzoek overeenkomt met een gesplitst DNS-domein, staat AnyConnect toe dat het verzoek wordt getunneld naar de ASA.

    Als de server de hostnaam niet kan oplossen, gaat de DNS-resolver verder en verzendt dezelfde query naar de DNS-server die is toegewezen aan de fysieke interface.

    Aan de andere kant, als het verzoek niet overeenkomt met een van de gesplitste DNS-domeinen, sluit AnyConnect het niet af in de ASA.

    In plaats daarvan bouwt het een DNS-respons op, zodat de DNS-resolver terugvalt en de query naar de DNS-server stuurt die is toegewezen aan de fysieke interface.

    Daarom wordt deze functie geen gesplitste DNS genoemd, maar DNS-fallback voor gesplitste tunneling.

    AnyConnect verzekert niet alleen dat alleen verzoeken die gesplitste DNS-doeldomeinen bevatten, worden getunneld, maar vertrouwt ook op het DNS-oplossingsgedrag van het besturingssysteem van de client voor het oplossen van hostnamen.

    Dit leidt tot beveiligingsproblemen als gevolg van een mogelijk lek in de naam van een privédomein.

    De native DNS-client kan bijvoorbeeld een query voor een privédomeinnaam naar een openbare DNS-server verzenden, met name wanneer de VPN DNS-naamserver de DNS-query niet kon oplossen.

    Raadpleeg Cisco bug ID CSCtn14578, momenteel alleen opgelost op Microsoft Windows, vanaf versie 3.0(4235).

    De oplossing implementeert echte gesplitste DNS, het zoekt strikt naar de geconfigureerde domeinnamen die overeenkomen met en zijn toegestaan op de VPN DNS-servers.

    Alle andere query's zijn alleen toegestaan op andere DNS-servers, zoals die zijn geconfigureerd op de fysieke adapter(s).

    note-icon

    Opmerking: Alleen geregistreerde Cisco-gebruikers hebben toegang tot interne Cisco-tools en -informatie.

    Tunnel-all en Tunnel-all DNS

    Wanneer split tunneling is uitgeschakeld (de tunnel-all configuratie), is DNS-verkeer strikt toegestaan via de tunnel.

    De Tunnel-all DNS-configuratie (geconfigureerd in het groepsbeleid) stuurt alle DNS-lookups door de tunnel, samen met een soort split tunneling, en DNS-verkeer is strikt toegestaan via de tunnel.

    Dit is consistent voor alle platforms met één voorbehoud voor Microsoft Windows: wanneer een Tunnel-all of Tunnel-all DNS is geconfigureerd, staat AnyConnect DNS-verkeer toe naar de DNS-servers die zijn geconfigureerd op de beveiligde gateway (toegepast op de VPN-adapter). Dit is een beveiligingsverbetering die samen met de eerder genoemde echte gesplitste DNS-oplossing is geïmplementeerd.

    Als dit in bepaalde scenario's problematisch blijkt (bijvoorbeeld wanneer DNS-update-/registratieverzoeken naar niet-VPN-DNS-servers moeten worden verzonden), voert u de volgende stappen uit:

    1. Als de huidige configuratie Tunnel-all is, schakelt u split-exclude tunneling in. Elk single-host, split-exclude netwerk is acceptabel voor gebruik, zoals een link-lokaal adres.

    2. Zorg ervoor dat Tunnel-all DNS niet is geconfigureerd in het groepsbeleid.

    DNS-prestatieprobleem opgelost in AnyConnect versie 3.0(4235)

    Dit Microsoft Windows-probleem komt meestal voor onder deze omstandigheden:

    • Bij de installatie van de thuisrouter krijgen de DNS- en DHCP-servers hetzelfde IP-adres toegewezen (AnyConnect maakt een noodzakelijke route naar de DHCP-server).
    • Een groot aantal DNS-domeinen is opgenomen in het groepsbeleid.
    • Er wordt een tunnel-all configuratie gebruikt.
    • De naamomzetting wordt uitgevoerd met een niet-gekwalificeerde hostnaam, wat betekent dat de resolver een aantal DNS-achtervoegsels moet proberen op alle beschikbare DNS-servers totdat de achtervoegsel die relevant is voor de opgevraagde hostnaam wordt geprobeerd.
    • Dit probleem is te wijten aan de native DNS-client die probeert DNS-query's te verzenden via de fysieke adapter, die AnyConnect blokkeert (gezien de configuratie Tunnel-all).

    Dit leidt tot een vertraging in de naamresolutie die aanzienlijk kan zijn, vooral als een groot aantal DNS-achtervoegsels door de kop wordt geduwd.

    De DNS-client moet door alle query's en beschikbare DNS-servers lopen totdat deze een positief antwoord ontvangt.

    Dit probleem is opgelost in AnyConnect versie 3.0 (4235). Raadpleeg Cisco bug IDs CSCtq02141 en Cisco bug ID CSCtn14578, samen met de introductie van de eerder genoemde echte split DNS-oplossing, voor meer informatie.

    note-icon

    Opmerking: Alleen geregistreerde Cisco-gebruikers hebben toegang tot interne Cisco-tools en -informatie.

    Als een upgrade niet kan worden geïmplementeerd, zijn dit de mogelijke oplossingen:

    • Schakel split-exclude tunneling in voor een IP-adres, waardoor de lokale DNS-verzoeken door de fysieke adapter kunnen stromen.

    U kunt een adres van het linklocal-subnet 169.254.0.0/16 gebruiken omdat het onwaarschijnlijk is dat een apparaat verkeer naar een van die IP-adressen via de VPN verzendt.

    Nadat u de gesplitste-uitsluitingstunnels hebt ingeschakeld, schakelt u lokale LAN-toegang in op het clientprofiel of op de client zelf en schakelt u Tunnel-all dDNS uit.

    Voer op de ASA de volgende configuratiewijzigingen uit:

    access-list acl_linklocal_169.254.1.1 standard permit host 169.254.1.1
     group-policy gp_access-14 attributes
     split-tunnel-policy excludespecified
     split-tunnel-network-list value acl_linklocal_169.254.1.1
     split- Tunnel-all-dns disable
    exit


    In het clientprofiel moet u deze regel toevoegen:

    <LocalLanAccess UserControllable="true">true</LocalLanAccess>


    U kunt dit ook per client inschakelen in de AnyConnect-client-GUI. Navigeer naar het menu Voorkeuren voor AnyConnect en vink het selectievakje Toegang tot lokaal LAN inschakelen aan.

    • Gebruik de volledig gekwalificeerde domeinnamen (FQDN's) in plaats van de niet-gekwalificeerde hostnamen voor de naamresoluties.

    • Gebruik een ander IP-adres voor de DNS-server op de fysieke interface.

    DNS met Split Tunneling op het verschillende Cisco OS

    De verschillende Cisco-besturingssystemen verwerken DNS-zoekopdrachten op verschillende manieren bij gebruik met split tunneling (zonder split DNS) voor AnyConnect. In dit hoofdstuk worden deze verschillen beschreven.

    Microsoft Windows

    Op Microsoft Windows-systemen zijn DNS-instellingen per interface. Als split tunneling wordt gebruikt, kunnen DNS-query's terugvallen op de DNS-servers van de fysieke adapter nadat ze zijn mislukt op de VPN-tunneladapter.

    Als split tunneling zonder split DNS is gedefinieerd, werkt zowel interne als externe DNS-resolutie omdat deze terugvalt naar de externe DNS-servers.

    Er is een gedragsverandering opgetreden in het DNS-mechanisme dat dit afhandelt op AnyConnect voor Windows, in versie 4.2 na de oplossing voor Cisco-bug-ID CSCuf07885.

    note-icon

    Opmerking: Alleen geregistreerde Cisco-gebruikers hebben toegang tot interne Cisco-tools en -informatie.


    Windows 7+

    Tunnel-all configuratie (en split-tunneling met tunnel-all DNS ingeschakeld)


    Vóór AnyConnect 4.2:

    Alleen DNS-verzoeken naar DNS-servers die zijn geconfigureerd volgens het groepsbeleid (DNS-tunnelservers) zijn toegestaan.

    Het AnyConnect-stuurprogramma reageert op alle andere verzoeken met een reactie 'Geen naam'.

    Hierdoor kan DNS-resolutie alleen worden uitgevoerd met de DNS-tunnelservers.


    AnyConnect 4.2 +

    DNS-verzoeken naar DNS-servers zijn toegestaan, zolang ze afkomstig zijn van de VPN-adapter en door de tunnel worden verzonden.

    Alle andere verzoeken worden beantwoord zonder een dergelijke naam en DNS-resolutie kan alleen worden uitgevoerd via de VPN-tunnel.

    Voorafgaand aan Cisco bug ID CSCuf07885 fix, AC beperkt de doel-DNS-servers, maar met de oplossing voor deze bug, het nu beperkt welke netwerkadapters kunnen DNS-verzoeken starten.

    note-icon

    Opmerking: Alleen geregistreerde Cisco-gebruikers hebben toegang tot interne Cisco-tools en -informatie.


    Split-include configuratie (tunnel-all DNS uitgeschakeld en geen split-DNS)

    AnyConnect-stuurprogramma interfereert niet met de oorspronkelijke DNS-resolver. Daarom wordt de DNS-resolutie uitgevoerd op basis van de volgorde van netwerkadapters waarbij AnyConnect altijd de voorkeursadapter is wanneer VPN is verbonden.

    Bovendien wordt een DNS-query eerst via de tunnel verzonden en als deze niet wordt opgelost, probeert de resolver deze via de openbare interface op te lossen. De lijst met gesplitste toegang bevat het subnet dat de DNS-server(s) van de tunnel bestrijkt.

    Om te beginnen met AnyConnect 4.2, worden hostroutes voor de Tunnel DNS-server(s) automatisch toegevoegd als split-include-netwerken (beveiligde routes) door de AnyConnect-client, en daarom is voor de split-include-toegangslijst niet langer de expliciete toevoeging van het tunnel DNS-serversubnet vereist.


    Split-exclude configuratie (tunnel-all DNS uitgeschakeld en geen split-DNS)

    AnyConnect-stuurprogramma interfereert niet met de oorspronkelijke DNS-resolver. Daarom wordt de DNS-resolutie uitgevoerd op basis van de volgorde van netwerkadapters waarbij AnyConnect altijd de voorkeursadapter is wanneer VPN is verbonden.

    Bovendien wordt een DNS-query eerst via de tunnel verzonden en als deze niet wordt opgelost, probeert de resolver deze via de openbare interface op te lossen. De lijst met gesplitste uitsluitingen mag niet het subnet bevatten dat de DNS-server(s) van de tunnel bestrijkt.

    Om te beginnen met AnyConnect 4.2, worden hostroutes voor de DNS-server(s) van de tunnel automatisch toegevoegd als gesplitste inclusieve netwerken (beveiligde routes) door de AnyConnect-client en voorkomt daarom de verkeerde configuratie in de gesplitste-uitsluitingstoegangslijst.


    Split-DNS (tunnel-all DNS uitgeschakeld, split-include geconfigureerd)


    Vóór AnyConnect 4.2

    DNS-verzoeken, die overeenkomen met de gesplitste dns-domeinen, mogen DNS-servers tunnelen, maar zijn niet toegestaan op andere DNS-servers.

    Om te voorkomen dat dergelijke interne DNS-query's uit de tunnel lekken, reageert het AnyConnect-stuurprogramma met "geen dergelijke naam" als de query naar andere DNS-servers wordt verzonden.

    Daarom kunnen de gesplitste dns-domeinen alleen worden opgelost via DNS-tunnelservers.

    DNS-verzoeken, die niet overeenkomen met de gesplitste dns-domeinen, zijn toegestaan voor andere DNS-servers, maar mogen niet worden gebruikt om DNS-servers te tunnelen.

    Zelfs in dit geval reageert het AnyConnect-stuurprogramma met "geen dergelijke naam" als een query voor niet-gesplitste dns-domeinen via tunnel wordt geprobeerd.

    Daarom kunnen de niet-gesplitste dns-domeinen alleen worden opgelost via openbare DNS-servers buiten de tunnel.


    AnyConnect 4.2 +

    DNS-verzoeken, die overeenkomen met de gesplitste dns-domeinen, zijn toegestaan op alle DNS-servers, zolang ze afkomstig zijn van de VPN-adapter.

    Als de query afkomstig is van de openbare interface, reageert het AnyConnect-stuurprogramma met een "geen dergelijke naam" om de oplosser te dwingen altijd de tunnel te gebruiken voor naamresolutie.

    Daarom kunnen de split-dns-domeinen alleen via een tunnel worden opgelost.

    DNS-verzoeken, die niet overeenkomen met de gesplitste dns-domeinen, zijn toegestaan op alle DNS-servers zolang ze afkomstig zijn van de fysieke adapter.

    Als de query is gestart door de VPN-adapter, reageert AnyConnect met "geen dergelijke naam" om de oplosser te dwingen altijd de naamresolutie via de openbare interface te proberen.

    Daarom kunnen de niet-gesplitste dns-domeinen alleen worden opgelost via de openbare interface.

    Mac OSx

    Op Macintosh-systemen zijn de DNS-instellingen globaal. Als split tunneling wordt gebruikt, maar split DNS niet wordt gebruikt, is het niet mogelijk voor de DNS-query's om DNS-servers buiten de tunnel te bereiken. Je kunt het alleen intern oplossen, niet extern.

    Dit is gedocumenteerd in Cisco bug ID CSCtf20226 en Cisco bug ID CSCtz86314. In beide gevallen moet deze oplossing het probleem oplossen:

    • Geef een extern DNS-server-IP-adres op onder het groepsbeleid en gebruik een FQDN voor de interne DNS-query's.

    • Als de externe namen oplosbaar zijn door de tunnel, navigeer dan naar Geavanceerd > Tunneling splitsen en schakel DNS uit door de DNS-namen te verwijderen die zijn geconfigureerd in het groepsbeleid. Dit vereist het gebruik van een FQDN voor de interne DNS-query's.

    De gesplitste DNS-kwestie wordt opgelost in AnyConnect versie 3.1. U moet er echter voor zorgen dat aan een van deze voorwaarden wordt voldaan:

    • Gesplitste DNS moet voor beide IP-protocollen zijn ingeschakeld, waarvoor Cisco ASA versie 9.0 of hoger vereist is.

    • Split DNS moet ingeschakeld zijn voor één IP-protocol. Als u Cisco ASA versie 9.0 of hoger uitvoert, gebruikt u het clientbypassprotocol voor het andere IP-protocol. Zorg er bijvoorbeeld voor dat er geen adresgroep is en dat het Client Bypass Protocol is ingeschakeld in het groepsbeleid. Als u een ASA-versie uitvoert die eerder is dan versie 9.0, moet u er ook voor zorgen dat er geen adresgroep is geconfigureerd voor het andere IP-protocol. Dit betekent dat het andere IP-protocol IPv6 is.

    Opmerking: AnyConnect wijzigt het bestand resolv.conf op Macintosh OS X niet, maar wijzigt OS X-specifieke DNS-instellingen. Macintosh OS X houdt het resolv.conf-bestand actueel vanwege compatibiliteitsredenen. Gebruik de opdracht scutil --dns om de DNS-instellingen op Macintosh OS X te bekijken.

    Tunnel-all configuratie (en split-tunneling met tunnel-all DNS ingeschakeld)

    Wanneer AnyConnect is verbonden, worden alleen Tunnel DNS-servers onderhouden in de DNS-configuratie van het systeem en kunnen DNS-verzoeken daarom alleen naar de Tunnel DNS-server(s) worden verzonden.

    Split-include configuratie (tunnel-all DNS uitgeschakeld en geen split-DNS)

    AnyConnect interfereert niet met de oorspronkelijke DNS-resolver. De tunnel-DNS-servers zijn geconfigureerd als voorkeursresolvers, die voorrang hebben op openbare DNS-servers, waardoor het ervoor zorgt dat de eerste DNS-aanvraag voor een naamresolutie over de tunnel wordt verzonden.

    Omdat DNS-instellingen wereldwijd zijn op Mac OS X, is het voor DNS-query's niet mogelijk om openbare DNS-servers buiten de tunnel te gebruiken, zoals gedocumenteerd in Cisco bug ID CSCtf20226.

    Om te beginnen met AnyConnect 4.2, worden hostroutes voor de Tunnel DNS-server(s) automatisch toegevoegd als split-include-netwerken (beveiligde routes) door de AnyConnect-client, en daarom is voor de split-include-toegangslijst niet langer de expliciete toevoeging van het tunnel DNS-serversubnet vereist.


    Split-exclude configuratie (tunnel-all DNS uitgeschakeld en geen split-DNS)


    AnyConnect interfereert niet met de oorspronkelijke DNS-resolver.

    De tunnel-DNS-servers zijn geconfigureerd als voorkeursresolvers, ze hebben voorrang op openbare DNS-servers, dus dit zorgt ervoor dat de eerste DNS-aanvraag voor een naamresolutie over de tunnel wordt verzonden.

    Omdat DNS-instellingen wereldwijd zijn op Mac OS X, is het voor DNS-query's niet mogelijk om openbare DNS-servers buiten de tunnel te gebruiken, zoals gedocumenteerd in Cisco bug ID CSCtf20226.

    Om te beginnen met AnyConnect 4.2, worden hostroutes voor de Tunnel DNS-server(s) automatisch toegevoegd als split-include-netwerken (beveiligde routes) door de AnyConnect-client, en daarom is voor de split-include-toegangslijst niet langer de expliciete toevoeging van het tunnel DNS-serversubnet vereist.


    Split-DNS (tunnel-all DNS uitgeschakeld, split-include geconfigureerd)


    Als split-DNS is ingeschakeld voor beide IP-protocollen (IPv4 en IPv6) of als het alleen is ingeschakeld voor één protocol en er geen adresgroep is geconfigureerd voor het andere protocol:
    True split-DNS, vergelijkbaar met Windows, wordt afgedwongen. True split-DNS betekent dat verzoeken die overeenkomen met de split-DNS-domeinen alleen via de tunnel worden opgelost, ze worden niet gelekt naar DNS-servers buiten de tunnel.

    Als split-DNS is ingeschakeld voor slechts één protocol en een clientadres is toegewezen voor het andere protocol, wordt alleen DNS-terugval voor split-tunneling afgedwongen.

    Dit betekent dat AC alleen DNS-verzoeken toestaat die overeenkomen met de gesplitste DNS-domeinen via tunnel (andere verzoeken worden beantwoord door AC met "geweigerde" reactie om failover naar openbare DNS-servers af te dwingen), maar kan het verzoek niet afdwingen dat overeenkomt met de gesplitste DNS-domeinen die niet in de duidelijke taal worden verzonden, via openbare adapter.

    Linux

    Tunnel-all configuratie (en split-tunneling met tunnel-all DNS ingeschakeld)

    Wanneer AnyConnect is verbonden, worden alleen Tunnel DNS-servers onderhouden in de DNS-configuratie van het systeem en kunnen DNS-verzoeken daarom alleen naar de Tunnel DNS-server(s) worden verzonden.

    Split-include configuratie (tunnel-all DNS uitgeschakeld en geen split-DNS)

    AnyConnect interfereert niet met de oorspronkelijke DNS-resolver. De tunnel-DNS-servers zijn geconfigureerd als voorkeursresolvers, die voorrang hebben op openbare DNS-servers, waardoor het ervoor zorgt dat de eerste DNS-aanvraag voor een naamresolutie over de tunnel wordt verzonden.


    Split-exclude configuratie (tunnel-all DNS uitgeschakeld en geen split-DNS)


    AnyConnect interfereert niet met de oorspronkelijke DNS-resolver. De tunnel-DNS-servers zijn geconfigureerd als voorkeursresolvers, die voorrang hebben op openbare DNS-servers, waardoor het ervoor zorgt dat de eerste DNS-aanvraag voor een naamresolutie over de tunnel wordt verzonden.


    Split-DNS (tunnel-all DNS uitgeschakeld, split-include geconfigureerd)


    Als split-DNS is ingeschakeld, wordt alleen DNS-terugval voor split-tunneling afgedwongen. Dit betekent dat AC alleen DNS-verzoeken toestaat die overeenkomen met de gesplitste DNS-domeinen via tunnel (andere verzoeken worden beantwoord door AC met "geweigerde" reactie om failover naar openbare DNS-servers te forceren), maar kan dat verzoek niet afdwingen dat overeenkomt met de gesplitste DNS-domeinen die niet in de clear worden verzonden, via de openbare adapter.

    iPhone

    De iPhone is het tegenovergestelde van het Macintosh-systeem en is niet vergelijkbaar met Microsoft Windows. Als split tunneling is gedefinieerd, maar split DNS niet is gedefinieerd, worden DNS-query's afgesloten via de globale DNS-server die is gedefinieerd.

    Gesplitste DNS-domeinvermeldingen zijn bijvoorbeeld verplicht voor interne resolutie. Dit gedrag is gedocumenteerd in Cisco bug ID CSCtq09624 en is opgelost in versie 2.5.4038 voor de Apple iOS AnyConnect-client.

    Opmerking: Houd er rekening mee dat de iPhone DNS-query's .local-domeinen negeren.  Dit is gedocumenteerd in Cisco bug ID CSCts89292. Apple-technici bevestigen dat het probleem wordt veroorzaakt door de functionaliteit van het besturingssysteem. Dit is het ontworpen gedrag en Apple bevestigt dat er geen verandering voor is.

    Gerelateerde buginformatie 

    note-icon

    Opmerking: Alleen geregistreerde Cisco-gebruikers hebben toegang tot interne Cisco-tools en -informatie.

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    3.0
    23-May-2024
    hercertificering
    1.0
    12-Jun-2014
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • TAC Engineers

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten