對安全Web裝置DNS服務進行故障排除

簡介

本檔案介紹網域名稱服務(DNS)組態，以及如何在先前稱為WSA的安全網路裝置(SWA)中進行疑難排解。 

必要條件

需求

思科建議您瞭解以下主題：

• 已安裝物理或虛擬安全網路裝置(SWA)
• 許可證已啟用或已安裝
• 安全殼層(SSH)使用者端
• 安裝嚮導已完成

• 對SWA的管理訪問

採用元件

本文件所述內容不限於特定軟體和硬體版本。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

DNS概念 

DNS是Internet中用於將對象名稱（通常是主機名）對映到Internet協定(IP)地址或其他資源記錄值的系統。

Internet的名稱空間被劃分為多個域，並且每個域內的名稱管理職責通常委託給每個域內的系統。

域名空間被劃分為DNS樹中委託點的區域，稱為區域。

區域包含從某一點開始向下的所有域，但其他區域具有權威性的域除外。

區域通常具有權威名稱伺服器，通常不止一個。

在一個組織中，可以有許多名稱伺服器，但Internet客戶端只能查詢根名稱伺服器知道的那些名稱伺服器。

其他名稱伺服器僅回答內部查詢。

DNS基於客戶端/伺服器模型。在此模型中，域名伺服器儲存有關DNS資料庫一部分的資料，並將其提供給通過網路查詢域名伺服器的客戶端。

名稱伺服器是在物理主機上運行並儲存區域資料的程式。作為域管理員，您可以設定名稱伺服器，該伺服器帶有描述一個或多個區域中主機的所有資源記錄(RR)的資料庫

代理部署中的DNS服務

在顯式部署中：代理運行DNS查詢

在透明部署中：DNS查詢在客戶端上運行。

配置DNS設定 

您可以從圖形使用者介面(GUI)和命令列介面(CLI)配置DNS。

AsyncOS for Web可以使用網際網路根DNS伺服器或您自己的DNS伺服器。 如果SWA使用Internet根服務器，則可以指定用於特定域的備用伺服器。

由於備用DNS伺服器應用於單個域，因此它必須是該域的權威（提供最終的DNS記錄）。

AsyncOS支援拆分DNS，其中，內部伺服器配置為特定域，外部或根DNS伺服器配置為其他域。

如果SWA使用本地DNS伺服器，還可以指定異常域和關聯的DNS伺服器。

最佳實踐 

安全最佳實踐表明，每個網路必須託管兩個DNS解析器：一個用於本地域內的權威記錄，另一個用於網際網路域的遞迴解析。

為了適應此情況，SWA允許為特定域配置DNS伺服器。

如果一個DNS伺服器可用於本地查詢和遞迴查詢，請考慮在所有SWA查詢中使用它時將會增加的其他負載。

更好的選項可以是使用本地域的內部解析器和外部域的根Internet解析器。這取決於管理員的風險設定和容差。

輔助DNS伺服器必須配置，以防主伺服器不可用。如果所有伺服器都配置了相同的優先順序，則會隨機選擇伺服器IP。

根據配置的伺服器數，給定伺服器的超時值會有所不同。查詢的超時設定在此表中，最多適用於六台DNS伺服器：

有關詳細資訊，請訪問：思科網路安全裝置最佳實踐指南 — 思科

在GUI中配置DNS 

要通過GUI配置DNS，請執行以下步驟：

步驟 1.從頂部選單中選擇網路

步驟 2.選擇DNS

Image-GUI — 配置DNS設定

步驟 3.選擇Edit Settings。
步驟 4.根據需要配置DNS設定。

映像 — DNS配置

使用這些DNS服務器：裝置可用於解析主機名的本地DNS伺服器
備用DNS伺服器覆蓋（可選）：域的授權DNS伺服器

注意:AsyncOS不執行透明FTP請求的版本首選項。

注意：在雲聯結器模式下，思科網路安全裝置僅支援IPv4

使用網際網路根DNS伺服器。選擇在裝置無法訪問您網路上的DNS伺服器時，使用網際網路根DNS伺服器進行域名服務查詢。 

Internet根DNS伺服器無法解析本地主機名。

注意：如果您需要裝置解析本地主機名，請使用本地DNS伺服器或從命令列介面(CLI)將相應的靜態條目新增到本地DNS。

域搜尋列表：將請求傳送到裸主機名（無點「）時使用的DNS域搜尋清單。 ")。

按輸入的順序（從左到右）依次嘗試指定的每個域，以檢視是否可以找到主機名與域的DNS匹配。

DNS流量的路由表：指定DNS服務路由流量通過的介面。

等待超時反向DNS查詢：等待時間(以秒為單位),超過無響應的反向DNS查詢時間。

當主DNS伺服器返回以下錯誤時，輔助DNS伺服器接收主機名查詢：

·無錯誤，未收到應答部分
·伺服器無法完成請求，無應答部分
·名稱錯誤，未收到應答部分
·未實現的功能
·伺服器拒絕回答查詢

注意:AsyncOS在評估外部相關性之前會根據策略評估事務，以避免來自裝置的不必要的外部通訊。例如，如果基於阻止未分類的URL的策略阻止事務，則事務不會因DNS錯誤而失敗。

Priority:0的值具有最高的優先順序。 如果兩者具有相同的優先順序，則會選擇隨機IP。

從CLI配置DNS 

您可以在CLI中使用dnsconfig來配置DNS設定。

步驟1.在CLI中鍵入dnsconfig:

SWA_CLI> dnsconfig

Currently using the local DNS cache servers:
1. Priority: 0  10.1.1.1
2. Priority: 1  10.2.2.2
3. Priority: 2  10.3.3.3

Currently using the following Secondary DNS cache servers :
1. Priority: 0  10.10.10.10

Choose the operation you want to perform:
- NEW - Add a new server.
- EDIT - Edit a server.
- DELETE - Remove a server.
- SETUP - Configure general settings.
- SEARCH - Configure DNS domain search list.
[]>

步驟 2.要將新的DNS伺服器新增到清單，請鍵入NEW並按Enter鍵。

步驟 3.選擇主DNS名稱伺服器或輔助DNS名稱伺服器，您要向其中新增新名稱伺服器。

[]> NEW

Do you want to make changes in the Primary DNS nameserver list or secondary DNS nameserver list?
1. Make changes to the primary DNS nameserver
2. Make changes to the secondary DNS nameserver
[]> 1

步驟 4.選擇新增新的名稱伺服器或備用域伺服器（條件轉發域名）

Do you want to add a new local DNS cache server or an alternate domain server?
1. Add a new local DNS cache server.
2. Add a new alternate domain server.
[]> 1

步驟 5. 提供新名稱伺服器的IP地址

步驟 6.為新新增的名稱伺服器提供優先順序。 

Please enter the IP address of your DNS server.
Separate multiple IPs with commas.
[]> 10.4.4.4

Please enter the priority for 10.4.4.4.
A value of 0 has the highest priority.
The IP will be chosen at random if they have the same priority.

[0]> 4


Currently using the local DNS cache servers:
1. Priority: 0  10.1.1.1
2. Priority: 1  10.2.2.2
3. Priority: 2  10.3.3.3
4. Priority: 4  10.4.4.4

Currently using the following Secondary DNS cache servers :
1. Priority: 0  10.10.10.10

步驟 7.按Enter退出嚮導。

步驟 8.鍵入commit以儲存更改。 

在SETUP選項中，可以配置DNS快取時間和離線DNS檢測設定： 

SWA_CLI> dnsconfig 
....
[]> setup
Do you want the Gateway to use the Internet's root DNS servers or would you like it to use your own DNS servers?
1. Use Internet root DNS servers
2. Use own DNS cache servers
[2]> 2

Enter the number of seconds to wait before timing out reverse DNS lookups.
[20]> 

Enter the minimum TTL in seconds for DNS cache.
[1800]> 

Do you want to enable Secure DNS? [N]> N
Warning: Ensure that you configure the DNS server with DNSSec because there is no backward compatibility.
Failing to do so can result in invalid response with an unresolved hostname.

You must use FQDN with the hostname for the local and private domains.

Enter the number of failed attempts before considering a local DNS server offline.
[100]>

Enter the interval in seconds for polling an offline local DNS server.
[5]>

DNS快取的最小TTL（秒）：此選項用於配置SWA快取記錄的最小秒。有關詳細資訊，請訪問本文檔中的DNS快取部分。

輸入在認為本地DNS伺服器離線之前嘗試失敗的次數：如果DNS伺服器未響應任何DNS查詢，計數器將啟動。

達到此定義值時，該名稱伺服器被視為離線DNS伺服器，並且SWA避免在預定義的時間持續時間內將DNS查詢傳送到該名稱伺服器（Next選項）。 

當DNS伺服器標籤為os offline時，您會看到以下錯誤消息：

30 Jun 2023 07:37:03 +0200    Reached maximum failures querying DNS server 10.1.1.1

輸入輪詢離線本地DNS伺服器的時間間隔（以秒為單位）：當DNS伺服器標籤為離線時，在此時間間隔（以秒為單位）之後，SWA開始向該名稱伺服器傳送DNS查詢，該DNS伺服器失敗的計數器將重置為零。  

CLI DNS命令 

建立手動記錄 

要建立手動「A記錄」，不能使用或編輯Hosts檔案。您可以在CLI中使用dnsconfig中的localhosts隱藏命令。

dnsconfig

Currently using the local DNS cache servers:
1. Priority: 0  10.1.1.1
2. Priority: 0  10.2.2.2

Choose the operation you want to perform:
- NEW - Add a new server.
- EDIT - Edit a server.
- DELETE - Remove a server.
- SETUP - Configure general settings.
- SEARCH - Configure DNS domain search list.
[]> localhosts

Local IP to Host mappings:

Choose the operation you want to perform:
- NEW - Add new local IP to host mapping.
- DELETE - Delete an existing mapping.
[]> new

Enter the IP address of the host you are adding.
[]> 10.20.30.40

Enter the canonical host name and any additional aliases (separate values
with spaces)
[]> ManualHostEntry.cisco.com          

dnsflush

dnsflush從DNS快取表中刪除所有快取的DNS記錄：

SWA_CLI> dnsflush
Are you sure you want to clear out the DNS cache? [N]> Y

advancedproxyconfig

 advancedproxyconfig

Choose a parameter group:
- AUTHENTICATION - Authentication related parameters
- CACHING - Proxy Caching related parameters
- DNS - DNS related parameters
- EUN - EUN related parameters
- NATIVEFTP - Native FTP related parameters
- FTPOVERHTTP - FTP Over HTTP related parameters
- HTTPS - HTTPS related parameters
- SCANNING - Scanning related parameters
- PROXYCONN - Proxy connection header related parameters
- CUSTOMHEADERS - Manage custom request headers for specific domains
- MISCELLANEOUS - Miscellaneous proxy related parameters
- SOCKS - SOCKS Proxy parameters
- CONTENT-ENCODING - Block content-encoding types
- SCANNERS - Scanner related parameters
[]> DNS

Enter values for the DNS options:

Enter the URL format for the HTTP 307 redirection on DNS lookup failure.
[%P://www.%H.com/%u]>

Would you like the proxy to issue a HTTP 307 redirection on DNS lookup failure?
[Y]>

Would you like proxy not to automatically failover to DNS results when upstream
proxy (peer) is unresponsive?
[N]>

Select one of the following options:
0 = Always use DNS answers in order
1 = Use client-supplied address then DNS
2 = Limited DNS usage
3 = Very limited DNS usage

For options 1 and 2, DNS will be used if Web Reputation is enabled.
For options 2 and 3, DNS will be used for explicit proxy requests, if there is
no upstream proxy or in the event the configured upstream proxy fails.

For all options, DNS will be used when Destination IP Addresses are used in
policy membership.
Find web server by:
[0]>

HTTP 307（臨時重定向）狀態代碼指示目標資源臨時駐留在不同的統一資源識別符號(URI)下，並且如果使用者代理執行到該URI的自動重定向，則它不得更改請求方法。由於重定向會隨時間改變，因此客戶端必須繼續使用原始的有效請求URI。 

更多詳細資訊：什麼是HTTP 307臨時重定向狀態代碼 — Kinsta

在透明代理部署中評估客戶端請求時，這些選項控制SWA決定連線到的IP地址的方式。收到請求時，WSA會看到目標IP地址和主機名。SWA必須決定是否信任TCP連線的原始目標IP地址，還是執行自己的DNS解析並使用已解析的地址。預設值為「0 =始終按順序使用DNS答案」，這表示SWA不信任客戶端提供IP地址。

選項1:SWA嘗試客戶端為連線提供的IP地址，但如果失敗，則回退到解析的地址。解析的地址用於策略評估(Web類別、Web信譽等)。

選項2: SWA僅使用客戶端提供的地址進行連線，並且不會回退。解析的地址用於策略評估(Web類別、Web信譽等)。

選項3:SWA僅使用客戶端提供的地址進行連線，並且不會回退。客戶端提供的IP地址用於策略評估(Web類別、Web信譽等)。

所選擇的選項取決於管理員在確定給定主機名的解析地址時必須給予客戶端的信任程度。如果客戶端是下游代理，請選擇選項3以避免不必要的DNS查詢增加延遲。

DNS快取 

為了提高效率和效能，思科SWA儲存您最近連線的域的DNS條目。DNS快取允許SWA避免對相同域執行過多的DNS查詢。DNS快取條目由於記錄的TTL（生存時間）而過期。

當DNS伺服器中記錄的TTL大於SWA dnsconfig cache TTL時間時，dns快取將使用DNS伺服器中的TTL。

當DNS伺服器中記錄的TTL小於SWA dnsconfig cache TTL時間時，dns快取將使用WSA dnsconfig設定中的TTL。

注意:SWA具有兩個DNS快取，一個用於代理進程，另一個用於內部進程。

預設情況下，無論記錄TTL如何，SWA都會快取DNS記錄至少30分鐘。大量使用內容交付網路(CDN)的現代網站會因為其IP地址頻繁變化而具有低TTL記錄。

這可能會導致客戶端快取給定伺服器的IP地址，並且SWA快取同一伺服器的不同地址。為了解決此問題，SWA預設TTL可以從dsnconfig CLI命令中的SETUP部分降低到5分鐘。

例如，如果DNS配置中的「DNS快取的最小TTL（以秒為單位）」已設定為10分鐘，而一條記錄的TTL為5分鐘，則快取記錄的TTL將增加到10分鐘。

另一方面，如果記錄的TTL設定為15分鐘，則SWA會在快取中儲存該記錄15分鐘。

但是，有時需要清除DNS快取中的條目。損壞或過期的DNS快取條目有時會導致向遠端主機交付時出現問題。

此問題通常發生在裝置因網路移動或其他情況而離線之後。

從GUI清除DNS快取

步驟 1.從頂部選單中選擇網路

步驟 2.選擇DNS

步驟 3. 選擇Clear DNS Cache

注意：重新填充快取時，此命令可能會導致臨時效能降低

從CLI清除DNS快取 

Cisco WSA中的DNS快取可以通過 dnsflush命令。

檢視DNS快取

沒有選項可從CLI或GUI在SWA中檢視快取的DNS記錄。

排除DNS故障 

檢視DNS日誌

與Web代理元件相關的某些日誌型別未啟用。主Web代理日誌型別（稱為「預設代理日誌」）預設啟用，並捕獲所有Web代理模組的基本資訊。

每個Web Proxy模組也有其自己的記錄型別，您可以根據需要手動啟用。

系統日誌、記錄DNS、錯誤和提交活動。預設情況下啟用

提示：如果將系統日誌的日誌級別更改為DEBUG，則可以檢視DNS查詢和響應。可以從GUI和CLI更改日誌級別。

從GUI更改系統日誌日誌級別

步驟 1.從頂部選單中選擇系統管理

步驟 2.選擇Log Subscriptions

步驟 3.選擇系統日誌

步驟 4.在「日誌級別」部分中選擇DEBUG 

步驟 5.提交

步驟 6.提交更改

映像 — 更改系統日誌、日誌級別

從CLI更改系統日誌日誌級別

步驟 1.登入到CLI

步驟 2.鍵入logconfig

步驟 3.選擇EDIT

步驟 4.輸入與System_Logs關聯的編號

步驟 5. 按Enter直到達到「日誌」級別

步驟 6.選擇用於Debug的數字4 

步驟 7.按Enter鍵，直到退出嚮導

步驟 8.要儲存更改，請鍵入commit。 

SWA_CLI> logconfig

Currently configured logs:
...
42. "system_logs" Type: "System Logs" Retrieval: FTP Poll
...

Choose the operation you want to perform:
- NEW - Create a new log.
- EDIT - Modify a log subscription.
- DELETE - Remove a log subscription.
- HOSTKEYCONFIG - Configure SSH host keys.
- AUDITLOGCONFIG - Adjust settings for audit logging.
[]> EDIT

Enter the number of the log you wish to edit:
[]> 42 <--- in this example the System_logs is number 42 

Please enter the name for the log:
[system_logs]>

Log level:
1. Critical
2. Warning
3. Information
4. Debug
5. Trace
[3]> 4
....
SWA_CLI> commit

提示：完成故障排除後，請確保將日誌級別改回資訊，否則磁碟輸入/輸出(I/O)將承受巨大負載，並且日誌檔案將填充得非常快。

nslookup

使用nslookup命令檢視不同FQDN的SWA中的名稱解析響應。

在此示例中，第一次嘗試解析名稱時，TTL設定為30分鐘。

在第二次嘗試時，我們可以看到TTL小於30分鐘，這表示已從快取中解析此記錄。

SWA_CLI> nslookup

Please enter the host or IP address to resolve.
[]> cisco.com

Choose the query type:
1. A       the host's IP address
2. AAAA    the host's IPv6 address
3. CNAME   the canonical name for an alias
4. MX      the mail exchanger
5. NS      the name server for the named zone
6. PTR     the hostname if the query is an Internet address,

 otherwise the pointer to other information
7. SOA     the domain's "start-of-authority" information
8. TXT     the text information
[1]> 1

A=10.20.3.15 TTL=30m

TSWA_CLI> nslookup

Please enter the host or IP address to resolve.
[]> cisco.com

Choose the query type:
1. A       the host's IP address
2. AAAA    the host's IPv6 address
3. CNAME   the canonical name for an alias
4. MX      the mail exchanger
5. NS      the name server for the named zone
6. PTR     the hostname if the query is an Internet address,

 otherwise the pointer to other information
7. SOA     the domain's "start-of-authority" information
8. TXT     the text information
[1]> 1

A=10.20.3.15 TTL=28m 49s

挖掘 

dig是查詢DNS記錄的另一個有用命令。使用挖掘，您可以指定要查詢的源介面或DNS伺服器：

在本示例中，查詢來自伺服器10.1.1.1的A記錄 

 dig @10.1.1.1 www.cisco.com A


; <<>> DiG 9.16.8 <<>> @10.1.1.1 www.cisco.com A
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58012
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1280
; COOKIE: 2cbc212c0877096701000000623db99b050bda7f896790e3 (good)
;; QUESTION SECTION:
;www.cisco.com.                 IN      A

;; ANSWER SECTION:
www.cisco.com.          3600    IN      CNAME   origin-www.cisco.com.
www.cisco.com.   5       IN      A       10.20.3.15

;; Query time: 115 msec
;; SERVER: 10.1.1.1#53(10.1.1.1)
;; WHEN: Fri Mar 25 12:46:19 GMT 2022
;; MSG SIZE  rcvd: 111

dig的用法：

dig [-s ] [-t] [-x 
     
     
       ] [@ 
      
        ] hostname [qtype] Query a DNS server. @ 
       
         - Query the DNS server at this IP address hostname - Record that you want to look up. qtype - Query type: A, PTR, CNAME, MX, SOA, NS, TXT options: -s IP Address Specify the source IP address. -t Make query over tcp. -x IP Address Do a reverse lookup on this IP address. 
        
       
     

DNS響應緩慢 

如果載入所有或某些URL的時間較長（與刷新同一頁面時相比），則最好檢查DNS響應時間。SWA中有兩個選項可用於檢查DNS響應時間： 

• 配置AccessLogs自定義欄位。 
• Trackstat日誌。

修改訪問日誌以檢視DNS統計資訊

您可以修改Accesslogs以檢視每個Web請求的DNS時間。

步驟 1.登入到GUI。

步驟 2.在「系統管理」選單中，選擇「日誌訂閱」。

步驟3.在日誌名稱列中，按一下訪問日誌或新建立的名稱。在本例中，TAC_access_logs。

步驟4.在自定義欄位部分，貼上以下字串：

[DNS response = %:
     
     
       d] 
     

步驟 5.提交 和 commit 更改。 

自定義欄位名稱	自定義欄位	W3C日誌	說明
DNS響應	%:<d	x-p2p-dns-wait-time	Web代理將域名請求(DNS)請求傳送到Web代理DNS進程所用的時間。
DNS總計	%:>d	x-p2p-dns-svc-time	Web代理DNS進程將DNS結果傳送回Web代理所用的時間。

有關如何在Accesslogs中編輯自定義欄位的詳細資訊，可以訪問以下連結：Configure Performance Parameter in Access Logs - Cisco

Trackstat日誌中的總體DNS響應時間

 您可以在trackstat日誌中檢視DNS服務和其他內部服務的統計資訊。您可以通過通過FTP連線到SWA來訪問跟蹤統計日誌。 

在此示例中，您可以看到快取統計資訊以及DNS響應數，這些響應按SWA上次重新啟動以來從DNS伺服器經過的時間進行分類。

...
INFO: DNS Cache Stats: Entries 662, Expire 1697, Hits 88739, Misses 664, Reclaims 0
...
       DNS Time       1.0 ms    349
       DNS Time       1.6 ms    550
       DNS Time       2.5 ms    374
       DNS Time       4.0 ms    32
       DNS Time       6.3 ms    35
       DNS Time      10.0 ms    37
       DNS Time      15.8 ms    301
       DNS Time      25.1 ms    80
       DNS Time      39.8 ms    136
       DNS Time      63.1 ms    91
       DNS Time     100.0 ms    12
       DNS Time     158.5 ms    33
       DNS Time     251.2 ms    14
       DNS Time     398.1 ms    12
       DNS Time     631.0 ms    45
       DNS Time    1000.0 ms    120
       DNS Time    1584.9 ms    73
       DNS Time    2511.9 ms    296
       DNS Time    3981.1 ms    265
       DNS Time    6309.6 ms    190

例如，在最後一行中，它表示自上次重新啟動SWA以來，190個DNS查詢需要超過6,309毫秒（大約6秒）才能完成。

要瞭解某個時間段內的確切數字，請減去開始時間和結束時間的這些值。

例如，要確定從10:00 AM到11:00 AM的DNS響應時間，請收集11:00 AM的統計資訊，並將其從上午10:00的統計資料中減去。

結果是所需日期的DNS響應時間從上午10:00到上午11:00。   

封包捕獲 

您可以擷取封包以檢視DNS要求與回應，並僅篩選可供使用的DNS:連線埠53。

要從GUI開始資料包捕獲，請執行以下操作：

步驟 1.從右上角選擇Support and Help

步驟 2.選擇Packet Capture

步驟3.(可選)選擇Edit Settings以新增過濾器

步驟4.(可選)在Custom Filter（自定義過濾器）部分選擇您的介面並鍵入埠53

步驟5.(可選)選擇Submit

映像 — 新增過濾器以捕獲DNS資料包

步驟 6.選擇Start Capture。

步驟7.（可選）如果需要解決特定站點或URL訪問問題，生成流量。 

步驟 8.停止捕獲 

步驟 9.等待頁面刷新，然後從「Manage Packet Capture Files」（管理資料包捕獲檔案）列表中選擇第一個資料包捕獲

步驟 10.選擇Download File 

L4TM

第4層流量監控器會偵聽通過每個安全Web裝置上所有埠傳入的網路流量，並將域名和IP地址與自身資料庫表中的條目進行匹配，以確定是否允許傳入和傳出流量。

當內部客戶端感染惡意軟體並嘗試通過非標準埠和協定呼叫總部時，L4流量監控器會阻止呼叫總部活動退出公司網路。

預設情況下，L4流量監控器已啟用並設定為監控所有埠上的流量，其中包括DNS和其他服務。

有關第4層流量監控器的詳細資訊，請參閱使用手冊。

錯誤

通知頁面

預設情況下，SWA顯示通知頁面，通知使用者他們已被阻止以及阻止的原因

檔名和通知標題：ERR_DNS_FAIL（DNS故障）

說明：當請求的URL包含無效的域名時，顯示的錯誤頁面。

通知文本：此主機名<hostname >的主機名解析（DNS查詢）失敗。

Internet地址可能拼寫錯誤或過時，主機<hostname >可能暫時不可用，或者DNS伺服器可能無響應。

請檢查輸入的Internet地址的拼寫。如果正確，請稍後嘗試此請求。

映像 — DNS失敗錯誤

Accesslog結果代碼無 

accesslog檔案中的事務結果代碼描述裝置如何解析客戶端請求。如果在訪問日誌中，結果代碼為NONE，則表示事務中出現錯誤。例如，DNS故障或網關超時。

1688292974.527 20 10.61.66.65 NONE/503 0 GET http://invalidurl.cisco.com/ - NONE/invalidurl.cisco.com - OTHER-NONE-DefaultGroup-NONE-NONE-NONE-DefaultGroup-NONE <"IW_comp",9.3,0,"-",0,0,0,-,"-",-,-,-,"-",-,-,"-","-",-,-,"IW_comp",-,"-","Computers and Internet","-","Unknown","Unknown","-","-",0.00,0,-,"Unknown","-",-,"-",-,-,"-","-",-,-,"-",-,-> - - - -

無法引導DNS快取

如果裝置重新啟動時生成了帶有「Failed to bootstrap the DNS cache」消息的警報，則表示系統無法聯絡其主DNS伺服器。

如果DNS子系統在建立網路連線之前聯機，則可能在啟動時發生這種情況。如果此消息在其他時間出現，則可能表示網路出現問題，或者DNS配置未設定為有效的伺服器

查詢DNS伺服器時達到最大失敗

如果在SWA中配置的一個或某些DNS伺服器未回覆DNS查詢，則SWA會將其視為離線，並且不會在預定義的時間段內向它們傳送DNS查詢。有關詳細資訊，請參閱本文中的「配置DNS from CLI」。 

DNS_FAIL

當SWA收到HTTP請求並且無法解析主機名時，預設情況下，SWA將返回如下回覆：

GET http://cisco HTTP/1.1
User-Agent: curl/7.19.7 (universal-apple-darwin10.0) libcurl/7.19.7 OpenSSL/0.9.8l zlib/1.2.3
Host: hostname
Accept: */*
Proxy-Connection: Keep-Alive

HTTP/1.1 307 Temporarily Moved for Domain Name Expansion
Mime-Version: 1.0
Date: Wed, 15 Sep 2022 13:05:02 EST
Proxy-Connection: keep-alive
Location: http://www.cisco.com/
Content-Length: 2068

此功能稱為「服務器名稱擴展」。
WSA在嘗試重定向主機名將解析客戶端的預期頁面時執行此操作。

您可以更改「DNS查詢失敗時HTTP 307重定向的URL格式」，有關詳細資訊，請參閱本文的advanceproxyconfig部分。

WSA處理返回的DNS請求 ServFail 作為失敗。
例如，NXDOMAIN將返回"DNS_FAIL"而不是"SERVER_NAME_EXPANSION"

相關資訊

Cisco Secure Web Appliance AsyncOS 15.0使用手冊

使用安全Web裝置最佳實踐 — 思科

思科內容中心 — 域名系統簡介