Firewall Unterbrechung SCCM der Kommunikation für Agent-Push/Download zwischen Client und Server
44242
Created On 05/05/20 16:17 PM - Last Modified 03/26/21 16:15 PM
Symptom
- Der Push des Agenten zwischen Client und Servern erfordert, dass Microsoft BITS die erforderlichen Dateien aus der ( HTTP ) herunterlädt. DP
- Firewall Das Datenverkehrsprotokoll zeigt keine Deny/Drop-Pakete für die Kommunikation zwischen Quell- und Ziel-IPs über tcp/80 und tcp/443 an.
- Selbst nach dem Erstellen zusätzlicher Testsicherheitsrichtlinien für den firewall Nichteinschränken von Port und Dienst, aber immer noch über ein Sicherheitsprofil wird das Microsoft-Upgrade im FW .
- Globale Leistungsindikatoren zeigen den folgenden Leistungsindikator an: ctd_http_range_response
Environment
Pan-OS 8.1.x,9.0.x
Cause
FW hat die HTTP "Teilweise Antwort zulassen" deaktiviert
Und der Client erhält den folgenden HTTP Bereich, der einen HTTP teilweisen Download/Antwort vom Server anfordert.
Wenn die obige Option deaktiviert ist, FW wird der Get an den Server gesendet, gefolgt von einem HTTP TCP Reset, um die Verbindung zu unterbrechen.
Resolution
Aus dem GUI : Aktivieren Sie das Kontrollkästchen
für: Device >> Setup >> Content- ID >> Content - Settings >> Partial response ID HTTP
Note: Standardmäßig ist die
HTTP partielle Antwort zulassen aktiviert. Palo Alto Networks empfiehlt jedoch, diese Option für maximale Sicherheit zu deaktivieren. Das Deaktivieren dieser Option sollte sich nicht auf die Geräteleistung auswirken. Die HTTP Wiederherstellung der Dateiübertragungsunterbrechung kann jedoch beeinträchtigt sein. Darüber hinaus kann sich das Deaktivieren dieser Option auch auf Streaming-Mediendienste wie Netflix, Microsoft Updates und Palo Alto Networks-Inhaltsupdates auswirken.
Additional Information
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLjPCAW