Firewall rompe SCCM la comunicación para la inserción/descarga del agente entre el cliente y el servidor
44242
Created On 05/05/20 16:17 PM - Last Modified 03/26/21 16:15 PM
Symptom
- La inserción del agente entre el cliente y los servidores requiere que Microsoft BITS descargue los archivos necesarios desde el ( HTTP DP ).
- Firewall el registro de tráfico no muestra ningún paquete de denegación/caída para la comunicación entre los IP de origen y de destino sobre tcp/80 y tcp/443.
- Incluso después de crear directivas de seguridad de prueba adicionales en el firewall no restringir ningún puerto y servicio, pero todavía tiene un perfil de seguridad, la actualización de Microsoft no se está completando correctamente en todo el archivo FW .
- Los contadores globales muestran el siguiente contador: ctd_http_range_response
Environment
Pan-OS 8.1.x,9.0.x
Cause
FW tiene el "Permitir HTTP respuesta parcial" deshabilitado
y el cliente obtener tiene el siguiente rango HTTP HTTP solicitando un formulario parcial de descarga / respuesta del servidor.
Cuando la opción anterior está deshabilitada, FW se enviará el get al servidor seguido de un HTTP TCP restablecimiento para interrumpir la conexión.
Resolution
En : GUI Marque la casilla : Configuración >> dispositivo >>
ID Contenido- contenido >> - Configuración >> ID Permitir nota de respuesta HTTP
parcial: De forma
predeterminada, la opción Permitir respuesta parcial HTTP está habilitada. Sin embargo, Palo Alto Networks recomienda desactivar esta opción para la máxima seguridad. Deshabilitar esta opción no debe afectar al rendimiento del dispositivo; sin embargo, HTTP la recuperación de la interrupción de la transferencia de archivos puede verse afectada. Además, deshabilitar esta opción también puede afectar a los servicios multimedia de streaming, como Netflix, Actualizaciones de Microsoft y actualizaciones de contenido de Palo Alto Networks.
Additional Information
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLjPCAW