Firewall rompe SCCM la comunicación para la inserción/descarga del agente entre el cliente y el servidor

42329

Created On 05/05/20 16:17 PM - Last Modified 03/26/21 16:15 PM

Symptom

La inserción del agente entre el cliente y los servidores requiere que Microsoft BITS descargue los archivos necesarios desde el ( HTTP DP ).
Firewall el registro de tráfico no muestra ningún paquete de denegación/caída para la comunicación entre los IP de origen y de destino sobre tcp/80 y tcp/443.
Incluso después de crear directivas de seguridad de prueba adicionales en el firewall no restringir ningún puerto y servicio, pero todavía tiene un perfil de seguridad, la actualización de Microsoft no se está completando correctamente en todo el archivo FW .
Los contadores globales muestran el siguiente contador: ctd_http_range_response

Environment

Pan-OS 8.1.x,9.0.x

Cause

FW tiene el "Permitir HTTP respuesta parcial" deshabilitado
y el cliente obtener tiene el siguiente rango HTTP HTTP solicitando un formulario parcial de descarga / respuesta del servidor.
Imagen de usuario añadido

Cuando la opción anterior está deshabilitada, FW se enviará el get al servidor seguido de un HTTP TCP restablecimiento para interrumpir la conexión.

Resolution

En : GUI Marque la casilla : Configuración >> dispositivo >>
ID Contenido- contenido >> - Configuración >> ID Permitir nota de respuesta HTTP

parcial: De forma
predeterminada, la opción Permitir respuesta parcial HTTP está habilitada. Sin embargo, Palo Alto Networks recomienda desactivar esta opción para la máxima seguridad. Deshabilitar esta opción no debe afectar al rendimiento del dispositivo; sin embargo, HTTP la recuperación de la interrupción de la transferencia de archivos puede verse afectada. Además, deshabilitar esta opción también puede afectar a los servicios multimedia de streaming, como Netflix, Actualizaciones de Microsoft y actualizaciones de contenido de Palo Alto Networks.

Additional Information