Firewall rompt SCCM la communication pour la poussée/téléchargement de l’agent entre le client et le serveur
44242
Created On 05/05/20 16:17 PM - Last Modified 03/26/21 16:15 PM
Symptom
- La poussée de l’agent entre le client et les serveurs oblige Microsoft BITS à télécharger les fichiers requis à partir de la ( HTTP DP ).
- Firewall le journal de trafic ne montre aucun paquet de refus/drop pour la communication entre la source et la destination IP au-dessus de tcp/80 et tcp/443.
- Même après avoir créé des stratégies de sécurité de test supplémentaires sur firewall le non restreindre tout port et service, mais toujours avoir un profil de sécurité, la mise à niveau Microsoft ne se termine pas correctement à travers le FW .
- Les compteurs mondiaux affichent le compteur suivant : ctd_http_range_response
Environment
Pan-OS 8.1.x,9.0.x
Cause
FW a le « Autoriser HTTP la réponse partielle » désactivé
et le client obtenir a la plage HTTP HTTP ci-dessous demandant un téléchargement partiel / formulaire de réponse du serveur.
Lorsque l’option ci-dessus est FW désactivée, HTTP l’envoi de l’accès au serveur suivi TCP d’une réinitialisation pour briser la connexion.
Resolution
À partir GUI de :
Cochez la case pour : Configuration >> de l’appareil >> ID Contenu- contenu >> - Paramètres >> ID Autoriser la réponse partielle Note : Par HTTP
défaut, la réponse partielle Autoriser est HTTP activée. Toutefois, Palo Alto Networks vous recommande de désactiver cette option pour une sécurité maximale. Désactiver cette option ne devrait pas avoir d’impact sur les performances de l’appareil; toutefois, le HTTP recouvrement de l’interruption de transfert de fichiers peut être altéré. En outre, la désactivation de cette option peut également avoir un impact sur les services de médias en streaming, tels que Netflix, Microsoft Updates et Palo Alto Networks mises à jour de contenu.
Additional Information
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLjPCAW