Firewall SCCMクライアントとサーバー間のエージェントのプッシュ/ダウンロードの通信を中断する
44242
Created On 05/05/20 16:17 PM - Last Modified 03/26/21 16:15 PM
Symptom
- クライアントとサーバー間でエージェントをプッシュするには、 BITS ( ) から必要なファイルをダウンロードする必要 HTTP DP があります。
- Firewall トラフィック ログには、TCP/80 および tcp/443 を介した送信元 IP と宛先 IP 間の通信に関する拒否/ドロップ パケットが表示されません。
- ポートとサービスを制限しないがセキュリティ プロファイルを持つ追加のテスト セキュリティ ポリシーを作成した後でも firewall 、Microsoft のアップグレードは、 全体で正しく完了していません FW 。
- グローバル カウンタは次のカウンタを表示ctd_http_range_response。
Environment
Pan-OS 8.1.x,9.0.x
Cause
FW 「 HTTP 部分的な応答を許可する」が無効
であり、クライアント HTTP の取得は HTTP 、サーバーの部分的なダウンロード/応答フォームを要求する以下の範囲を持っています。
上記のオプションが無効になっている場合 FW 、 HTTP サーバに取得を送信し、その後に TCP リセットして接続を切断します。
Resolution
から GUI :
::[デバイス>>のセットアップ] >> の [コンテンツの ID >>- ID 部分応答を許可する] の [コンテンツの>>] - [部分的な応答を許可する] >>の設定 HTTP :
既定では、[部分応答を許可する] チェック ボックス HTTP がオンになっています。 ただし、パロアルトネットワークスは、最大限のセキュリティのためにこのオプションを無効にすることをお勧めします。 このオプションを無効にしても、デバイスのパフォーマンスに影響を与えるべきではありません。ただし、 HTTP ファイル転送の中断回復が損なわれる場合があります。 さらに、このオプションを無効にすると、Netflix、Microsoft アップデート、パロアルトネットワークスのコンテンツアップデートなどのストリーミングメディアサービスにも影響を与える可能性があります。
Additional Information
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLjPCAW