Firewall SCCMクライアントとサーバー間のエージェントのプッシュ/ダウンロードの通信を中断する

42339

Created On 05/05/20 16:17 PM - Last Modified 03/26/21 16:15 PM

Symptom

クライアントとサーバー間でエージェントをプッシュするには、 BITS ( ) から必要なファイルをダウンロードする必要 HTTP DP があります。
Firewall トラフィックログには、TCP/80 および tcp/443 を介した送信元 IP と宛先 IP 間の通信に関する拒否/ドロップパケットが表示されません。
ポートとサービスを制限しないがセキュリティプロファイルを持つ追加のテストセキュリティポリシーを作成した後でも firewall 、Microsoft のアップグレードは、全体で正しく完了していません FW 。
グローバルカウンタは次のカウンタを表示ctd_http_range_response。

Environment

Pan-OS 8.1.x,9.0.x

Cause

FW 「 HTTP 部分的な応答を許可する」が無効
であり、クライアント HTTP の取得は HTTP 、サーバーの部分的なダウンロード/応答フォームを要求する以下の範囲を持っています。
ユーザー追加イメージ

上記のオプションが無効になっている場合 FW 、 HTTP サーバに取得を送信し、その後に TCP リセットして接続を切断します。

Resolution

から GUI :
::[デバイス>>のセットアップ] >> の [コンテンツの ID >>- ID 部分応答を許可する] の [コンテンツの>>] - [部分的な応答を許可する] >>の設定 HTTP :

既定では、[部分応答を許可する] チェックボックス HTTP がオンになっています。ただし、パロアルトネットワークスは、最大限のセキュリティのためにこのオプションを無効にすることをお勧めします。このオプションを無効にしても、デバイスのパフォーマンスに影響を与えるべきではありません。ただし、 HTTP ファイル転送の中断回復が損なわれる場合があります。さらに、このオプションを無効にすると、Netflix、Microsoft アップデート、パロアルトネットワークスのコンテンツアップデートなどのストリーミングメディアサービスにも影響を与える可能性があります。

Additional Information