Firewall 中断 SCCM 客户端和服务器之间代理推送/下载的通信
44242
Created On 05/05/20 16:17 PM - Last Modified 03/26/21 16:15 PM
Symptom
- 代理在客户端和服务器之间的推送 BITS 要求微软从 HTTP ()下载所需的文件 DP 。
- Firewall 流量日志未显示任何拒绝/丢弃数据包,用于在 tcp/80 和 tcp/443 上进行源和目的地 IPs 之间的通信。
- 即使在创建额外的测试安全策略 firewall ,不限制任何端口和服务,但仍然有一个安全配置文件后,微软升级没有正确完成整个 FW 。
- 全球柜台显示以下计数器:ctd_http_range_response
Environment
Pan-OS 8.1.x,9.0.x
Cause
FW 已 HTTP 禁用"允许部分响应
",客户端 HTTP 获得以下 HTTP 范围,请求部分下载/响应服务器。
当上述选项被禁用时, FW 将发送 HTTP 到服务器,然后 TCP 重置以中断连接。
Resolution
从 GUI :
选中框: 设备>>设置>>内容 - ID >>内容 - ID 设置>>允许 HTTP 部分响应
注意:
默认情况下,允许 HTTP 部分响应启用。 但是,帕洛阿尔托网络建议您禁用此选项以实现最大安全性。 禁用此选项不应影响设备性能;但是, HTTP 文件传输中断恢复可能会受损。 此外,禁用此选项也会影响流媒体服务,如 Netflix、微软更新和 Palo Alto 网络内容更新。
Additional Information
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLjPCAW