Firewall 中断 SCCM 客户端和服务器之间代理推送/下载的通信

Firewall 中断 SCCM 客户端和服务器之间代理推送/下载的通信

42333
Created On 05/05/20 16:17 PM - Last Modified 03/26/21 16:15 PM


Symptom


  • 代理在客户端和服务器之间的推送 BITS 要求微软从 HTTP ()下载所需的文件 DP 。
  • Firewall 流量日志未显示任何拒绝/丢弃数据包,用于在 tcp/80 和 tcp/443 上进行源和目的地 IPs 之间的通信。
  • 即使在创建额外的测试安全策略 firewall ,不限制任何端口和服务,但仍然有一个安全配置文件后,微软升级没有正确完成整个 FW 。
  • 全球柜台显示以下计数器:ctd_http_range_response

Environment


Pan-OS 8.1.x,9.0.x

Cause


FW 已 HTTP 禁用"允许部分响应
",客户端 HTTP 获得以下 HTTP 范围,请求部分下载/响应服务器。
用户添加的图像
当上述选项被禁用时, FW 将发送 HTTP 到服务器,然后 TCP 重置以中断连接。

Resolution


从 GUI :
选中框: 设备>>设置>>内容 - ID >>内容 - ID 设置>>允许 HTTP 部分响应

注意:
默认情况下,允许 HTTP 部分响应启用。 但是,帕洛阿尔托网络建议您禁用此选项以实现最大安全性。 禁用此选项不应影响设备性能;但是, HTTP 文件传输中断恢复可能会受损。 此外,禁用此选项也会影响流媒体服务,如 Netflix、微软更新和 Palo Alto 网络内容更新。

Additional Information


https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLjPCAW
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g0000008TvuCAE&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language