Dynamische Updates können nicht per Push an Panorama verwaltete Firewalls übertragen werden

• Dynamische Updates können nicht per Push an Panorama verwaltete Firewalls übertragen werden.
• Config-Push an Firewalls funktioniert ohne Probleme.
• Die angezeigte Fehlermeldung lautet wie folgt

Error message: Failed to upload image. Device msg:'Failed to download <File> Download error: Couldn't connect to server.

• PAN-OS 8.0 oder höher
• Panorama hinter einem NAT Gerät
• Panorama verfügt über eine öffentlich IP konfigurierte
• Firewalls, die für die Verwendung Panorama öffentlicher IP

• Port 3978 wird für die Kommunikation zwischen Panorama und verwalteten Firewalls verwendet. Dieser Port wird für die Geräteverwaltung und die Erfassung von Geräteprotokollen verwendet.
• TCP Port 28443 wird für verwaltete Geräte verwendet, um Software- und Inhaltsupdates von Panorama.
• Panorama Übermittelt die private IP Verwaltungsadresse über eine verschlüsselte Verbindung über Port 3978 an die verwalteten Geräte.
• Dies IP wird von den Geräten auf Port 28443 verwendet, um eine Verbindung herzustellen Panorama , um die dynamischen Updates abzurufen. Da die Firewalls diese IP Adresse aufgrund von nicht NATerreichen Panorama können, schlägt die Bereitstellung fehl.

1. Führen Sie ab PAN-OS Version 8.0.8 den folgenden Befehl ausPanorama, um die (die in die Öffentlichkeit IPaufgelöst wird) für die FQDN verwalteten Geräte freizugeben.

 > set dlsrvr server <fqdn>​

2. Stellen Sie sicher, dass Sie Port 28443 öffnen TCP oder app-id "paloalto-updates" in der Sicherheit policy auf allen Zwischengeräten/Sicherheitsgruppen zwischen dem und Panoramakonfigurierenfirewall.

• Dies FQDN muss von den verwalteten Geräten aus behoben werden können.
• Um den aktuellen Wert dieser Einstellung anzuzeigen, führen Sie den Befehl "show dlsrvr server" aus.
• Wenn Sie die Bereitstellung eines NAT Geräts zwischen Panorama und Firewalls beenden, löschen Sie den Wert, indem Sie den Befehl "delete dlsrvr server" ausführen.

​​​​