无法从中推送动态更新Panorama管理防火墙

• 不能推送动态更新Panorama管理防火墙，
• 配置推送到防火墙工作没有任何问题。
• 看到的报错信息如下

Error message: Failed to upload image. Device msg:'Failed to download <File> Download error: Couldn't connect to server.

• PAN-OS 8.0 或更高版本
• Panorama 在一个后面NAT设备
• Panorama 有一个公共IP配置
• 配置为使用的防火墙Panorama民众 IP

• 端口 3978 用于之间的通信Panorama和托管防火墙。 此端口用于设备管理和设备日志收集。
• TCP 端口 28443 用于托管设备从中检索软件和内容更新Panorama.
• Panorama 传达其私人管理IP地址通过端口 3978 加密连接到受管设备。
• 这IP将由端口 28443 上的设备用于连接到Panorama为了获取动态更新。 由于防火墙无法到达Panorama用这个IP地址由于NAT，部署失败。

1. 从PAN-OS8.0.8 及更高版本，执行以下命令Panorama分享FQDN（这解决了它的公众IP) 到受管设备。

 > set dlsrvr server <fqdn>​

2. 确保打开TCP端口 28443 或配置app-ID ” paloalto-更新“在安全policy在任何中间设备/安全组之间firewall和Panorama.

• 这FQDN必须可从受管设备解析。
• 要显示此设置的当前值，请运行“显示 dlsrvr 服务器“ 命令。
• 如果您停止部署NAT设备之间Panorama和防火墙，通过运行“删除 dlsrvr 服务器“ 命令。

​​​​