FMC展開障害エラーのトラブルシューティング

お問い合わせ内容

このドキュメントでは、Secure Firewall Management Center(FMC)の展開エラー「This rule requires a Threat license, but least one device does not have a Threat license.」をトラブルシューティングする方法の概要を説明します。

• Secure Firewall Management Center(FMC)が、Secure Firewall Threat Defense(FTD)ファイアウォールへの設定変更の展開に失敗します。

• 展開の試行中に、「[Global Do-Not-Block List for DNS] This rule requires a Threat license, but at least one device does not have a Threat license.」という検証エラーメッセージが生成されます。

• この問題により、設定の変更がターゲットデバイスに展開されなくなります。

FMC_Deploy_Error.png（導入エラー.png）

環境

• Cisco Secure Firewall Management Center(FMC)

• Cisco Secure Firewall Threat Defense(FTD)(Threat License(IPS)なし)

• グローバルに構成されたDNSセキュリティインテリジェンスポリシー

解決策

ステップ 1：FMCで、Objects > Security Intelligence > DNS Lists and Feedsの順に移動します。

FMC_Navigate_DNS_Lists_and_Feeds.pngファイル

ステップ 2Global-Do-Not-Block-List-for-DNSオブジェクトを編集します。

FMC_Edit_DNS_Lists_and_Feeds.pngファイル

ステップ 3リストからURLオブジェクトを削除し、Save:をクリックします。

削除_URLs_from_List.png

ステップ 4ポリシーを展開します。

または、FTDに脅威(IPS)ライセンスを割り当てます。

これらの設定変更を行った後、以前のライセンス検証エラーが発生することなく、FTDファイアウォールへの導入が正常に完了しました。

原因

展開の失敗は、DNSセキュリティインテリジェンスポリシーの要件とターゲットデバイスで使用可能なライセンスレベルの不一致が原因です。FTDファイアウォールは脅威のライセンスなしで設定されていますが、グローバルDNSセキュリティインテリジェンスポリシーには、特に脅威のライセンス機能を必要とするルールが含まれています。

グローバルブロック/非ブロックリストを使用するDNSセキュリティインテリジェンス機能が正常に機能するには、脅威ライセンスが必要です。FMCが、これらのDNSセキュリティインテリジェンスルールを含む設定の変更を、脅威のライセンスを持たないデバイスに展開しようとすると、システムは検証エラーで展開を阻止しました。

関連コンテンツ

• Security Intelligenceの要件および前提条件

• シスコのテクニカルサポートとダウンロード