排除FMC部署故障错误

问题

本文档概述如何解决安全防火墙管理中心(FMC)部署故障错误“此规则需要威胁许可证，但至少有一个设备没有威胁许可证”。

• 安全防火墙管理中心(FMC)无法将配置更改部署到安全防火墙威胁防御(FTD)防火墙。

• 在部署尝试期间，系统会生成一条验证错误消息，说明："[DNS的全局不阻止列表]此规则需要威胁许可证，但至少一台设备没有威胁许可证。"

• 此问题会阻止将任何配置更改部署到目标设备。

FMC_Deploy_Error.png

环境

• Cisco Secure Firewall Management Center (FMC)

• 无威胁许可证(IPS)的思科安全防火墙威胁防御(FTD)

• 全局配置的DNS安全情报策略

分辨率

第1步：在FMC上，导航到对象>安全情报> DNS列表和源:

FMC_Navigate_DNS_Lists_and_Feeds.png

步骤2.编辑Global-Do-Not-Block-List-for-DNS对象：

FMC_Edit_DNS_Lists_and_Feeds.png

步骤3.从列表中删除URL对象并点击保存：

Remove_URLs_from_List.png

步骤4.部署策略。

或者，为FTD分配威胁(IPS)许可证。

在这些配置修改后，成功完成了对FTD防火墙的部署，未遇到以前的许可证验证错误。

原因

部署失败是由于DNS安全情报策略要求与目标设备上的可用许可证级别不匹配引起的。FTD防火墙配置时没有威胁许可证，但全局DNS安全情报策略包含特别需要威胁许可证功能的规则。

具有全局阻止/无阻止列表的DNS安全情报功能需要威胁许可证才能正常运行。当FMC尝试将包含这些DNS安全情报规则的配置更改部署到没有威胁许可证的设备时，系统会阻止部署，并出现验证错误。

相关内容

• 安全情报的要求和前提条件

• 思科技术支持和下载