Falsch abgestimmte URL-Anbieter auf High-Availability-paar

Falsch abgestimmte URL-Anbieter auf High-Availability-paar

29959
Created On 09/25/18 19:48 PM - Last Modified 06/12/23 20:55 PM


Resolution


Problem

Zwei Geräte von Palo Alto Networks laufen in der gleichen PAN-OS-Version. Das aktive Gerät ist für PAN-DB konfiguriert und das passive Gerät ist auf BrightCloud eingestellt. Eine hohe VerfügBarkeit (HA) ist auf dem aktiven Gerät aktiviert. HA wird dann auf dem passiven Gerät aktiviert. Wenn die Commit-Operation auf dem passiven Gerät endet, geht das aktive Gerät in den nicht-funktionalen Zustand, und das passive Gerät wird aktiv.

 

Das Log auf dem ursprünglichen aktiven Gerät zeigt:

Gruppe 1:

Modus: aktiv-passiv

Lokale Informationen:

Version: 1

Modus: aktiv-passiv

Zustand: aktiv (letzte 21 Stunden)

Letzter nicht-funktionaler Zustands Grund: URL-Anbieter-Missverhältnis

 

Das passive Gerät (mit BrightCloud) zwang die aktive Einheit, in einen nicht-funktionalen Zustand mit der Nachricht zu gehen, setzen dev Peer State auf nicht-Funktions tüchtig. Das löst das passive Gerät aus, um zum aktiven zu werden.

 

Ursache

Der Failover ist auf das Missverhältnis von URL-Anbietern zwischen den HA-paar von Geräten zurückzuführen.

Wenn verschiedene URL-Anbieter auf dem HA-paar von Geräten verwendet werden, wird derjenige mit PAN-DB in den nicht-funktionalen Zustand gehen. Wenn das Szenario zum Beispiel das aktive Gerät mit BrightCloud und passivem Gerät mit PAN-DB hat, wird die passive Einheit mit PAN-DB in den nicht-funktionalen Zustand gehen.

 

Lösung

Stellen Sie sicher, dass beide HA-Geräte den gleichen URL-Anbieter (PAN-DB oder BrightCloud) verwenden.

Wenn Sie keine Lizenz für einen beliebigen URL-Datenbankanbieter haben, generieren Sie eine Testlizenz, um die passive Firewall zu laden, um der Datenbank zu entsprechen, die die aktive Firewall geladen hat.

 

  1. Wenn die aktive Firewall BrightCloud läuft und die passive Firewall PAN-DB läuft, generieren Sie eine Testlizenz für BrightCloud, um ihre passive Firewall zu laden.
  2. Die HA für die passive Firewall aussetzen.
  3. Laden Sie die BrightCloud-Testlizenz auf die passive Firewall.
  4. Aktivieren und downloaden Sie die BrightCloud-Datenbank auf der passiven Firewall.
  5. Restaurieren Sie den hochverfügbaren Zustand, um für die passive Firewall funktionsfähig zu sein.

 

Hinweis: Wenn ein neuer Konfigurations-Schnappschuss auf einem Palo Alto-Netzwerk-Gerät mit Pan-DB aktiviert wird, muss der admin nach der Last noch Pan-DB aktivieren. Wenn ein Gerät mit einer aktivierten PAN-DB keine DNS-Verbindung hat, bleibt es trotzdem aktiviert.

 

Besitzer: Shasnain
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CldrCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language