提交失败警告 "无法计数地址组"
52776
Created On 09/25/18 19:50 PM - Last Modified 07/06/23 04:47 AM
Symptom
Environment
- PAN-OS 8.1 及以上。
- 任何 Panorama 或帕洛阿尔托 Firewall 。
Cause
上面的错误指示在没有分配成员的情况下配置了地址组。 大多数时候,这可能发生,而从它配置地址组 CLI GUI 将不允许点击, OK 除非你已经添加了至少1个成员。 如果使用迁移工具生成配置文件,也可能发生这种情况。
Resolution
- 浏览地址组,看看其中是否有任何组没有单独的地址对象或空地址对象。
- WebGUI 或 Panorama 中的开放地址组WebGUI 通过访问 对象>地址组, 然后检查所有地址组中的会员计数值,以确保成员计数值不是 0。
- 如果任何地址组成员没有地址,请删除它们或将地址添加到地址组。
- 完成后,提交操作 应完成,而不会出错。
上图显示了"地址组"部分的详细信息,每个组至少有 1 个成员。
Additional Information
要查找错误的地址组, 请检查设备服务器日志:
> tail follow yes mp-log devsrv.log
……
2016-03-30 10:12:48.043 +0800 Config commit phase0 started
2016-03-30 10:12:53.599 +0800 Config commit phase0 done
2016-03-30 10:13:07.311 +0800 Config commit phase1 started
….
2016-03-30 10:13:19.566 +0800 Vsys 'vsys1' contains 12 users and 1041 user-groups
2016-03-30 10:13:19.578 +0800 Error: pan_addresses_get_grp_cnt(pan_config_parser.c:1885): unknow address group type for group Group1
2016-03-30 10:13:19.578 +0800 Error: pan_addresses_from_obj(pan_config_parser.c:1939): pan_addresses_get_grp_cnt failed
2016-03-30 10:13:19.578 +0800 Error: pan_vsys_from_obj(pan_config_parser.c:16634): pan_addresses_from_obj failed
2016-03-30 10:13:19.582 +0800 Error: pan_config_from_obj(pan_config_parser.c:17551): pan_vsyses_from_obj failed
2016-03-30 10:13:19.676 +0800 Error: pan_ctrl_save_config(pan_config_handler_sysd.c:1696): Error compiling config
<<vsys1>>
Error: Fail to count address groups
<</vsys1>>
.....
2016-03-30 10:13:19.680 +0800 Config commit phase1 failed
2016-03-30 10:13:19.880 +0800 Config commit phase1 abort
2016-03-30 10:13:19.880 +0800 kill SIGUSR1 to pid 0