HA Sync Ausfall aufgrund inkonsequenter Management Einstellungen

HA Sync Ausfall aufgrund inkonsequenter Management Einstellungen

91454
Created On 09/26/18 13:48 PM - Last Modified 06/02/23 19:19 PM


Resolution


Problem

Bei hoher Verfügbarkeit (ha) werden die Management Einstellungen nicht auf das Peer-Gerät synchronisiert, so dass Sie aufgrund von Ungereimtheiten in den Management Einstellungen Sync-Fehler erhalten können. Dieses Dokument überprüft zwei verschiedene Szenarien, eines mit ha-Ausfällen aufgrund von Zertifikats Fehlern und das andere, das sich mit Missverhältnis-Domain-Namen befasst.

 

Szenario eins

Es wurden Änderungen am Active ha-Gerät vorgenommen, bei dem ein SSL-Zertifikat für die WebGUI importiert wurde. Vom aktiven Gerät aus wird der Benutzer versuchen, sich mit Peer zu synchronisieren, aber der ha-Sync-Job auf dem ha-Peer scheitert.

 

Symptome

Wenn man sich die gescheiterte ' ha-Sync '-Job-ID auf dem ha-Peer anschaut, sieht man eine ähnliche Ausgabe:

    admin @ Pan-fw1 > Jobs ID x anzeigen

    HA-Sync FIN Fail x
Warnungen:
 Details: Fehler: kann CERT ' your_cert ' für Vsys 1 nicht finden
 (Modul: Gerät)
 Commit fehlgeschlagen

der Grund für diesen Fehler liegt darin, dass die Management Einstellungen zwar nicht synchronisiert sind, aber überprüft werden. In diesem Szenario, wenn die Synchronisation stattfindet, prüft die Firewall die Zertifikats Einstellungen auf dem ha Peer und versäumt es, aufgrund eines fehlenden SSL-Zertifikats zu synchronisieren.


Lösung

Exportieren Sie das Zertifikat aus dem aktiven Gerät und wählen Sie den privaten Schlüssel. Importieren Sie das SSL-Zertifikat auf dem ha Peer.
ExportSSLKey2. png

Achten Sie darauf, das Zertifikat genau so zu benennen, wie es auf dem aktiven Gerät genannt wurde, und konfigurieren Sie die exakt gleiche Verwendung auch. Wenn das Zertifikat für WebGui verwendet wird, stellen Sie sicher, dass das ausgewählt ist, wie unten gezeigt:

WebGUI2. png

 

Szenario zwei

Da die Management-Einstellungen nicht zwischen ha-Paaren synchronisiert werden, scheitert die Synchronisation durch die Domain-Namen.

 

Symptome

Beim Versuch, aktives Gerät mit dem ha-Peer zu synchronisieren, erhält eine Fehlermeldung, die der Ausgabe unten ähnelt. Wenn Sie den Befehl ausführen, > weniger MP-Log ha_agent. log wird die ähnliche Ausgabe angezeigt, wie unten erscheint:

Warnungen:

Details: Fehler: Domain-Name ungültig

(Modul: Gerät)

Commit ist fehlgeschlagen

 

Lösung

Es ist wichtig zu verstehen, dass Management-Einstellungen nicht auf die ha Peer repliziert werden. So müssen Konfigurationseinstellungen wie "Domain Name" vor der Synchronisation übereinstimmen. Wenn sich aus irgendeinem Grund diese Einstellungen ändern, wird ein Fehler auftreten. Es ist wichtig, auf die ha_agent. Protokolle auf beiden Geräten zu schauen, um einen Einblick in das Versagen zu erhalten, kann dies durch die Ausführung des folgenden Befehls geschehen, > weniger MP-Log ha_agent . log

 

Um dies zu korrigieren, gehen Sie auf Device > Setup, dann klicken Sie auf Management und tippen Sie einen exakt passenden Domain-Namen des Peer ein, mit dem Sie synchronisiert werden sollen, wie unten gezeigt:

Domain Name. png

 

Sobald das ha-paar abgeschlossen ist, wird es erfolgreich synchronisieren.

 

Besitzer: Jperry
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClpuCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language