Problem
Bei hoher Verfügbarkeit (ha) werden die Management Einstellungen nicht auf das Peer-Gerät synchronisiert, so dass Sie aufgrund von Ungereimtheiten in den Management Einstellungen Sync-Fehler erhalten können. Dieses Dokument überprüft zwei verschiedene Szenarien, eines mit ha-Ausfällen aufgrund von Zertifikats Fehlern und das andere, das sich mit Missverhältnis-Domain-Namen befasst.
Szenario eins
Es wurden Änderungen am Active ha-Gerät vorgenommen, bei dem ein SSL-Zertifikat für die WebGUI importiert wurde. Vom aktiven Gerät aus wird der Benutzer versuchen, sich mit Peer zu synchronisieren, aber der ha-Sync-Job auf dem ha-Peer scheitert.
Symptome
Wenn man sich die gescheiterte ' ha-Sync '-Job-ID auf dem ha-Peer anschaut, sieht man eine ähnliche Ausgabe:
admin @ Pan-fw1 > Jobs ID x anzeigen
HA-Sync FIN Fail x
Warnungen:
Details: Fehler: kann CERT ' your_cert ' für Vsys 1 nicht finden
(Modul: Gerät)
Commit fehlgeschlagen
der Grund für diesen Fehler liegt darin, dass die Management Einstellungen zwar nicht synchronisiert sind, aber überprüft werden. In diesem Szenario, wenn die Synchronisation stattfindet, prüft die Firewall die Zertifikats Einstellungen auf dem ha Peer und versäumt es, aufgrund eines fehlenden SSL-Zertifikats zu synchronisieren.
Lösung
Exportieren Sie das Zertifikat aus dem aktiven Gerät und wählen Sie den privaten Schlüssel. Importieren Sie das SSL-Zertifikat auf dem ha Peer.
Achten Sie darauf, das Zertifikat genau so zu benennen, wie es auf dem aktiven Gerät genannt wurde, und konfigurieren Sie die exakt gleiche Verwendung auch. Wenn das Zertifikat für WebGui verwendet wird, stellen Sie sicher, dass das ausgewählt ist, wie unten gezeigt:
Szenario zwei
Da die Management-Einstellungen nicht zwischen ha-Paaren synchronisiert werden, scheitert die Synchronisation durch die Domain-Namen.
Symptome
Beim Versuch, aktives Gerät mit dem ha-Peer zu synchronisieren, erhält eine Fehlermeldung, die der Ausgabe unten ähnelt. Wenn Sie den Befehl ausführen, > weniger MP-Log ha_agent. log wird die ähnliche Ausgabe angezeigt, wie unten erscheint:
Warnungen:
Details: Fehler: Domain-Name ungültig
(Modul: Gerät)
Commit ist fehlgeschlagen
Lösung
Es ist wichtig zu verstehen, dass Management-Einstellungen nicht auf die ha Peer repliziert werden. So müssen Konfigurationseinstellungen wie "Domain Name" vor der Synchronisation übereinstimmen. Wenn sich aus irgendeinem Grund diese Einstellungen ändern, wird ein Fehler auftreten. Es ist wichtig, auf die ha_agent. Protokolle auf beiden Geräten zu schauen, um einen Einblick in das Versagen zu erhalten, kann dies durch die Ausführung des folgenden Befehls geschehen, > weniger MP-Log ha_agent . log
Um dies zu korrigieren, gehen Sie auf Device > Setup, dann klicken Sie auf Management und tippen Sie einen exakt passenden Domain-Namen des Peer ein, mit dem Sie synchronisiert werden sollen, wie unten gezeigt:
Sobald das ha-paar abgeschlossen ist, wird es erfolgreich synchronisieren.
Besitzer: Jperry