Error de sincronización de ha debido a configuraciones de administración incoherentes

Error de sincronización de ha debido a configuraciones de administración incoherentes

91476
Created On 09/26/18 13:48 PM - Last Modified 06/02/23 19:19 PM


Resolution


Incidencia

En alta disponibilidad (ha), los ajustes de administración no se sincronizan con el dispositivo del mismo nivel para que pueda recibir errores de sincronización debido a inconsistencias en la configuración de administración. Este documento revisa dos escenarios diferentes, uno con fallas de ha debido a errores de certificado y el otro que se ocupa del nombre de dominio no coincidente.

 

Escenario uno

Se han realizado cambios en el dispositivo de ha activo en el que se importó un certificado SSL para el webgui. Desde el dispositivo activo, el usuario intentará sincronizar con Peer sin embargo, el trabajo de ha-Sync en el nivel de ha falla.

 

Síntomas de

Cuando se observa el error de ' ha-Sync ' ID de trabajo en el ha peer ver una salida similar:

    admin @ pan-FW1 > Mostrar trabajos ID x

    HA-Sync fin FAIL x
advertencias:
 Detalles: error: no se puede encontrar CERT ' your_cert ' para vsys 1
 (Module: Device)
 commit falló

la razón de este error es porque aunque la configuración de administración no está sincronizada, se verifican. En este escenario, como se realiza la sincronización, el cortafuegos comprueba la configuración del certificado en el par ha y no se sincroniza debido a un certificado SSL que falta.


Resolución

Exporte el certificado desde el dispositivo activo y selecciónelo para exportar la clave privada. Importe el certificado SSL en el peer de ha.
ExportSSLKey2. png

Asegúrese de nombrar el certificado exactamente igual al que se nombró en el dispositivo activo y configure el mismo uso exacto también. Si el certificado se utiliza para webgui, asegúrese de que está seleccionado, como se muestra a continuación:

WebGUI2. png

 

Escenario dos

Dado que la configuración de administración no está sincronizada entre la sincronización de ha, se producirá un error debido a la configuración de nombres de dominio.

 

Síntomas de

Al intentar sincronizar el dispositivo activo con el ha peer que recibe un mensaje de error similar a la salida de abajo. Si se ejecuta el comando, > less MP-log ha_agent. log la salida similar se mostrará como aparece a continuación:

ADVERTENCIAS:

Detalles: error: nombre de dominio no válido

(Módulo: dispositivo)

Cometer error

 

Resolución

Es importante entender que los ajustes de administración no se replican al peer de ha. Por lo tanto, los ajustes de configuración como, "nombre de dominio" deben coincidir antes de la sincronización. Si por alguna razón estos ajustes cambian un fallo ocurrirá. Es importante mirar el ha_agent. logs en ambos dispositivos también para obtener una visión de la falla, esto se puede hacer ejecutando el siguiente comando, > less MP-log ha_agent. log

 

Para corregir esto vaya a dispositivo > configuración, a continuación, haga clic en administración y escriba un nombre de dominio exacto coincidente del par con el que se sincronizará, como se muestra a continuación:

Dominio. png

 

Una vez completado el par ha se sincronizará satisfactoriamente.

 

Propietario: jperry
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClpuCAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language