Échec de la synchronisation ha en raison de paramètres de gestion incohérents

Échec de la synchronisation ha en raison de paramètres de gestion incohérents

91474
Created On 09/26/18 13:48 PM - Last Modified 06/02/23 19:19 PM


Resolution


Demande client

En haute disponibilité (ha), les paramètres de gestion ne sont pas synchronisés avec le périphérique homologue de sorte que vous pouvez recevoir des erreurs de synchronisation en raison d'incohérences dans les paramètres de gestion. Ce document examine deux scénarios différents, l'un avec des échecs d'ha dus aux erreurs de certificat et l'autre traitant le nom de domaine de décalage.

 

Scénario 1

Des modifications ont été apportées au périphérique ha actif dans lequel un certificat SSL à utiliser pour le WebGUI a été importé. À partir du dispositif actif, l'utilisateur essaiera de synchroniser avec peer cependant le travail ha-Sync sur le peer ha échoue.

 

Symptômes

Lors de l'examen de l'échec'ha-Sync'Job ID sur le peer ha voir une sortie similaire:

    admin @ Pan-FW1 > afficher les travaux ID x

    HA-Sync fin Fail x
Avertissements:
 Détails: erreur: impossible de trouver le CERT'your_cert'pour VSys 1
 (module: Device)

la validation a échoué la raison de cette erreur est que bien que les paramètres de gestion ne soient pas synchronisés, ils sont vérifiés. Dans ce scénario, comme la synchronisation a lieu, le pare-feu vérifie les paramètres de certificat sur l'homologue ha et ne parvient pas à la synchronisation en raison d'un certificat SSL manquant.


Résolution

Exportez le certificat à partir du périphérique actif et sélectionnez pour exporter la clé privée. Importez le certificat SSL sur l'homologue ha.
ExportSSLKey2. png

Assurez-vous de nommer le certificat exactement de la même façon qu'il a été nommé sur le périphérique actif et de configurer exactement la même utilisation ainsi. Si le certificat est utilisé pour WebGUI, assurez-vous qu'il est sélectionné, comme indiqué ci-dessous:

WebGUI2. png

 

Scénario deux

Étant donné que les paramètres de gestion ne sont pas synchronisés entre les paires ha, la synchronisation échouera en raison des paramètres de nom de domaine.

 

Symptômes

Lorsque vous essayez de synchroniser le périphérique actif avec le peer ha recevant un message d'échec similaire à la sortie ci-dessous. Si l'exécution de la commande, > moins MP-log ha_agent. log la sortie similaire s'affichera comme suit:

Avertissements :

Détails: erreur: nom de domaine invalide

(Module : dispositif)

Validation a échoué

 

Résolution

Il est important de comprendre que les paramètres de gestion ne sont pas répliqués sur l'homologue ha. Ainsi, les paramètres de configuration tels que «nom de domaine» doivent correspondre avant la synchronisation. Si, pour une raison quelconque, ces paramètres changent un échec se produira. Il est important de regarder le ha_agent. logs sur les deux périphériques ainsi pour obtenir un aperçu de l'échec, cela peut être fait en exécutant la commande suivante, > moins MP-log ha_agent. log

 

Pour corriger cette aller à Device > Setup, puis cliquez sur gestion et tapez un nom de domaine correspondant exact de l'homologue à synchroniser avec, comme indiqué ci-dessous:

Nom_domaine. png

 

Une fois terminé, la paire ha se synchronisera avec succès.

 

propriétaire : jperry
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClpuCAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language