Demande client
En haute disponibilité (ha), les paramètres de gestion ne sont pas synchronisés avec le périphérique homologue de sorte que vous pouvez recevoir des erreurs de synchronisation en raison d'incohérences dans les paramètres de gestion. Ce document examine deux scénarios différents, l'un avec des échecs d'ha dus aux erreurs de certificat et l'autre traitant le nom de domaine de décalage.
Scénario 1
Des modifications ont été apportées au périphérique ha actif dans lequel un certificat SSL à utiliser pour le WebGUI a été importé. À partir du dispositif actif, l'utilisateur essaiera de synchroniser avec peer cependant le travail ha-Sync sur le peer ha échoue.
Symptômes
Lors de l'examen de l'échec'ha-Sync'Job ID sur le peer ha voir une sortie similaire:
admin @ Pan-FW1 > afficher les travaux ID x
HA-Sync fin Fail x
Avertissements:
Détails: erreur: impossible de trouver le CERT'your_cert'pour VSys 1
(module: Device)
la validation a échoué la raison de cette erreur est que bien que les paramètres de gestion ne soient pas synchronisés, ils sont vérifiés. Dans ce scénario, comme la synchronisation a lieu, le pare-feu vérifie les paramètres de certificat sur l'homologue ha et ne parvient pas à la synchronisation en raison d'un certificat SSL manquant.
Résolution
Exportez le certificat à partir du périphérique actif et sélectionnez pour exporter la clé privée. Importez le certificat SSL sur l'homologue ha.
Assurez-vous de nommer le certificat exactement de la même façon qu'il a été nommé sur le périphérique actif et de configurer exactement la même utilisation ainsi. Si le certificat est utilisé pour WebGUI, assurez-vous qu'il est sélectionné, comme indiqué ci-dessous:
Scénario deux
Étant donné que les paramètres de gestion ne sont pas synchronisés entre les paires ha, la synchronisation échouera en raison des paramètres de nom de domaine.
Symptômes
Lorsque vous essayez de synchroniser le périphérique actif avec le peer ha recevant un message d'échec similaire à la sortie ci-dessous. Si l'exécution de la commande, > moins MP-log ha_agent. log la sortie similaire s'affichera comme suit:
Avertissements :
Détails: erreur: nom de domaine invalide
(Module : dispositif)
Validation a échoué
Résolution
Il est important de comprendre que les paramètres de gestion ne sont pas répliqués sur l'homologue ha. Ainsi, les paramètres de configuration tels que «nom de domaine» doivent correspondre avant la synchronisation. Si, pour une raison quelconque, ces paramètres changent un échec se produira. Il est important de regarder le ha_agent. logs sur les deux périphériques ainsi pour obtenir un aperçu de l'échec, cela peut être fait en exécutant la commande suivante, > moins MP-log ha_agent. log
Pour corriger cette aller à Device > Setup, puis cliquez sur gestion et tapez un nom de domaine correspondant exact de l'homologue à synchroniser avec, comme indiqué ci-dessous:
Une fois terminé, la paire ha se synchronisera avec succès.
propriétaire : jperry