問題
高可用性 (HA) では、管理設定はピアデバイスと同期されないため、管理設定の不整合によって同期エラーが発生することがあります。このドキュメントでは、証明書エラーによる HA 障害と、不一致ドメイン名を扱う2つの異なるシナリオについて検討します。
シナリオ1
WebGUI に使用する SSL 証明書がインポートされたアクティブな HA デバイスに変更が加えられました。アクティブなデバイスから、ユーザーはピアに同期しようとしますが、ha ピアの ha 同期ジョブは失敗します。
兆候
ha ピアで失敗した ' ha-Sync ' ジョブ ID を確認すると、同様の出力が表示されます。
管理者 @ パン-FW1 > 表示ジョブ id x
HA 同期フィン失敗x
警告:
詳細: エラー: vsys 1 の cert ' your_cert ' が見つかりません
(モジュール: デバイス)
コミットに失敗しました
このエラーの原因は、管理設定が同期されていないことが確認されているためです。このシナリオでは、同期が行われると、ファイアウォールは HA ピアの証明書の設定を確認し、SSL 証明書が見つからないために同期に失敗します。
解決方法
アクティブなデバイスから証明書をエクスポートし、秘密キーをエクスポートする場合に選択します。HA ピアに SSL 証明書をインポートします。
証明書には、アクティブなデバイスで指定されたものとまったく同じ名前を付け、まったく同じ使い方を構成するようにしてください。証明書が WebGUI に使用されている場合は、次のように選択されていることを確認してください。
シナリオ2
管理設定が HA ペア間で同期されないため、ドメイン名の設定が一致しないために同期が失敗します。
兆候
次のようなエラーメッセージを受信した HA ピアでアクティブなデバイスを同期しようとしたとき。コマンドを実行している場合は、> 以下の mp-log ha_agentは、同様の出力は以下のように表示されますログ:
警告:
詳細: エラー: ドメイン名が無効です
(モジュール: デバイス)
コミットに失敗しました
解決方法
管理設定が HA ピアにレプリケートされていないことを理解することが重要です。したがって、"ドメイン名" などの構成設定は、同期の前に一致する必要があります。何らかの理由でこれらの設定を変更すると、エラーが発生します。ha_agent を見ておくことが大切です。両方のデバイスのログにも障害の洞察を得るために、これは次のコマンドを実行することによって行うことができます> 以下の mp-log ha_agent
[デバイス] > [セットアップ] を修正するには、[管理] をクリックし、次に示すように、同期するピアの完全一致ドメイン名を入力します。
完了すると、HA ペアは正常に同期されます。
所有者: jperry