由于管理设置不一致, HA 同步失败
Resolution
问题
在高可用性 (HA) 中, 管理设置不会与对等设备同步, 因此由于管理设置不一致, 您可以收到同步错误。本文档审查两种不同的方案, 一个是由于证书错误而导致 HA 故障, 另一个是处理不匹配域名。
方案一
已对活动 HA 设备进行了更改, 其中导入了用于 WebGUI 的 SSL 证书。但是, 从活动设备中, 用户将尝试同步到对等端, 但 ha 对等点上的 ha 同步作业失败。
症状
当查看 ha 对等点上出现故障的 "ha 同步" 作业 ID 时, 请参阅类似的输出:
admin@PAN-FW1> 显示作业 id x
HA 同步鳍失败x
警告:
详细信息: 错误: 找不到证书 "your_cert" vsys 1
(模块: 设备)
提交失败
原因是, 虽然管理设置没有同步, 但它们被验证. 在这种情况下, 当同步发生时, 防火墙会检查 HA 对等点上的证书设置, 并且由于缺少 SSL 证书而无法同步。
解决办法
从活动设备导出证书, 然后选择导出私钥。在 HA 对等方上导入 SSL 证书。
请确保对证书的命名与活动设备上命名的完全相同, 并配置完全相同的用法。如果证书用于 WebGUI, 请确保已选定, 如下所示:
方案二
因为在 HA 对之间没有同步管理设置, 所以同步将失败, 因为域名设置不匹配。
症状
当尝试将活动设备与 HA 对等方同步时, 接收与下面的输出类似的故障消息。如果运行该命令, 则减少 mp 日志 ha_agent. 日志类似的输出将显示如下所示:
警告:
Details:Error:Domain 名称无效
(模块: 设备)
提交失败
解决办法
必须了解, 管理设置不会复制到 HA 对等方。因此, 在同步之前, "域名" 等配置设置必须匹配。如果出于某种原因, 这些设置更改将发生故障。重要的是要看看 ha_agent. 两台设备上的日志以及对故障的洞察力, 这可以通过运行以下命令来完成, 而不是 mp 日志 ha_agent. 日志
要更正此问题, 请转到设备 >> 安装程序, 然后单击 "管理", 然后键入要与之同步的对等域名的确切匹配域名称, 如下所示:
完成后, HA 对将成功同步。
所有者: jperry