Freigegebene dynamische Adressgruppenobjekte, die Tags zum Auffüllen der Mitglieder verwenden, sind nach dem Panorama Gerätegruppenpush in verwalteten Firewalls leer.

• Es wird Panorama bestätigt, dass die dynamische Adressgruppe aufgefüllt ist

admin@panorama-01> show object dynamic-address-group name TAC-Test-DAG

        device group name:shared
        address group name:TAC-Test-DAG
                members: total 2
                        TAC-Address-1 (O)
                        TAC-Address-2 (O)

O: address object; R: registered ip; D: dynamic group; S: static group

• Nach einem Konfigurations-Push an Firewalls wird auf der firewall der DAG als leer angezeigt

admin@lab-fwl-01(active-primary)> show object dynamic-address-group name TAC-Test-DAG

Dynamic address groups in vsys vsys1:
----------------------------------------------------
----------------defined in vsys --------------------
        TAC-Test-DAG
                filter: 'TAC-Test-TAG'
                members: total 0
O: address object; R: registered ip; D: dynamic group; S: static group

• Panorama mit den PanOS-Versionen 9.1.12, 9.1.12-h3 und 10.1.4
• Dynamische Adressgruppe (DAG) Objekte, die Tags zum dynamischen Auffüllen der DAGs verwenden
• Auf die DAGs wird durch Regeln in Gerätegruppen verwiesen
• Nicht verwendete Adress- und Dienstobjekte für Geräte freigeben ist deaktiviert / deaktiviert
• Vollständiger Panorama Commit vor einem Device Group Config Push

1. Für eine dauerhafte Fehlerbehebung aktualisieren Sie Panorama auf PAN-OS 9.1.12-h4 oder 10.1.4-h1 und höher.

2. Die Problemumgehung besteht darin, eine kleine Änderung an freigegebenen policy/objects oder einer gerätegruppenspezifischen Änderung vorzunehmen und direkt vor dem Konfigurationspush einen teilweisen Commit durchzuführen. Beachten Sie, dass das Problem nur bei einem vollständigen Panorama Commit beobachtet wird, jedoch nicht bei einem partiellen.

• Erstellen Panorama Sie eine Dummy-Adresse und fügen Sie sie dem dynamischen Adressgruppentest TAC-hinzu,DAG indem Sie die richtige tag.
• Führen Sie dann einen teilweisen Commit aus und schieben Sie die Konfiguration an die Firewalls. Vergewissern Sie sich abschließend, dass die Mitglieder von DAG.

admin@panorama-01# commit partial device-and-network excluded

Commit job 3039 is in progress. Use Ctrl+C to return to command prompt
...13%..79%81%.......90%.....100%
Partial changes to commit: changes to configuration by all administrators

admin@lab-fwl-01(active-primary)> show object dynamic-address-group name TAC-Test-DAG
Dynamic address groups in vsys vsys1:
----------------------------------------------------
----------------defined in vsys --------------------
TAC-Test-DAG
filter: 'TAC-Test-TAG'
TAC-Address-1 (O)
TAC-Address-2 (O)
TAC-Address-3 (O)
TAC-Address-4 (O)

members: total 4
O: address object; R: registered ip; D: dynamic group; S: static group