使用标签填充成员的共享动态地址组对象在托管防火墙上为空Panorama设备组推送。

• 在Panorama确认已填充动态地址组

admin@panorama-01> show object dynamic-address-group name TAC-Test-DAG

        device group name:shared
        address group name:TAC-Test-DAG
                members: total 2
                        TAC-Address-1 (O)
                        TAC-Address-2 (O)

O: address object; R: registered ip; D: dynamic group; S: static group

• 配置推送到防火墙后，在firewall这DAG显示为空

admin@lab-fwl-01(active-primary)> show object dynamic-address-group name TAC-Test-DAG

Dynamic address groups in vsys vsys1:
----------------------------------------------------
----------------defined in vsys --------------------
        TAC-Test-DAG
                filter: 'TAC-Test-TAG'
                members: total 0
O: address object; R: registered ip; D: dynamic group; S: static group

• Panorama 运行 PanOS 版本 9.1.12、9.1.12-h3 和 10.1.4
• 动态地址组 (DAG ) 使用标签动态填充 DAG 的对象
• DAG 由设备组中的规则引用
• 与设备共享未使用的地址和服务对象被禁用/未选中
• 满的Panorama在设备组配置推送之前提交

1. 要永久修复，请升级Panorama到PAN-OS9.1.12-h4 或 10.1.4-h1 及以上版本。

2. 解决方法是对共享policy/objects 或特定于设备组的更改，并在配置推送之前执行部分提交。 请注意，只有在完整的情况下才会观察到该问题Panorama提交但不是部分提交。

• 在Panorama创建一个虚拟地址并将其添加到动态地址组TAC-测试-DAG通过应用正确的tag.
• 然后执行部分提交并将配置推送到防火墙。 最后确认可以看到成员DAG.

admin@panorama-01# commit partial device-and-network excluded

Commit job 3039 is in progress. Use Ctrl+C to return to command prompt
...13%..79%81%.......90%.....100%
Partial changes to commit: changes to configuration by all administrators

admin@lab-fwl-01(active-primary)> show object dynamic-address-group name TAC-Test-DAG
Dynamic address groups in vsys vsys1:
----------------------------------------------------
----------------defined in vsys --------------------
TAC-Test-DAG
filter: 'TAC-Test-TAG'
TAC-Address-1 (O)
TAC-Address-2 (O)
TAC-Address-3 (O)
TAC-Address-4 (O)

members: total 4
O: address object; R: registered ip; D: dynamic group; S: static group