Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Hohe Verfügbarkeit - nicht synchronisierte Peers - Konfiguration - Knowledge Base - Palo Alto Networks

Hohe Verfügbarkeit - nicht synchronisierte Peers - Konfiguration

170331
Created On 04/25/22 15:52 PM - Last Modified 10/23/23 15:59 PM


Symptom


Warnung bezüglich "Out of Sync Peers - Configuration"

Environment


  • PAN-OS
  • Hohe Verfügbarkeit


Cause


Die laufende Konfiguration eines der Geräte wird nicht mit seinem HA Peer synchronisiert.

Resolution


So beheben Sie dieses Problem:
  1. Synchronisieren mit Peer unter dem Hochverfügbarkeits-Widget:
    1. Melden Sie sich beim UI "aktiven" fürA/setup ("active primary" Firewall Firewall for A/PA setup) an und überprüfen Sie unter dem Dashboard-Tab das Hochverfügbarkeits-Widget.
    2. Überprüfen Sie die Zeile "Running Config" und fahren Sie mit der Maus über das Lupensymbol und klicken Sie hier, um den lokalen und Peer-Konfigurationsvergleich zu sehen. Dasselbe kann unter Device > Config Audit überprüft werden, indem Sie den Vergleich zwischen der lokalen Running config und Peer's Running config einstellen und auf die Schaltfläche Go klicken.
    3. Stellen Sie sicher, dass der Konfigurationsunterschied gültig ist und per Push übertragen und mit Peer synchronisiert werden muss, kehren Sie dann zu Dashboard > Hochverfügbarkeits-Widget zurück und klicken Sie auf unterstrichenen blauen Hyperlink Mit Peer synchronisieren.
    4. Klicken Sie auf Ja, wenn die Meldung "Peerkonfiguration überschreiben" angezeigt wird.
    5. Wenn Schritt 1 das Problem nicht beheben kann, überprüfen Sie Schritt 2.
  2. Konfiguration über die Befehlszeile synchronisieren:
    1. Nach der Überprüfung und Validierung des Konfigurationsdiffs zwischen lokal und Peer, wie in A der Anmeldung zum CLI für das "aktive" für / setup ("active primary" Firewall Firewall für AA/PA setup) erwähnt, und geben Sie folgenden Befehl aus:
> request high-availability sync-to-remote running-config
  1. Wenn Schritt 2 das Problem nicht beheben kann, überprüfen Sie Schritt 3.
  1. Synchronisieren Sie die Konfiguration manuell zwischen Peers:
    1. Melden Sie sich bei "passiv" Firewall für / setup an ("aktiv sekundär" für AA/AP setup) Überprüfen Sie unter der Task-Manager-Leiste den Job von " Firewall Peer synchronisierenHA", klicken Sie auf diesen Hyperlink und überprüfen Sie die Fehlerursache.
    2. Basierend auf dem Fehlergrund in 3-a und config diff in 1-b überprüft, passen Sie die Konfiguration des passiven (aktiven sekundären firewall) an und übernehmen Sie die Änderung.
    3. Wenn Schritt 3 das Problem nicht beheben kann, überprüfen Sie Schritt 4.
  2. Als letzter Ausweg plant ein Wartungsfenster, um die Konfiguration von "aktiv" für / setup ("aktiv primär" Firewall Firewall für AA/PA setup) zu exportieren, um sie in Peer zu importieren. Dieser Schritt ist sehr vorsichtig und nur dann durchzuführen, wenn die Schritte 1, 2 und 3 das Problem nicht beheben können und wenn der Firewall-Administrator den Teil der Konfiguration kennt, der zwischen den Peers unterschiedlich bleiben sollte, und das Design und die Konfiguration der Hochverfügbarkeitsfirewalls versteht. Dieser Schritt kann in einem einfachen Setup wie A/P verwendet werden, bei dem der Unterschied in der Konfiguration minimal ist und hauptsächlich Hostname, Verwaltungsschnittstelle und Hochverfügbarkeitskonfiguration umfasst.
    1. Deaktivieren Sie die Konfigurationssynchronisierung aktivieren auf beiden und die präemptive auf beiden und übernehmen Sie die Änderung auf firewall beiden firewall Firewalls.
    2. Exportieren Sie den Gerätestatus und die laufende Konfiguration des "passiven" firewall und notieren Sie sich den Hostnamen, die IP-Adresse der Verwaltungsschnittstelle und die Zulassungsliste unter Device>Setup>Interfaces; beachten Sie auch die Hochverfügbarkeitskonfiguration für HA1, HA2 Priorität usw.
    3. Exportieren Sie den Gerätestatus aus dem "aktiven" firewall.
    4. Importieren Sie den Gerätestatus des "aktiven" in den "passiven" firewall und bearbeiten Sie dann den Hostnamen, die Verwaltungsschnittstelle und die Hochverfügbarkeitskonfiguration einschließlich der Priorität des firewall basierend auf den Notizen firewall in Schritt b.
    5. Commit der Konfiguration auf dem "passiven" firewall.
    6. Überprüfen Sie, ob Schritt 4 das Problem behoben hat, wenn dies der Fall ist, und stellen Sie sicher, dass Sie die Konfigurationssynchronisierung und ggf. die präemptive Einstellung unter HA für beide Peers wieder aktivieren und die Änderung auf beide Peers übertragen.
    7. Wenn Schritt 4 das Problem nicht behebt und Sie auf den ursprünglichen Zustand zurückgreifen müssen, importieren Sie den Gerätezustand des "passiven" in den "passiven" firewall und übergeben Sie die Konfiguration auf dem " firewall passiven". firewall
Hinweis:
  • Für Schritt 4 kann auch in A/A Setup verwendet werden, aber unter Berücksichtigung aller Konfigurationsunterschiede zwischen "active primary" und "active secondary" und unter Berücksichtigung dieser Konfigurationsunterschiede, bevor der importierte Gerätestatus an den "active secondary" firewallübergeben wird.
  • In diesem Dokument wird davon ausgegangen, dass der Administrator eine Konfiguration zwischen den Peers synchronisieren möchte und die Option "Konfigurationssynchronisierung aktivieren" unter Gerät>Hochverfügbarkeit>Allgemein>Setup aktiviert hat, firewall aber aus irgendeinem Grund haben die Peers HA die Konfigurationssynchronisierung verlassen.
  • "Out of Sync Peers - Configuration" berücksichtigt nur die lokale Konfiguration; Stellen Sie bei Panorama verwalteten Firewalls und um sicherzustellen, dass beide Firewalls auch zusammengeführte Konfigurationen synchronisiert haben, sicher, dass beide Firewalls die gleiche Konfiguration haben, die per Push von Panorama Panorama und Push synchronisiert wird.


Additional Information


Weitere Informationen zu

Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004OHyCAM&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language