高可用性 - 非同期ピア - 構成
170331
Created On 04/25/22 15:52 PM - Last Modified 10/23/23 15:59 PM
Symptom
「Out of Sync Peers - Configuration」に関するアラート
Environment
- PAN-OS
- 高可用性
Cause
デバイスの 1 つの実行中の構成がそのデバイスと同期されていませんHAピア。
Resolution
この問題を解決するには:
- 高可用性ウィジェットの下でピアに同期します。
- にログインUI「アクティブ」のFirewallためにA/Pセットアップ (「アクティブ プライマリ」FirewallためにA/A setup) を開き、[ダッシュボード] タブで高可用性ウィジェットを確認します。
- 「Running Config」行を確認し、拡大鏡アイコンの上にマウスを置きます。クリックして、ローカルおよびピアの実行構成の差分を表示します。 同じことが以下で確認できますデバイス > 構成監査ローカルの実行中の構成とピアの実行中の構成の比較を設定し、[実行] ボタンをクリックします。
- 構成の違いが有効であり、プッシュしてピアに同期する必要があることを確認してから、に戻りますダッシュボード > 高可用性ウィジェットをクリックし、下線付きの青い Sync to peer ハイパーリンクをクリックします。
- "Overwrite Peer Configuration" というメッセージが表示されたら、[yes] をクリックします。
- 手順 1 で問題が解決しない場合は、手順 2 を確認してください。
- コマンド ライン経由で構成を同期します。
- に記載されているように、ローカルとピアの間の構成差分を検証および検証した後AにログインCLI「アクティブ」のためにFirewallためにA/Pセットアップ (「アクティブ プライマリ」FirewallためにA/A setup) を実行し、次のコマンドを発行します。
> request high-availability sync-to-remote running-config
- 手順 2 で問題が解決しない場合は、手順 3 を確認してください。
- ピア間で構成を手動で同期します。
- 「パッシブ」にログインFirewallためにA/Pセットアップ (「アクティブ セカンダリ」FirewallためにA/Aセットアップ) タスク マネージャー バーの下にある [同期] のジョブを確認します。HA Peer" このハイパーリンクをクリックして、失敗の理由を確認してください。
- 3-a で検出された障害の理由と 1-b で確認された構成差分に基づいて、パッシブ (アクティブ セカンダリ) の構成を調整します。firewall ) 変更をコミットします。
- 手順 3 で問題が解決しない場合は、手順 4 を確認してください。
- 最後の手段として、メンテナンス ウィンドウをスケジュールして、「アクティブ」から構成をエクスポートします。FirewallためにA/Pセットアップ (「アクティブ プライマリ」FirewallためにA/A setup) を使用してピアにインポートします。 この手順は、手順 1、2、および 3 で問題を解決できない場合、およびファイアウォール管理者がピア間で異なるままにしておくべき構成の部分を認識しており、ファイアウォールの設計と構成を理解している場合にのみ、非常に慎重に実行する必要があります。高可用性ファイアウォール。 このステップは、次のような単純なセットアップで使用できます。A /P構成の違いは最小限であり、主にホスト名、管理インターフェイス、および高可用性構成が含まれます。
- 両方で enable config sync を無効にしますfirewall両方のプリエンプティブfirewall両方のファイアウォールで変更をコミットします。
- 「パッシブ」のデバイス状態と実行構成をエクスポートしますfirewallホスト名、管理インターフェイスの IP アドレス、許可リストをメモします。デバイス>セットアップ>インターフェース;また、HA1、HA2 の優先順位などの高可用性構成についても説明しています...
- 「アクティブ」からデバイスの状態をエクスポートするfirewall.
- 「アクティブ」のデバイス状態をインポートしますfirewall「パッシブ」にfirewall次に、ホスト名、管理インターフェイス、および優先順位を含む高可用性構成を編集します。firewall手順 b で取ったメモに基づいています。
- 「パッシブ」で構成をコミットしますfirewall.
- 手順 4 で問題が解決したかどうかを確認してから、構成の同期を再度有効にし、必要に応じてプリエンプティブ設定を有効にしてください。HA両方のピアに対して変更をコミットし、両方のピアに変更をコミットします。
- ステップ 4 で問題が解決せず、元の状態に戻す必要がある場合は、「パッシブ」のデバイス状態をインポートします。firewall 「パッシブ」にfirewall「パッシブ」で構成をコミットしますfirewall.
- ためにステップ4にも使用できますA/Aただし、「アクティブ プライマリ」と「アクティブ セカンダリ」の間のすべての設定の違いを考慮し、インポートされたデバイス状態を「アクティブ セカンダリ」にコミットする前に、これらの設定の違いを編集する必要があります。firewall .
- このドキュメントでは、firewall管理者は、ピア間で構成を同期させたいと考えています。HA下の「Enable Config Sync」をチェックしましたデバイス>高可用性>一般>セットアップしかし、何らかの理由でピアが構成同期から外れました。
- 「非同期ピア - 構成」では、ローカル構成のみが考慮されます。ためにPanorama管理されたファイアウォールと、両方のファイアウォールがマージされた構成も同期していることを確認するには、両方のファイアウォールに同じ構成がプッシュされていることを確認してください。PanoramaとPanoramaプッシュされた構成はそれらに同期されます。
Additional Information
詳細については、