HA Sync (Manual & Auto) Failure in Active/Passive en raison d’un certificat utilisé dans Management SSL / Profile a été utilisé dans TLS d’autres fonctionnalités où le certificat nécessite
37129
Created On 01/15/21 17:32 PM - Last Modified 03/26/21 18:55 PM
Symptom
Après un commit ou une synchronisation manuelle à partir de l’appareil Active, HA la synchronisation échoue. Si nous observons les journaux dans la ha_agent.log de l’appareil actif, nous verrons l’erreur ci-dessous.
Dispositif actif :
debug: ha_sysd_mgmt_finsync_notifier_callback(src/ha_sysd.c:2517): Mgmtsrvr sent finsync failure Error: ha_state_cfg_dosync_fail(src/ha_state_cfg.c:405): Group 1: Config sync triggered from local device failed from mgmt srvr (retry no; always ignored) debug: ha_sysd_dev_cfgsync_update(src/ha_sysd.c:1415): Set dev cfgsync to Out-of-Sync debug: ha_state_cfg_dosync_fail(src/ha_state_cfg.c:417): Group 1: setting reason to failure for config sync when we got a dosync/finsync failure
Dispositif passif :
debug: ha_sysd_mgmt_finsync_notifier_callback(src/ha_sysd.c:2517): Mgmtsrvr sent finsync failure debug: ha_sysd_mgmt_finsync_notifier_callback(src/ha_sysd.c:2517): Mgmtsrvr sent finsync failure
Environment
Haute disponibilité
Cause
La raison de l’échec est, si le certificat appelé dans l’appareil>Setup>Management>Général> TLS / Profil est utilisé dans SSL d’autres fonctionnalités GP comme, Décryptage, Authentification dans le qui nécessite le certificat ne sera pas poussé vers l’appareil passif de l’appareil actif et la synchronisation échoue en raison de CP l’absence du certificat dans PA Firewall HA l’appareil passif.
Resolution
Ajoutez le certificat uniquement pour le profil de gestion appelé à Device>Setup>Management>General> TLS / et il SSL ne doit pas être utilisé ailleurs dans notre configuration.