HA 管理/プロファイルで使用される証明書によるアクティブ/パッシブの同期(手動および自動)障害 SSL TLS は、証明書が必要とする他の機能で使用されました
37127
Created On 01/15/21 17:32 PM - Last Modified 03/26/21 18:55 PM
Symptom
アクティブ デバイスからのコミットまたは手動同期の後、 HA 同期は失敗します。 アクティブなデバイスのha_agent.logのログを観察すると、以下のエラーが表示されます。
アクティブなデバイス:
debug: ha_sysd_mgmt_finsync_notifier_callback(src/ha_sysd.c:2517): Mgmtsrvr sent finsync failure Error: ha_state_cfg_dosync_fail(src/ha_state_cfg.c:405): Group 1: Config sync triggered from local device failed from mgmt srvr (retry no; always ignored) debug: ha_sysd_dev_cfgsync_update(src/ha_sysd.c:1415): Set dev cfgsync to Out-of-Sync debug: ha_state_cfg_dosync_fail(src/ha_state_cfg.c:417): Group 1: setting reason to failure for config sync when we got a dosync/finsync failure
パッシブ デバイス:
debug: ha_sysd_mgmt_finsync_notifier_callback(src/ha_sysd.c:2517): Mgmtsrvr sent finsync failure debug: ha_sysd_mgmt_finsync_notifier_callback(src/ha_sysd.c:2517): Mgmtsrvr sent finsync failure
Environment
高可用性
Cause
障害の理由は、Device>Setup>Management>General>/Profile で呼び出された TLS 証明書 SSL が GP 、証明書を必要とする他の機能で使用されている場合、証明書が CP PA Firewall アクティブデバイスからパッシブデバイスにプッシュされず、 HA パッシブデバイスに証明書がないために同期が失敗します。
Resolution
Device>Setup>Management>General>で呼び出された管理プロファイルの証明書のみを追加 TLS SSL し、構成の他の場所で使用しないでください。