HA 同步(手动和自动)由于管理/配置文件中使用的证书在 SSL TLS 证书需要的其他功能中使用了主动/被动故障

HA 同步(手动和自动)由于管理/配置文件中使用的证书在 SSL TLS 证书需要的其他功能中使用了主动/被动故障

37098
Created On 01/15/21 17:32 PM - Last Modified 03/26/21 18:55 PM


Symptom


从"活动"设备进行提交或手动同步后, HA 同步失败。 如果我们在活动设备的ha_agent.log中观察日志,我们将看到以下错误。

活动设备:
debug: ha_sysd_mgmt_finsync_notifier_callback(src/ha_sysd.c:2517): Mgmtsrvr sent finsync failure
Error:  ha_state_cfg_dosync_fail(src/ha_state_cfg.c:405): Group 1: Config sync triggered from local device failed from mgmt srvr (retry no; always ignored)
debug: ha_sysd_dev_cfgsync_update(src/ha_sysd.c:1415): Set dev cfgsync to Out-of-Sync
debug: ha_state_cfg_dosync_fail(src/ha_state_cfg.c:417): Group 1: setting reason to failure for config sync when we got a dosync/finsync failure


被动设备:
debug: ha_sysd_mgmt_finsync_notifier_callback(src/ha_sysd.c:2517): Mgmtsrvr sent finsync failure
debug: ha_sysd_mgmt_finsync_notifier_callback(src/ha_sysd.c:2517): Mgmtsrvr sent finsync failure

Environment


高可用性

Cause


故障原因是,如果设备中调用的证书>集>管理>一般 TLS >/ SSL 配置文件用于 GP 任何其他功能,如解密、 CP 身份验证 PA Firewall ,则要求证书不会从主动设备推入被动设备, HA 并且由于被动设备中缺少证书而同步失败。

Resolution


仅针对设备>集>管理>一般>/的管理配置文件添加证书 TLS SSL ,它不应用于我们配置的其他地方。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HCNSCA4&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language