Selektiver Konfigurations-Push von Panorama zur Firewall. Konfiguration von einem anderen verwaltungs- entfernt/zurückgesetzt.
8624
Created On 05/29/24 21:27 PM - Last Modified 01/07/25 10:21 AM
Symptom
Ein selektiver DG-Push von Panorama hat eine andere, von einem anderen verwaltungs- gepushte Konfiguration entfernt oder rückgängig gemacht.
Environment
- Panorama verwaltete Firewalls
- Unterstützte PAN-OS
- Vorlagen (TPL) und Gerätegruppen (DGs)
- Selektiver Push
Cause
- Die Einzelheiten werden anhand eines Beispiels erläutert.
- Panorama hat die Gerät TEST1-DG, TEST2-DG und TEST3-DG.
- Die Konfiguration wird aktualisiert und von admin1 an TEST1-DG und TEST2-DG gesendet. Hier wird die letzte synchronisierte Version für diese Gerät geändert.
- Da an TEST3-DG keine Änderungen vorgenommen werden, bleibt die alte, zuletzt synchronisierte Version erhalten.
- Diese letzte synchronisierte Version von TEST3-DG wird als Basisversion behandelt.
- Wenn ein anderer verwaltungs- (z. B. Administrator2) eine Änderung vornimmt und diese an alle drei DGs überträgt, wird die Basiskonfiguration von TEST3-DG festgelegt und die neuen Änderungen werden auf alle drei Gerätegruppen angewendet.
- In diesem Fall werden die an TEST1-DG und TEST2-DG vorgenommenen Änderungen durch den neuen Push überschrieben.
Resolution
- Das Problem wurde in den PAN-OS-Versionen 10.2.11, 11.1.5, 11.2.3 und höheren Versionen behoben.
- Dieses Problem ist in den Versionshinweisen nicht dokumentiert, da der Defekt intern entdeckt wurde.
- Ein Upgrade auf die oben genannten Versionen behebt das Problem.
Problemumgehung:
- Bestätigen Sie, dass alle DGs/TPL synchronisieren sind, bevor Sie einen selektiven Push durchführen ODER
- Führen Sie zuerst einen vollständigen Push durch und synchronisieren Sie die DGs und Vorlagen.
- Führen Sie anschließend einen selektiven Push durch.