Certaines configuration ont disparu/ont été supprimées après la mise à niveau de la configuration de Panorama HA

• Après la mise à niveau d'une configuration Panorama HA vers 10.2.10-h3, certaines politiques/objets ont mal fonctionné, ce qui a provoqué une panne.
• La restauration d’une ancienne version de configuration a résolu le problème et toute la configuration défectueuse était là.
• Les journaux d'audit de configuration montrent en effet qu'après la mise à niveau, nous avons perdu certains objets / politiques pour une raison inconnue.
• La préemption n’a pas été désactivée avant la mise à niveau.
• The secondary device system logs before the upgrade was showing that the device isdésynchronisé for a long time and the configuration was not synced to it from the Primary:

  SYSTEM,ha,0,2024/08/09 20:23:27,,config-not-synch,,0,0,general,high,"Commit on peer device with running configuration not synchronized; synchronize manually"

• Panorama des Palo Alto Networks .
• PAN-OS.

À partir du fichier req_stats.log, nous avons pu voir qu'il y avait une synchroniser HA à partir de la CLI Panorama secondaire après la mise à niveau, et comme elle n'est pas synchroniser et n'a pas la dernière configuration, la configuration obsolète a été supprimée sur le principal en raison de la tentative de synchroniser à partir du Panorama secondaire :

<request cmd="op" cookie="XXXXXXXXXXXXXXXXX" refresh="no"><operations xml="yes"><request><high-availability><sync-to-remote><running-config/></sync-to-remote></high-availability></request></operations></request>

Conformément aux meilleures pratiques de mise à niveau d'un périphérique HA , la configuration doit être synchroniser avant la mise à niveau et la préemption doit être désactivée.