Der Commit schlägt mit der Meldung "Fehler: Max. in Richtlinie XXXXX verwendete Benutzergruppen überschreitet die Kapazität (10000)" fehl.

Der Commit schlägt mit der Meldung "Fehler: Max. in Richtlinie XXXXX verwendete Benutzergruppen überschreitet die Kapazität (10000)" fehl.

8062
Created On 07/01/24 08:45 AM - Last Modified 08/14/24 01:42 AM


Symptom


  • Der Commit schlägt mit der Fehlermeldung "Fehler: Max. in Richtlinie XXXXX verwendete Benutzergruppen überschreitet die Kapazität (10000)" fehl.
admin@PA-5250# commit

Commit job 5 is in progress. Use Ctrl+C to return to command prompt
....10%........45%..........55%.....................................
Error: Max. user groups used in policy 10341 exceeds capacity (10000)
(Module: device)
client device phase 1 failure
Commit failed
[edit]

Environment


  • Panorama- oder Palo Alto Firewalls
  • Unterstütztes PAN-OS
  • Nutzergruppen

Cause


  • Die Anzahl der Benutzer und Benutzergruppen in Sicherheitsrichtlinien überschreitet die Kapazität der Benutzergruppen für die Plattform.
  • Die Kapazität der Benutzergruppen für die Plattform kann mit dem Befehl "show system state | match cfg.general.max-user-group" überprüft werden.
  • Bei den Geräten mit 10000 Benutzern wird mit der Nummer geantwortet und bei den 1000 Benutzern wird kein Wert angezeigt. Siehe unten.
admin@PA-VM> show system state | match cfg.general.max-user-group
cfg.general.max-user-group: 10000
admin@PA-VM> 

admin@PA-VM> show system state | match cfg.general.max-user-group
admin@PA-VM>               >> no value displayed for 1000 users
  • Die Kapazität der Benutzergruppen ist auf die Anzahl der Benutzer und Benutzergruppen in Sicherheitsrichtlinien beschränkt, nicht nur auf die Anzahl der Benutzergruppen.Jeder Benutzer oder jede Benutzergruppe, die in der Sicherheitsrichtlinie verwendet wird, zählt als eine Benutzergruppe.

Resolution


  1. Reduzieren Sie die Anzahl der Benutzer und Benutzergruppen in Sicherheitsrichtlinien unter der Benutzergruppenkapazität der Plattform.
  2. Gruppieren Sie Benutzer und fügen Sie sie zu Sicherheitsrichtlinien hinzu, um die Anzahl der Benutzer erheblich zu reduzieren. Siehe: Zuordnen von Benutzern zu Gruppen.

Additional Information


  • Unterstützte Anzahl von Gruppen auf verschiedenen Plattformen : "Aktive und eindeutige Gruppen, die in der Richtlinie verwendet werden" in der Benutzer-ID-Tabelle bezeichnet die Kapazität der Benutzer oder Benutzergruppen.
  • Die aktuelle Anzahl der Benutzer und Benutzergruppen in der Sicherheitsrichtlinie kann mit dem Befehl "show user group-policy-dp all" berechnet werden.
admin@PA-VM> show user group-policy-dp all
Total 2 groups/users used in policy in vsys 1
ID: 3
SECURITY       : 4
ID: 1
SECURITY       : 4
ID: ANY
SECURITY       : 1     2     3     5     6     7
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000ToutCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language