コミットが失敗し、「エラー: ポリシー XXXXX で使用される最大ユーザー グループが容量を超えています (10000)」というメッセージが表示されます

• コミットは失敗し、「エラー:ポリシーXXXXXで使用される最大ユーザーグループが容量(10000)を超えています」などのエラーメッセージが表示されます。

admin@PA-5250# commit

Commit job 5 is in progress. Use Ctrl+C to return to command prompt
....10%........45%..........55%.....................................
Error: Max. user groups used in policy 10341 exceeds capacity (10000)
(Module: device)
client device phase 1 failure
Commit failed
[edit]

• パノラマまたはパロアルトファイアウォール
• サポートされている PAN-OS
• ユーザーグループ

• セキュリティ ポリシーのユーザーおよびユーザー グループの数が、プラットフォームのユーザー グループの容量を超えています。
• プラットフォームのユーザーグループの容量は、コマンド「show system state | match cfg.general.max-user-group」で確認できます
• 10000人のユーザーがいるデバイスの場合、番号で応答し、1000人のユーザーの場合、値は表示されません。 以下を参照してください。

admin@PA-VM> show system state | match cfg.general.max-user-group
cfg.general.max-user-group: 10000
admin@PA-VM> 

admin@PA-VM> show system state | match cfg.general.max-user-group
admin@PA-VM>               >> no value displayed for 1000 users

• ユーザー・グループの容量は、ユーザー・グループの数だけでなく、セキュリティ・ポリシー内のユーザーおよびユーザー・グループの数に制限されます。セキュリティポリシーで使用される各ユーザーまたはユーザーグループは、1つのユーザーグループとしてカウントされます。

1. セキュリティポリシーのユーザーとユーザーグループの数を、プラットフォームのユーザーグループ容量の下に減らします。
2. ユーザーをグループ化し、セキュリティ ポリシーに追加して、ユーザー数を大幅に減らします。 「 ユーザーをグループにマップする」を参照してください。

• 異なるプラットフォーム間でサポートされるグループの数 :ユーザ ID 表の「ポリシーで使用されるアクティブで一意のグループ」は、ユーザまたはユーザグループのキャパシティを意味します。
• セキュリティポリシー内の現在のユーザとユーザグループの数は、「show user group-policy-dp all」コマンドを使用して計算できます。

admin@PA-VM> show user group-policy-dp all
Total 2 groups/users used in policy in vsys 1
ID: 3
SECURITY       : 4
ID: 1
SECURITY       : 4
ID: ANY
SECURITY       : 1     2     3     5     6     7