PanOS 升级到 10.2.4 后自动提交失败,并出现错误“管理服务器无法将阶段 1 发送到客户端 useridd”

PanOS 升级到 10.2.4 后自动提交失败,并出现错误“管理服务器无法将阶段 1 发送到客户端 useridd”

12790
Created On 12/06/23 16:20 PM - Last Modified 02/02/24 06:24 AM


Symptom


将 PanOS 升级到 10.2.4 或更高版本后,自动提交失败,并出现以下错误:>
show jobs id <JobID>

Enqueued Dequeued ID Type Status Result Completed
------------------------------------------------------------------------------------------------------------------------------
2023/11/16 10:06:33 10:06:33 73 AutoCom FIN 失败 10:06:49

详细信息:配置提交阶段 1 中止(模块:路由)panike_daemon阶段 1 中止(模块:ikemgr)

管理服务器无法将阶段 1 发送到客户端 useridd <<<<<<<<
提交失败
无法将策略提交到设备 检查 useridd

.log时,我们看到以下错误消息:
2023-11-16 09:12:25.341 +0000 调试:pan_alloc_nofree_chunk(pan_alloc.c:1104):分配17328928,大于块大小 16777184
2023-11-16 09:12:25.347 +0000 达到 99%。 开始削减到 95%
2023-11-16 09:12:25.347 +0000 已达到磁盘配额 (148838KB):155112KB
2023-11-16 09:12:25.693 +0000 删除 678 个条目

Environment


  • PA-VM 已升级到 PanOS 10.2.4
  • 大量使用 GP HIP 报告

Cause


在 PanOS 10.2.4 中,更改强制执行要遵守的 HIP 报告配额 (PAN-192681),因此,如果没有为 HIP 报告分配足够的配额,则 useridd 进程将无法处理来自管理服务器的提交或自动提交。

Resolution


  1. 由于自动提交失败,并且无法提交增加 HIP 报告的配额,因此需要 PanOS 降级。
  2. 降级完成后,如果 AutoCommit 仍然失败,则可能需要从 Root 中删除“HIP Report DB”(请联系 TAC)。
  3. 在 PanOs 降级后,一旦 AutoCommit 成功,则需要根据需要将更高的配额应用于“HIP 报告”,如 本文所述。
  4. 提交更改后,升级到 PanOS 10.2.4 或更高版本不应再导致相同的问题。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XhHJCA0&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language