So beheben Sie Fehler bei gRPC-Verbindungen zwischen Firewall und ACE Application Cloud Engine/Content Cloud

• Palo Alto-Firewalls
• PAN-OS 10.1 und höher.
• App-ID Cloud Engine (ACE)
• Content Cloud (Dateimanager)

1. Check that a device certificate is valid and present on the FW.

   show device-certificate status

2. Check that the SaaS Security Inline license is present and Valid.

   request license info

3. Überprüfen Sie, ob die Data Services- Dienstroute richtig konfiguriert ist. (Standard ist „Management“)
4. Überprüfen Sie, ob die Upstream- Firewall die Anwendung PaloAlto-Ace, PaloAlto-Ace-KCS und OCSP (zur Zertifikat ) zulässt.
5. Stellen Sie sicher, dass die App-ID-Cloud-Engine in der Firewall aktiviert ist (sie ist in der FW Standard(-) aktiviert).
6. Troubleshoot the connection between Firewall Management Plane (MP) and App-ID Cloud Engine (ACE):
   1. Check the cloud connection status to the Firewall MP.

      show cloud-appid connection-to-cloud   

      1. Hinweis: Zusätzlich zum Status hilft Ihnen diese Ausgabe bei der Fehlerbehebung, indem sie angibt, ob das Problem am Gerät oder an der fehlenden Lizenz liegt, wie hier erläutert.
   2. Check the network connection between the Firewall Data Services service route, source IP, and the ACE server, destination FQDN:

      traceroute host kcs.ace.tpcloud.paloaltonetworks.com

      1. Hinweis: Dieser Befehl ist gültig, wenn Management als Data Services Dienstroute verwendet wird und kcs.ace.tpcloud.paloaltonetworks.com der FQDN des ACE-Servers ist, der in der Ausgabe von 5.a gefunden wurde. Andernfalls fügen Sie dem Befehl „source“ hinzu, gefolgt von der IP-Adresse der Datenebene Schnittstelle, die als Dienstroute verwendet wird.
   3. Check if connection is established on port 443 between the Firewall and the ACE server:

       show netstat numeric-hosts yes numeric-ports yes | match 34.120.110.215

      1. Wobei 34.120.110.215 die IP-Adresse des ACE-Servers wäre, die vom DNS Server in 5. B aufgelöst wird
   4. Check Firewall system logs related to this MP connection:

      show log system subtype equal app-cloud-engine direction equal backward

   5. As last resort and if needing to restart the connection between FW MP and ACE server use:

      debug cloud-appid reset connection-to-cloud

7. Troubleshoot the connection between Firewall Data Plane (DP) and Content Cloud (filemanager):
   1. Check the cloud connection status to the Firewall DP.

      show ctd-agent status security-client

      1. Hinweis: Unter dem Abschnitt „ Security Client Ace “ sollte die Cloud-Verbindung als „Verbunden“ und der Pool- Status als „Bereit (2)“ angezeigt werden.
   2. Check the network connection between the Firewall Data Services service route, source IP, and the Content Cloud (filemanager) server, destination FQDN:

      traceroute host ace.hawkeye.services-edge.paloaltonetworks.com

      1. Hinweis: Dieser Befehl ist gültig, wenn Management als Data Services Dienstroute verwendet wird und ace.hawkeye.services-edge.paloaltonetworks.com der FQDN des Content Cloud-Servers ist, der in der Ausgabe von 6.a gefunden wurde. Andernfalls fügen Sie dem Befehl „source“ hinzu, gefolgt von der IP-Adresse der Datenebene Schnittstelle, die als Dienstroute verwendet wird, und dem richtigen FQDN, abhängig von Ihrer Region.
   3. Check if connection is established on port 443 between the Firewall and the Content Cloud (filemanager) server:

       show netstat numeric-hosts yes numeric-ports yes | match 34.111.222.75

      1. Dabei wäre 34.11.222.75 die IP-Adresse des Content Cloud-Servers, die vom DNS Server in 6. B aufgelöst wird.
   4. Check Firewall system logs related to this DP connection:

      show log system subtype equal ctd-agent-connection direction equal backward

   5. As last resort and if needing to restart the connection between FW DP and Content Cloud server use the following CLI with great caution knowing that it is very disruptive as it also affects other Firewall's inline cloud analysis services (IOT, enterprise DLP, advanced URL filtering).

      debug software restart process ctd-agent

      1. Hinweis: Durch einen Neustart des ctd-Agenten wird die Verbindung zwischen Firewall DP und dem Content Cloud-Server zurückgesetzt.

> show ctd-agent status security-client

Security Client Ace(1)
        Current cloud server:   ace.hawkeye.services-edge.paloaltonetworks.com:443
        Cloud connection:       connected
        Config:
                Number of gRPC connections: 2, Number of workers: 5
                Debug level: 2, Insecure connection: false, Cert valid: true, Key valid: true, CA count: 383
                Maximum number of workers: 10
                Maximum number of sessions a worker should process before reconnect: 1024
                Maximum number of messages per worker: 0
                Skip cert verify: false
        Grpc Connection Status:
                State Ready (3), last err <nil>
                Pool state: Ready (2)
                     last update: 2023-04-10 11:29:18.888023715 -0700 PDT m=+330284.693222939
                     last connection retry: 2023-04-10 09:27:50.049422541 -0700 PDT m=+322995.854622294
                     last pool close: 2023-04-10 09:27:32.141236266 -0700 PDT m=+322977.946435573