Der BuildXMLCache-Auftrag schlägt aufgrund von &quot;CACHE BUILD ERROR: Could not find the DG node for <device-group>'

Der BuildXMLCache-Auftrag schlägt aufgrund von &quot;CACHE BUILD ERROR: Could not find the DG node for <device-group>'

6291
Created On 08/01/23 21:23 PM - Last Modified 09/08/23 05:20 AM


Objective


Nach bestimmten Auftragsvorgängen (z. B. Laden, Commit usw.) kann ein BuildXMLCache-Auftrag initiiert werden. Unter einigen seltenen Umständen kann dieser Auftrag fehlschlagen: 
> show jobs all

Enqueued              Dequeued           ID             Type     Status Result Completed
------------------------------------------------------------------------------------------------------------------------------------------
2023/05/02 00:07:56   00:07:56       441881    BuildXMLCache       FIN   FAIL 00:08:00
2023/05/02 00:07:09   00:07:09       441880            Load        FIN     OK 00:07:57
Eine häufige Ursache für dieses Problem ist, dass auf eine nicht verwendete Gerätegruppe (DG) in der Konfiguration verwiesen wird, aber nicht als Teil einer Gerätegruppenhierarchie konfiguriert ist, die tatsächlich verwendet wird, um Konfigurationen an Firewalls zu übertragen.Dieser Konfigurationsstatus kann auftreten, nachdem eine Gerätegruppenhierarchie geändert wurde, eine bestimmte Reihe von Objektumbenennungen und Teilcommits von Benutzern innerhalb einer Gerätegruppenhierarchie oder andere ähnliche Vorgänge ausgeführt wurden.

Im folgenden Beispiel ist die Gerätegruppe mit dem Namen Device-Group-1 im Abschnitt <readonly> der running-config.xml vorhanden. Die Gerätegruppe "Device-Group-1" ist jedoch nicht so zugewiesen, dass sie an Geräte im Rest der running-config.xml übertragen werden kann. Außerdem gab es Verweise auf 'Device-Group-1' in unserer laufenden Konfiguration.xml insbesondere im Abschnitt "<readonly>" der running-config.xml und in untergeordneten Objekten in der gesamten Konfiguration.

Während Device-Group-1 konfiguriert ist und die Gerätegruppe vorhanden ist, wird diese Gerätegruppe nicht in einer Gerätegruppenhierarchie verwendet, die an Firewalls übertragen wird. Wenn also in untergeordneten Objekten (Adressobjekten usw.) in der Firewallkonfiguration darauf verwiesen wird, aber weder Teil einer Gerätegruppenhierarchie noch von Vorlagen/Vorlagenstapeln ist, kann der BuildXMLCache-Auftrag fehlschlagen. Wenn das Entfernen dieser Gerätegruppe keine Auswirkungen auf Ihre Konfigurationen hat, kann sie sicher entfernt/gelöscht werden, und der BuildXMLCache-Auftrag, der Ladeauftrag und der Commit- und Push-Auftrag sind danach erfolgreich.
Warnung: Stellen Sie sicher, dass diese Gerätegruppe nicht für die Übertragung auf Geräte konfiguriert ist, bevor Sie sie löschen

. Wenn dieser Status auftritt, führen Sie die folgenden Schritte aus, um das Problem zu beheben, dass der BuildXMLCache-Auftrag fehlschlägt:

Environment


  • Panorama

Procedure


  1. Identifizieren Sie das Gerätegruppenobjekt und/oder ein anderes Objekt, das das Problem verursacht, indem Sie in configd nach diesem Fehler suchen.log:
> less mp-log configd.log
2023-05-22 16:49:00 Error: _traverse_dg_hierarchy(pan_xml_cache_mgr.c:3690): 
CACHE BUILD ERROR: Could not find the DG node for <Device-Group-1>
  1. Ermitteln Sie, ob der Eintrag "Gerätegruppe-1" der Gerätegruppe im Abschnitt <schreibgeschützt> in Ihrer Konfiguration angezeigt wird. Stellen Sie sicher, dass die Gerätegruppe Gerätegruppe-1 an keiner anderen Stelle in der Konfiguration vorhanden ist und nicht Teil einer Gerätegruppenhierarchie ist. Wenn sich diese Gerätegruppe nur im Abschnitt <schreibgeschützt> befindet und an keiner anderen Stelle in Ihrer Konfiguration referenziert oder verwendet wird und sicher entfernt werden kann, löschen Sie die Gerätegruppe mit dem Namen "Gerätegruppe-1" aus der Konfiguration. Entfernen Sie ggf. alle Instanzen von 'Device-Group-1', auf die an anderer Stelle in Ihrer Konfiguration verwiesen wird (da die DG, auf die diese Objekte verweisen, jetzt nicht mehr vorhanden ist, da Sie sie in diesem Schritt gelöscht haben).
>show config running

<readonly>
<parent-dg>Remote Offices</parent-dg>
          </entry>
          <entry name="Device-Group-1">
            <id>1234</id>
            <address-group>
              <entry name="Block List">
                <id>1235</id>
              </entry>
</readonly>
Nachdem Sie sich vergewissert haben, dass Device-Group-1 und alle Verweise darauf in der Konfiguration aufgelöst/entfernt wurden, fahren Sie mit den folgenden Schritten fort
  1. Führen Sie den Vorgang Konfiguration laden erneut aus. Überprüfen Sie, ob der Ladeauftrag und der BuildXMLCache-Auftrag jetzt beide erfolgreich sind:
Web-Benutzeroberfläche: Panorama > Setup > Operations
CLI: #configure
#load Konfiguration aus running-config.xml
  1. Führen Sie den folgenden CLI-Befehl aus, um alle Gerätegruppen- und Vorlagenkonfigurationen neu zu generieren:
> Debuggen md5sum_cache löschen
Hinweis: Wenn der BuildXMLCache-Auftrag immer noch fehlschlägt, fahren Sie unten nicht fort - kehren Sie zu Schritt 1 oben zurück.
  1. Führen Sie eine Commit-Force durch:
>Konfigurieren
#commit erzwingen

Additional Information


Um zu verhindern, dass dieses Problem in Zukunft auftritt, lesen Sie den folgenden Link:

"Führen Sie nach dem Hinzufügen, Bearbeiten oder Löschen einer Gerätegruppe einen Panorama-Commit und einen Gerätegruppen-Commit durch (siehe Panorama-Commit-Operationen). Panorama überträgt dann die Konfigurationsänderungen an die Firewalls, die der Gerätegruppe zugewiesen sind"

Referenz: PAN-OS-Webinterface-Hilfe - Panorama > Gerätegruppen
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000g206CAA&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language