Échec de la tâche BuildXMLCache en raison de 'CACHE BUILD ERROR: Impossible de trouver le nœud DG pour <device-group>'

Échec de la tâche BuildXMLCache en raison de 'CACHE BUILD ERROR: Impossible de trouver le nœud DG pour <device-group>'

6285
Created On 08/01/23 21:23 PM - Last Modified 09/08/23 05:19 AM


Objective


Après certaines opérations de tâche (telles que Load, Commit, etc.), une tâche BuildXMLCache peut être lancée. Dans de rares circonstances, ce travail peut échouer :
> show jobs all

Enqueued              Dequeued           ID             Type     Status Result Completed
------------------------------------------------------------------------------------------------------------------------------------------
2023/05/02 00:07:56   00:07:56       441881    BuildXMLCache       FIN   FAIL 00:08:00
2023/05/02 00:07:09   00:07:09       441880            Load        FIN     OK 00:07:57
Une cause fréquente de ce problème est qu’un groupe de périphériques (DG) inutilisé est référencé dans la configuration mais n’est pas configuré dans le cadre d’une hiérarchie de groupe de périphériques qui est réellement utilisée pour pousser les configurations vers les pare-feu.Cet état de configuration peut se produire après la modification d’une hiérarchie de groupes de périphériques, une série spécifique de renommage d’objet et de validations partielles effectuées par des utilisateurs au sein d’une hiérarchie de groupes de périphériques, ou d’autres opérations similaires.

Dans l’exemple ci-dessous, le groupe de périphériques nommé Device-Group-1 est présent dans la section <readonly> de running-config.xml. Cependant, le groupe de périphériques 'Device-Group-1' n'est pas réellement affecté à être poussé vers les périphériques dans le reste de la configuration running-config.xml. De plus, il restait des références à 'Device-Group-1' tout au long de notre configuration en cours d'exécution.xml, en particulier dans la section '<readonly>' de la configuration en cours d'exécution.xml et dans les objets enfants tout au long de la configuration.

Bien que Device-Group-1 soit configuré et que le groupe de périphériques existe, ce groupe de périphériques n’est utilisé dans aucune hiérarchie de groupe de périphériques qui est poussée vers le bas vers les pare-feu. Ainsi, s’il est référencé dans des objets enfants (objets d’adresse, etc.) dans la configuration du pare-feu, mais ne fait partie d’aucune hiérarchie de groupes de périphériques ni de modèles/piles de modèles, le travail BuildXMLCache peut échouer. Si la suppression de ce groupe de périphériques n’a aucun effet sur vos configurations, il peut être supprimé/supprimé en toute sécurité, et le travail BuildXMLCache, le travail de chargement et le travail Commit et Push réussiront par la suite.
Avertissement : Vérifiez que ce groupe de périphériques n’est pas configuré pour envoyer des périphériques vers des périphériques avant de les supprimer Si cet état se produit, effectuez les

étapes ci-dessous pour résoudre le problème de l’échec du travail BuildXMLCache :


Environment


  • Panorama


Procedure


  1. Identifiez l’objet Groupe de périphériques et/ou tout autre objet à l’origine du problème en recherchant cette erreur dans configd.log :
> less mp-log configd.log
2023-05-22 16:49:00 Error: _traverse_dg_hierarchy(pan_xml_cache_mgr.c:3690): 
CACHE BUILD ERROR: Could not find the DG node for <Device-Group-1>
  1. Identifiez si l'entrée Groupe de périphériques 'Groupe-périphériques-1' apparaît dans la section <lecture seule> de votre configuration. Assurez-vous que le groupe de périphériques Device-Group-1 n’est présent nulle part ailleurs dans la configuration et ne fait pas partie d’une hiérarchie de groupes de périphériques. Si ce groupe de périphériques se trouve uniquement dans la section <lecture seule> et n'est référencé ou utilisé nulle part ailleurs dans votre configuration et peut être supprimé en toute sécurité, supprimez le groupe de périphériques nommé « Device-Group-1 » de la configuration. Le cas échéant, supprimez toutes les instances de 'Device-Group-1' référencées ailleurs dans votre configuration (car la référence à ces objets n'existe plus depuis que vous l'avez supprimée à cette étape).
>show config running

<readonly>
<parent-dg>Remote Offices</parent-dg>
          </entry>
          <entry name="Device-Group-1">
            <id>1234</id>
            <address-group>
              <entry name="Block List">
                <id>1235</id>
              </entry>
</readonly>
Une fois vérifié que Device-Group-1 et toutes les références à celui-ci dans la configuration ont été résolus / supprimés, passez aux étapes ci-dessous
  1. Effectuez à nouveau l’opération de configuration de chargement. Vérifiez que la tâche de chargement et la tâche BuildXMLCache réussissent maintenant :
Interface utilisateur Web : configuration de Panorama > > Operations
CLI : #configure
#load config à partir de running-config.xml
  1. Exécutez la commande CLI ci-dessous pour régénérer toutes les configurations de groupe de périphériques et de modèle :
> déboguer md5sum_cache clair
Remarque : Si le travail BuildXMLCache échoue toujours, ne continuez pas ci-dessous - revenez à l’étape 1 ci-dessus.
  1. Effectuer une force de validation :
>configurer
#commit force


Additional Information


Pour éviter que ce problème ne se reproduise à l’avenir, reportez-vous au lien ci-dessous :

« Après avoir ajouté, modifié ou supprimé un groupe de périphériques, effectuez une validation Panorama et une validation de groupe de périphériques (voir Opérations de validation Panorama). Panorama envoie ensuite les modifications de configuration aux pare-feu affectés au groupe de périphériques"

Référence : Aide de l’interface Web PAN-OS - Panorama > Groupes de périphériques


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000g206CAA&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language