Verwaltete Geräte trennen die Verbindung panorama aufgrund eines SC3-Fehlers nach dem Ändern Panoramader IP-Adresse von
20431
Created On 10/31/22 22:19 PM - Last Modified 03/17/25 21:02 PM
Symptom
- Wenn ein, mit dem verbunden wurde, firewall von einem Ort zum anderen verschoben wird (z. B. von LAN nach WAN) und sich die Panorama IP Verbindung ändertFW.panorama
- Beispiel: FW1 wurde mit ip 10.1.1.1 verbunden Panorama
- FW1 wird über das Internet in eine andere Zweigstelle verschoben
- Da 10.1.1.1 nicht von der Zweigstelle aus erreichbar ist, wird die panorama Server-IP-Adresse in der in die firewall natted IP-Adresse von Panoramageändert, z.B. 1.1.1.1
- Der Panorama Server hat sich zwar nicht geändert, aber die IP, mit der die firewall Verbindung hergestellt werden kann, hat sich geändert.
- Wenn die Adresse geändert panorama wird und die IP IP-Adresse desPanorama Servers in den verwalteten Geräten neu konfiguriert wird.
- Wenn eine der oben genannten Bedingungen erfüllt ist, schlägt die CMS Verbindung von der firewall zum panorama mit dem folgenden Fehler fehl.
Error: sc3_register(sc3_register.c:265): SC3: Invalid authkey '2:fBVSYj_tQlqZXeKcHuO6c3Rw2LTBT0-NjPifuBA5uGPrHb38EC4FViQwts7uXjF2s4RrSi8lVkD1eCJWE1dIiw' given by Device: <SN>
2022-06-27 13:51:42.396 +0200 Warning: sc3_init_sc3(sc3_utils.c:380): SC3: Device CSR set to '2da56629-bc9c-4299-a735-05608f258869'
2022-06-27 13:51:42.396 +0200 SC3: CA: '', CC/CSR: '2da56629-bc9c-4299-a735-05608f258869'
2022-06-27 13:51:42.398 +0200 debug: _get_current_cert(sc3_utils.c:113): sdb node 'cfg.ms.ca' does not exist.
2022-06-27 13:51:42.398 +0200 Warning: sc3_get_current_sc3(sc3_utils.c:179): SC3: failed to get SNI
2022-06-27 13:51:42.399 +0200 debug: _get_current_cert(sc3_utils.c:113): sdb node 'cfg.ms.cc' does not exist.
2022-06-27 13:51:42.399 +0200 Warning: sc3_get_current_sc3(sc3_utils.c:182): SC3: failed to get CCN
2022-06-27 13:51:42.499 +0200 Warning: sc3_init_sctx(sc3_ctx.c:323): SC3: not set, skip cert loading
2022-06-27 13:51:42.499 +0200 SC3A: using SNI (from AK): 7c155262-3fed-425a-995d-e29c1ee3ba73
Environment
- Panorama verwaltete Palo Alto Firewalls
- PAN-OS 10.1.0 oder höher
Cause
- Wenn ein Gerät () von einem Panorama Gerät zumFW anderen verschoben wird, werden der Authentifizierungsschlüssel für die Geräteregistrierung und die zugehörigen Daten automatisch entfernt.
- Es ist erforderlich, den sc3 zurückzusetzen, um eine Verbindung zu einem neuen Panoramaherstellen zu können.
- Obwohl sich in dem unter Ursache beschriebenen Szenario der panorama Server nicht geändert hat, wird die IP Konnektivität geändert. Aus diesem Grund wird das Zurücksetzen von sc3 proaktiv in der FW.
- Dies führt dazu, dass die SC3-Verbindung fehlschlägt und die verwalteten Geräte getrennt bleiben.
Resolution
Bei der Geräteregistrierung sind die folgenden Schritte erforderlich, um die FW Verbindung mit neuen Panorama herzustellen, damit alte Zertifikate vom Gerät gelöscht werden.
- Führen Sie das Zurücksetzen von sc3 auf der ( Firewall Führen Sie diesen Befehl nicht auf Panorama)
Lab-133> request sc3 reset
- Starten Sie den Verwaltungsserver auf der firewall
Lab-133> debug software restart process management-server
- Setzen Sie den sicheren Verbindungsstatus eines verwalteten Geräts auf zurück Panorama.
Lab-panorama> clear device-status deviceid <device_SN>
- Fügen Sie den vorhandenen oder neuen Geräteregistrierungsschlüssel erneut hinzu firewall , um eine Verbindung mit dem panorama
Additional Information
A Die Feature-/Verbesserungsanfrage wird über eingereicht PAN-197870 , um die oben genannten Schritte zu automatisieren, wenn ein von FW einem panorama zum anderen verschoben wird und wenn die IP-Adresse des geändert Panorama wird.