Les appareils gérés se déconnectent en raison d panorama 'une défaillance SC3 après la modification Panoramade l'adresse IP de

• Lorsqu’un qui a été connecté à panorama est déplacé d’un firewall emplacement à un autre (par exemple: de LAN à WAN) et le Panorama IP auquel les FW connexions changent.
  • Exemple, FW1 a été connecté à Panorama ip 10.1.1.1
  • FW1 est déplacé vers une autre succursale via Internet
  • Étant donné que 10.1.1.1 ne peut pas être atteint à partir de la filiale, l’adresse IP du serveur dans le firewall est remplacée par l’adresse panorama IP natted de Panorama, disons 1.1.1.1
  • Bien que le serveur n'ait pas changé, mais l'adresse IP à laquelle le Panorama peut se firewall connecter a changé.
• Lorsque l'adresse du est modifiée et que lIP'adresse IP ' Serveur' panoramaPanorama est reconfigurée dans les périphériques gérés.
• Si l’une des conditions ci-dessus est remplie, la connexion de la à la CMS firewall panorama échouera avec l’erreur suivante.

 Error: sc3_register(sc3_register.c:265): SC3: Invalid authkey '2:fBVSYj_tQlqZXeKcHuO6c3Rw2LTBT0-NjPifuBA5uGPrHb38EC4FViQwts7uXjF2s4RrSi8lVkD1eCJWE1dIiw' given by Device: <SN>

2022-06-27 13:51:42.396 +0200 Warning: sc3_init_sc3(sc3_utils.c:380): SC3: Device CSR set to '2da56629-bc9c-4299-a735-05608f258869'
2022-06-27 13:51:42.396 +0200 SC3: CA: '', CC/CSR: '2da56629-bc9c-4299-a735-05608f258869'
2022-06-27 13:51:42.398 +0200 debug: _get_current_cert(sc3_utils.c:113): sdb node 'cfg.ms.ca' does not exist.
2022-06-27 13:51:42.398 +0200 Warning: sc3_get_current_sc3(sc3_utils.c:179): SC3: failed to get SNI
2022-06-27 13:51:42.399 +0200 debug: _get_current_cert(sc3_utils.c:113): sdb node 'cfg.ms.cc' does not exist.
2022-06-27 13:51:42.399 +0200 Warning: sc3_get_current_sc3(sc3_utils.c:182): SC3: failed to get CCN
2022-06-27 13:51:42.499 +0200 Warning: sc3_init_sctx(sc3_ctx.c:323): SC3: not set, skip cert loading
2022-06-27 13:51:42.499 +0200 SC3A: using SNI (from AK): 7c155262-3fed-425a-995d-e29c1ee3ba73

• Panorama pare-feu Palo Alto gérés
• PAN-OS 10.1.0 ou supérieur

• Lorsqu’un périphérique (FW) est déplacé de l’un à l’autre, l’authentification d’enregistrement Panorama de périphérique et les données associées sont automatiquement supprimées.
• Il est nécessaire de réinitialiser le sc3 pour pouvoir se connecter à un nouveau Panoramafichier .
• Bien que dans le scénario décrit sous cause, le panorama serveur n'a pas changé, la IP connectivité est modifiée. En raison de cette réinitialisation sc3 est effectuée de manière proactive dans le FW.
• Cela provoque l’échec de la connexion SC3 et les périphériques gérés restent déconnectés.

1. Effectuez la réinitialisation sc3 sur le Firewall (N’exécutez pas cette commande sur Panorama)

Lab-133> request sc3 reset

2. Redémarrez le serveur d’administration sur le firewall

Lab-133>  debug software restart process management-server

3. Réinitialisez l’état de connexion sécurisée d’un appareil géré sur Panorama.

Lab-panorama>  clear device-status deviceid <device_SN>

4. Ajoutez à nouveau la clé d’enregistrement de périphérique existante ou nouvelle sur le firewall pour vous connecter au panorama