管理対象デバイスが切断されますpanorama変更後の SC3 障害のためPanoramaの IP アドレス

管理対象デバイスが切断されますpanorama変更後の SC3 障害のためPanoramaの IP アドレス

20431
Created On 10/31/22 22:19 PM - Last Modified 03/17/25 21:02 PM


Symptom


  • ときfirewallに接続されていたpanoramaある場所から別の場所に移動されます (例: からLANにWAN) そしてそのPanoramaIPにFW変更を接続します。
    • 例、FW1 が接続されたPanoramaIP 10.1.1.1 で
    • FW1 はインターネット経由で別のブランチ オフィスに移動されます
    • ブランチ オフィスから 10.1.1.1 にアクセスできないため、panoramaのサーバー IP アドレスfirewallの nated ip-address に変更されますPanorama、たとえば 1.1.1.1
    • しかし、Panoramaサーバーは変更されませんでしたが、firewall接続できます。
  • ときIPのアドレスpanorama変更され、'Panoramaサーバーの IP アドレスは、管理対象デバイスで再構成されます。
  • 上記の条件のいずれかが満たされている場合、CMSからの接続firewallにpanorama次のエラーで失敗します。
 Error: sc3_register(sc3_register.c:265): SC3: Invalid authkey '2:fBVSYj_tQlqZXeKcHuO6c3Rw2LTBT0-NjPifuBA5uGPrHb38EC4FViQwts7uXjF2s4RrSi8lVkD1eCJWE1dIiw' given by Device: <SN>
 
2022-06-27 13:51:42.396 +0200 Warning: sc3_init_sc3(sc3_utils.c:380): SC3: Device CSR set to '2da56629-bc9c-4299-a735-05608f258869'
2022-06-27 13:51:42.396 +0200 SC3: CA: '', CC/CSR: '2da56629-bc9c-4299-a735-05608f258869'
2022-06-27 13:51:42.398 +0200 debug: _get_current_cert(sc3_utils.c:113): sdb node 'cfg.ms.ca' does not exist.
2022-06-27 13:51:42.398 +0200 Warning: sc3_get_current_sc3(sc3_utils.c:179): SC3: failed to get SNI
2022-06-27 13:51:42.399 +0200 debug: _get_current_cert(sc3_utils.c:113): sdb node 'cfg.ms.cc' does not exist.
2022-06-27 13:51:42.399 +0200 Warning: sc3_get_current_sc3(sc3_utils.c:182): SC3: failed to get CCN
2022-06-27 13:51:42.499 +0200 Warning: sc3_init_sctx(sc3_ctx.c:323): SC3: not set, skip cert loading
2022-06-27 13:51:42.499 +0200 SC3A: using SNI (from AK): 7c155262-3fed-425a-995d-e29c1ee3ba73

 

Environment


  • Panorama マネージド パロアルト ファイアウォール
  • PAN-OS 10.1.0以上

Cause


  • デバイス (FW ) は 1 つから移動されますPanoramaデバイス登録認証キーと関連データは自動的に削除されます。
  • 新しいサーバーに接続できるようにするには、sc3 をリセットする必要があります。Panorama .
  • ただし、原因で説明されているシナリオでは、panoramaサーバーは変わらず、IP接続が変更されます。 このため、sc3 のリセットはプロアクティブに行われます。FW .
  • これにより、SC3 接続が失敗し、管理対象デバイスが切断されたままになります。

Resolution


デバイス登録プロセスでは、以下の手順を実行して、FW新しいものとつながるPanorama古い証明書がデバイスから消去されるようにします。
  1. 上で sc3 リセットを実行します。Firewall (このコマンドを実行しないでください。Panorama )
Lab-133> request sc3 reset
  1. で管理サーバーを再起動します。 firewall
Lab-133>  debug software restart process management-server
  1. 管理対象デバイスの安全な接続状態をリセットしますPanorama.
Lab-panorama>  clear device-status deviceid <device_SN>
  1. 既存または新規のデバイス登録キーをfirewallに再度接続します。 panorama

Additional Information


A 機能/機能強化のリクエストは、PAN-197870上記の手順を自動化するにはFW1つから移動されますpanoramaの IP アドレスがPanorama変更されます。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kEySCAU&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language