托管设备断开连接panorama由于更改后 SC3 故障Panorama的IP地址

• 当一个firewall这是连接到panorama从一个位置移动到另一个位置（例如：从LAN到WAN) 和PanoramaIP到哪个FW连接变化。
  • 例如，FW1 连接到Panorama在 ip 10.1.1.1
  • FW1 通过 Internet 移动到另一个分支机构
  • 由于无法从分支机构访问 10.1.1.1，因此panorama服务器 ip 地址在firewall更改为 natted 的 ip 地址Panorama, 比如说 1.1.1.1
  • 虽然Panorama服务器没变，只是ip变了firewall可以连接改变。
• 当。。。的时候IP的地址panorama被改变并且'Panorama服务器的 IP 地址在受管设备中重新配置。
• 如果满足上述条件之一，则CMS连接来自firewall到panorama将失败并出现以下错误。

 Error: sc3_register(sc3_register.c:265): SC3: Invalid authkey '2:fBVSYj_tQlqZXeKcHuO6c3Rw2LTBT0-NjPifuBA5uGPrHb38EC4FViQwts7uXjF2s4RrSi8lVkD1eCJWE1dIiw' given by Device: <SN>

2022-06-27 13:51:42.396 +0200 Warning: sc3_init_sc3(sc3_utils.c:380): SC3: Device CSR set to '2da56629-bc9c-4299-a735-05608f258869'
2022-06-27 13:51:42.396 +0200 SC3: CA: '', CC/CSR: '2da56629-bc9c-4299-a735-05608f258869'
2022-06-27 13:51:42.398 +0200 debug: _get_current_cert(sc3_utils.c:113): sdb node 'cfg.ms.ca' does not exist.
2022-06-27 13:51:42.398 +0200 Warning: sc3_get_current_sc3(sc3_utils.c:179): SC3: failed to get SNI
2022-06-27 13:51:42.399 +0200 debug: _get_current_cert(sc3_utils.c:113): sdb node 'cfg.ms.cc' does not exist.
2022-06-27 13:51:42.399 +0200 Warning: sc3_get_current_sc3(sc3_utils.c:182): SC3: failed to get CCN
2022-06-27 13:51:42.499 +0200 Warning: sc3_init_sctx(sc3_ctx.c:323): SC3: not set, skip cert loading
2022-06-27 13:51:42.499 +0200 SC3A: using SNI (from AK): 7c155262-3fed-425a-995d-e29c1ee3ba73

• Panorama 托管帕洛阿尔托防火墙
• PAN-OS 10.1.0 或更高版本

• 当一个设备（FW ) 从一个移动Panorama另一方面，设备注册 authkey 和相关数据会自动删除。
• 需要重置 sc3 才能连接到新的Panorama.
• 虽然在原因下描述的场景中，panorama服务器没有变化，IP连通性被改变。 由于此 sc3 重置是在FW.
• 这会导致 SC3 连接失败并且受管设备保持断开状态。

1. 执行 sc3 重置Firewall（不要在Panorama)

Lab-133> request sc3 reset

2. 重新启动管理服务器 firewall

Lab-133>  debug software restart process management-server

3. 重置托管设备的安全连接状态Panorama.

Lab-panorama>  clear device-status deviceid <device_SN>

4. 添加现有的或新的设备注册密钥firewall再次连接到 panorama