Der Fehler "Fehler beim Abrufen des Azure-Zugriffstokens" wird in Plugin-Protokollen angezeigt, wenn Floating-IPs auf einem firewall in Azure nach dem Failover nicht in das sekundäre firewall verschoben werden

Der Fehler "Fehler beim Abrufen des Azure-Zugriffstokens" wird in Plugin-Protokollen angezeigt, wenn Floating-IPs auf einem firewall in Azure nach dem Failover nicht in das sekundäre firewall verschoben werden

17122
Created On 01/20/23 20:48 PM - Last Modified 06/02/23 19:45 PM


Symptom


Wenn zwei VM Firewalls in der Hochverfügbarkeits-Aktiv/Passiv-Konfiguration für HA sekundäre Verschiebung konfiguriert sind, werden sekundäreIP IPs nicht vom aktiven Gerät auf das passive Gerät verschoben, obwohl HA die Statusänderung erfolgreich durchgeführt wurde

Environment


  • Zwei VM Firewalls mit gleichen PAN-OS Versionen, Plugin-Versionen und allen Lizenzen
  • Das Problem findet in jeder PAN-OS Version statt
  • Beide Firewalls sollten sich in der Aktiv/Passiv-Konfiguration HA befinden.

Cause


Es muss sichergestellt werden, dass dem richtigen Dienstprinzipal die richtige Rolle zugewiesen ist und dass App die Registrierung für das richtige IAM Abonnement in Azure erfolgt und dem richtigen NICzugewiesen wird. Folgende Fehler werden in vm_plugin.log während dieser Art von Problem wie folgt angezeigt:

2022-12-05 02:43:13.144 -0800 vm_ha_state_trans INFO: : Fehler beim Abrufen der Antwort vom Resource Manager-Endpunkt

2022-12-05 02:43:13.145 -0800 vm_ha_state_trans INFO: : Azure Access-Token konnte nicht abgerufen werden

2022-12-05 02:43:17.343 -0800 vm_ha_state_trans INFO: : vm_mode: 6

2022-12-05 02:43:17.538 -0800 vm_ha_state_trans INFO: : Plattform identifiziert als AZR

2022-12-05 02:43:17.739 -0800 vm_ha_state_trans INFO: : vm_get_ht_perf_opt aufgerufen

2022-12-05 02:43:17.766 -0800 vm_ha_state_trans INFO: : Anzahl der Systeme: 4

2022-12-05 02:43:17.767 -0800 vm_ha_state_trans INFO: : cloud_setting AZR aufgerufen

2022-12-05 02:43:17.947 -0800 vm_ha_state_trans INFO: : vm_ha_trans AZR aufgerufen

2022-12-05 02:43:17.947 -0800 vm_ha_state_trans INFO: : resource_mgr_endpoint Erfolg

2022-12-05 02:43:18.019 -0800 vm_ha_state_trans INFO: : Ausnahme in pycurl_request: (77, 'Fehler beim Festlegen von Zertifikatsverifizierungsorten:\n CAfile: /opt/pancfg/mgmt/plugins/appdata/cacert.pem\n CApath: none'), Fehlercode: 0

2022-12-05 02:43:18.019 -0800 vm_ha_state_trans INFO: : set_endpoint_URL konnte nicht aus Antwort gefunden URL werden, Fehler: AZR 'NoneType' Objekt hat kein Attribut '__getitem__'

Resolution


  • Stellen Sie sicher, dass die Rollenzuweisung für den richtigen Dienstprinzipal in Azure ordnungsgemäß durchgeführt wird und App die Registrierung ordnungsgemäß durchgeführt werden sollte.
  • Kunden sollten mindestens die Rolle "Mitwirkender" angeben
  • Rollenzuweisungen sollten für das richtige Abonnement erfolgen und dem richtigen NICzugewiesen werden. https://learn.microsoft.com/en-us/azure/active-directory/develop/howto-create-service-principal-portal 
  • Beauftragen Sie Azure, falls erforderlich, um die Rollenzuweisung auf Azure-Seite TAC zu überprüfen
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kGQ3CAM&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language