HA Ausfall von Panorama dauert lange (~15 Minuten)

• Panorama im HA -Modus konfiguriert.
• Das Panorama HA Ausfall Ereignis wird ausgelöst.
• Es dauert sehr lange, bis das sekundäre Panorama den sekundär aktiven Status einnimmt.
• Zu diesem Zeitpunkt werden die verwalteten Firewalls immer noch als mit Primary Panorama verbunden angezeigt, obwohl es ausgefallen ist.

> show panorama-status

Panorama Server 1 : 10.X.X.X
Connected : yes
HA state : Active
Panorama Server 2 : 10.X.X.Y
Connected : yes
HA state : Passive

• Im ha_agent.log wird auf dem sekundären Panorama der Status als „passiv“ angezeigt. Dies liegt daran, dass die verwalteten Firewalls immer noch mit dem primären Panorama verbunden sind:

+0700 debug: ha_product_peer_master(src_cms/ha_cms.c:142): Found CMS device 025301XXXXX with peer as active
+0700 Warning: ha_event_log(src/ha_event.c:59): HA peer determined to be Active through managed devices; staying in Passive state

• Panorama in Hochverfügbarkeit (HA)
• Unterstützte PAN-OS

• Das sekundäre Panorama überwacht konzeptgemäß die verwalteten Firewalls.
• Wenn festgestellt wird, dass die Firewalls mit dem primären Panorama verbunden sind, wird das sekundäre Panorama nicht aktiviert, wie in diesem KB erläutert.
• Aufgrund des Softwarefehlers PAN-196701 benötigen verwaltete Firewalls ca. 15 Minuten, um eine Herunterfahraktion im primären Panorama auszulösen.
• Bis zu diesem Zeitpunkt zeigt die verwaltete Firewall das primäre Panorama als „Aktiv/verbunden“ an.
• Daher wird kein sekundäres Ausfall durchgeführt.

1. Das Problem wurde unter PAN-196701 in PANOS 10.1.9, 10.2.4 oder 11.0.0 behoben.
2. Ein Upgrade auf die korrigierten Versionen behebt das Problem.

• PAN-196701