La conmutación por error de HA de Panorama demora mucho tiempo (aproximadamente 15 minutos)

• Panorama configurado en modo HA .
• Se activa el evento de conmutación por error de Panorama HA .
• El panorama secundario tarda mucho tiempo en asumir el estadosecundario activo .
• En este momento, los firewalls administrados aún se muestran como conectados a Panorama principal aunque esté inactivo.

> show panorama-status

Panorama Server 1 : 10.X.X.X
Connected : yes
HA state : Active
Panorama Server 2 : 10.X.X.Y
Connected : yes
HA state : Passive

• En el archivo ha_agent.log , en el Panorama secundario se muestra el estado como "pasivo". Esto se debe a que los firewalls administrados aún están conectados al Panorama principal:

+0700 debug: ha_product_peer_master(src_cms/ha_cms.c:142): Found CMS device 025301XXXXX with peer as active
+0700 Warning: ha_event_log(src/ha_event.c:59): HA peer determined to be Active through managed devices; staying in Passive state

• Panorama en Alta Disponibilidad (HA)
• Sistema operativo PAN compatible

• Por diseño, Panorama secundario monitorea los firewalls administrados.
• Si se descubre que los firewalls están conectados al Panorama principal, el Panorama secundario no se activa como se explica en esta base de conocimientos .
• Debido a un defecto de software, PAN-196701, los firewalls administrados tardan aproximadamente 15 minutos en activar la acción de apagado en el panorama principal.
• Hasta este momento, el cortafuegos administrado muestra el panorama principal como Activo/conectado.
• Por lo tanto, no se producirá la conmutación por error secundaria.

1. El problema se solucionó en PAN-196701 en PANOS 10.1.9, 10.2.4 o 11.0.0
2. Actualizar a las versiones corregidas resolverá el problema.

• PAN-196701