Panorama 的HA故障转移需要很长时间（约 15 分钟）

• 全景图配置为HA模式。
• Panorama HA故障转移事件已触发。
• 二次全景需要很长时间才能进入二次活动状态。
• 此时，托管防火墙虽然已关闭，但仍显示已连接到主 Panorama。

> show panorama-status

Panorama Server 1 : 10.X.X.X
Connected : yes
HA state : Active
Panorama Server 2 : 10.X.X.Y
Connected : yes
HA state : Passive

• 在ha_agent.log中，Secondary Panorama 显示状态为“被动”。这是因为托管防火墙仍连接到 Primary Panorama：

+0700 debug: ha_product_peer_master(src_cms/ha_cms.c:142): Found CMS device 025301XXXXX with peer as active
+0700 Warning: ha_event_log(src/ha_event.c:59): HA peer determined to be Active through managed devices; staying in Passive state

• Panorama 的高可用性 (HA)
• 支持的 PAN OS

• 根据设计，辅助 Panorama 监控托管防火墙。
• 如果发现防火墙连接到主 Panorama，则辅助 Panorama 不会激活，如本 KB中所述。
• 由于软件缺陷 PAN-196701，管理防火墙需要大约 15 分钟才能触发主全景上的关闭操作。
• 到目前为止，托管防火墙显示主全景为活动/已连接。
• 因此不会发生二次故障转移。

1. 此问题已在 PANOS 10.1.9、10.2.4 或 11.0.0 中的PAN-196701下得到修复
2. 升级到修复版本将解决该问题。

• PAN-196701