Firewall kann aufgrund von TPM-Sperre nicht gestartet werden - zu viele aufeinanderfolgende unzulässige Abschaltungen

Firewall kann aufgrund von TPM-Sperre nicht gestartet werden - zu viele aufeinanderfolgende unzulässige Abschaltungen

20899
Created On 05/07/24 20:17 PM - Last Modified 07/14/25 19:52 PM


Symptom


  • Das PAN-OS-Gerät kann nicht gestartet werden und zeigt möglicherweise eine Ausgabe wie die folgende in der seriellen/Konsolen-CLI an:
TPM_PT_LOCKOUT_COUNTER = 0x20
TPM_PT_MAX_AUTH_FAIL = 0x20
TPM_PT_LOCKOUT_INTERVAL = 0x1C20 (2 h 0 min) Please hold ESC key to continue to boot.

Please press and hold the ESC key to continue to boot.
[2023-04-12 09:19:50.018] Otherwise, stop booting...
[2023-04-12 09:19:50.018] [WARNING] The TPM Lockout counter reached to full!!!
[2023-04-12 09:19:50.018] Stop booting for waiting TPM LOCKOUT reduce counter, it would take two hours...
Hinweis: TPM_PT_LOCKOUT_COUNTER = 0x20 (dies ist die Zahl '32', die hexadezimal dargestellt wird)

Environment


  • PA-400, PA-1400, PA-3400, PA-5400
  • TPM-Sperre
  • Fehler beim Booten

Cause


Wenn ein Strata-Gerät nicht ordnungsgemäß heruntergefahren wird (Netzstecker, Stromausfall usw.), wird das TPM_PT_LOCKOUT_COUNTER um 1 erhöht.

Sobald dieser Zähler 32 (0x20) erreicht, kann das Gerät nicht gestartet werden, bis der Zähler unter 32 fällt. Dieser Zähler verringert sich alle 2 Stunden, in denen das Gerät eingeschaltet bleibt und ausgeführt wird, ohne dass ein unzulässiges Herunterfahren auftritt.

Benutzer müssen so viele 2-Stunden-Zeiträume verstreichen lassen, wie erforderlich sind, damit dieser Indikator unter 32 fällt, und dann einen ordnungsgemäßen Neustart durchführen. Das Gerät wird dann erfolgreich in PAN-OS gestartet.

Diese Sperre wird durchgeführt, um die Firewall-Hardware vor Schäden im seltenen Fall einer Neustartschleife, einer instabilen Stromversorgung oder eines wiederholten/aufeinanderfolgenden Stromausfalls zu schützen.

Resolution


  1. Eine RMA ist nicht erforderlich
  2. Um das Gerät aus diesem TPM-Sperrzustand wiederherzustellen, lassen Sie das Gerät mindestens 2 Stunden lang eingeschaltet und ununterbrochen betriebsbereit, unabhängig vom Status in der seriellen/Konsolen-CLI. Hinweis: Für jeweils 2 Stunden, die verstreichen, verringert sich der TPM_PT_LOCKOUT_COUNTER um 1.
  3. Warten Sie so viele Stunden, wie erforderlich ist, damit dieser Indikator auf 31 oder weniger reduziert wird (versuchen Sie während dieser Wartezeit nicht, mit dem Gerät zu interagieren, es vom Stromnetz zu trennen, neu zu starten oder hart herunterzufahren).
  4. Wenn genügend Stunden vergangen sind, bis der Indikator 31 oder niedriger erreicht, starten Sie die Firewall im Wartungsmodus , und starten Sie das Gerät ordnungsgemäß neu, indem Sie "Neustart" auswählen:
Screenshot des Wartungsmodus während des Firewall-Bootvorgangs
  1. Das Gerät wird neu gestartet und sollte erfolgreich in PAN-OS gestartet werden, solange der TPM-Indikator 31 oder niedriger ist.

Additional Information


Hinweis: Es gibt ein bekanntes Problem, das bestimmte PAN-OS-Versionen betrifft und manchmal verhindern kann, dass dieser Zähler auf bestimmten Plattformen zuverlässig verringert wird. Dieses Problem wurde in den folgenden Versionen behoben: 10.1.14, 10.2.11, 11.0.7, 11.1.3, 11.2.0 und höher.

Wenn das oben genannte Problem auftritt, aktualisieren Sie das Gerät so bald wie möglich auf eine der oben genannten Versionen oder später.

Firewall der PA-400-Serie startet nicht
So führen Sie eine
TPM-Sperre für ordnungsgemäßes Herunterfahren durch - LIVECommunity
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000scBjCAI&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language