El firewall no puede arrancar debido al bloqueo de TPM: demasiados apagados consecutivos desagradables

El firewall no puede arrancar debido al bloqueo de TPM: demasiados apagados consecutivos desagradables

20913
Created On 05/07/24 20:17 PM - Last Modified 07/14/25 19:52 PM


Symptom


  • El dispositivo PAN-OS no se inicia y puede mostrar una salida como la siguiente en la CLI de serie/consola:
TPM_PT_LOCKOUT_COUNTER = 0x20
TPM_PT_MAX_AUTH_FAIL = 0x20
TPM_PT_LOCKOUT_INTERVAL = 0x1C20 (2 h 0 min) Please hold ESC key to continue to boot.

Please press and hold the ESC key to continue to boot.
[2023-04-12 09:19:50.018] Otherwise, stop booting...
[2023-04-12 09:19:50.018] [WARNING] The TPM Lockout counter reached to full!!!
[2023-04-12 09:19:50.018] Stop booting for waiting TPM LOCKOUT reduce counter, it would take two hours...
Nota: TPM_PT_LOCKOUT_COUNTER = 0x20 (este es el número '32' representado en hexadecimal)

Environment


  • PA-400, PA-1400, PA-3400, PA-5400
  • Bloqueo de TPM
  • Error de arranque

Cause


Cuando un dispositivo Strata experimenta un apagado incorrecto (desenchufe, corte de energía, etcetera.), el TPM_PT_LOCKOUT_COUNTER se incrementa en 1.

Una vez que este contador llegue a 32 (0x20), el dispositivo no podrá arrancar hasta que el contador disminuya por debajo de 32. Este contador disminuye cada 2 horas, el dispositivo permanece encendido y funcionando sin que se produzca un apagado desagradable.

Los usuarios deben dejar pasar tantos períodos de 2 horas como sea necesario para que este contador quede por debajo de 32 y, a continuación, realizar un reinicio correcto. A continuación, el dispositivo se iniciará con éxito en PAN-OS.

Este bloqueo se realiza para proteger el hardware del firewall de daños en el raro caso de un bucle de reinicio, energía inestable o una situación de corte de energía repetida o consecutiva.

Resolution


  1. No se requiere una RMA
  2. Para recuperar el dispositivo de este estado de bloqueo de TPM, deje el dispositivo encendido, en funcionamiento y en funcionamiento ininterrumpido durante al menos 2 horas, independientemente del estado de la CLI de serie o consola. Nota: Por cada 2 horas que transcurran, el TPM_PT_LOCKOUT_COUNTER disminuirá en 1.
  3. Espere tantas horas como sea necesario para que este contador se reduzca a 31 o menos (no intente interactuar, desenchufar, reiniciar o apagar el dispositivo durante este tiempo de espera).
  4. Una vez que hayan pasado suficientes horas para que el contador alcance 31 o menos, inicie el firewall en modo de mantenimiento y reinicie el dispositivo con gracia seleccionando "Reiniciar":
Captura de pantalla del modo de mantenimiento durante el proceso de arranque del firewall
  1. El dispositivo se reiniciará y debería arrancar correctamente en PAN-OS siempre que el contador de TPM sea 31 o menos.

Additional Information


Nota: Existe un problema conocido que afecta a ciertas versiones de PAN-OS que a veces puede impedir que este contador disminuya de manera confiable en ciertas plataformas. Este problema se resuelve en las siguientes versiones: 10.1.14, 10.2.11, 11.0.7, 11.1.3, 11.2.0 y posteriores.

Si experimenta el problema anterior, actualice el dispositivo a una de las versiones anteriores o posteriores lo antes posible.

El firewall de la serie PA-400 no arranca
Cómo realizar un
bloqueo de TPM de apagado correcto - LIVECommunity
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000scBjCAI&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language