TPM ロックアウトが原因でファイアウォールが起動に失敗する - 連続するアングレースフル シャットダウンが多すぎる
20792
Created On 05/07/24 20:17 PM - Last Modified 07/14/25 19:52 PM
Symptom
- PAN-OS デバイスのブートに失敗し、シリアル/コンソール CLI に次のような出力が表示される場合があります。
TPM_PT_LOCKOUT_COUNTER = 0x20 TPM_PT_MAX_AUTH_FAIL = 0x20 TPM_PT_LOCKOUT_INTERVAL = 0x1C20 (2 h 0 min) Please hold ESC key to continue to boot. Please press and hold the ESC key to continue to boot. [2023-04-12 09:19:50.018] Otherwise, stop booting... [2023-04-12 09:19:50.018] [WARNING] The TPM Lockout counter reached to full!!! [2023-04-12 09:19:50.018] Stop booting for waiting TPM LOCKOUT reduce counter, it would take two hours...
注: TPM_PT_LOCKOUT_COUNTER = 0x20 (これは 16 進数で表される数値 '32' です)
Environment
- PA-400、PA-1400、PA-3400、PA-5400
- TPMロックアウト
- ブートの失敗
Cause
Strataデバイスでアングレースフルシャットダウン(プラグの抜栓、停電など)が発生すると、TPM_PT_LOCKOUT_COUNTERは1.
ずつ増加します。このカウンタが 32 (0x20) に達すると、カウンタが 32 を下回るまでデバイスの起動に失敗します。 このカウンタは 2 時間ごとにデクリメントされ、デバイスの電源がオンになって動作したままで、不正なシャットダウンは発生しません
ユーザーは、このカウンタが 32 を下回るまで必要なだけ 2 時間経過させてから、正常な再起動を実行する必要があります。 その後、デバイスは PAN-OS で正常に起動します
このロックアウトは、再起動ループ、不安定な電源、または繰り返し/連続した停電状況のまれなイベントで、ファイアウォールハードウェアを損傷から保護するために行われます。
Resolution
- RMAは必要ありません
- この TPM ロックアウト状態からデバイスを回復するには、シリアル/コンソール CLI のステータスに関係なく、デバイスの電源をオンにし、少なくとも 2 時間中断せずに稼働させたままにします。 注: 2 時間が経過するごとに、TPM_PT_LOCKOUT_COUNTERは 1 ずつ減少します。
- このカウンタが 31 以下に減少するまで、必要な時間だけ待ちます (この待機時間中は、デバイスとの対話、プラグの抜出、再起動、またはハード シャットダウンを試みないでください)。
- カウンタが 31 以下に達するのに十分な時間が経過したら、ファイアウォールを メンテナンス モードで 起動し、[再起動] を選択してデバイスを正常に再起動します。
- デバイスは再起動し、TPM カウンターが 31 以下である限り、PAN-OS で正常に起動する必要があります。
Additional Information
注: 特定の PAN-OS バージョンに影響する既知の問題があり、特定のプラットフォームではこのカウンタが確実に減少しない場合があります。 この問題は、10.1.14、10.2.11、11.0.7、11.1.3、11.2.0 以降のバージョンで解決されています
上記の問題が発生した場合は、できるだけ早くデバイスを上記またはそれ以降のバージョンのいずれかにアップグレードしてください。
PA-400シリーズファイアウォールが起動しない
TPMロックアウトのグレースフルシャットダウン方法
- LIVECommunity