由于 TPM 锁定,防火墙无法启动 - 连续不正常关机次数过多

由于 TPM 锁定,防火墙无法启动 - 连续不正常关机次数过多

20764
Created On 05/07/24 20:17 PM - Last Modified 07/14/25 19:52 PM


Symptom


  • PAN-OS 设备无法启动,并可能在串行/控制台 CLI 上显示如下输出:
TPM_PT_LOCKOUT_COUNTER = 0x20
TPM_PT_MAX_AUTH_FAIL = 0x20
TPM_PT_LOCKOUT_INTERVAL = 0x1C20 (2 h 0 min) Please hold ESC key to continue to boot.

Please press and hold the ESC key to continue to boot.
[2023-04-12 09:19:50.018] Otherwise, stop booting...
[2023-04-12 09:19:50.018] [WARNING] The TPM Lockout counter reached to full!!!
[2023-04-12 09:19:50.018] Stop booting for waiting TPM LOCKOUT reduce counter, it would take two hours...
注意:TPM_PT_LOCKOUT_COUNTER = 0x20(这是十六进制表示的数字“32”)

Environment


  • PA-400、PA-1400、PA-3400、PA-5400
  • TPM 锁定
  • 启动失败

Cause


当 Strata 设备遇到不正常关机(拔下插头、断电等)时,TPM_PT_LOCKOUT_COUNTER将增加 1。

一旦此计数器达到 32 (0x20),设备将无法启动,直到计数器降至 32 以下。 此计数器每 2 小时递减一次:设备保持开机并运行,而不会发生不正常关机。

用户必须根据需要让尽可能多的 2 小时时间过后,此计数器的值将降至 32 以下,然后执行正常重启。 然后,设备将成功启动到 PAN-OS。

执行此锁定是为了在罕见的重启循环、电源不稳定或重复/连续断电的情况下保护防火墙硬件免受损坏。

Resolution


  1. 不需要 RMA
  2. 若要从此 TPM 锁定状态中恢复设备,请保持设备开机、启动和运行至少 2 小时,而不考虑串行/控制台 CLI 上的状态。 注意:每过去 2 小时,TPM_PT_LOCKOUT_COUNTER将减少 1。
  3. 根据需要等待尽可能多的小时,让此计数器减少到 31 或更低(在此等待时间内,请勿尝试与设备交互、拔下、重新启动或硬关闭设备)。
  4. 一旦经过足够的小时,计数器达到 31 或更低,将防火墙启动到 维护模式 ,并通过选择“重新启动”来正常重新启动设备:
防火墙启动过程中的维护模式屏幕截图
  1. 只要 TPM 计数器为 31 或更低,设备将重新启动并应成功启动到 PAN-OS。

Additional Information


注意:存在影响某些 PAN-OS 版本的已知问题,该问题有时可能会阻止此计数器在某些平台上可靠地减少。 此问题已在以下版本中得到解决:10.1.14、10.2.11、11.0.7、11.1.3、11.2.0 及更高版本。

如果您遇到上述问题,请尽快将设备升级到上述或更高版本的版本之一。

PA-400 系列防火墙无法启动
如何执行优雅关
TPM 锁定 - LIVECommunity
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000scBjCAI&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language