Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Verwaltete Firewalls werden angezeigt Panorama , obwohl die Net... - Knowledge Base - Palo Alto Networks

Verwaltete Firewalls werden angezeigt Panorama , obwohl die Netzwerkverbindung gut ist.

152108
Created On 06/20/22 07:17 AM - Last Modified 10/24/23 17:39 PM


Symptom


  • Verwaltete Firewalls werden von 10.1 PAN-OS getrenntPanorama.
    • > show panorama-status
  • Pings zwischen den Firewalls und Panorama funktionieren.
  • Die Netstat-Ausgabe auf den Firewalls zeigt, dass Verbindungen zum Panorama Port 3978 hergestellt werden.
    • > show netstat all yes numeric-hosts yes numeric-ports yes
      
      Example:
      admin@hio-awsgwlbine1e2pafwA-1> show netstat all yes numeric-hosts yes numeric-ports yes | match 172.31.17.171
      tcp        0      0 10.59.142.180:56872     172.31.17.171:3978      ESTABLISHED
      tcp        0      0 10.59.142.180:33018     172.31.17.171:3978      ESTABLISHED
  • MS.log auf der zeigt Firewall die folgenden Fehler: -
    • > less mp-log ms.log
       -0700 cmsa: agent index=0
       -0700 Warning:  sc3_get_current_sc3(sc3_utils.c:179): SC3: failed to get SNI
       -0700 Warning:  sc3_get_current_sc3(sc3_utils.c:182): SC3: failed to get CCN
       -0700 [Secure conn] Secure channel for Firewall to panorama communication not enabled for secure conn.
       -0700 Warning:  pan_cmsa_mgmt_assign_ssl_ctx(src_panos/cms_agent.c:2348): client using default (legacy) context
       -0700 Warning:  sc3_get_current_sc3(sc3_utils.c:179): SC3: failed to get SNI
       -0700 Warning:  sc3_get_current_sc3(sc3_utils.c:182): SC3: failed to get CCN
       -0700 COMM: connection established. sock=27 remote ip=XXXX port=3978 local port=60392
       -0700 cms agent: Pre. send buffer limit=46080. s=27
       -0700 cms agent: Post. send buffer limit=2097152. s=27
       -0700 Error:  cs_load_certs_ex(cs_common.c:655): keyfile not exists
       -0700 Error:  pan_cmsa_tcp_channel_setup(src_panos/cms_agent.c:883): cms agent: cs_load_certs_ex failed
       -0700 cmsa: client will use default context
       -0700 Error:  sc3_ca_exists(sc3_certs.c:221): SC3: Failed to get the current CA name.
       -0700 Warning:  sc3_init_sc3(sc3_utils.c:351): SC3: Failed to get the Current CC name
       -0700 SC3: CA: '', CC/CSR: 'XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXX'
       -0700 Warning:  sc3_get_current_sc3(sc3_utils.c:179): SC3: failed to get SNI
       -0700 Warning:  sc3_get_current_sc3(sc3_utils.c:182): SC3: failed to get CCN
       -0700 Warning:  sc3_init_sctx(sc3_ctx.c:323): SC3: not set, skip cert loading
       -0700 SC3A: using SNI (from AK): XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXX
       -0700 SC3A: using sc3 ctx with no cert
       -0700 Warning:  sc3_get_current_sc3(sc3_utils.c:179): SC3: failed to get SNI
      ......
      

       


Environment


  • Firewalls, die von Panorama
  • Panorama ist auf PAN-OS 10.1 und höher
  • Verwaltet Firewall PAN-OS 10.1
  • Gesichertes Onboarding 


Cause




Resolution


 
  1. Überprüfen Sie, ob ein gültiger Authentifizierungsschlüssel auf der folgenden Seite Panorama vorhanden ist:
    • Panorama > Authentifizierungsschlüssel für die Geräteregistrierung
  2. Erstellen Sie eine neue, wenn noch keine gültige vorhanden ist:
  3. Entfernen Sie die von verwalteten Firewall Geräten auf der und Panorama führen Sie einen lokalen Panorama Commit durch.
    • Panorama > Managed Devices > Zusammenfassung
  4. Entfernen Sie die Panorama IP Adresse aus dem und Firewall führen Sie einen lokalen Firewall Commit durch.
    • Einrichtung > Einstellungen für Gerät > Panorama
  5. Fügen Sie das Firewall Gerät als verwaltetes Gerät wieder hinzu Panorama und führen Sie einen lokalen Panorama Commit durch.
  6. Fügen Sie die Panorama IP Adresse Firewall zusammen mit dem Authentifizierungsschlüssel hinzu, und führen Sie einen lokalen Commit durch.
  7. Den Authentifizierungsschlüssel finden Sie unter Panorama > Authentifizierungsschlüssel für die Geräteregistrierung


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wkjSCAQ&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language