Problema de sincronización de managements de Checkpoint.

Publicado: 11/09/2011 en Checkpoint, Errores
Etiquetas:, , ,

Hace unos días, al revisar el estado de los managements por un problema de instalación de políticas, me dí cuenta que el estado del management secundario de CheckPoint para la alta disponibilidad de las políticas era “Lagging” en lugar de “Synchronized”.

Vale. Stop. Para los que no tengan ni papa de lo que va esto una breve introducción:

Los managements (o gestores de políticas) de Checkpoint puede configurarse en alta disponibilidad. Esto es, que se dispone de un management principal que gestiona las políticas y uno secundario en standby que dispone de una copia actualizada de las políticas, listo para entrar en acción en caso de desastre. Se puede comprobar el estado de la sincronización desde el dashboard Policy > Management High Availability.

Aquí se abre una ventana que nos muestra al management principal como activo y una ventana con el estado del secundario. En esta ventana se nos indica si hay conectividad con este management (Reachable), si está en standby y el estado de la sincronización.

Los posibles estados son:

Never been synchronized – Justo después de instalar cuando aún no se ha sometido a la primera sincronización manual.

Synchronized – está bien sincronizado y tiene la misma información de bases de datos y política de seguridad instalada.

Advanced – la base de datos del management en standby tiene datos más actuales que la del management activo. Esto indica que una de las bases de datos debe ser sobreescrita.

Lagging – El secundario está preparado para sincronizar pero no se ha realizado la misma.

Collision – Hay distintos datos de políticas y de bases de datos en ambos servidores, se deben sincronizar manualmente con la información correcta.

Para realizar la sincronización manual, sólo tenemos que pulsar el botoncito de la parte interior que pone “synchronize”.

Bueno, ¿aclarado? Aclarado.

Como iba diciendo, el estado de mi servidor era “Lagging” lo cual, no es un estado muy bueno ya que, aunque no indica errores graves, significa que el secundario no tiene toda la información necesaria para funcionar. Lo primero que hice fué comprobar la conectividad (ping desde el management principal as secundario) y la sic (objeto del management secundario > Test SIC status) y todo estaba OK.

Lo siguiente fué comprobar la hora y la fecha de ambos servidores, ya que una diferencia entre ellos, es la causa más común de los errores de sincronización. Todo correcto por esta parte, así que procedo a darle al botoncito de sincronizar, pensando que se va a solucionar fácilmente.

Nada más lejos de la realidad. Tras un buen rato pensando, aparece un precioso cartel de error que dice ” Failed to Synchronize: Failed to update internal CA-DB” del management secundario.

Tras un poco de investigación de fondo y de buceo en la KB de Checkpoint, se obtienen dos procedimientos:

Procedimiento 1

En ambos managements al mismo tiempo ejecutar:

# cpstop
# cd $FWDIR/conf
# rm CPMIL*
# rm applications*
# cd mgha/
# rm *
# cpstart

Tras esto, se entra en el dashboard de management principal (a veces falla después de la actuación, así que sigue las recomendaciones del autoestopista galáctico y Don’t Panic! ) y sincroniza manualmente.

A mi este procedimiento me ha funcionado a las mil maravillas. Pero por si no va, aquí va otro:

Procedimiento 2

1. Para el management principal y borra los journals: # rm $FWDIR/conf/mgha/*

2. En el management secundario, haz un backup y borra:
InternalCa.p12
InternalCa.NDB*
InternalCa.crl
ICA.crl

3. Inicia los servidores y sincroniza manualmente.

Y eso es todo. ¡Espero que os sirva de ayuda!

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s