HA 无法更新特征库/License

问题现象

自 2025 年 2 月下旬起，当 FortiGate 的 HA 成员注册到不同 FortiCloud 账户（或其中一个未注册账户）时，HA 集群会出现如下情况：

• 无法执行在线固件升级。
• 不能在线更新 IPS、AV、应用控制等特征库。
• 不能更新 License 合同信息。

诊断方法

1. 在 CLI 下执行以下 Debug 命令。

   diagnose debug application update -1
   diagnose debug enable
   execute update-now

2. 完成后，使用以下命令清除调试信息。

   diagnose debug disable
   diagnose debug reset

3. Debug 日志中会出现类似“Missing contracts, got X, expect X”的错误信息，如下所示。

   upd_act_report_fmg_list[846]-ContractItem (1) does not contain all HA (2): FGVM04TMXXXXXX03
   <>
   upd_status_set_ha_expiry[1532]-Serial Number: FGVM04TMXXXXXX03 - contract processed
   upd_status_set_ha_expiry[1498]-Extracting contract... (SupportLevelDesc=06:Web/Online*10:8x5*20:Premium)
   <>
   upd_status_set_ha_expiry[1547]-Missing contracts, got 1, expect 2  <----错误信息
   upd_status_set_ha_expiry[1565]-Reset expiry
   do_update[690]-UPDATE failed

解决方法

1. 确保 FortiGate HA 集群成员注册到相同的 FortiCloud 账户。
2. 如果 HA 成员不在同一 FortiCloud 账户下，请联系 support_cn@fortinet.com 进行账户转移。

Workaround

1. 可以关闭 HA 成员的备机，或将其进行网络隔离，然后通过 HA 主设备执行 FortiGuard 更新。
2. 使用相同的办法更新 HA 的其他成员。
3. 更新完成后，将其他成员恢复到 HA 集群中。