Fortinet商品など
FortiGateのHAが同期されない場合の対処法について
FortiGateのHA(High Availability)構成は、ネットワークの冗長性と可用性を高める重要な仕組みです。
しかし、HAの同期が失敗すると、冗長構成の意味が失われるだけでなく、サービス停止リスクや障害復旧の遅延にも直結します。
この記事では、HAの同期がされない/不安定になる場合の主な原因とその具体的な対処法を、実務視点で徹底的に解説します。
よくある症状一覧
| 症状 | 想定される原因 |
|---|---|
| セカンダリユニットがクラスタに参加しない | ファームウェア不一致、物理リンク異常、設定差異 |
| HAが「out of sync」状態になる | インターフェース設定差異、証明書未同期、ログ差異 |
| 一時的に同期されるがすぐ切れる | heartbeat通信障害、MTU不整合 |
| セカンダリが誤ってマスターになる | priority未設定、override無効 |
物理接続・HAインターフェースの確認
チェックポイント
- HAインターフェースに専用ポートを割り当てているか?
- 同一セグメントでL2通信が可能か?
- スイッチ側でVLANトランキングやSTPなどによりパケットが制限されていないか?
対処法
- ケーブルの差し間違い、リンクダウンの有無を確認
- L2スイッチ上でHA用ポートがブロックされていないか確認(ポートセキュリティ、BPDUガードなど)
get system interface physicalでリンク状態を確認
ファームウェアのバージョンを統一
HA構成には完全一致したファームウェアバージョンとビルド番号が必要です。
チェックコマンド
get system status
対処法
- セカンダリが古い/異なるバージョンの場合は、マスターと同じファームウェアに手動でアップグレード
- アップグレード後、電源再投入も忘れずに実施
優先度とマスター選出の制御
HAクラスタでは、デフォルトでシリアル番号が小さい方がマスターに選ばれます。
対処法
意図的にマスターを固定するには、以下の設定を適用。
config system ha
set group-name "HA-GRP"
set mode a-p
set priority 200
set override enable
set hbdev "ha1" 100
end
※
overrideが無効の場合、シリアル番号でマスターが決まるため注意。
同期されない設定項目への対応
FortiGate HAでは、以下の設定項目は自動で同期されません。
| 同期されない項目 | 対処方法 |
|---|---|
| 管理者パスワード | 手動で設定 |
| ローカル証明書 | GUIまたはCLIで個別にインポート |
| FortiCloudログ、ログディスク設定 | 同一構成に手動変更 |
| 管理インターフェースIP(通常は各ユニットで別IP) | 明示的に設定 |
セカンダリを初期化せずに手動設定をしていた場合、差異が原因で「out of sync」になることも。
heartbeat通信の確認(MTU含む)
HAは内部的にheartbeat(心拍)パケットを使って同期と生存確認を行っています。
対処法
diagnose sys ha statusでheartbeat状態を確認config system haにてhbdevに複数ポートを割り当て、冗長化- jumbo frameなどのMTU差異が原因でheartbeatが破棄されることがあるため、MTU設定を確認
同期エラーのログ確認(hatalkログ)
GUIで「HA out-of-sync」と表示された場合、ログで原因を突き止めることが重要です。
調査用コマンド
diagnose debug enable
diagnose debug application hatalk -1
このログから、
- 設定の差異
- 証明書の不一致
- heartbeatの異常
などを確認可能です。
セカンダリユニットのファイル破損/初期化
ごく稀に、セカンダリユニットのファイルシステムが破損しており、何をしても同期できない/不安定になることがあります。
対処法
- セカンダリユニットを一時的にHAクラスタから外す
- 初期化(※すべての設定が消えるので要注意):
execute factoryreset - マスターに再接続し、自動同期を確認
FortiCloud / FortiGuard ライセンスの影響
HA構成そのものにはライセンスの一致は必須ではありませんが、ライセンス差異があると以下のような影響が出る可能性があります。
| 項目 | 影響 |
|---|---|
| FortiGuard WebFilter | 機能に差異が出る |
| FortiCloudログ保存 | セカンダリがログを送信できない場合あり |
| 自動バックアップ | FortiCare未登録機では不可 |
対処法
- 両機とも FortiCare に登録されているか確認
- FortiManagerやFortiAnalyzer使用時は、登録状態と同期設定も確認
トラブルシュートフロー(まとめ)
get system ha statusで同期ステータスを確認diagnose sys ha statusでheartbeat状態をチェックdiagnose debug application hatalk -1で同期エラーを特定- インターフェース構成・ファームウェア・設定差異を比較
- 必要に応じてセカンダリの初期化と再参加を実施
FortiGate HA構成のベストプラクティス
| 項目 | 推奨設定 |
|---|---|
| HAインターフェース | 専用物理ポートを使用(共有しない) |
| heartbeatポート | 2系統以上を設定し冗長化 |
| 優先度設定 | set priority + set override enable を使用 |
| 同期トリガー | セカンダリは初期状態でHAクラスタに参加させる |
| ログ監視 | hatalkログを定期的に確認 |
| ファイル同期 | ローカル証明書などは手動で反映すること |
結論
FortiGate HAが同期されない場合、その原因は物理接続から設定の細部、ログ確認まで多岐にわたります。
トラブルが発生した際は、以下の3つを意識して対処しましょう。
- 段階的に原因を切り分ける(構造的アプローチ)
- CLIを用いた正確なステータス確認とログ解析
- 再構築を視野に入れた判断力
HA構成は冗長化の要であり、障害対応力がネットワークの信頼性を左右します。
本記事を参考に、堅牢なHA環境を維持・復旧できる体制を整えてください。
以上、FortiGateのHAが同期されない場合の対処法についてでした。
最後までお読みいただき、ありがとうございました。
商品カテゴリから探す
「安心のセキュリティをお得な価格」でご提供!
Fortinet商品など
受付時間 / 9:00~17:00 定休日 / 土・日・祝
【大阪本社】
〒531-0072
大阪市北区豊崎3-19-3
ピアスタワー6階
電話番号:06-6359-5533
FAX番号:06-6359-5534
【東京支店】
〒104-0032
東京都中央区八丁堀3-25-8
八丁堀陽光ビル3階A
電話番号:03-6823-1313
【福岡支店】
〒812-0038
福岡市博多区祇園町8-13
第一プリンスビル1階
(The Company キャナルシティ博多前)
電話番号:092-600-1222
