Error en el VPN post-script debido al error 87
Symptom
- Los siguientes mensajes de error presentes en el PanGPS.log:
(T5288) 08/11/20 09:21:44:714 Debug( 176): Ejecute cmd " C :\Program" Files\Palo Alto Networks\ GlobalProtect \VPNLogonScriptLauncher.exe en la sesión 1 como usuario
(T5288) 08/11/20 09:21:44:721 Error( 270): ERROR WTSQueryUserToken. Error: 5
(T5288) 08/11/20 09:21:44:722 Error( 311): RunProcessIntoDifferentSession: failed to SetTokenInformation. Error: 1314
(T5288) 08/11/20 09:21:44:748 Error( 370): CreateProcessAsUser falló con el valor Error: 2
(T5288) 08/11/20 09:21:44:748 Error(3338): No se pudo abrir el proceso 0. Error 87
(T5288) 08/11/20 09:21:44:749 Error(3390): No se pudo iniciar el comando. Error 1008. Comando C :\Archivos de programa\Palo Alto Networks\ GlobalProtect \VPNLogonScriptLauncher.exe como usuario, tiempo de espera 0.
(T5288) 08/11/20 09:21:44:749 Debug(3393): El resultado es false para el comando C run :\Program Files\Palo Alto Networks\ GlobalProtect \VPNLogonScriptLauncher.exe. como usuario, timeout 0
Environment
- Infraestructura existente GlobalProtect como se menciona aquí: Guía del GlobalProtect administrador
- VPNPost-script configurado para ejecutarse como se menciona aquí: Opciones de implementación de script
Cause
- La causa raíz de este error se debe típicamente a los parámetros no válidos configurados dentro del script. Esto podría incluir cualquier cosa, desde ortografía incorrecta, sintaxis incorrecta, ubicación del archivo, etc.
Resolution
- Para asegurarse de que el script puede ejecutarse correctamente, revise la configuración para asegurarse de que no incluye errores comunes que impliquen la ortografía, la sintaxis y la ubicación del archivo correctos
- El error más común cometido durante la configuración es la adición de espacios líderes en el script
- En este ejemplo, el cliente configuró el comando script file como C:\Program Files\Palo Alto Networks\ GlobalProtect \VPNLogonScriptLauncher.exe sin usar comillas para ajustar el texto
- Como se ve a continuación, esto da lugar a que el servicio PanGP analice la información incorrectamente:
(T5288) 08/11/20 09:21:44:714 Debug(3308): La ruta completa es " C :\Program"
(T5288) 08/11/20 09:21:44:714 Debug(3313): El comando completo es " C :\Program" Files\Palo Alto Networks\ GlobalProtect \VPNLogonScriptLauncher.exe
- Al ajustar el comando con presupuestos como " C :\Archivos de programa\Palo Alto Networks\ GlobalProtect \VPNLogonScriptLauncher.exe" dentro del valor del Registro de comandos, podemos evitar que el servicio PanGP analice incorrectamente el comando y permita que el comando se complete correctamente.
Additional Information
Para obtener información adicional sobre la configuración de la GlobalProtect infraestructura, lea el siguiente documento que se incluye a continuación:
Introducción GlobalProtect