Impossible de mettre à jour GlobalProtect l’application en raison de la signature corrompue
13061
Created On 11/04/20 18:04 PM - Last Modified 05/29/25 03:16 AM
Symptom
- Impossible de mettre à niveau GlobalProtect l’application
- Remarquez l’erreur suivante dans le fichier PanGPS.log ou quelque chose de similaire dans les journaux du système WebUI :
(T10256) Erreur( 165): 21/05/20 23:35:03:335 Le fichier C:\Users\hellc\AppData\Local\Temp\_temp19536.msi est non signé ou corrompu
(T10256)Erreur( 634): 21/05/20 23:35:03:335 fichier n’a pas signé par nous, revenir maintenant
(T10256)Erreur( 634): 21/05/20 23:35:03:335 fichier n’a pas signé par nous, revenir maintenant
Environment
- GlobalProtect Infrastructure déployée
- Environnement AD Windows
- GlobalProtect Application
Cause
Ce problème peut être causé par de multiples raisons, mais dans ce scénario particulier, le problème est causé par une entrée DNS incorrecte pour le GlobalProtect Portail
Resolution
- Dans ce scénario particulier, le client a utilisé 2 entrées distinctes pour DNS son Portail, ce qui a donné lieu à des réponses différentes lorsqu’il FQDN est connecté plutôt que déconnecté : par exemple connecté (10.*)et déconnecté (12.*)
- Toutefois, au cours du processus de mise à niveau, l’adresse du Portail doit se résoudre à la même adresse qui est incluse dans le fichier config qui était IP IP l’adresse interne privée (10.*) plutôt que l’adresse publique IP externe (12.*)
Remarque : Il s’agit d’un extrait du fichier de support technique récupéré sur le portail firewall
<global-protect-portal>
<entry name="PDX-VPN">
<portal-config>
<local-address>
<ip>
<ipv4>10.50.51.2/29</ipv4>
</ip>
<interface>ethernet1/1</interface>
</local-address>
- Chaque tentative de mise à niveau en dehors du réseau a entraîné un échec indiquant que le fichier n’a pas été signé ou corrompu dans le fichier PanGPS.log comme indiqué ci-dessous:
(T10256) Info ( 604): 21/05/20 23:35:03:332 #### updater a commencé, commande est C:\Users\hellc\AppData\Local\Temp\_temp19536.msi
(T10256)Debug( 39): 05/21/20 23:35:03:332 essayez de vérifier le fichier C:\Users\hellc\AppData\Local\Temp\Temp\_temp19536.msi
(T10256)Erreur( 165): 21/05/20 23:35:03:335 Le fichier C:\Users\hellc\AppData\Local\Temp \_temp19536.msi n’est pas signé ou corrompu
(T10256)Erreur( 634): 21/05/20 23:35:03:335 fichier n’a pas signé par nous, revenir maintenant
(T10256)Debug( 39): 05/21/20 23:35:03:332 essayez de vérifier le fichier C:\Users\hellc\AppData\Local\Temp\Temp\_temp19536.msi
(T10256)Erreur( 165): 21/05/20 23:35:03:335 Le fichier C:\Users\hellc\AppData\Local\Temp \_temp19536.msi n’est pas signé ou corrompu
(T10256)Erreur( 634): 21/05/20 23:35:03:335 fichier n’a pas signé par nous, revenir maintenant
- Nous avons confirmé les contrôles md5 appariés entre le fichier temporaire sur la machine de l’utilisateur et ce qui est poussé à partir de Palo Alto Networks serveur de mise à jour pour les versions, mais lors de la tentative de lancer le fichier, il a peuplé une erreur de 404 comme indiqué ci-dessous comme:
- Lorsque le client tente de déclencher le processus de téléchargement manuellement en naviguant vers https://<portal’s ip="" or="" fqdn="">/global-protect/getmsi.esp, nous</portal’s> avons remarqué que l’url se résolvait pour séparer les 's et demandé au client de résoudre le portail en utilisant IP l’adresse publique IP seulement plutôt que d’avoir 2 entrées distinctes pour les utilisateurs internes et les utilisateurs externes.
- Lors de la modification de ce pour résoudre uniquement en utilisant l’externe (12.*) IP l’adresse, GlobalProtect l’application a été en mesure de mettre à niveau sans problème
Additional Information
- Pour plus d’informations concernant la configuration complète GlobalProtect et ses composants, veuillez consulter le document suivant : GlobalProtect Guide admin