GlobalProtect由于损坏签名而无法更新应用
13031
Created On 11/04/20 18:04 PM - Last Modified 05/29/25 03:16 AM
Symptom
- 无法升级 GlobalProtect 应用程序
- 请注意 PanGPS 文件中的以下错误.log WebUI 系统日志中的类似错误:
(T10256)错误 (165): 05/21/20 23:35:03:335 文件C_temp19536.msi :未签名或损坏
(T10256) 错误 (634): 05/21/20 23:35:03:335 文件未由我们签名, 立即返回
(T10256) 错误 (634): 05/21/20 23:35:03:335 文件未由我们签名, 立即返回
Environment
- GlobalProtect 已部署基础设施
- 视窗 AD 环境
- GlobalProtect 应用程序
Cause
此问题可能由多种原因引起,但在此特定情况下,问题是由门户的不正确 DNS 条目引起的 GlobalProtect
Resolution
- 在此特定情景中,客户使用 2 个单独 DNS 的条目来处理其门户 FQDN ,在连接而不是断开连接时产生不同的响应:例如连接 (10.*)并断开连接 (12.*)
- 但是,在升级过程中,Portal 的 IP 地址必须解决与 IP 配置文件中包含的相同地址(即私人内部地址 (10.*),而不是外部公共 IP 地址 (12.*)
注意:这是从门户中检索到的技术支持文件中的片段 firewall
<global-protect-portal>
<entry name="PDX-VPN">
<portal-config>
<local-address>
<ip>
<ipv4>10.50.51.2/29</ipv4>
</ip>
<interface>ethernet1/1</interface>
</local-address>
- 每次在网络外部进行升级尝试都导致失败,指出文件在 PanGPS 文件中未签名或.log,如下所示:
(T10256)信息 (604): 05/21/20 23:35:03:332 ###更新器开始, 命令是C:\用户[地狱]应用程序数据[本地]临时]_temp19536.msi(T10256)Debug
(39): 05/21/20 23:35:03:332 尝试验证文件C: _temp19536.msi
(T10256) 错误 (165): 05/21/20 23:35:03:335 文件C: \_temp19536.msi未签名或损坏
(T10256) 错误 (634): 05/21/20 23:35:03:335 文件未由我们签署, 立即返回
(39): 05/21/20 23:35:03:332 尝试验证文件C: _temp19536.msi
(T10256) 错误 (165): 05/21/20 23:35:03:335 文件C: \_temp19536.msi未签名或损坏
(T10256) 错误 (634): 05/21/20 23:35:03:335 文件未由我们签署, 立即返回
- 我们确认了用户计算机上的临时文件与从 Palo Alto 网络更新服务器推送的版本之间匹配的 md5 校验和,但在尝试启动该文件时,它填充了 404 错误,如下所示:
- 当客户尝试通过导航到<portal’s ip="" or="" fqdn="">https:///全球保护/getmsi.esp</portal’s>手动触发下载过程时,我们注意到网址正在解决分离 IP 问题,并要求客户仅使用公共地址解决门户, IP 而不是为内部用户和外部用户提供 2 个单独的条目。
- 将更改为仅使用外部解析 (12.*) IP 地址, GlobalProtect 应用程序能够升级没有问题
Additional Information
- 有关完整配置 GlobalProtect 及其组件的其他信息,请参阅以下文档: GlobalProtect 管理指南