GlobalProtect kann keine Verbindung zum Portal hergestellt werden, und Fehler -2146892987 wird in den PanGPS.logs angezeigt

GlobalProtect kann keine Verbindung zum Portal hergestellt werden, und Fehler -2146892987 wird in den PanGPS.logs angezeigt

20229
Created On 05/30/22 09:03 AM - Last Modified 10/28/25 16:32 PM


Symptom


  • GlobalProtect keine Verbindung zum Portal hergestellt werden kann
  • Der Client wechselt zwischen "Konfiguration wird abgerufen" und "Ungültiges Portal".
  • Der folgende Fehler wird in PanGPS angezeigt.log
'encrypt memory failed with error -2146892987'

Environment


  • GlobalProtect Portal
  • Microsoft Windows
  • Alle PAN-OS Versionen
  • Alle GlobalProtect Versionen

Cause


Beim GlobalProtect Abrufen einer Portalkonfiguration wird diese aus Sicherheitsgründen im Arbeitsspeicher verschlüsselt und dann auf die Festplatte geschrieben.

Diese Protokolle zeigen, dass die Konfiguration im Speicher nicht verschlüsselt werden konnte, wodurch verhindert wurde, dass die Konfiguration in einer Datei gespeichert werden konnte.
(P8568-T15916)Error( 466): 05/06/22 16:41:19:014 encrypt memory failed with error -2146892987
(P8568-T15916)Error( 336): 05/06/22 16:41:19:019 pan_write_text_to_file(): failed to encrypt conent. File C:\Program Files\Palo Alto Networks\GlobalProtect\PanPortalCfgCriteria_67ea712124a1e4f24eae0bae8a.dat is not written.
(P8568-T15916)Error( 364): 05/06/22 16:41:19:019 Failed to save portal config criteria to file C:\Program Files\Palo Alto Networks\GlobalProtect\PanPortalCfgCriteria_67ea712124a1e4f24eae0bae8a.dat.

GlobalProtect verwendet den Microsoft-Datenschutz API , um Speicher und Daten zu verschlüsseln. Dieser Fehler wurde von Windows DPAPI.

Resolution


Microsoft bietet mehrere Lösungen, je nachdem, ob der Endbenutzer Zugriff auf eine RWDC hat oder nicht.

Weitere Informationen zu den Updates finden Sie in der Microsoft-Dokumentation.
DPAPI Fehler bei der MasterKey-Sicherung - Windows Server | Microsoft Docs

Ohne Zugriff auf einen RWDCkann der folgende Registrierungsschlüssel hinzugefügt werden, damit die Domänenbenutzer auf diesem Computer eine lokale Hauptschlüsselsicherung anstelle einer domänenbasierten Sicherung verwenden.

Registrierungsspeicherort: HKEY_LOCAL_MACHINE\\Microsoft\Cryptography\Protect\Providers\SOFTWAREdf9d8cd0-1501-11d1-8c7a-00c04fc297eb
Typ: REG_DWORD
Name: ProtectionPolicy
Wert: 1

A Neustart erforderlich.

Hinweis: Da das Problem mit Domänenbenutzern zusammenhängt, kann das Problem durch Ausführen von PanGPA mit einem lokalen Computerkonto umgangen werden.
 

Additional Information


Wenn sich ein Domänenbenutzer zum ersten Mal an einem Computer anmeldet und zum ersten Mal versucht, Daten zu verschlüsseln, muss das Betriebssystem einen bevorzugten DPAPI MasterKey erstellen, der auf dem aktuellen Kennwort des Benutzers basiert. Während der Erstellung des DPAPI MasterKey wird versucht, diesen Masterschlüssel zu sichern, indem ein kontaktiert wird RWDC. Wenn die Sicherung fehlschlägt, kann der MasterKey nicht erstellt werden.

Dieses Verhalten scheint durch Microsoft-Patches ausgelöst werden zu können. In unserer Fallstudie wurde KB5012599 als möglicher Auslöser identifiziert.

In Remotearbeitsszenarien haben Endbenutzer in der Regel keinen Zugriff auf einen Domänencontroller mit Lese-/Schreibzugriff, bevor sie eine Verbindung mit GlobalProtectherstellen.

DPAPI Fehler bei der MasterKey-Sicherung - Windows Server | Microsoft Docs
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sYfkCAE&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language