GlobalProtect no se conecta al Portal y se ve el error -2146892987 en PanGPS.logs

GlobalProtect no se conecta al Portal y se ve el error -2146892987 en PanGPS.logs

20229
Created On 05/30/22 09:03 AM - Last Modified 10/28/25 16:32 PM


Symptom


  • GlobalProtect no se puede conectar al Portal
  • El cliente está en bucle entre "Recuperando configuración" y "Portal no válido".
  • El siguiente error se ve en PanGPS.log
'encrypt memory failed with error -2146892987'

Environment


  • GlobalProtect Portal
  • Microsoft Windows
  • Todas las PAN-OS versiones
  • Todas las GlobalProtect versiones

Cause


Cuando GlobalProtect recupera una configuración del portal, por motivos de seguridad se cifra en la memoria y luego se escribe en el disco.

Estos registros muestran que hubo un error al cifrar la configuración en la memoria, lo que impidió que la configuración se guardara en el archivo.
(P8568-T15916)Error( 466): 05/06/22 16:41:19:014 encrypt memory failed with error -2146892987
(P8568-T15916)Error( 336): 05/06/22 16:41:19:019 pan_write_text_to_file(): failed to encrypt conent. File C:\Program Files\Palo Alto Networks\GlobalProtect\PanPortalCfgCriteria_67ea712124a1e4f24eae0bae8a.dat is not written.
(P8568-T15916)Error( 364): 05/06/22 16:41:19:019 Failed to save portal config criteria to file C:\Program Files\Palo Alto Networks\GlobalProtect\PanPortalCfgCriteria_67ea712124a1e4f24eae0bae8a.dat.

GlobalProtect usa Microsoft Data Protection API para cifrar la memoria y los datos. Este error fue generado por el archivo .DPAPI

Resolution


Microsoft proporciona varias resoluciones dependiendo de si el usuario final tiene acceso a una RWDC o no.

Consulte la documentación de Microsoft para obtener detalles sobre las correcciones.
DPAPI Errores de copia de seguridad de MasterKey - Windows Server | Microsoft Docs

Sin acceso a un RWDC, se puede agregar la siguiente clave del Registro para que los usuarios del dominio de ese equipo usen una copia de seguridad de clave maestra local en lugar de una copia de seguridad basada en dominio.

Ubicación del Registro: HKEY_LOCAL_MACHINE\\Microsoft\Cryptography\Protect\Providers\SOFTWAREdf9d8cd0-1501-11d1-8c7a-00c04fc297eb
Tipo: REG_DWORD
Nombre: ProtectionPolicy
Valor: 1

A reinicio requerido.

Nota: Dado que el problema está relacionado con los usuarios del dominio, la ejecución de PanGPA con una cuenta de equipo local puede solucionar el problema.
 

Additional Information


Cuando un usuario de dominio inicia sesión en un equipo por primera vez e intenta cifrar datos por primera vez, el sistema operativo debe crear una MasterKey preferida DPAPI , que se basa en la contraseña actual del usuario. Durante la creación de la DPAPI clave maestra, se intenta realizar una copia de seguridad de esta clave maestra poniéndose en contacto con un RWDCarchivo . Si se produce un error en la copia de seguridad, no se puede crear la MasterKey.

Este comportamiento parece poder ser desencadenado por los parches de Microsoft. En nuestro caso práctico, KB5012599 se identificó como un posible desencadenante.

En escenarios de trabajo remoto, los usuarios finales normalmente no tienen acceso a un controlador de dominio de lectura y escritura antes de conectarse a GlobalProtect.

DPAPI Errores de copia de seguridad de MasterKey - Windows Server | Documentos de Microsoft
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sYfkCAE&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language