GlobalProtect ne parvient pas à se connecter au portail et l’erreur -2146892987 s’affiche dans le fichier PanGPS.logs

GlobalProtect ne parvient pas à se connecter au portail et l’erreur -2146892987 s’affiche dans le fichier PanGPS.logs

20229
Created On 05/30/22 09:03 AM - Last Modified 10/28/25 16:32 PM


Symptom


  • GlobalProtect ne parvient pas à se connecter au portail
  • Le client effectue une boucle entre « Configuration de récupération » et « Portail non valide ».
  • L’erreur suivante s’affiche dans PanGPS .log
'encrypt memory failed with error -2146892987'

Environment


  • GlobalProtect Portail
  • Microsoft Windows
  • Toutes les PAN-OS versions
  • Toutes les GlobalProtect versions

Cause


Lors GlobalProtect de la récupération d’une configuration de portail, pour des raisons de sécurité, elle est chiffrée en mémoire, puis écrite sur le disque.

Ces journaux montrent qu’il y a eu un échec de chiffrement de la configuration en mémoire, ce qui a empêché l’enregistrement de la configuration dans un fichier.
(P8568-T15916)Error( 466): 05/06/22 16:41:19:014 encrypt memory failed with error -2146892987
(P8568-T15916)Error( 336): 05/06/22 16:41:19:019 pan_write_text_to_file(): failed to encrypt conent. File C:\Program Files\Palo Alto Networks\GlobalProtect\PanPortalCfgCriteria_67ea712124a1e4f24eae0bae8a.dat is not written.
(P8568-T15916)Error( 364): 05/06/22 16:41:19:019 Failed to save portal config criteria to file C:\Program Files\Palo Alto Networks\GlobalProtect\PanPortalCfgCriteria_67ea712124a1e4f24eae0bae8a.dat.

GlobalProtect utilise Microsoft Data Protection API pour chiffrer la mémoire et les données. Cette erreur a été générée par le fichier .DPAPI

Resolution


Microsoft fournit plusieurs résolutions selon que l’utilisateur final a accès à un RWDC ou non.

Consultez la documentation Microsoft pour plus de détails sur les correctifs.
DPAPI Échecs de sauvegarde MasterKey - Windows Server | Microsoft Docs

Sans accès à un RWDC, la clé de Registre suivante peut être ajoutée pour que les utilisateurs du domaine sur cet ordinateur utilisent une sauvegarde de clé principale locale au lieu d’une sauvegarde basée sur le domaine.

Emplacement dans le Registre : HKEY_LOCAL_MACHINE\\Microsoft\Cryptography\Protect\Providers\SOFTWAREdf9d8cd0-1501-11d1-8c7a-00c04fc297eb
Type : REG_DWORD
Nom : ProtectionPolicy
Valeur : 1

A redémarrage requis.

Remarque: Étant donné que le problème est lié aux utilisateurs de domaine, l’exécution de PanGPA avec un compte d’ordinateur local peut contourner le problème.
 

Additional Information


Lorsqu'un utilisateur de domaine ouvre une session sur un ordinateur pour la première fois et tente de chiffrer des données pour la première fois, le système d'exploitation doit créer une clé maîtresse préférée DPAPI , basée sur le mot de passe actuel de l'utilisateur. Lors de la création de la DPAPI MasterKey, une tentative de sauvegarde de cette clé principale est effectuée en contactant un RWDCfichier . Si la sauvegarde échoue, la MasterKey ne peut pas être créée.

Ce comportement semble pouvoir être déclenché par des correctifs Microsoft. Dans notre étude de cas, KB5012599 a été identifié comme un déclencheur possible.

Dans les scénarios de travail à distance, les utilisateurs finaux n’ont généralement pas accès à un contrôleur de domaine en lecture-écriture avant de se connecter à GlobalProtect.

DPAPI Échecs de sauvegarde MasterKey - Windows Server | Documents Microsoft
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sYfkCAE&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language