GlobalProtect 无法连接到门户,并且在 PanGPS.logs 中看到错误 -2146892987

GlobalProtect 无法连接到门户,并且在 PanGPS.logs 中看到错误 -2146892987

20227
Created On 05/30/22 09:03 AM - Last Modified 10/28/25 16:32 PM


Symptom


  • GlobalProtect 无法连接到门户
  • 客户端在“检索配置”和“无效门户”之间循环。
  • 在 PanGPS.log 中看到以下错误
'encrypt memory failed with error -2146892987'

Environment


  • GlobalProtect 门户网站
  • 微软Windows
  • 全部PAN-OS版本
  • 全部GlobalProtect版本

Cause


什么时候GlobalProtect检索门户配置,出于安全目的,它在内存中加密,然后写入磁盘。

这些日志显示内存中的配置加密失败,导致无法将配置保存到文件中。
(P8568-T15916)Error( 466): 05/06/22 16:41:19:014 encrypt memory failed with error -2146892987
(P8568-T15916)Error( 336): 05/06/22 16:41:19:019 pan_write_text_to_file(): failed to encrypt conent. File C:\Program Files\Palo Alto Networks\GlobalProtect\PanPortalCfgCriteria_67ea712124a1e4f24eae0bae8a.dat is not written.
(P8568-T15916)Error( 364): 05/06/22 16:41:19:019 Failed to save portal config criteria to file C:\Program Files\Palo Alto Networks\GlobalProtect\PanPortalCfgCriteria_67ea712124a1e4f24eae0bae8a.dat.

GlobalProtect 使用 Microsoft 数据保护API加密内存和数据。 此错误是由 Windows 生成的DPAPI.

Resolution


Microsoft 提供多种解决方案,具体取决于最终用户是否有权访问RWDC或不。

有关修复的详细信息,请参阅 Microsoft 文档。
DPAPIMasterKey 备份失败 - Windows Server |微软文档

无法访问RWDC, 可以添加以下注册表项以使该计算机上的域用户使用本地主密钥备份而不是基于域的备份。

登记地点: HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb
类型: REG_DWORD
姓名:保护政策
价值: 1个

A需要重启。

笔记:由于该问题与域用户有关,因此使用本地计算机帐户运行 PanGPA 可以解决该问题。

Additional Information


当域用户第一次登录计算机并第一次尝试加密数据时,操作系统必须创建一个首选DPAPIMasterKey,它基于用户当前的密码。 在创作过程中DPAPIMasterKey,尝试通过联系RWDC. 如果备份失败,则无法创建 MasterKey。

此行为似乎能够由 Microsoft 补丁触发。 在我们的案例研究中,KB5012599 被确定为可能的触发因素。

在远程工作场景中,最终用户在连接到之前通常无权访问读写域控制器GlobalProtect.

DPAPI MasterKey 备份失败 - Windows Server |微软文档
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sYfkCAE&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language