L'agent de gestion autonome de l'expérience numérique (ADEM) ne se connecte pas avec l'erreur « Une erreur s'est produite lors de l'obtention de l'ID du sous-locataire »

• La gestion autonome de l'expérience numérique (ADEM) est correctement configurée et activée côté GlobalProtect, mais aucune donnée n'est disponible dans Strata Cloud Manager pour l'expérience.
• The Agent logs "palo_alto_networks_dem_update_service.log" shows following errors.

  [date-time INFO] Start updating agent.
  [date-time WARN] No subtenant-id found...
  [date-time EROR] Error occurred getting subtenant-id.
  System.Security.Cryptography.CryptographicException: Cryptography_InvalidPadding
     at Internal.Cryptography.UniversalCryptoDecryptor.GetPaddingLength(ReadOnlySpan`1 )
  -
  -
  -
  -
  [date-time EROR] Error occurred getting subtenant-id.
  
  

• Ce problème s'applique uniquement à Windows.
• Le groupe de fichiers journaux GlobalProtect ne contiendra pas les fichiers journaux palo_alto_networks_dem_agent.log et palo_alto_networks_dem_service.log . (Ces fichiers journaux manquants indiquent que DEM n'a pas pu démarrer les services pour fonctionner)

• Prisma Access pour les utilisateurs mobiles.
• Agent de gestion de l'expérience numérique autonome version 5.3 ou inférieure.
• Windows uniquement.

• L'agent ADEM démarre un processus de mettre à jour et doit calculer l'ID du locataire Prisma Access pour se connecter au backend Prisma Access afin de télécharger la configuration.
• L'agent utilise l'utilitaire Windows WMIC pour récupérer le numéro de série du appareil dans le cadre du processus.
• Si le WMIC n'est pas activé/autorisé sur le système Windows ou si le numéro de série du BIOS est NULL (non défini), le processus de calcul de l'ID du locataire échouera et les journaux afficheront l'erreur fournie ci-dessus.
• Cela empêchera l'agent de se connecter.

1. Autoriser WMIC s'exécuter pour résoudre ce problème. Travaillez avec votre équipe informatique locale pour cela.
2. S'il existe d'autres problèmes concernant l'autorisation du WMIC pour tous les processus, Autoriser -le uniquement pour le processus DEMUpdateService.exe
3. Prisma Access publiera une nouvelle version de l'agent ADEM qui utilisera une approche alternative et supprimera la dépendance wmic.
4. Assurez-vous que le numéro de série est défini dans le BIOS.

Pour confirmer que vous rencontrez ce problème, exécutez la commande suivante dans Windows Powershell qui échouera (sans privilèges d'administrateur)

wmic bios get serialnumber

Résultat lorsque « wmic » n'est pas disponible.


Résultat lorsque le numéro de série n'a pas été défini dans le BIOS mais que le wmis est disponible.