Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

Guia de Troubleshooting do cliente VPN de AnyConnect - Problemas comuns

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (5 Agosto 2015) | Feedback

Índice

Introdução

Este documento descreve um scenario de Troubleshooting que se aplique aos aplicativos que não trabalham através do Cisco AnyConnect VPN Client.

Contribuído por engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

A informação neste documento é baseada em uma ferramenta de segurança adaptável de Cisco (ASA) essa versão 8.x das corridas.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Processo de Troubleshooting

Este cenário de troubleshooting típico destina-se a aplicações que não funcionam através do Cisco AnyConnect VPN Client para usuários finais com computadores baseados no Microsoft Windows. Estas seções abordam e fornecem soluções para os problemas:

Problemas de Instalação e do Adaptador Virtual

Conclua estes passos:

  1. Obtenha o arquivo do log do dispositivo:

    • Windows XP/Windows 2000:

      \Windows\setupapi.log


    • Windows Vista:

      Nota: É necessário tornar as pastas ocultas visíveis para que seja possível ver estes arquivos.



      \Windows\Inf\setupapi.app.log
          \Windows\Inf\setupapi.dev.log




    Se você identificar erros no arquivo de log do setupapi, você poderá aumentar o nível de verbosidade para 0x2000FFFF conforme descrito neste artigo do Windows KB. Observe o artigo o diz que para o ajustar a 0xFFFF, mas se você adiciona o valor da alta ordem de 0x2, faz o registro mais rapidamente.

  2. Obtenha o arquivo de log do instalador MSI:

    Se esta for uma instalação de implantação via Web inicial, este log estará localizado no diretório temporário de cada usuário.

    • Windows XP/Windows 2000:

      \Documents and Settings\<username>\Local Settings\Temp\


    • Windows Vista:

      \Users\<username>\AppData\Local\Temp\




    Se este for um upgrade automático, este log estará no diretório temporário do sistema:

    \Windows\Temp


    O nome de arquivo está no formato: anyconnect-win-x.x.xxxx-k9-install-yyyyyyyyyyyyyy.log. Obtenha o arquivo mais recente para a versão do cliente que você deseja instalar. x.xxxx muda com base na versão, como 2.0.0343, e yyyyyyyyyyyyyy representa a data e a hora da instalação.

  3. Obtenha o arquivo de informação de sistema do PC:

    1. Desde um Prompt de Comandos/DOS, digite:

      • Windows XP/Windows 2000:

        winmsd /nfo c:\msinfo.nfo


      • Windows Vista:

        msinfo32 /nfo c:\msinfo.nfo


      Nota: Depois que você datilografa nesta alerta, espere. A conclusão do arquivo poderá levar entre dois e cinco minutos.



    2. Obtenha um dump do arquivo systeminfo de um prompt de comando:

      Windows XP e Windows Vista:

      systeminfo c:\sysinfo.txt

Refira AnyConnect: Problema de Banco de Dados de Drivers Corrompido para depurar o problema.

Desconexão ou Incapacidade de Estabelecer a Conexão Inicial

Se você experimenta problemas de conexão com o cliente de AnyConnect, tal como desconexões ou a incapacidade estabelecer uma conexão inicial, obtenha estes arquivos:

  • O arquivo de configuração do ASA para determinar se alguma coisa na configuração está causando a falha de conexão:

    No console do ASA, digite write net x.x.x.x: ASA-Config.txt onde x.x.x.x é endereço do theIP de um servidor TFTP na rede.

    OU

    No console do ASA, digite show running-config. Deixe a configuração completa na tela, a seguir cortare-a -col a um editor de texto e a uma salvaguarda.

  • Os logs de eventos do ASA:

    1. A fim permitir a abertura do ASA para o AUTH, o WebVPN, o secure sockets layer (SSL), e do cliente VPN SSL eventos (SVC), emitem estes comandos CLI:

      config terminal
      logging enable
      logging timestamp
      logging class auth console debugging
      logging class webvpn console debugging
      logging class ssl console debugging
      logging class svc console debugging


    2. Origine uma sessão de AnyConnect e assegure-se de que a falha possa ser reproduzida. Capture as saídas de registro do console a um editor de texto e salvar.

    3. Para desabilitar o log, execute o comando no logging enable.



  • O log do Cisco AnyConnect VPN Client do Windows Event Viewer PC cliente:

    1. Escolha Start > Run.

    2. Entre:

      eventvwr.msc /s


    3. Clicar com o botão direito o log do Cisco AnyConnect VPN Client, e selecione o arquivo de registro da salvaguarda como AnyConnect.evt.

      Nota: Salve-o sempre como formato de arquivo .evt.

Se o usuário não pode conectar com o cliente VPN de AnyConnect, a edição pôde ser relacionada a uma sessão estabelecida do protocolo do Desktop remoto (RDP) ou a um interruptor rápido do usuário permitida no PC cliente. O usuário pode ver as configurações de perfil do AnyConnect determinarem um único usuário local, mas vários usuários locais estão conectados no momento no computador. Uma mensagem de erro VPN connection will not be established no PC cliente. A fim resolver esta edição, desligue todas as sessões estabelecidas RDP e desabilite o interruptor rápido do usuário.

Nota: Certifique-se de que a porta 443 não está obstruída assim que o cliente de AnyConnect pode conectar ao ASA.

Quando um usuário não pode conectar o cliente VPN de AnyConnect ao ASA, a edição pôde ser causada por uma incompatibilidade entre a versão de cliente de AnyConnect e a versão de imagem de software ASA. Neste caso, o usuário recebe esta mensagem de erro: O instalador não podia começar o Cisco VPN Client, sem clientes que o acesso não está disponível.

A fim resolver esta edição, promova a versão de cliente de AnyConnect para ser compatível com a imagem do software ASA. Para verificar a compatibilidade, consulte a seção Security Appliances e Software Suportado das notas de versão do Anyconnect Client.

Quando um usuário não pode conectar ao cliente VPN de AnyConnect do PC, a edição pode ser causada pelo antivírus atual no PC.

Nota: AnyConnect deve ser instalado no computador antes que você instale todo o Firewall da terceira/software (AV) anti-vírus. Se AnyConnect é instalado após alguns Firewall da terceira/software anti-vírus, a seguir AnyConnect não conecta. A fim resolver esta edição, desabilite todas as características do firewall/AV pessoal. Então, faça uma pequena alteração no adaptador virtual de AnyConnect e tente-a reconectar AnyConnect. Para mais informação, refira o Bug da Cisco ID CSCsj91840 e CSCti16453.

Quando você entra a primeira vez ao AnyConnect, o script do início de uma sessão não é executado. Se você desliga e entra outra vez, a seguir o script do início de uma sessão é executado muito bem. Este é o comportamento esperado.

Quando você conecta o cliente VPN de AnyConnect ao ASA, você pôde receber este erro: O usuário não autorizado para o acesso do cliente de AnyConnect, contacta seu administrador.

Este erro é considerado quando a imagem de AnyConnect falta do ASA. Uma vez que a imagem é carregada ao ASA, AnyConnect pode conectar sem nenhumas edições ao ASA.

Este erro pode ser resolvido pela Segurança de desabilitação da camada de transporte de datagram (DTL). Vá à configuração > ao acesso do acesso remoto VPN > da rede (cliente) > aos perfis de conexão de AnyConnect e desmarcar a caixa de verificação da possibilidade DTL. Isto desabilita DTL.

Os arquivos do dartbundle mostram este Mensagem de Erro quando o usuário obtém desligado: TUNNELPROTOCOLDPDMGR_ERROR_NO_DPD_RESPONSE: O gateway seguro não respondeu aos pacotes do Dead Peer Detection. Este erro significa que o canal DTL era rasgado devido à falha do Dead Peer Detection (DPD). Este erro é resolved se você emenda o Keepalives DPD e emite estes comandos:

webvpn
svc keepalive 30
svc dpd-interval client 80
svc dpd-interval gateway 80

O keepalive svc e os comandos do DPD-intervalo svc são substituídos pelo keepalive do anyconnect e pelos comandos do DPD-intervalo do anyconnect respectivamente na versão ASA 8.4(1) e pelo mais atrasado como mostrado aqui:

webvpn
anyconnect ssl keepalive 15
anyconnect dpd-interval client 5
anyconnect dpd-interval gateway 5

Problemas com a Passagem de Tráfego

Quando os problemas são detectados com passagem do tráfego à rede privada com uma sessão de AnyConnect com o ASA, termine estas etapas do acúmulo de dados:

  1. Obtenha a saída do comando do <username> ASA do nome do filtro svc do detalhe da mostra VPN-sessiondb do console. Se a saída mostra o nome do filtro: XXXXX, obtenha a saída de show access-list XXXXX. Verifique se a lista de acesso XXXXXX não bloqueia o fluxo de tráfego pretendido.

  2. Exporte as estatísticas de AnyConnect do cliente VPN > das estatísticas > dos detalhes > da exportação de AnyConnect (AnyConnect-ExportedStats.txt).

  3. Verifique o arquivo de configuração do ASA em busca de instruções nat. Se o Network Address Translation (NAT) é permitido, estes devem isentar os dados que retornam ao cliente em consequência do NAT. Por exemplo, ao NAT isento (0 nat) os endereços IP de Um ou Mais Servidores Cisco ICM NT do pool de AnyConnect, usam este no CLI:

    access-list in_nat0_out extended permit ip any 10.136.246.0 255.255.255.0
    ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
    nat (inside) 0 access-list in_nat0_out


  4. Determine se o gateway padrão tunelado precisa ser habilitado para a instalação. O gateway padrão tradicional é o Gateway of Last Resort para o tráfego não desencriptado.

    Exemplo:

    !--- Route outside 0 0 is an incorrect statement.
    route outside 0 0 10.145.50.1
    route inside 0 0 10.0.4.2 tunneled


    Por exemplo, se o cliente VPN precisa de alcançar um recurso que não esteja na tabela de roteamento do gateway de VPN, o pacote é distribuído através do gateway padrão padrão. O gateway de VPN não precisa da tabela de roteamento interno completa para resolver isso. A palavra-chave em túnel pode ser usada nesta instância.

  5. Verifique se o tráfego de AnyConnect é deixado cair pela política da inspeção do ASA. Você poderia isentar o aplicativo específico que está usado pelo cliente de AnyConnct se você executa a estrutura de política modular de Cisco ASA. Por exemplo, você poderia isentar o protocolo mirrado da isenção com estes comandos.

    ASA(config)# policy-map global_policy
    ASA(config-pmap)# class inspection_default
    ASA(config-pmap-c)# no inspect skinny

Problemas de Quedas do AnyConnect

Termine estas etapas do acúmulo de dados:

  1. Certifique-se de que o utilitário Microsoft Dr. Watson esteja habilitado. Para fazer isso, escolha Start > Run e execute Drwtsn32.exe. Configure-o e clique em OK:

    Number of Instructions      : 25
    Number of Errors To Save : 25
    Crash Dump Type : Mini
    Dump Symbol Table : Checked
    Dump All Thread Contexts : Checked
    Append To Existing Log File : Checked
    Visual Notification : Checked
    Create Crash Dump File : Checked


    Quando a queda/falha ocorre, obtenha os arquivos .log .dmp de C:\Documents and Settings\AllUsers\Application Data\Microsoft\Dr Watson. Se estes arquivos parecem estar em uso, use o ntbackup.exe.

  2. Obtenha o log do AnyConnect VPN Client do Windows Event Viewer do PC cliente:

    1. Escolha Start > Run.

    2. Entre:

      eventvwr.msc /s


    3. Clique com o botão direito no log do Cisco AnyConnect VPN Client e selecione Save Log File As AnyConnect.evt.

      Nota: Salve-o sempre como formato de arquivo .evt.

Problemas de Fragmentação/Passagem de Tráfego

Alguns aplicativos, tais como o Microsoft outlook, não trabalham. Contudo, o túnel pode passar o outro tráfego tal como sibilos pequenos.

Isso pode fornecer indícios de um problema de fragmentação na rede. Roteadores de uso doméstico são particularmente deficientes na fragmentação e remontagem de pacotes.

Tente um grupo da escamação de sibilos a fim determinar se falha em um determinado tamanho. Por exemplo, sibilo - l 500, sibilo - l 1000, sibilo - l 1500, sibilo - l 2000.

Recomenda-se que você configura um grupo especial para os usuários que experimentam a fragmentação, e ajusta a unidade máxima da transição SVC (MTU) para este grupo a 1200. Isto permite-o aos usuários do remediate que experimentam esta edição, mas para não impactar a base do usuário mais larga.

Problema

Cair das conexões de TCP conectado uma vez com o AnyConnect.

Solução

A fim verificar se seu usuário tem uma questão de fragmentação, ajuste o MTU para clientes de AnyConnect no ASA.

 ASA(config)#group-policy <name> attributes
webvpn
svc mtu 1200

Desinstalar Automaticamente

Problema

O cliente VPN de AnyConnect desinstala-se uma vez que a conexão termina. Os logs do cliente mostram que keep installed está desabilitado.

Solução

AnyConnect desinstala-se apesar daquele que a opção instalada mantimento é selecionada no Security Device Manager adaptável (ASDM). Para resolver este problema, configure o comando svc keep-installer installed na diretiva de grupo.

Emita o povoamento do FQDN do conjunto

Problema: O cliente de AnyConnect PRE-é povoado com o hostname em vez do nome de domínio totalmente qualificado do conjunto (FQDN).

Quando você tem um conjunto da função de balanceamento de carga estabelecido para SSL VPN e o cliente tenta conectar ao conjunto, o pedido está reorientado ao nó ASA e o cliente entra com sucesso. Após alguma hora, quando o cliente tenta conectar outra vez ao conjunto, o FQDN do conjunto não é visto na conexão às entradas. Em lugar de, a entrada do nó ASA a que o cliente foi reorientado é considerada.

Solução

Isto ocorre porque o cliente de AnyConnect retém o nome de host a que conectou por último. Este comportamento é observado e um erro foi arquivado. Para detalhes completos sobre o erro, refira a identificação de bug Cisco CSCsz39019. A ação alternativa sugerida é promover Cisco AnyConnect à versão 2.5.

Configuração de lista do servidor de backup

Uma lista do servidor de backup é configurada caso que o servidor principal selecionado pelo usuário não é alcançável. Isto é definido na placa do servidor de backup no perfil de AnyConnect. Conclua estes passos:

  1. Transfira o editor do perfil de AnyConnect (clientes registrados somente). O nome de arquivo é AnyConnectProfileEditor2_4_1.jar.

  2. Crie um arquivo XML com o editor do perfil de AnyConnect.

    1. Vá à aba da lista de servidor.

    2. Clique em Add.

    3. Datilografe o servidor principal no campo do hostname.

    4. Adicionar o servidor de backup abaixo da lista do servidor de backup no campo do endereço de host. Então, o clique adiciona.


  3. Uma vez que você tem o arquivo XML, você precisa de atribui-lo à conexão que você se usa no ASA.

    1. No ASDM, escolha a configuração > o acesso do acesso remoto VPN > da rede (cliente) > os perfis de conexão de AnyConnect.

    2. Selecione seu perfil e o clique edita.

    3. O clique controla da seção de política do grupo padrão.

    4. Selecione sua grupo-política e o clique edita.

    5. Selecione avançado e clique então o cliente VPN SSL.

    6. Clique em New. Então, você precisa de datilografar um nome para o perfil e de atribuir o arquivo XML.


  4. Conecte o cliente à sessão a fim transferir o arquivo XML.

AnyConnect: Problema de Banco de Dados de Drivers Corrompido

Esta entrada no arquivo SetupAPI.log sugere que o sistema de catálogo está corrompido:

W239 driver signing class list " C:\WINDOWS\INF\certclas.inf" was missing or invalid. Error 0xfffffde5: O erro desconhecido., supondo todas as classes de dispositivo é sujeito à política de assinatura do direcionador.

Você pode igualmente receber este Mensagem de Erro: Error(3/17): Incapaz de começar o VA, a instalação compartilhou da fila, ou o VA deu a fila acima compartilhada.

Você pode receber este fazer logon o cliente: “O direcionador do cliente VPN encontrou um erro”.

Reparo

Esta edição é devido à identificação de bug Cisco CSCsm54689. Para resolver este problema, certifique-se de que o roteamento e o Remote Access Service estejam desabilitados antes de iniciar o AnyConnect. Se isso não resolver o problema, conclua estes passos:

  1. Abra um prompt de comando como um administrador no PC (prompt elevado no Vista).

  2. Execute net stop CryptSvc.

  3. Seja executado:

    esentutl /p%systemroot%\System32\catroot2\
    {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb


  4. Quando alertado, escolha ESTÁ BEM a fim tentar o reparo.
  5. Saia do prompt de comando.

  6. Reinicialização.

Reparo falhado

Se o reparo falhar, conclua estes passos:

  1. Abra um prompt de comando como um administrador no PC (prompt elevado no Vista).

  2. Execute net stop CryptSvc.

  3. Renomeie o diretório %WINDIR%\system32\catroot2 to catroot2_old.

  4. Saia do prompt de comando.

  5. Reinicialização.

Analise o Banco de Dados

Você pode analisar o banco de dados a qualquer momento para determinar se ele é válido.

  1. Abra um prompt de comando como um administrador no PC.

  2. Seja executado:

    esentutl /g%systemroot%\System32\catroot2\
    {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb


    Consulte Integridade do Banco de Dados de Catálogo do Sistema para obter mais informações.

    Nota: Refira o asapedia para mais informação.

Mensagens de erro

Erro: Unable to Update the Session Management Database

Enquanto a VPN SSL está conectada via navegador da Web, a mensagem de erro Unable to Update the Session Management Database. é exibida e o log do ASA mostra %ASA-3-211001: Memory allocation Error. A ferramenta de segurança adaptável não atribuiu a memória de sistema de RAM.

Solução 1

Esta edição é devido à identificação de bug Cisco CSCsm51093. Para resolver este problema, reinicie o ASA ou faça o upgrade do software do ASA para a versão temporária mencionada no bug. Refira a identificação de bug Cisco CSCsm51093 para mais informação.

Solução 2

Esta edição pode igualmente ser resolved se você desabilita a ameaça-detecção no ASA se a ameaça-detecção está usada.

Erro: Do “o cliente VPN de c:\Program Files\Cisco\Cisco AnyConnect módulo \ vpnapi.dll não se registrou”

Quando você usa o cliente de AnyConnect em portáteis ou em PC, um erro ocorre durante a instalação:

"Module C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnapi.dll failed
to register..."

Quando este erro é encontrado, o instalador não pode mover-se para a frente e o cliente é removido.

Solução

Estas são as alternativas possíveis para resolver este erro:

  • O cliente o mais atrasado de AnyConnect é apoiado já não oficialmente com Microsoft Windows 2000. É um problema do registro com o computador 2000. Refira a seção das exigências de Windows dos Release Note de AnyConnect.

  • Remova os aplicativos de VMware. Uma vez que AnyConnect é instalado, os aplicativos de VMware podem ser adicionados de volta ao PC.

  • Adicionar o ASA a suas sites confiável. Para mais informação, refira a ferramenta de segurança adicionando para alistar da seção das sites confiável dos Release Note de AnyConnect.

  • Copie estes arquivos do \ dobrador de ProgramFiles \ Cisco \ CiscoAnyconnect a um dobrador novo e execute o comando prompt regsvr32 vpnapi.dll:

    • vpnapi.dll
    • vpncommon.dll
    • vpncommoncrypt.dll


  • Nova imagem o sistema operacional no laptop/PC.

O mensagem de registro relativo a este erro no cliente de AnyConnect olha similar a este:

DEBUG: Error 2911:  Could not remove the folderC:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, ,
DEBUG: Error 2911: Could not remove the folder C:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, ,
Info 1721. There is a problem with this Windows Installer package. A program required for
this install to complete could not be run. Contact your support personnel or package
vendor. Action: InstallHelper.exe, location: C:\Program Files\Cisco\Cisco AnyConnect VPN
Client\InstallHelper.exe, command: -acl "C:\Documents and Settings\All Users\Application
Data\Cisco\Cisco AnyConnect VPN Client\\" -r

Erro: “Um erro foi recebido do gateway seguro em resposta ao pedido da negociação VPN. Contacte por favor seu administrador de rede”

Quando os clientes tentam conectar ao VPN com o Cisco AnyConnect VPN Client, este erro está recebido.

Esta mensagem foi recebida do gateway seguro:

Do “a classe endereço ilegal” ou o “host ou a rede são outros 0" ou “erros”

Solução

A edição ocorre devido à prostração do conjunto IP local ASA. Enquanto o recurso do pool VPN é esgotado, a escala do IP pool deve ser ampliada.

A identificação de bug Cisco é CSCsl82188 é arquivada para esta edição. Este erro ocorre geralmente quando o conjunto local para a atribuição de endereço está esgotado, ou se uma máscara de sub-rede de 32 bits está usada para o conjunto de endereços. A ação alternativa é expandir o conjunto de endereços e usar uma máscara de sub-rede 24-bit para o pool.

Erro: A sessão não podia ser estabelecida. Limite de sessão de 2 alcançado.

Quando você tenta conectar mais de dois clientes com o cliente VPN de AnyConnect, você recebe o Mensagem de Erro falhado início de uma sessão no cliente e um mensagem de advertência nos logs ASA que a sessão dos estados não poderia ser estabelecida. Limite de sessão de 2 alcançado. Eu tenho a licença essencial de AnyConnect no ASA, que executa a versão 8.0.4.

Solução 1

Este erro ocorre porque a licença essencial de AnyConnect não é apoiada pela versão ASA 8.0.4. Você precisa de promover o ASA à versão 8.2.2. Isto resolve o erro.

Nota: Apesar da licença usada, se o limite de sessão é alcançado, o usuário receberá o Mensagem de Erro falhado início de uma sessão.

Solução 2

Este erro pode igualmente ocorrer se o comando session-limit do MAX-anyconnect-superior-ou-fundamentos-limite VPN-sessiondb é usado ajustar o limite de sessões de VPN permitidas para ser estabelecido. Se o sessão-limite é ajustado como dois, a seguir o usuário não pode estabelecer mais de duas sessões mesmo que a licença instalada apoie mais sessões. Ajuste o sessão-limite ao número de sessões de VPN exigidas a fim evitar este Mensagem de Erro.

Erro: Anyconnect não permitido no servidor de VPN ao tentar conectar o anyconnect ao ASA

Você recebe o Anyconnect não permitido no Mensagem de Erro do servidor de VPN quando você tenta conectar AnyConnect ao ASA.

Solução

Este erro é resolved se você permite AnyConnect na interface externa do ASA com o ASDM. Para obter mais informações sobre de como permitir AnyConnect na interface externa, refira a possibilidade do protocolo do cliente VPN SSL.

Erro: -- %ASA-6-722036: Group client-group User xxxx IP x.x.x.x que transmitem o pacotes maiores 1220 (ponto inicial 1206)

O %ASA-6-722036: O usuário < xxxx > < do grupo de cliente > do grupo IP < x.x.x.x> que transmite o grande Mensagem de Erro do pacote 1220 (ponto inicial 1206) aparece nos logs do ASA. Que fazem este log - meio e como isto são resolvidos?

Solução

Este mensagem de registro indica que um pacote grande foi enviado ao cliente. A fonte do pacote não está ciente do cliente MTU. Isto pode igualmente ser devido à compressão de dados não-compressíveis. A ação alternativa é desligar a compressão SVC com o comando none da compressão svc. Isto resolve a edição.

Erro: O gateway seguro rejeitou o vpn do agente conecta ou reconecta o pedido.

Quando você conecta ao cliente de AnyConnect, este erro está recebido: “O gateway seguro rejeitou o vpn do agente conecta ou reconecta o pedido. Uma nova conexão exige a reautenticação e deve ser começada manualmente. Contacte por favor seu administrador de rede se este problema persiste. O seguinte mensagem foi recebido do gateway seguro: nenhum endereço atribuído”.

Este erro é recebido igualmente quando você conecta ao cliente de AnyConnect: “O gateway seguro rejeitou a tentativa de conexão. Uma tentativa da nova conexão ao mesmos ou outro fixa o gateway é precisada, que exige a reautenticação. O seguinte mensagem foi recebido do gateway seguro: O host ou a rede são 0".

Este erro é recebido igualmente quando você conecta ao cliente de AnyConnect: “O gateway seguro rejeitou o vpn do agente conecta ou reconecta o pedido. Uma nova conexão exige uma reautenticação e deve ser começada manualmente. Contacte por favor o administrador de rede se o problema persiste. O seguinte mensagem foi recebido do gateway seguro: Nenhuma licença”.

Solução

O roteador faltava a configuração de pool após o reload. Você precisa de adicionar a configuração interessada de volta ao roteador.

Router#show run | in pool

ip local pool SSLPOOL 192.168.30.2 192.168.30.254
svc address-pool SSLPOO

“O gateway seguro rejeitou o vpn do agente conecta ou reconecta o pedido. Uma nova conexão exige uma reautenticação e deve ser começada manualmente. Contacte por favor o administrador de rede se o problema persiste. O seguinte mensagem foi recebido do gateway seguro: Erro de nenhuma licença o” ocorre quando a licença da mobilidade de AnyConnect falta. Uma vez que a licença é instalada, a edição é resolved.

Erro: “Incapaz de atualizar o base de dados do gerenciamento de sessão”

Quando você tenta autenticar em WebPortal, este Mensagem de Erro está recebido: “Incapaz de atualizar o base de dados do gerenciamento de sessão”.

Solução

Este problema é relacionado à alocação de memória no ASA. Esta edição é encontrada na maior parte quando a versão ASA é 8.2.1. Originalmente, isto exige um 512MB RAM para sua funcionalidade completa. Refira a seção dos requisitos de memória nos Release Note.

Como uma ação alternativa permanente, promova a memória a 512MB. Você pode pedir de “os jogos upgrade de memória”.

Como uma solução temporária, tente livrar a memória com estas etapas:

  1. Desabilite a ameaça-detecção.

  2. Desabilite a compressão SVC.

  3. Recarregue o ASA.

Erro: “O direcionador do cliente VPN encontrou um erro”

Este é um Mensagem de Erro obtido na máquina cliente quando você tenta conectar a AnyConnect.

Solução

A fim resolver este erro, termine este procedimento a fim ajustar manualmente o agente de AnyConnect VPN a interativo:

  1. Clicar com o botão direito o > serviços do Meu Computador > Manage > Services And Applications > e selecione o agente de Cisco AnyConnect VPN.

  2. Clicar com o botão direito propriedades, a seguir o fazer logon, e seletos permitem que o serviço interaja com o desktop.

    Isto ajusta o tipo valor DWORD do registro a 110 (o padrão é 010) para o HKEY_LOCAL_MACHINE \ SISTEMA \ CurrentControlSet \ serviços \ o vpnagent.

    Nota: Se esta deve ser usada, a seguir a preferência seria usar o .MST transforma nesta instância. Isto é porque se você ajusta este manualmente com estes métodos, exige que este esteja ajustado após o cada instala/processo de upgrade. Eis porque há uma necessidade de identificar o aplicativo que causa este problema.



    Quando a distribuição e o Remote Access Service (RRAS) são permitidos no PC Windows, AnyConnect falha com o o cliente VPN que o direcionador encontrou um erro. mensagem de erro. A fim resolver esta edição, certifique-se de que a distribuição e o RRAS estão desabilitados antes de começar AnyConnect. Refira a identificação de bug Cisco CSCsm54689 para mais informação.

Erro: “Incapaz de processar a resposta do xxx.xxx.xxx.xxx”

Falha dos clientes de AnyConnect a conectar a Cisco ASA. O erro no indicador de AnyConnect é “incapaz de processar a resposta do xxx.xxx.xxx.xxx”.

Solução

A fim resolver este erro, tente estas ações alternativas:

  • Remova o WebVPN do ASA e reenable o.

  • Mude o número de porta a 444 dos 443 existentes e reenable o em 443.

Para obter mais informações sobre de como permitir o WebVPN e mudar a porta para o WebVPN, refira esta solução.

Erro: O “início de uma sessão negou, mecanismo da conexão não autorizada, contacta seu administrador”

Os clientes de AnyConnect não conectam a Cisco ASA. O erro no indicador de AnyConnect é “início de uma sessão negado, mecanismo da conexão não autorizada, contacta seu administrador”.

Solução

Este Mensagem de Erro ocorre na maior parte devido aos problemas de configuração que são impróprios ou a uma configuração incompleta. Verifique a configuração e certifique-se que é como necessário resolver a edição.

Erro: De “pacote Anyconnect não disponível ou corrompido. Contacte seu administrador de sistema”

Este erro ocorre quando você tenta lançar o software de AnyConnect de um cliente macintosh a fim conectar a um ASA.

Solução

A fim resolver isto, termine estas etapas:

  1. Transfira arquivos pela rede o pacote de Macintosh AnyConnect ao flash do ASA. Para obter mais informações sobre disto, refira transferir arquivos pela rede a imagem de AnyConnect.

  2. Altere a configuração WebVPN a fim especificar o pacote de AnyConnect que é usado.

    webvpn
    svc image disk0:/anyconnect-macosx-i386-2.3.2016-k9.pkg 2
    svc image disk0:/anyconnect-macosx-powerpc-2.3.2016-k9.pkg 3


    O comando da imagem svc é substituído pelo comando da imagem do anyconnect na versão ASA 8.4(1) e mais atrasado como mostrado aqui:

    hostname(config)#webvpn

    hostname(config-webvpn)#anyconnect image disk0:/
    anyconnect-win-3.0.0527-k9.pkg 1

    hostname(config-webvpn)#anyconnect image disk0:/
    anyconnect-macosx-i386-3.0.0414-k9.pkg 2

Erro: “O pacote de AnyConnect no gateway seguro não podia ser encontrado”

Este erro está causado na máquina de Linux do usuário quando tenta conectar ao ASA lançando AnyConnect. Está aqui o erro completo:

"The AnyConnect package on the secure gateway could not be located. You may
be experiencing network connectivity issues. Please try connecting again."

Solução

A fim resolver este Mensagem de Erro, verifique se o operating system (OS) que é usado na máquina cliente está apoiado pelo cliente de AnyConnect. Para obter informações completas sobre do software suportado, refira a seção dos requisitos do sistema nos Release Note de AnyConnect.

Se o OS é apoiado, a seguir verifique se o pacote de AnyConnect é especificado na configuração WebVPN ou não. Veja a seção não disponível ou corrompida do pacote de Anyconnect deste documento para mais informação.

Erro: O “VPN seguro através do desktop remoto não é apoiado”

Os usuários são incapazes de executar um acesso remoto do desktop. O VPN seguro através do desktop remoto não é Mensagem de Erro apoiado aparece.

Solução

Esta edição é devido aos estes o Bug da Cisco ID: CSCsu22088 e CSCso42825. Se você promove o cliente VPN de AnyConnect, pode resolver a edição. Refira estes erros para mais informação.

Erro: “O certificado de servidor recebido ou sua corrente não seguem com os FIP. Uma conexão de VPN não será estabelecida”

Quando você tenta ao VPN ao ASA 5505, o o certificado de servidor recebido ou sua corrente não seguem com os FIP. Uma conexão de VPN não será Mensagem de Erro estabelecido aparece.

Solução

A fim resolver este erro, você deve desabilitar os padrões de processamento de informação federal (FIP) no arquivo da política local de AnyConnect. Este arquivo pode geralmente ser encontrado no cliente VPN de C:\ProgramData\Cisco\Cisco AnyConnect \ AnyConnectLocalPolicy.xml. Se este arquivo não é encontrado neste trajeto, a seguir encontre o arquivo em um diretório diferente com um trajeto tal como usuários \ dados do aplicativo \ Cisco AnyConnectVPNClient de C:\Documents and Settings\All \ AnyConnectLocalPolicy.xml. Uma vez que você encontra o arquivo do xml, faça mudanças a este arquivo como mostrado aqui:

Mude a frase:

<FipsMode>true</FipsMode>

A:

<FipsMode>false</FipsMode>

Então, reinicie o computador. Os usuários devem ter permissões administrativas a fim alterar este arquivo.

Erro: Da “falha validação certificada”

Os usuários são incapazes de lançar AnyConnect e receber o erro da falha da validação certificada.

Solução

Os trabalhos do certificado de autenticação diferentemente com AnyConnect compararam ao cliente de IPSec. Para que o certificado de autenticação trabalhe, você deve importar o certificado de cliente a seu navegador e mudar o perfil de conexão a fim usar o certificado de autenticação. Você igualmente precisa de permitir este comando em seu ASA a fim permitir que os certificados de cliente SSL sejam usados na interface externa:

porta de saída 443 da relação do certificado de autenticação SSL

Para obter mais informações sobre deste comando, refira o certificado de autenticação SSL.

Erro: “O serviço do agente VPN encontrou um problema e precisa-o de fechar-se. Nós somos pesarosos para a inconveniência”

Quando a versão 2.4.0202 de AnyConnect é instalada em Windows XP PC, para em atualizar arquivos da localização e um Mensagem de Erro mostra que o vpnagent.exe falha.

Solução

Este comportamento é a identificação de bug Cisco entrada CSCsq49102. A ação alternativa sugerida é desabilitar o cliente de Citrix.

Erro: “Este pacote da instalação não podia ser aberto. Verifique que o pacote existe”

Quando AnyConnect é transferido, este Mensagem de Erro está recebido:

“Contacte seu administrador de sistema. O instalador falhado com o seguinte erro: Este pacote da instalação não podia ser aberto. Verifique que o pacote existe e que você pode o alcançar, ou contacte o vendedor do aplicativo para verificar que este é um pacote válido do instalador de Windows.”

Solução

Conclua estes passos para corrigir o problema:

  1. Remova todo o software anti-vírus.

  2. Desabilite o Windows Firewall.

  3. Se nem as ajudas de etapa 1 ou 2, então formatam a máquina e então instalam-na.

  4. Se o problema ainda persiste, abra um caso de TAC.

Erro: Do “a aplicação erro transforma. Verifique que especificados transformam trajetos são válidos.”

Este Mensagem de Erro é recebido durante a auto-transferência de AnyConnect do ASA:

"Contact your system administrator. The installer failed with the following error:
Error applying transforms. Verify that the specified transform paths are valid."

Este é o Mensagem de Erro recebido ao conectar com o AnyConnect para o MacOS:

"The AnyConnect package on the secure gateway could not be located. You may be
experiencing network connectivity issues. Please try connecting again."

Solução

Termine uma destas ações alternativas a fim resolver esta edição:

  1. A causa de raiz deste erro pôde ser devido a um arquivo corrompido da tradução MST (por exemplo, importado). Execute estas etapas para fixar isto:

    1. Remova a tabela de tradução MST.

    2. Configurar a imagem de AnyConnect para o MacOS no ASA.


  2. Do ASDM, siga o acesso da rede (cliente) > o costume de AnyConnect > instala o trajeto e suprimem do arquivo de pacote de AnyConnect. Certifique-se que o pacote permanece no acesso da rede (cliente) > avançou > SSL VPN > ajuste do cliente.

Se nenhumas destas ações alternativas resolvem a edição, contacte o Suporte técnico de Cisco.

Erro: “O direcionador do cliente VPN encontrou um erro”

Este erro é recebido:

The VPN client driver has encountered an error when connecting through Cisco
AnyConnect Client.

Solução

Esta edição pode ser resolved quando você desinstala o cliente de AnyConnect, e remove então o software anti-vírus. Após isto, reinstale o cliente de AnyConnect. Se esta definição não trabalha, a seguir reformat o PC a fim fixar esta edição.

Erro: “Um VPN reconecta conduzido ao ajuste de configuração diferente. O ajuste da rede VPN re-está sendo inicializado. Os aplicativos que utilizam a rede privada podem precisar de ser restaurado.”

Este erro é recebido quando você tenta lançar AnyConnect:

"A VPN reconnect resulted in different configuration setting. The VPN network
setting is being re-initialized. Applications utilizing the private network may
need to be restarted."

Solução

A fim resolver este erro, use isto:

group-policy <Name> attributes
webvpn
svc mtu 1200

O comando mtu svc é substituído pelo comando mtu do anyconnect na versão ASA 8.4(1) e mais atrasado como mostrado aqui:

hostname(config)#group-policy <Name> attributes

hostname(config-group-policy)#webvpn

hostname(config-group-webvpn)#anyconnect mtu 500

Erro de AnyConnect ao entrar

Problema

O AnyConnect recebe este erro quando conecta ao cliente:

The VPN connection is not allowed via a local proxy. This can be changed
through AnyConnect profile settings.

Solução

A edição pode ser resolved se você faz estas mudanças ao perfil de AnyConnect:

Adicionar esta linha ao perfil de AnyConnect:

<ProxySettings>IgnoreProxy</ProxySettings><
AllowLocalProxyConnections>
false</AllowLocalProxyConnections>

O ajustes do proxy IE não é restaurado depois que disconexão de AnyConnect em Windows 7

Problema

Em Windows 7, se o ajustes do proxy IE é configurado para automaticamente detecte ajustes e AnyConnect abaixa um ajustes do proxy novo, o ajustes do proxy IE não é restaurado de volta a automaticamente detectam ajustes após o usuário termina a sessão de AnyConnect. Isto causa edições LAN para os usuários que precisam seu ajustes do proxy configurado para automaticamente detectam ajustes.

Solução

Este comportamento é a identificação de bug Cisco entrada CSCtj51376. A ação alternativa sugerida é promover ao 3.0 de AnyConnect.

Erro: Os fundamentos de AnyConnect não podem ser permitidos até que todas estas sessões estejam fechadas.

Este Mensagem de Erro está recebido em Cisco ASDM quando você tenta permitir a licença dos fundamentos de AnyConnect:

There are currently 2 clientless SSL VPN sessions in progress. AnyConnect
Essentials can not be enabled until all these sessions are closed.

Solução

Este é o comportamento normal do ASA. Os fundamentos de AnyConnect são um cliente VPN separadamente licenciado SSL. É configurado inteiramente no ASA e fornece a capacidade completa de AnyConnect, estas exceções:

  • Nenhum Cisco Secure Desktop (CSD) (que inclui HostScan/líquido de limpeza do cofre-forte/esconderijo)

  • Nenhuns sem clientes SSL VPN

  • Apoio opcional do Windows mobile

Esta licença não pode ser usada ao mesmo tempo que a licença compartilhada do prêmio SSL VPN. Quando você precisa de usar uma licença, você precisa de desabilitar a outro.

Erro: A aba da conexão na opção de internet do internet explorer esconde após a obtenção conectada ao cliente de AnyConnect.

A aba da conexão na opção de internet do internet explorer esconde depois que você é conectado ao cliente de AnyConnect.

Solução

Isto é devido à característica do lockdown do msie-proxy. Se você permite esta característica, esconde a aba das conexões no Microsoft Internet explorer para a duração de uma sessão de VPN de AnyConnect. Se você desabilita a característica, sae do indicador da aba das conexões inalterado.

Erro: Poucos usuários que obtêm o início de uma sessão falharam o Mensagem de Erro quando outro podem conectar com sucesso com AnyConnect VPN

Alguns usuários recebem o Mensagem de Erro falhado início de uma sessão quando outro podem conectar com sucesso com o AnyConnect VPN.

Solução

Esta edição pode ser resolved se você se certifica que não exija a caixa de seleção da PRE-autenticação está verificado os usuários.

Erro: O certificado que você está vendo não combina com o nome do local você está tentando ver.

Durante a atualização do perfil de AnyConnect, um erro é mostrado que diz que o certificado é inválido. Isto ocorre com Windows somente e na fase da atualização do perfil. O Mensagem de Erro é mostrado aqui:

The certificate you are viewing does not match with the name of the site
you are trying to view.

Solução

Isto pode ser resolved se você altera a lista de servidor do perfil de AnyConnect a fim usar o FQDN do certificado.

Esta é uma amostra do perfil XML:

<ServerList>

<HostEntry>

<HostName>vpn1.ccsd.net</HostName>

</HostEntry>

</ServerList>

Nota: Se há uma entrada existente para o endereço IP público do server tal como o <HostAddress>, a seguir remova-o e retenha-o somente o FQDN do server (por exemplo, <hostname> mas não < endereço de host >).

Não pode lançar AnyConnect do cofre-forte CSD de uma máquina de Windows 7

Quando o AnyConnect é lançado do cofre-forte CSD, não trabalha. Isto é tentado em máquinas de Windows 7.

Solução

Atualmente, isto não é possível porque não é apoiado.

O perfil de AnyConnect não obtém Replicated ao apoio após o Failover

O cliente VPN do 3.0 de AnyConnect com trabalhos do software da versão ASA 8.4.1 muito bem. Contudo, após o Failover, não há nenhuma replicação para a configuração relacionada do perfil de AnyConnect.

Solução

Este problema foi observado e registrado sob a identificação de bug Cisco CSCtn71662. A solução temporária é copiar manualmente os arquivos à unidade em standby.

Impactos do cliente de AnyConnect se o internet explorer vai off line

Quando isto ocorre, o log de eventos de AnyConnect contém as entradas similares a estes:

Description : Function:
CAdapterNetworkStateIfc::SetConnectedStateToConnected
File: .\AdapterNetworkStateIfc.cpp
Line: 147
Invoked Function: InternetSetOption
Return Code: 12010 (0x00002EEA)
Description: The length is incorrect for the option type

Description : Function: CTransportWinHttp::InitTransport
File: .\CTransportWinHttp.cpp
Line: 252
Invoked Function: CConnectedStateIfc::SetConnectedStateToConnected
Return Code: -25362420 (0xFE7D000C)
Description: CADAPTERNETWORKSTATEIFC_ERROR_SET_OPTION

Solução

Este comportamento é observado e registrado sob a identificação de bug Cisco CSCtx28970. A fim resolver isto, pare o aplicativo de AnyConnect e relance-o. As entradas de conexão reaparecem após o relançamento.

Mensagem de erro: TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER

O cliente de AnyConnect não conecta e o incapaz de estabelecer uma mensagem de erro de conexão é recebido. No log de eventos de AnyConnect, o erro TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER é encontrado.

Solução

Isto ocorre quando o final do cabeçalho é configurado para o split-tunneling com uma lista de túneis em divisão muito grande (aproximadamente entradas do 180-200) e uns ou vários outros atributos do cliente são configurados na grupo-política, tal como o dns-server.

Para resolver esse problema, siga estas etapas:

  1. Reduza o número de entradas na lista de túneis em divisão.

  2. Use esta configuração a fim desabilitar DTL:

    group-policy groupName attributes
    webvpn
    svc dtls none

Para mais informação, refira a identificação de bug Cisco CSCtc41770.

Mensagem de erro: A “tentativa de conexão falhou devido à entrada de host inválida”

A tentativa de conexão falhou devido à entrada de host que inválida o Mensagem de Erro é recebido quando AnyConnect for autenticado com o uso de um certificado.

Solução

A fim resolver esta edição, tente qualquer uma destas soluções possíveis:

  • Promova o AnyConnect à versão 3.0.
  • Desabilite o Cisco Secure Desktop em seu computador.

Para mais informação, refira a identificação de bug Cisco CSCti73316.

Erro: “Assegure-se de que seus certificados de servidor possam passar o modo restrito se você configura sempre-no VPN”

Quando você permite Sempre-na característica em AnyConnect, a segurança seus certificados de servidor pode passar o modo restrito se você configura sempre-na mensagem de erro de VPN é recebido.

Solução

Este Mensagem de Erro implica que se você quer usar Sempre-na característica, você precisa um válido separa o certificado configurado no final do cabeçalho. Sem um certificado de servidor válido, esta característica não trabalha. O modo restrito CERT é uma opção que você se ajuste no arquivo da política local de AnyConnect a fim assegurar o uso das conexões a um certificado válido. Se você permite esta opção no arquivo de política e a conecta com um certificado falso, a conexão falha.

Erro: “Tentativa de conexão falhada”

Esta ferramenta de relatório diagnóstica de AnyConnect (DARDO) mostra uma falha de tentativa:

******************************************
Date : 03/25/2014
Time : 09:52:21
Type : Error
Source : acvpnui

Description : Function: CTransportWinHttp::SendRequest
File: .\CTransportWinHttp.cpp
Line: 1170
Invoked Function: HttpSendRequest
Return Code: 12004 (0x00002EE4)
Description: An internal error occurred in the Microsoft
Windows HTTP Services

*****************************************
Date : 03/25/2014
Time : 09:52:21
Type : Error
Source : acvpnui

Description : Function: ConnectIfc::connect
File: .\ConnectIfc.cpp
Line: 472
Invoked Function: ConnectIfc::sendRequest
Return Code: -30015443 (0xFE36002D)
Description: CTRANSPORT_ERROR_CONN_UNKNOWN
******************************************
Date : 03/25/2014
Time : 09:52:21
Type : Error
Source : acvpnui

Description : Function: ConnectIfc::TranslateStatusCode
File: .\ConnectIfc.cpp
Line: 2999
Invoked Function: ConnectIfc::TranslateStatusCode
Return Code: -30015443 (0xFE36002D)
Description: CTRANSPORT_ERROR_CONN_UNKNOWN
Connection attempt failed. Please try again.

******************************************

Também, refira o visualizador de eventos entra a máquina de Windows.

Solução

Isto podia ser causado devido a uma conexão corrompida do Winsock. Restaure a conexão do comando prompt com este comando e reinicie sua máquina dos indicadores:

restauração do Winsock do netsh

Refira como determinar e recuperar da corrupção Winsock2 em Windows Server 2003, em Windows XP, e no artigo da base de conhecimento de Windows Vista para mais informação.

Informações Relacionadas



Document ID: 100597