安全 : Cisco ASA 5500 系列自适应安全设备

AnyConnect VPN客户端故障排除指南-常见问题

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 5 日) | 反馈

目录

简介

本文描述适用于应用程序不通过Cisco AnyConnect VPN客户工作的故障排除情况。

由思科 TAC 工程师撰稿。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息根据Cisco可适应安全工具(ASA)该运行版本8.x。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

故障排除过程

此典型的故障排除情况适用于通过基于 Microsoft Windows 的计算机的最终用户的 Cisco AnyConnect VPN 客户端不工作的应用程序。这些部分提出以下问题并提供这些问题的解决方案:

安装和虚拟适配器问题

完成这些步骤:

  1. 获取设备日志文件:

    • Windows XP/Windows 2000:

      \Windows\setupapi.log


    • Windows Vista:

      注意:必须使隐藏文件夹可见,以便可以看到这些文件。



      \Windows\Inf\setupapi.app.log
          \Windows\Inf\setupapi.dev.log




    如果在 setupapi 日志文件中看到错误,您可以将冗余设置为 0x2000FFFF,如 Windows 知识库文章中所述。注意条款告诉您设置它为0xFFFF,但是,如果添加高位值0x2,使记录日志更加快速。

  2. 获取 MSI 安装程序日志文件:

    如果这是初始 Web 部署安装,则此日志位于每位用户的临时目录中。

    • Windows XP/Windows 2000:

      \Documents and Settings\<username>\Local Settings\Temp\


    • Windows Vista:

      \Users\<username>\AppData\Local\Temp\




    如果这是自动升级,则此日志在系统的临时目录中:

    \Windows\Temp


    文件名的格式为:anyconnect-win-x.x.xxxx-k9-install-yyyyyyyyyyyyyy.log。获取您要安装的客户端版本的最新文件。x.xxxx 根据版本更改,例如 2.0.0343;yyyyyyyyyyyyyy 是安装的日期和时间。

  3. 获取 PC 系统信息文件:

    1. 从命令提示符/DOS 框中键入:

      • Windows XP/Windows 2000:

        winmsd /nfo c:\msinfo.nfo


      • Windows Vista:

        msinfo32 /nfo c:\msinfo.nfo


      注意:在您键入到此提示符后,请等待。可能需要二到五分钟完成文件。



    2. 通过命令提示符获取 systeminfo 文件转储:

      Windows XP 和 Windows Vista:

      systeminfo c:\sysinfo.txt

参考的AnyConnect :损坏的驱动程序数据库问题,以调试驱动程序问题。

连接断开或无法建立初始连接

如果遇到 AnyConnect 客户端连接问题,例如连接断开或无法建立初始连接,请获取这些文件:

  • 从 ASA 中获取配置文件,以确定配置中是否存在导致连接失败的问题:

    从 ASA 的控制台,键入 write net x.x.x.x:ASA Config.txt x.x.x.x是一TFTP server的theIP地址在网络的地方。

    或者

    从 ASA 的控制台,键入 show running-config。让屏幕上的配置完成,然后剪切并粘贴到文本编辑器并保存。

  • ASA 事件日志:

    1. 为了启用注册验证的ASA, WebVPN、安全套接字协议层(SSL)和SSL VPN客户端(SVC)事件,发出这些CLI命令:

      config terminal
      logging enable
      logging timestamp
      logging class auth console debugging
      logging class webvpn console debugging
      logging class ssl console debugging
      logging class svc console debugging


    2. 产生AnyConnect会话并且保证失败可以被再次产生。将控制台的日志输出捕获到文本编辑器并保存。

    3. 要禁用记录,请发出 no logging enable。



  • 来自客户端 PC 的 Windows 事件查看器的 Cisco AnyConnect VPN 客户端日志:

    1. 选择Start > Run

    2. 输入:

      eventvwr.msc /s


    3. 右键单击 Cisco AnyConnect VPN 客户端日志,并选择将日志文件保存为 AnyConnect.evt

      注意:始终将其保存为 .evt 文件格式。

如果用户不能连接AnyConnect VPN客户端,问题也许与在客户端PC启用的已建立远程桌面协议(RDP)会话或法塞特用户交换涉及。用户可以看到 AnyConnect profile settings mandate a single local user, but multiple local users are currently logged into your computer.A VPN connection will not be established 错误消息出现在客户端 PC 上。要解决此问题,请断开所有已建立的 RDP 会话并禁用快速用户切换。

注意:确保端口443没有阻塞,因此AnyConnect客户端能连接到ASA。

当用户不能将 AnyConnect VPN 客户端连接到 ASA 时,问题也许由 AnyConnect 客户端版本与 ASA 软件镜像版本不兼容导致。这种情况下,用户会收到此错误消息:The installer was not able to start the Cisco VPN client, clientless access is not available。

要解决此问题,请升级 AnyConnect 客户端版本,以与 ASA 软件镜像兼容。要验证兼容性,请参阅 AnyConnect 客户端发行版本注释支持的安全设备和软件部分。

当用户不能从 PC 连接到 AnyConnect VPN 客户端时,问题可能由 PC 上的防病毒软件导致。

注意:在计算机必须安装AnyConnect,在您安装所有第三方防火墙/抗病毒(AV)前软件。如果AnyConnect在任何第三方防火墙/防病毒软件以后安装,则AnyConnect不能连接。为了解决此问题,请禁用所有个人firewall/AV的功能。然后,请做一块零钱在AnyConnect虚拟适配器并且设法重新连接AnyConnect。欲知更多信息,参考Cisco Bug ID CSCsj91840CSCti16453

当您第一次登录 AnyConnect 时,登录脚本不运行。如果断开连接再次登录,登录脚本会正常运行。这是预料之中的行为。

当您将 AnyConnect VPN 客户端连接到 ASA 时,也许会收到此错误消息:User not authorized for AnyConnect Client access, contact your administrator。

当 ASA 中缺少 AnyConnect 镜像时,将会看到此错误。一旦将镜像加载到 ASA,AnyConnect 就可以正常连接到 ASA。

此错误可以由禁用的数据报传输传送层安全(DTL)解决。去Configuration>远程访问VPN >网络(客户端)访问> AnyConnect连接配置文件并且非选定Enable (event) DTL复选框。这禁用DTL。

当用户断开时, dartbundle文件表示此错误消息:TUNNELPROTOCOLDPDMGR_ERROR_NO_DPD_RESPONSE :安全网关失败响应到对端死机检测数据包。此错误意味DTL信道被撕毁的归结于对端死机检测(DPD)失败。如果调整DPD Keepalive并且发出这些命令,此错误是解决的:

webvpn
svc keepalive 30
svc dpd-interval client 80
svc dpd-interval gateway 80

svc Keepalivesvc dpd-interval命令由anyconnect Keepaliveanyconnect DPD间隔命令替换分别在ASA版本8.4(1)和以上如显示此处:

webvpn
anyconnect ssl keepalive 15
anyconnect dpd-interval client 5
anyconnect dpd-interval gateway 5

关于通过流量的问题

当问题检测与通过对私有网络的流量与一AnyConnect会话通过ASA时,请完成这些数据收集步骤:

  1. 从控制台获取 show vpn-sessiondb detail svc filter name <username> ASA 命令的输出。如果输出显示 Filter Name:XXXXX,则收集 show access-list XXXXX 的输出。验证访问列表 XXXXX 不会阻塞预计的通信流。

  2. 从 AnyConnect VPN Client > Statistics > Details > Export 导出 AnyConnect 统计信息 (AnyConnect-ExportedStats.txt)。

  3. 检查 nat 语句的 ASA 配置文件。如果网络地址转换(NAT)启用,这些必须豁免由于NAT,回到客户端的数据。例如,要对 NAT 排除 (nat 0) 来自 AnyConnect 池的 IP 地址,请在 CLI 上使用:

    access-list in_nat0_out extended permit ip any 10.136.246.0 255.255.255.0
    ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
    nat (inside) 0 access-list in_nat0_out


  4. 确定是否需要针对设置启用隧道化默认网关。传统默认网关是非解密流量的最后选用网关。

    示例:

    !--- Route outside 0 0 is an incorrect statement.
    route outside 0 0 10.145.50.1
    route inside 0 0 10.0.4.2 tunneled


    例如,如果 VPN 客户端需要访问不在 VPN 网关的路由表里的资源,则数据包通过标准的默认网关路由。VPN 网关不需要完成内部路由表来解决此问题。可以在此实例中使用 tunneled 关键字。

  5. 如果AnyConnect流量由ASA的检查策略,丢弃请验证。您可能豁免由AnyConnct客户端使用的特定应用程序,如果实现思科ASA模块化政策架构。例如,您可能豁免从免税的小型协议用这些命令。

    ASA(config)# policy-map global_policy
    ASA(config-pmap)# class inspection_default
    ASA(config-pmap-c)# no inspect skinny

AnyConnect 崩溃问题

完成这些数据收集步骤:

  1. 确保 Microsoft 实用程序 Dr Watson 已启用。为此,请选择“开始”>“运行”,然后运行 Drwtsn32.exe。对此进行配置并单击 OK

    Number of Instructions      : 25
    Number of Errors To Save : 25
    Crash Dump Type : Mini
    Dump Symbol Table : Checked
    Dump All Thread Contexts : Checked
    Append To Existing Log File : Checked
    Visual Notification : Checked
    Create Crash Dump File : Checked


    当发生崩溃时,请从 C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson 收集 .log 和 .dmp 文件。如果显示这些文件正在使用中,则请使用 ntbackup.exe。

  2. 获取来自客户端 PC 的 Windows 事件查看器的 Cisco AnyConnect VPN 客户端日志:

    1. 选择Start > Run

    2. 输入:

      eventvwr.msc /s


    3. 右键单击 Cisco AnyConnect VPN 客户端日志,并选择将日志文件保存为 AnyConnect.evt

      注意:始终将其保存为 .evt 文件格式。

分段/通过流量问题

一些应用程序(例如 Microsoft Outlook)不工作。但是,隧道能通过其他流量,例如小 ping。

这可为网络中的分段问题提供线索。用户路由器是特别穷在信息包分段和重组。

尝试比例缩放设置ping为了确定是否失效在有些大小。例如, ping - l 500, ping - l 1000, ping - l 1500, ping - l 2000。

推荐您配置体验分段的用户的一特殊组,并且设置SVC最大转换单元(MTU)此组的到1200。这允许您修正遇到此问题的用户,而不影响更多的用户群。

问题

一旦与 AnyConnect 连接,TCP 连接就暂停。

解决方案

要验证您的用户是否有分段问题,请调整 ASA 上 AnyConnect 客户端的 mtu。

 ASA(config)#group-policy <name> attributes
webvpn
svc mtu 1200

自动卸载

问题

一旦连接终止,AnyConnect VPN 客户端就自行卸载。客户端日志显示“保持已安装”设置为已禁用。

解决方案

尽管在自适应安全设备管理器 (ASDM) 上选择了保持已安装选项,AnyConnect 仍自行卸载。要解决此问题,请根据组策略配置 svc keep-installer installed 命令。

发出填充团星FQDN

问题:AnyConnect客户端事前填充与主机名而不是集群完全合格的域名(FQDN)。

当您有SSL的VPN和客户端尝试负载平衡集群设置连接到集群时,请求顺利地重定向对节点ASA和客户端登录。在一些时间以后,当客户端设法再时连接到集群,集群FQDN在条目的连接看不到。反而,客户端重定向的节点ASA条目被看到。

解决方案

这发生,因为AnyConnect客户端保留为时连接的主机名。此行为被观察,并且归档了bug。关于关于bug的完整详细信息,参考Cisco Bug ID CSCsz39019。建议的应急方案是升级Cisco AnyConnect对版本2.5。

备份服务器列表配置

万一用户选择的主服务器不可及的,备份服务器列表配置。这在AnyConnect配置文件的备份服务器窗格定义。完成这些步骤:

  1. 下载AnyConnect配置文件编辑器(仅限注册用户)。文件名是AnyConnectProfileEditor2_4_1.jar

  2. 创建一个XML文件用AnyConnect配置文件编辑器。

    1. 去服务器列表选项卡。

    2. 单击 Add

    3. 键入在Hostname Field的主服务器。

    4. 主机地址字段的备份服务器列表之下添加备份服务器。然后,请单击添加


  3. 一旦有XML文件,您需要分配它对您在ASA使用的连接。

    1. 在ASDM,请选择Configuration>远程访问VPN >网络(客户端)访问> AnyConnect连接配置文件

    2. 选择您的配置文件并且单击编辑

    3. 单击从默认组策略部分管理

    4. 选择您的组政策并且单击编辑

    5. 选择先进然后单击SSL VPN客户端

    6. 单击 New。然后,您需要键入一名称对于配置文件和分配XML文件。


  4. 联络客户端给会话为了下载XML文件。

AnyConnect :损坏的驱动程序数据库问题

SetupAPI.log 文件中的此条目表示目录系统损坏:

W239 驱动程序签署类别列表 " C:\WINDOWS\INF\certclas.inf" was missing or invalid.Error 0xfffffde5:Unknown Error.,假设所有设备类别都遵循驱动程序签署策略。

您还可能会收到以下错误消息:Error(3/17) :Unable to start VA, setup shared queue, or VA gave up shared queue。

您能接收此登录客户端:“VPN客户端驱动程序遇到错误”

修复

此问题归结于Cisco Bug ID CSCsm54689。要解决此问题,请确保在您启动 AnyConnect 前已禁用路由和远程访问服务。如果这不能解决问题,请完成这些步骤:

  1. 以 PC 管理员身份打开命令提示符(在 Vista 上为提升的命令提示符)。

  2. 运行 net stop CryptSvc。

  3. 运行:

    esentutl /p%systemroot%\System32\catroot2\
    {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb


  4. 当提示,请选择为了尝试修复。
  5. 退出命令提示符。

  6. 重新启动。

失败的修复

如果修复失败,请完成这些步骤:

  1. 以 PC 管理员身份打开命令提示符(在 Vista 上为提升的命令提示符)。

  2. 运行 net stop CryptSvc。

  3. 重命名 %WINDIR%\system32\catroot2 to catroot2_old 目录。

  4. 退出命令提示符。

  5. 重新启动。

分析数据库

您可以随时分析数据库以确定它是否有效。

  1. 以 PC 管理员身份打开命令提示符。

  2. 运行:

    esentutl /g%systemroot%\System32\catroot2\
    {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb


    有关详细信息,请参阅系统目录数据库完整性

    注意:参考的asapedia欲知更多信息。

错误消息

Error:Unable to Update the Session Management Database

当 SSL VPN 通过 Web 浏览器连接时,将会出现 Unable to Update the Session Management Database.错误消息,并且 ASA 日志显示 %ASA-3-211001:Memory allocation Error。可适应安全工具失败分配RAM系统内存

解决方案 1

此问题归结于Cisco Bug ID CSCsm51093。要解决此问题,请重新加载 ASA 或将 ASA 软件升级到 Bug 中提及的临时版本。参考的Cisco Bug ID CSCsm51093欲知更多信息。

解决方案 2

此问题可以也是解决的,如果禁用在ASA的威胁检测,如果使用威胁检测。

Error:""Module c:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnapi.dll failed to register"

当您使用膝上型计算机或PCs的时AnyConnect客户端,在安装期间,错误出现:

"Module C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnapi.dll failed
to register..."

遇到此错误时,安装程序无法继续,将删除客户端。

解决方案

这些是可能解决此错误的应急方案:

  • 最新的AnyConnect客户端用Microsoft Windows 2000正式不再支持。这是 2000 计算机的注册问题。请参阅 AnyConnect 发行版本注释Windows 要求部分。

  • 删除 vmware 应用程序。一旦安装了 AnyConnect,vmware 应用程序即可添加回 PC。

  • 将 ASA 添加到其受信任的站点。有关详细信息,请参阅 AnyConnect 发行版本注释的将安全设备添加到受信任的站点列表部分。

  • 将这些文件从 \ProgramFiles\Cisco\CiscoAnyconnect 文件夹复制到新文件夹,并运行 regsvr32 vpnapi.dll 命令提示符:

    • vpnapi.dll
    • vpncommon.dll
    • vpncommoncrypt.dll


  • 再镜像在laptop/PC的操作系统。

AnyConnect 客户端上与此错误相关的日志消息与此类似:

DEBUG: Error 2911:  Could not remove the folderC:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, ,
DEBUG: Error 2911: Could not remove the folder C:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, ,
Info 1721. There is a problem with this Windows Installer package. A program required for
this install to complete could not be run. Contact your support personnel or package
vendor. Action: InstallHelper.exe, location: C:\Program Files\Cisco\Cisco AnyConnect VPN
Client\InstallHelper.exe, command: -acl "C:\Documents and Settings\All Users\Application
Data\Cisco\Cisco AnyConnect VPN Client\\" -r

Error:""An error was received from the secure gateway in response to the VPN negotiation request.Please contact your network administrator"

当客户端设法连接到与Cisco AnyConnect VPN客户时的VPN,此错误接收。

从安全网关收到此消息:

Illegal address class”或“Host or network is 0”或“Other error

解决方案

造成此问题的原因是 ASA 本地 IP 池耗尽。当VPN池资源被耗尽,必须扩大IP池范围。

Cisco Bug ID是CSCsl82188为此问题被归档。此错误通常出现,当地址分配的本地池用尽时,或者,如果32位子网掩码使用地址池。应急方案是展开地址池和使用24位子网掩码池。

Error:会话不可能建立。session limit of 2 reached 警告消息。

当您设法联络超过有AnyConnect VPN客户端的时两个客户端,您收到在客户端的登录失败错误消息和在ASA日志的一个警告消息状态会话不可能建立。session limit of 2 reached 警告消息。我有 ASA 的 AnyConnect essential 许可证,ASA 运行版本 8.0.4。

解决方案 1

出现此错误的原因是 ASA 版本 8.0.4 不支持 AnyConnect essential 许可证。您需要将 ASA 升级到版本 8.2.2。这将解决该错误。

注意:不管使用的许可证,如果会话限制达到,用户将收到登录失败错误消息。

解决方案 2

如果session-limit命令vpn-sessiondb的麦斯anyconnect高级版或精华限制用于定VPN会话限制允许设立,此错误能也出现。如果会话限制设置作为两,则用户不能建立超过两个会话,即使安装的许可证支持更多会话。设置会话限制为VPN会话数量要求为了避免此错误消息。

Error:Anyconnect not enabled on VPN server while trying to connect anyconnect to ASA

当您设法连接AnyConnect到ASA时,您接收在VPN服务器错误错误消息没启用的Anyconnect

解决方案

如果启用在ASA的外部接口的AnyConnect与ASDM,此错误是解决的。有关如何在外部接口启用 AnyConnect 的详细信息,请参阅启用 SSL VPN 客户端协议

Error: - %ASA-6-722036 :Group client-group User xxxx IP x.x.x.x Transmitting large packet 1220 (threshold 1206)

%ASA-6-722036: ASA 的日志中显示 Group < client-group > User < xxxx > IP < x.x.x.x> Transmitting large packet 1220 (threshold 1206) 错误消息。此日志意味着什么?如何解决此问题?

解决方案

此日志消息说明已向客户端发送了一个大型数据包。数据包的源不能识别客户端的 MTU。这也可能是由于对不可压缩的数据进行了压缩所致。解决方法是使用 svc compression none 命令关闭 SVC 压缩。这将解决该问题。

Error:安全网关拒绝代理程序的VPN连接或重新连接请求。

当您连接给AnyConnect客户端时,此错误接收:“安全网关拒绝代理程序的VPN连接或重新连接请求。新连接要求再验证,并且必须手工开始。如果此问题持续,请与您的网络管理员联系。下列信息从安全网关接收:没有已分配地址”

当您连接给AnyConnect客户端时,此错误也接收:“安全网关拒绝连接尝试。对同样的一新连接尝试或另一巩固网关是需要的,要求再验证。下列信息从安全网关接收:主机或网络是0"

当您连接给AnyConnect客户端时,此错误也接收:“安全网关拒绝代理程序的VPN连接或重新连接请求。新连接要求再验证,并且必须手工开始。如果问题持续,请与网络管理员联系。下列信息从安全网关接收:没有许可证”

解决方案

路由器在重新加载以后未命中池配置。您需要添加担心的配置回到路由器。

Router#show run | in pool

ip local pool SSLPOOL 192.168.30.2 192.168.30.254
svc address-pool SSLPOO

“安全网关拒绝代理程序的VPN连接或重新连接请求。新连接要求再验证,并且必须手工开始。如果问题持续,请与网络管理员联系。下列信息从安全网关接收:当AnyConnect移动性许可证未命中,没有许可证”错误出现。一旦许可证安装,问题是解决的。

Error:“无法更新会话管理数据库”

当您设法在WebPortal时验证,此错误消息接收:“无法更新会话管理数据库”

解决方案

此问题与在ASA的存储器分配涉及。当ASA版本是8.2.1时,此问题主要遇到。最初,这要求其完整功能的512MB RAM。参考在版本注释的内存需求部分

作为一永久性应急方案,请升级内存对512MB。您能定购“存储器升级工具包”

作为临时应急方案,请设法释放与这些步骤的内存:

  1. 禁用威胁检测。

  2. 禁用SVC压缩。

  3. 重新加载ASA。

Error:""The VPN client driver has encountered an error"

当您设法连接到AnyConnect时,这是在客户端机器得到的错误消息。

解决方案

为了解决此错误,请完成此步骤为了手工设置AnyConnect VPN代理程序到交互:

  1. 用鼠标右键单击My Computer > Manage > Services and Applications > Services >并且选择思科AnyConnect VPN代理程序。

  2. 用鼠标右键单击属性,然后登录,并且选择允许服务与桌面呼应

    这设置注册类型值DWORD到110 (默认是010) HKEY_LOCAL_MACHINE的\系统\ Currentcontrolset \服务\ vpnagent。

    注意:如果将使用这,则首选是在此实例中使用.MST转换。这是因为,如果集手工这与这些方法,它需要这在每安装/升级进程以后设置。这就是为什么有需要识别引起此问题的应用程序。



    当路由和远程访问服务(RRAS)时在Windows PC启用, AnyConnect失效与驱动程序遇到错误的VPN客户端。错误消息。为了解决此问题,请确保路由和RRAS在开始AnyConnect前禁用。参考Cisco Bug ID CSCsm54689欲知更多信息。

Error:“无法处理从xxx.xxx.xxx.xxx的答复”

AnyConnect客户端不能连接到思科ASA。在AnyConnect窗口的错误无法“处理从xxx.xxx.xxx.xxx的答复”。

解决方案

为了解决此错误,请尝试这些应急方案:

  • 从ASA删除WebVPN并且重新授权给它。

  • 更换端口号到444从存在的443并且重新授权给它在443。

关于如何启用WebVPN和更换WebVPN的端口的更多信息,参考此解决方案

Error:“请登陆已拒绝,未授权的连接机制,与您的管理员联系”

AnyConnect客户端不能连接到思科ASA。在AnyConnect窗口的错误是“洛金拒绝,未授权的连接机制,与您的管理员联系”

解决方案

此错误消息出现主要由于是不正确的配置问题或一不完整配置。检查配置并且确保它是如所需求解决问题。

Error:“损坏Anyconnect的包不可用或。与您的系统管理员联系”

当您设法启动从Macintosh客户端的AnyConnect软件为了连接到ASA,此错误出现。

解决方案

为了解决此,请完成这些步骤:

  1. 上传麦金塔AnyConnect包对ASA的闪存。关于此的更多信息,参考上载AnyConnect镜像

  2. 修改WebVPN配置为了指定使用的AnyConnect包。

    webvpn
    svc image disk0:/anyconnect-macosx-i386-2.3.2016-k9.pkg 2
    svc image disk0:/anyconnect-macosx-powerpc-2.3.2016-k9.pkg 3


    svc镜像命令由anyconnect镜像in命令ASA版本8.4(1)和以上替换如显示此处:

    hostname(config)#webvpn

    hostname(config-webvpn)#anyconnect image disk0:/
    anyconnect-win-3.0.0527-k9.pkg 1

    hostname(config-webvpn)#anyconnect image disk0:/
    anyconnect-macosx-i386-3.0.0414-k9.pkg 2

Error:“在安全网关的AnyConnect包不能查找”

此错误在用户的Linux计算机导致,当设法连接到ASA时通过启动AnyConnect。这是完整错误:

"The AnyConnect package on the secure gateway could not be located. You may
be experiencing network connectivity issues. Please try connecting again."

解决方案

为了解决在客户端机器使用的此错误消息,请验证AnyConnect客户端是否支持操作系统(OS)。关于支持的软件的全部信息,参考在AnyConnect版本注释的System Requirements部分

如果支持OS,则请验证,如果AnyConnect包在WebVPN配置里指定。欲知更多信息,请参阅本文的Anyconnect包不可用或损坏的部分。

Error:“通过远程桌面不支持安全VPN”

用户无法进行一远程桌面访问。安全VPN通过远程桌面不是支持的错误消息出现。

解决方案

此问题归结于这些Cisco Bug ID :CSCsu22088CSCso42825。如果升级AnyConnect VPN客户端,它能解决问题。参考这些Bug欲知更多信息。

Error:“服务器证书接收的或其一系列不遵照FIP。VPN连接不会被建立”

当您尝试对VPN对ASA 5505时,服务器证书接收的或其一系列不遵照FIP。VPN连接不会是设立的错误消息出现。

解决方案

为了解决此错误,您必须禁用联邦信息处理标准(FIP)在AnyConnect本地策略文件。此文件可能在C:\ProgramData\Cisco\Cisco AnyConnect VPN客户端\ AnyConnectLocalPolicy.xml通常找到。如果此文件没有在此路径被找到,则请寻找文件在不同的目录用一个路径例如C:\Documents and Settings\All用户\应用程序数据\思科AnyConnectVPNClient \ AnyConnectLocalPolicy.xml。一旦寻找xml文件,请做对此文件的变动如显示此处:

更改说明:

<FipsMode>true</FipsMode>

到:

<FipsMode>false</FipsMode>

然后,请重新启动计算机。用户必须有管理权限为了修改此文件。

Error:“证书确认失败”

用户无法启动AnyConnect和收到证书确认失败错误。

解决方案

证书验证工作与AnyConnect与IPSec客户端不同地比较了。为了证书验证能工作,您必须导入客户端证书到您的浏览器和更改连接配置文件为了使用身份验证验证。您也需要使此on命令您的ASA为了允许在外部接口将使用的SSL客户端证书:

ssl证书验证接口外部端口443

关于此命令的更多信息,参考SSL证书验证

Error:“VPN Agent服务遇到了问题并且需要关闭。我们很抱歉不便”

当AnyConnect版本2.4.0202在Windows XP PC时安装,终止在更新本地化文件,并且错误消息显示vpnagent.exe发生故障

解决方案

此行为是登陆的Cisco Bug ID CSCsq49102。建议的应急方案是禁用Citrix客户端。

Error:“不能打开此安装包。验证包存在”

当AnyConnect下载时,此错误消息接收:

“与您的系统管理员联系。安装程序失败与以下错误:不能打开此安装包。验证包存在,并且您能访问它,或者联系应用供应商验证这是一个有效Windows安装程序包”。

解决方案

要解决此问题,请完成以下步骤:

  1. 删除所有防病毒软件。

  2. 禁用Windows防火墙。

  3. 如果不Step1或2帮助,然后格式化计算机然后安装。

  4. 如果问题仍然持续,请开TAC案例

Error:“应用转换的错误。验证指定的转换路径有效”。

在AnyConnect期间自动下载从ASA的此错误消息接收:

"Contact your system administrator. The installer failed with the following error:
Error applying transforms. Verify that the specified transform paths are valid."

这是接收的错误消息,当连接与MacOS的时AnyConnect :

"The AnyConnect package on the secure gateway could not be located. You may be
experiencing network connectivity issues. Please try connecting again."

解决方案

完成这些应急方案之一为了解决此问题:

  1. 此错误的根本原因也许归结于一个损坏的MST转换文件(例如,导入)。执行这些步骤修复此:

    1. 删除MST转换表。

    2. 配置MacOS的AnyConnect镜像在ASA。


  2. 从ASDM,请跟随网络(客户端)访问> AnyConnect自定义>安装路径并且删除AnyConnect包文件。确保包保持在网络(客户端)访问>Advanced > SSL VPN >客户端设置

如果两应急方案不解决问题,请与思科技术支持联系

Error:""The VPN client driver has encountered an error"

此错误接收:

The VPN client driver has encountered an error when connecting through Cisco
AnyConnect Client.

解决方案

此问题可以是解决的,当您卸载AnyConnect客户端时,然后删除防病毒软件。在此以后,请重新安装AnyConnect客户端。如果此解决方法不工作,则请重新排版PC为了调整此问题。

Error:“VPN重新连接导致另外配置设置。VPN网络设置重初始化。使用私有网络的应用程序可能需要恢复”。

当您设法启动AnyConnect时,此错误接收:

"A VPN reconnect resulted in different configuration setting. The VPN network
setting is being re-initialized. Applications utilizing the private network may
need to be restarted."

解决方案

为了解决此错误,请使用此:

group-policy <Name> attributes
webvpn
svc mtu 1200

mtu命令的svcanyconnect替换mtu命令在ASA版本8.4(1)和以上如显示此处:

hostname(config)#group-policy <Name> attributes

hostname(config-group-policy)#webvpn

hostname(config-group-webvpn)#anyconnect mtu 500

AnyConnect错误,当登陆时

问题

当它连接给客户端时, AnyConnect收到此错误:

The VPN connection is not allowed via a local proxy. This can be changed
through AnyConnect profile settings.

解决方案

如果做对AnyConnect配置文件的这些变动问题可以是解决的:

添加此线路到AnyConnect配置文件:

<ProxySettings>IgnoreProxy</ProxySettings><
AllowLocalProxyConnections>
false</AllowLocalProxyConnections>

IE代理设置没有恢复,在Windows 7后的AnyConnect断开

问题

在Windows 7,如果IE代理设置为自动地配置请检测设置和AnyConnect增加新的代理设置, IE代理设置没有恢复回到自动地在用户以后检测设置结束AnyConnect会话。这导致需要为自动地配置的他们的代理设置检测设置的用户的LAN问题。

解决方案

此行为是登陆的Cisco Bug ID CSCtj51376。建议的应急方案是升级对AnyConnect 3.0

Error:AnyConnect精华不可能启用,直到所有这些会话关闭。

当您尝试启用AnyConnect精华许可证时,此错误消息在思科ASDM接收:

There are currently 2 clientless SSL VPN sessions in progress. AnyConnect
Essentials can not be enabled until all these sessions are closed.

解决方案

这是ASA的正常行为。AnyConnect精华是一分开准许的SSL VPN客户端。它在ASA完全地配置并且提供全双工AnyConnect功能,这些例外:

  • 没有Cisco Secure Desktop (CSD) (包括HostScan/穹顶/缓存擦净剂)

  • 没有无客户端SSL VPN

  • 可选Windows莫比尔支持

此许可证不可能使用在共享SSL VPN优质许可证的同时。当您需要使用一个许可证时,您需要禁用其他。

Error:在Internet Explorer的Internet选项的Connection选项在得到连接隐藏到AnyConnect客户端以后。

在您连接给AnyConnect客户端后,在Internet Explorer的Internet选项的Connection选项隐藏。

解决方案

这归结于MSIE代理扎锁木功能。如果启用此功能,隐藏在微软Internet Explorer的Connections选项处于AnyConnect VPN会话的。如果禁用功能,保持不变Connections选项的显示。

Error:收到登录失败错误消息的少量用户,当其他能通过AnyConnect VPN成功连接

当其他能通过AnyConnect VPN时,成功连接一些个用户收到登录失败错误消息。

解决方案

如果确保不要求预验证复选框被检查用户,此问题可以是解决的。

Error:您查看的证书不配比与您尝试查看站点的名称。

在AnyConnect配置文件更新期间,错误显示说证书无效。这发生与仅Windows和在配置文件更新相位。错误消息表示此处:

The certificate you are viewing does not match with the name of the site
you are trying to view.

解决方案

如果修改AnyConnect配置文件的服务器列表为了使用证书的FQDN,这可以是解决的。

这是XML配置文件的示例:

<ServerList>

<HostEntry>

<HostName>vpn1.ccsd.net</HostName>

</HostEntry>

</ServerList>

注意:如果有服务器的公网IP地址的一现有项例如<HostAddress>,则请取消它并且保留服务器的仅FQDN (例如,不是<hostname>,但是<主机地址>)。

不能启动从CSD穹顶的AnyConnect从Windows 7计算机

当AnyConnect从CSD穹顶时启动,不工作。这在Windows尝试7台机器。

解决方案

目前,因为不支持,这不是可能的。

AnyConnect配置文件没获得复制对待机在故障切换以后

有ASA版本8.4.1软件的AnyConnect 3.0 VPN客户端良好工作。然而,在故障切换以后,没有AnyConnect配置文件相关的配置的复制。

解决方案

此问题被观察了并且被记录了在Cisco Bug ID CSCtn71662下。临时应急方案是手工复制文件对备用装置。

AnyConnect客户端故障,如果Internet Explorer脱机

当这发生时, AnyConnect事件日志包含条目类似于这些:

Description : Function:
CAdapterNetworkStateIfc::SetConnectedStateToConnected
File: .\AdapterNetworkStateIfc.cpp
Line: 147
Invoked Function: InternetSetOption
Return Code: 12010 (0x00002EEA)
Description: The length is incorrect for the option type

Description : Function: CTransportWinHttp::InitTransport
File: .\CTransportWinHttp.cpp
Line: 252
Invoked Function: CConnectedStateIfc::SetConnectedStateToConnected
Return Code: -25362420 (0xFE7D000C)
Description: CADAPTERNETWORKSTATEIFC_ERROR_SET_OPTION

解决方案

此行为被观察并且被记录在Cisco Bug ID CSCtx28970下。为了解决此,请离开AnyConnect应用程序并且重新启动。连接项在重新启动以后再现。

错误消息:TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER

AnyConnect客户端不能连接,并且无法设立连接错误错误消息接收。在AnyConnect事件日志,找到TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER错误。

解决方案

这发生,当头端为与一张非常大分割隧道列表(近似180-200条目)时的分割隧道配置,并且一个或更多其他客户端属性在组政策配置,例如dns-server。

要解决此问题,请完成以下步骤:

  1. 减少条目数量在分割隧道列表的。

  2. 请使用此配置为了禁用DTL :

    group-policy groupName attributes
    webvpn
    svc dtls none

欲知更多信息,参考Cisco Bug ID CSCtc41770

错误消息:“连接尝试失败由于无效主机条目”

当AnyConnect验证与使用证书时,连接尝试失败由于无效主机条目错误消息接收。

解决方案

为了解决此问题,请尝试这些可能的解决方案之一:

  • 升级AnyConnect对版本3.0。
  • 禁用在您的计算机的Cisco Secure Desktop。

欲知更多信息,参考Cisco Bug ID CSCti73316

Error:“请保证您的服务器证书能通过严格模式,如果配置不间断工作的VPN”

当您启用在AnyConnect时的不间断工作的功能,保证您的服务器证书能通过严格模式,如果配置不间断工作的VPN错误消息接收。

解决方案

此错误消息暗示,如果要使用不间断工作的功能,您需要在头端配置的一有效服务器证书。没有有效的服务器证书,此功能不运作。严格Cert模式是选项您在AnyConnect本地策略文件的集为了保证连接使用有效证书。如果启用在策略文件的此选项并且连接一假证书,连接发生故障。

Error:“失败的连接尝试”

此诊断AnyConnect报告工具(箭)显示一失败的尝试:

******************************************
Date : 03/25/2014
Time : 09:52:21
Type : Error
Source : acvpnui

Description : Function: CTransportWinHttp::SendRequest
File: .\CTransportWinHttp.cpp
Line: 1170
Invoked Function: HttpSendRequest
Return Code: 12004 (0x00002EE4)
Description: An internal error occurred in the Microsoft
Windows HTTP Services

*****************************************
Date : 03/25/2014
Time : 09:52:21
Type : Error
Source : acvpnui

Description : Function: ConnectIfc::connect
File: .\ConnectIfc.cpp
Line: 472
Invoked Function: ConnectIfc::sendRequest
Return Code: -30015443 (0xFE36002D)
Description: CTRANSPORT_ERROR_CONN_UNKNOWN
******************************************
Date : 03/25/2014
Time : 09:52:21
Type : Error
Source : acvpnui

Description : Function: ConnectIfc::TranslateStatusCode
File: .\ConnectIfc.cpp
Line: 2999
Invoked Function: ConnectIfc::TranslateStatusCode
Return Code: -30015443 (0xFE36002D)
Description: CTRANSPORT_ERROR_CONN_UNKNOWN
Connection attempt failed. Please try again.

******************************************

并且,参考事件查看器注册Windows机器。

解决方案

这能导致由于一损坏的Winsock连接。重置从命令promt的连接用此命令并且重新启动您的Windows机器:

netsh winsock重置

参考如何从Winsock2损坏确定和恢复在Windows服务器2003年,在Windows XP和在Windows比斯塔知识库文章欲知更多信息。

相关信息



Document ID: 100597