安全 : Cisco ASA 5500 系列自适应安全设备

ASA无客户端SSLVPN :RDP Plug-in问题

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

简介

本文提供回答关于远程桌面协议(RDP) plug-in一些常见问题,联机给思科可适应安全工具(ASA)无客户端安全套接字协议层VPN (SSLVPN)用户。

RDP plug-in只是一个插件可用对用户,与其他一起例如安全壳SSH、虚拟网络计算(VNC)和Citrix。RDP plug-in是其中一个在此集的频繁地使用的插件。本文提供关于部署的更多细节并且排除故障此plug-in的步骤。

注意:本文不提供关于如何的信息配置RDP plug-in。其他信息,参考Cisco ASA 5500 SSL VPN部署指南,版本8.x

由思科 TAC 工程师撰稿。

背景信息

RDP plug-in从一纯基于Java的RDP plug-in演变,包括两ActiveX RDP客户端(Internet Explorer),以及Java客户端(非互联网Explorer浏览器)。  

Java插件

Java RDP客户端使用适当的Java RDP applet。允许在ASA无客户端门户内的安装的Java程序在plug-in内然后包裹。  

ActiveX Plug-in

RDP plug-in也包括Microsoft ActiveX RDP客户端,并且plug-in是否确定使用根据浏览器的Java或ActiveX客户端。即:

  • 如果Internet Explorer (IE)用户尝试通过无客户端SSLVPN门户使用RDP,并且书签URL不包含ForceJava=true参数,则使用ActiveX客户端。 如果ActiveX不能执行, plug-in启动Java客户端。
  • 如果非IE用户尝试启动RDP按书签或URL,只有Java客户端启动。

关于RDP ActiveX和用户权限的需求的更多信息,请参考远程桌面Web连接条款的Microsoft需求

下镜像说明可以在浏览器窗口内选择的三条链路,在plug-in启动后:

  1. 新的入口页面-此链路打开在一个新的浏览器窗口的入口页面。
  2. 全屏-这在满屏的模式使用RDP窗口。
  3. 重新连接与Java -这强制plug-in重新连接和使用Java而不是ActiveX。


 

RDP Plug-in 

RDP和RDP-2 Plug-in使用情况

  • RDP plug-in : 包含Java和ActiveX客户端的这是创建的原始plug-in。
  • RDP2 plug-in : 由于在RDP协议内的更改,适当的Java RDP客户端更新为了支持Microsoft Windows 2003个终端服务器和Windows比斯塔终端服务器。

提示:最新的RDP plug-in结合RDP和RDP2协议。结果RDP2 plug-in过时。推荐使用RDP plug-in的最最近的版本。RDP插件命名原则跟随此结构: rdpplugin.yymmdd.jar, yy是一个二个数字年格式,分是two-digitmonth格式,并且dd是一个two-digitday格式。

为了下载plug-in,请访问Cisco软件下载页

 

 

ActiveX与Java客户端安置 

RDP ActiveX

  • 使用仅IE
  • 转发的声音的提供支持 

RDP Java

  • 在支持Java的所有支持的浏览器工作。
  • Java客户端在IE启动,只有当ActiveX不能启动,或者ForceJava=true参数在RDP书签里通过。
  • RDP Java实施根据适当的Java RDP项目,开放原始码的软体计划;最佳效果支持为应用程序提供。 

RDP书签格式

这是RDP书签的示例格式:

rdp://server:port/?Parameter1=value&Parameter2=value&Parameter3=value

这是关于格式的一些重要提示:

  • 服务器-这是唯一的需要的属性。输入主机微软终端服务计算机的名称。
  • 端口(可选) -这是在主机微软终端服务的远程计算机内的虚拟地址。默认值, 3389,匹配Microsoft终端服务的公认端口号。
  • 参数-这是包括参数值对的一个可选查询字符串。一个问号demarks参数字符串的开始处和每个参数值对由"" and符号分离。

    这是可用的参数列表:

    • 几何-这是客户端屏幕的大小在像素(W x H)的。
    • bpp -这是BITS每像素(颜色深度), 8|16|24|32。
    • -这是登录域。
    • 用户名-这是登录的用户名。
    • 密码-这是登录密码。因为使用在客户端,并且可以被观察,小心请使用密码。
    • 控制台-这用于为了连接对服务器的控制台会话(是或不是)。
    • ForceJava -设置此参数为为了使用只有Java客户端。默认设置是不。
    • shell -设置此参数为自动地开始可执行/应用程序的路径,当您连接RDP时例如(rdp://server/?shell=path)。

    这是另外的ActiveX参数列表:

    • RedirectDrives -设置此参数对为了映射远程驱动本地。
    • RedirectPrinters -设置此参数对为了映射远程打印机本地。
    • 满屏-设置此参数对为了启动在满屏的模式。
    • ForceJava -设置此参数为为了迫使Java客户端。
    • 音频此参数使用在RDP会话的音频转发:

      • 0 -重定向远程声音到客户端计算机。
      • 1 -播放声音在远程计算机。
      • 2 -功能失效听起来重定向;不播放声音在远程服务器。 

RDP Plug-in和VPN负载均衡

多地理负载平衡支持与使用域名服务器(DNS) -基于全局服务器负载均衡。由于缓存差异的DNS结果,插件也许在各种各样的操作系统间不同地运行。Windows DNS缓存允许plug-in解决同样IP地址,当它lauches Java程序。在麦金塔(MAC) OS x,解决一个不同的IP地址Java程序是可能的。结果, plug-in不能正确地启动。

DNS循环示例是,当您有www.example.com的DNS条目能解决192.0.2.10的单个URL时(https://www.example.com) (ASA1)或198.51.100.50 (ASA2)。

在用户登录以后到无客户端WebVPN门户里通过在ASA1的一个浏览器, RDP plug-in的initiaition是可能的。在Java客户端的开始时, MAC OS X计算机执行一新的DNS解析请求。使用循环DNS配置,有50%机会此第二解决方法答复返回为最初的WebVPN连接选择的同一个站点。如果DNS服务器答复是198.51.100.50 (ASA2)而不是192.0.2.10 (ASA1), Java客户端首次对错误的ASA (ASA2)的连接。因为用户会话在ASA2不存在,连接请求拒绝。

这也许导致Java错误错误消息类似于此:

java.lang.ClassFormatError: Incompatible magic value 1008813135 in
 class file net/propero/rdp/applet/RdpApplet
 

常见问题 

一些被键入的字符为什么不出现在远程RDP会话?

远程计算机在RDP会话上比本地计算机也许有一不同的键盘区域设置。由于此差异,远程计算机也许不显示某些被键入的字符或不正确字符。 此行为仅看到在与Java插件。为了解决此问题,请使用keymap属性为了映射本地keymap到远程PC。

例如,为了设置德国键盘映射,使用: 

rdp://<IP Address of the server>/?keymap=de

The following keymaps are available:
---------------------------------------------------------------------
ar    de    en-us fi    fr-be it    lt    mk    pl    pt-br sl    tk
da    en-gb es    fr    hr    ja    lv    no    pt    ru    sv    tr
---------------------------------------------------------------------

与键盘映射的已知问题

  • Cisco Bug ID CSCth38454 -实现RDP plug-in的匈牙利keymap。
  • Cisco Bug ID CSCsu77600 - WebVPN RDP插件窗口密钥不正确。转移(关键) .jar
  • Cisco Bug ID CSCtt04614 - WebVPN - ES RDP不正确地管理的键盘区别插件。
  • Cisco Bug ID CSCtb07767 - ASA插件-配置默认参数

提示:另一可能的应急方案是使用应用程序巧妙的通道mstsc.exe。 这配置在WebVPN SUB配置模式下用此命令: 斯玛特通道列表RDP_List RDP mstsc.exe平台windows。 

Java RDP plug-in可以支持满屏的RDP会话?

目前,没有满屏的RDP会话的本地支持。提出增强请求CSCto87451为了实现此。如果几何参数(例如几何=1024x768)设置为用户监视器的解决方法,在满屏的模式运行。因为用户屏幕尺寸变化,创建多条书签链路也许是必要的。ActiveX客户端本地支持满屏的RDP会话。  

Java客户端能否通信与使用加密的AES-256 ?

为了允许Java客户端正确地协商SSL,请调节密码器设置的ASA SSL的命令匹配此:

Enabled cipher order: aes256-sha1 rc4-sha1 aes128-sha1 3des-sha1
Disabled ciphers: des-sha1 rc4-md5 null-sha1

如果密码器设置的命令不同的, Java客户端也许显示此错误:

[Thread-12] INFO net.propero.rdp.Rdp - javax.net.ssl.SSLHandshakeException:
 Received fatal alert: handshake_failure 

排除故障RDP问题 

如果遇到与RDP plug-in的其他问题,收集此数据为了排除故障RDP问题也许是有用的

  • 从ASA输出的show tech
  • 显示导入WebVPN plug-in选派了从ASA的输出
  • 用户计算机操作系统和补丁程序级别
  • 目的地计算机操作系统和补丁程序级别
  • 使用的客户端(ActiveX或Java)和Java JRE版本
  • 确定ASA是否在负载均衡集群,基于DNS的或者基于ASA

已知问题说明 

Microsoft安全更新问题

  1. KB2695962 - Microsoft安全建议:ActiveX杀害的比特更新纵向分配:2012年5月8日。 
  2. KB2675157 - MS12-023 :为Internet Explorer的渐增安全更新:April 10, 2012。
  3. cisco-sa-20120314-asaclient - Cisco ASA 5500系列可适应安全工具无客户端VPN Activex控件远程编码执行漏洞三月第14。
  4. Cisco Bug ID CSCtx68075 -中断ASA的WebVPN,当Windows补丁程序KB2585542应用(8.2.5.29/8.4.3.9)。
  5. KB2585542 - MS12-006 :安全更新的说明为Webio、Winhttp和schannel的在Windows :一月10, 2012。 

ActiveX客户端

  • 症状:ActiveX客户端不能从IE版本6到9装载在升级以后到ASA OS版本8.4.3。

    • 参考的Cisco Bug ID CSCtx58556。 修正为版本8.4.3.4是可用的和以后。
    • 应急方案:强制使用Java客户端。

  • 症状:在ASA OS版本降级对在8.4.3之前后的一个版本ActiveX客户端不能装载。这影响以修正使用ASA的ActiveX客户端Cisco Bug ID CSCtx58556的用户,并且连接对与一个版本的此ASA在8.4.3之前。这归结于在ASA版本8.4.3介绍的一新的ActiveX RDP plug-in,不是与更早版本兼容。

    • 参考的Cisco Bug ID CSCtx57453。
    • 删除b8e73359-3422-4384-8d27-4ea1b4c01232所有Windows注册表实例(旧有ActiveX CLSID)。

      注意:被建议在其中任一之前执行计算机系统注册的备份编辑。


  • 症状:对设备的RDP连接有网络级验证的(NLA)启用失败。

    • 请求在ActiveX RDP plug-in内将合并的NLA的增强的参考的Cisco Bug ID CSCtu63661
    • 虽然Microsoft ActiveX客户端支持NLA,不支持使用在ASA plug-in内的该功能。
    • 应急方案: 配置(mstsc.exe)将斯玛特被建立隧道的RDP plug-in。 参考Cisco ASA 5500 SSL VPN部署指南,版本8.x。

  • 症状:ActiveX RDP不能装载,并且显示一张空白页。

    • 参考的Cisco Bug ID CSCsx49794
    • 这发生,当ASA SSL证书的证书链比四证书例如(ROOT极大, SUBCA1、SUBCA2和ASA CERT)。
    • 应急方案:

      • 请勿安装ASA的大证书链。
      • Java RDP plug-in知道适当地运作,与ActiveX plug-in相对。
      • 当您配置本地窗口mstsc.exe用巧妙的通道时, RDP适当地也工作。

  • 症状:在使用后ActiveX RDP客户端,用户点击logout按钮并且接收HTTP 404 -页没被找到的错误。参考的Cisco Bug ID CSCtz33266。此问题有用插件版本rdpplugin.120424.jar解决或以后。

  • 症状:用户有开放两的选项卡在IE -一个RDP会话的和别的空白或其他网页的。在RDP选中关闭后, IE不能正确地运行。

    • 参考的Cisco Bug ID CSCua69129
    • 应急方案:请使用Java RDP plug-in (集ForceJava=true)。

  • 症状:ActiveX plug-in导致与IE的CPU使用情况。参考的Cisco Bug ID CSCua16597

  • 症状:在Windows更新KB2695962的安装 ActiveX RDP plug-in不装载以后。当召开时一新的RDP会话, ActiveX客户端尝试安装思科SSL VPN波尔特转发器(这总是不发生)并且回到无客户端入口页面,无需连接到远程计算机。这归结于漏洞CVE-2012-0358,在客户端被解决由Microsoft安全建议(2695962)

Java客户端

注意: 思科重新分配插件,不用任何更改。由于GNU公众许可证,思科不修改也不扩大插件应用程序。properJavaRDP plug-in是开放原始码的软体应用程序,并且必须由项目所有者解决与插件软件的所有问题。

  • 症状:处理器密集型应用程序在远程计算机运行,当访问通过Java RDP客户端,并且Java程序失败是有经验的。

    • 此错误消息也许显示: 致命net.propero.rdp - javax.net.ssl.SSLException :连接被关闭了:.....
    • 当迅速地时,交换在两个或多个CPU密集型应用程序之间行为是triggerd。
    • 此问题在插件版本rdp.2012.6.4.jar修复和以后。 
    • 应急方案:

      • 与使用的连接ActiveX客户端。
      • 请勿迅速地交换在应用程序之间。

  • 症状:Java RDP客户端生成此错误消息: net.propero.rdp.Rdp - java.net.SocketException :Socket是关闭的java.net.SocketException :Socket关闭,然后关闭。

    • 问题是由例如有一group-url配置与仅FQDN的隧道群导致的(http://www.example.com)。
    • 参考的Cisco Bug ID CSCuh72888
    • 应急方案:

      • 删除group-url条目,不用一“/”在隧道群中。
      • 请使用ActiveX客户端。

  • 症状:当它连接到Windows 8计算机时, Java RDP客户端出故障。

    • Java RDP客户端当前没有此的支持。
    • 参考的Cisco Bug ID CSCuc79990
    • 应急方案:

      • 请使用ActiveX RDP客户端。
      • 巧妙的通道Windows本地RDP客户端(mstsc.exe)。

  • 症状:Java RDP客户端失效与此错误消息:ARSigningException :在资源查找未签名的条目:https://10.105.130.91/+CSCO+3a75676763663A2F2F2E637968747661662E++/vnc/VncViewer.jar

    • 此问题是由bug导致的ASA WebVPN Java改写者。
    • 参考的Cisco Bug ID CSCuj88114
    • 应急方案:对Java版本7u40的降级。


Document ID: 113600