Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

Руководство по поиску и устранению проблем клиента AnyConnect VPN Client - типичные проблемы

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (22 сентября 2010) | Английский (5 августа 2015) | Отзыв

Содержание

Введение

Этот doucment описывает сценарий устранения проблем, который применяется к приложениям, которые не работают через Cisco AnyConnect VPN Client.

Внесенный специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения в этом документе основываются на устройстве адаптивной защиты Cisco (ASA), который выполняет Версию 8. x .

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Процесс устранения неполадок

Этот типичный сценарий устранения неполадок относится к приложениям, которые не работают через VPN-клиент Cisco AnyConnect, на компьютерах с операционной системой Microsoft Windows. В этих разделах рассматриваются и предоставляются решения следующих проблем:

Установка и проблемы с виртуальным адаптером

Выполните следующие действия:

  1. Получите файл журнала устройства:

    • Windows XP / Windows 2000:

      \Windows\setupapi.log


    • Windows Vista:

      Примечание: Скрытые папки должны быть сделаны видимыми для наблюдения этих файлов.



      \Windows\Inf\setupapi.app.log
          \Windows\Inf\setupapi.dev.log




    Если вы видите ошибки в setupapi файле журнала, можно включить многословие к 0x2000FFFF, как описано в этой статье Windows KB . Заметьте, что статья говорит вам устанавливать его в 0xFFFF, но если вы добавляете старшее значение 0x2, это делает регистрацию быстрее.

  2. Получите файл журнала установщика MSI:

    В случае начального веб-развертывания файл журнала будет расположен во временной папке пользователя.

    • Windows XP / Windows 2000:

      \Documents and Settings\<username>\Local Settings\Temp\


    • Windows Vista:

      \Users\<username>\AppData\Local\Temp\




    В случае автоматического обновления файл журнала будет расположен во временной папке системы:

    \Windows\Temp


    Имя файла имеет следующий формат: anyconnect-win-x.x.xxxx-k9-install-yyyyyyyyyyyyyy.log. Получите самый последний файл для той версии клиента, которую необходимо установить. Значение x.xxxx будет изменяться в зависимости от номера версии, например, 2.0.0343, а значение yyyyyyyyyyyyyy представляет собой дату и время установки.

  3. Получите файл сведений о системе:

    1. В командной строке или окне DOS введите следующую команду:

      • Windows XP / Windows 2000:

        winmsd /nfo c:\msinfo.nfo


      • Windows Vista:

        msinfo32 /nfo c:\msinfo.nfo


      Примечание: После того, как вы вводите в это приглашение, ждете. Создание файла может занять от двух до пяти минут.



    2. Получение файла дампа сведений о системе из командной строки:

      Windows XP и Windows Vista:

      systeminfo c:\sysinfo.txt

Обратитесь к AnyConnect: Проблемы, вызванные повреждением драйвера базы данных, чтобы отладить проблемы с драйвером.

Отключение или невозможность установления начального соединения

При наличии проблем с клиентом AnyConnect, связанных с подключением, например, отключение или невозможность установить начальное соединение, необходимо получить следующие файлы:

  • Файл конфигурации ASA, чтобы определить, не является ли неправильная конфигурация причиной проблем с соединением:

    От консоли ASA ввести write net x.x.x.x:ASA-Config.txt where x.x.x.x IP-адрес TFTP server в сети.

    Или

    От консоли ASA ввести show running-config. Позвольте конфигурации завершать на экране, затем вырезать-вставить текстовому редактору и сохранять.

  • Журналы событий ASA:

    1. Чтобы к enable logging на ASA для аутентификации, WebVPN, Уровень защищенных сокетов (SSL) и события клиента SSL VPN (SVC), выполняют эти команды CLI:

      config terminal
      logging enable
      logging timestamp
      logging class auth console debugging
      logging class webvpn console debugging
      logging class ssl console debugging
      logging class svc console debugging


    2. Инициируйте сессию Anyconnect и убедитесь, что сбой можно воспроизвести. Перехватите регистрацию вывода от консоли до текстового редактора и сохраните.

    3. Для отключения регистрации, проблемы no logging enable.



  • Журнал VPN-клиента Cisco AnyConnect из приложения Просмотр событий Windows на клиентском ПК:

    1. Последовательно выберите Пуск > Выполнить.

    2. Введите:

      eventvwr.msc /s


    3. Щелкните правой кнопкой мыши по журналу Cisco AnyConnect VPN Client и выберите команду "Сохранить файл журнала как" AnyConnect.evt.

      Примечание: Всегда сохраняйте его как .evt формат файла.

Если пользователь не может соединиться с Клиентом AnyConnect VPN Client, проблема могла бы быть отнесена к установленному сеансу Протокола удаленного рабочего стола (RDP), или Быстрое переключение между пользователями включило на клиентском компьютере. Пользователь видит AnyConnect profile settings mandate a single local user, but multiple local users are currently logged into your computer. A VPN connection will not be established error message ошибка на клиентском компьютере. Для решения этого вопроса разъедините любые установленные сеансы RDP и отключите Быстрое переключение между пользователями.

Примечание: Удостоверьтесь, что порт 443 не заблокирован так, клиент AnyConnect может соединиться с ASA.

Когда пользователь не может подключить Клиента AnyConnect VPN Client с ASA, проблема могла бы быть вызвана несовместимостью между версией клиентской части AnyConnect и версией образа программы ASA. В этом случае пользователь увидит следующее сообщение об ошибке: The installer was not able to start the Cisco VPN client, clientless access is not available.

Для решения этого вопроса обновите версию клиентской части AnyConnect, чтобы быть совместимыми с образом программного обеспечения ASA. Для проверки совместимости обратитесь к разделу Устройства защиты и поддерживаемое ПО документа Примечание к выпуску клиента AnyConnect.

Если пользователь не может соединиться с помощью VPN-клиента AnyConnect со своего компьютера, проблема может заключаться в антивирусном программном обеспечении, установленном на ПК.

Примечание: AnyConnect должен быть установлен на компьютере перед установкой любого стороннего межсетевого экрана (AV) программное обеспечение / антивирусный (AV) программное обеспечение. Если AnyConnect установлен после какого-либо стороннего программного обеспечения межсетевого экрана / антивирусного программного обеспечения, то AnyConnect не в состоянии соединяться. Для решения этого вопроса отключите все опции персонального межсетевого экрана / AV. Затем внесите небольшое изменение на виртуальном адаптере AnyConnect и попытке повторно подключить AnyConnect. Для получения дополнительной информации обратитесь к идентификаторам ошибок Cisco CSCsj91840 и CSCti16453.

При первом входе в AnyConnect сценарий входа не выполняется. При отключении и повторном входе сценарии начинают выполняться. Это ожидаемое поведение.

При соединении Клиента AnyConnect VPN Client с ASA вы могли бы получить эту ошибку: User not authorized for AnyConnect Client access, contact your administrator.

Когда образ AnyConnect отсутствует в ASA, эта ошибка замечена. Как только образ загружен в ASA, AnyConnect может соединиться без любых проблем с ASA.

Эта ошибка может быть решена путем отключения Протокола защиты транспортного уровня для дейтаграмм (DTLS). Перейдите к Конфигурации> VPN для удаленного доступа> сетевой доступ (клиент)> Профили Соединения AnyConnect и снимите флажок с флажком Enable DTLS. Это отключает DTLS.

Когда пользователь разъединен, dartbundle файлы показывают это сообщение об ошибках: TUNNELPROTOCOLDPDMGR_ERROR_NO_DPD_RESPONSE:The secure gateway failed to respond to Dead Peer Detection packets. Эта ошибка означает, что канал DTLS был порван из-за сбоя Dead Peer Detection (DPD). Если вы настраиваете пакеты Keepalive DPD и выполняете эти команды, эта ошибка решена:

webvpn
svc keepalive 30
svc dpd-interval client 80
svc dpd-interval gateway 80

Команды svc keepalive и svc dpd-interval заменены anyconnect поддержкой активности и anyconnect командами dpd-interval соответственно в Версии ASA 8.4 (1) и позже как показано здесь:

webvpn
anyconnect ssl keepalive 15
anyconnect dpd-interval client 5
anyconnect dpd-interval gateway 5

Проблемы с проходящим трафиком

При выявлении проблем, связанных с прохождением трафика через модуль ASA в частную сеть с помощью сеанса AnyConnect , выполните следующие шаги, предназначенные для сбора необходимых данных:

  1. Получите выходные данные подробной команды ASA <username> названия фильтра обращения к операционной системе покажите vpn-sessiondb от консоли. Если выходные данные показывают Filter Name: XXXXX, тогда соберите выходные данные для show access-list XXXXX. Убедитесь, что список доступа XXXXX не блокирует необходимый трафик.

  2. Экспортируйте статистику AnyConnect от Клиента AnyConnect VPN Client> Статистика> Подробные данные> Экспорт (AnyConnect-ExportedStats.txt).

  3. Проверьте файл конфигурации ASA на наличие выражения nat. Если Технология NAT включена, они должны освободить данные, которые возвращаются к клиенту в результате NAT. Например, для преобразования посредством NAT освобожденный (nat 0) IP-адреса от пула AnyConnect используйте это на CLI:

    access-list in_nat0_out extended permit ip any 10.136.246.0 255.255.255.0
    ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
    nat (inside) 0 access-list in_nat0_out


  4. Определите, следует ли разрешить настройку туннельного шлюза по умолчанию. Традиционным шлюзом по умолчанию является шлюзом последней очереди для нерасшифрованного трафика.

    Пример:

    !--- Route outside 0 0 is an incorrect statement.
    route outside 0 0 10.145.50.1
    route inside 0 0 10.0.4.2 tunneled


    Например, если Клиент VPN должен обратиться к ресурсу, который не находится в таблице маршрутизации Шлюза VPN, пакет маршрутизируется через стандартный шлюз по умолчанию. Шлюзу VPN не нужна заполненная внутренняя таблица маршрутизации, чтобы выполнить эту операцию. Туннелируемое ключевое слово может использоваться в этом случае.

  5. Проверьте, отброшен ли трафик AnyConnect политикой проверки ASA. Вы могли освободить определенное приложение, которое используется клиентом AnyConnct, если вы внедряете Модульную Систему политик Cisco ASA. Например, вы могли освободить облегченный протокол от освобождения с этими командами.

    ASA(config)# policy-map global_policy
    ASA(config-pmap)# class inspection_default
    ASA(config-pmap-c)# no inspect skinny

Вопросы, связанные со сбоем AnyConnect

Выполните следующие шаги для сбора данных:

  1. Убедитесь, что служебная программа Microsoft Dr Watson работает. Для этого перейдите Пуск > Выполнить и запустите Drwtsn32.exe. Выполните следующие настройки и нажмите кнопку OK:

    Number of Instructions      : 25
    Number of Errors To Save : 25
    Crash Dump Type : Mini
    Dump Symbol Table : Checked
    Dump All Thread Contexts : Checked
    Append To Existing Log File : Checked
    Visual Notification : Checked
    Create Crash Dump File : Checked


    После того как произойдет сбой, соберите файлы .log и .dmp из папки C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson. При возникновении сообщения о том, что файлы используются другим приложением, воспользуйтесь приложением ntbackup.exe.

  2. Получите файл журнала VPN-клиента Cisco AnyConnect из приложения "Просмотр событий" Windows на клиентском ПК:

    1. Последовательно выберите Пуск > Выполнить.

    2. Введите:

      eventvwr.msc /s


    3. Щелкните правой кнопкой мыши по журналу Cisco AnyConnect VPN Client и выберите команду "Сохранить файл журнала как" AnyConnect.evt.

      Примечание: Всегда сохраняйте его как .evt формат файла.

Вопросы, связанные с фрагментацией / прохождением трафика

Некоторые приложения, такие как Microsoft Outlook, не работают. Однако туннель в состоянии передать другой трафик, такой как маленькие эхо-запросы.

Это может послужить ключом к определению проблемы, связанной с фрагментацией сети. Маршрутизаторы, используемые пользователями, обладают ограниченными возможностями по фрагментации и сборки пакетов.

Попробуйте масштабирующийся набор эхо-запросов, чтобы определить, отказывает ли он в определенном размере. Например, ping –l 500, ping –l 1000, ping –l 1500, ping –l 2000.

Рекомендуется настроить специальную группу для пользователей, которые испытывают фрагментацию и устанавливают SVC Maximum Transition Unit (MTU) для этой группы к 1200. Это позволяет вам повторно добиваться пользователей, которые испытывают эту проблему, но не влияют на более широкую пользовательскую базу.

Проблема

TCP - подключения "зависают" когда-то связанные с AnyConnect.

Решение

Чтобы проверить, есть ли у пользователя проблема фрагментации, отрегулируйте MTU для клиентов AnyConnect на ASA.

 ASA(config)#group-policy <name> attributes
webvpn
svc mtu 1200

Автоматическое удаление

Проблема

Клиент AnyConnect VPN Client деинсталлирует себя, как только завершается соединение. В журнале клиента видно, что параметр "keep installed" имеет значение "disabled".

Решение

AnyConnect деинсталлирует себя, несмотря на который установленная опция содержания выбрана на Менеджере устройств адаптивной безопасности (ASDM) (ASDM). Чтобы устранить эту проблему, задайте настройки командой svc keep-installer installed с помощью групповой политики.

Проблема, заполняющая кластерный FQDN

Проблема: Клиент AnyConnect предварительно заполнен с именем хоста вместо кластерного Полного доменного имени (FQDN).

Когда у вас есть распределяющий нагрузку кластер, установленный для VPN SSL, и клиент пытается соединиться с кластером, запрос перенаправлен к ASA узла, и клиент входит успешно. Через какое-то время, когда клиент пытается соединиться с кластером снова, кластерный FQDN не замечен в Подключении к записям. Вместо этого запись ASA узла, к которой был перенаправлен клиент, замечена.

Решение

Это происходит, потому что клиент AnyConnect сохраняет имя хоста, с которым это в последний раз соединилось. Это поведение наблюдается, и дефект был подан. Для завершенных подробных данных о дефекте обратитесь к идентификатору ошибки Cisco CSCsz39019. Предложенный обходной путь должен обновить AnyConnect Cisco к Версии 2.5.

Настройка списка сервера резервного копирования

Список сервера резервного копирования настроен в случае, если основной сервер, выбранный пользователем, не достижим. Это определено в области Backup Server в профиле AnyConnect. Выполните следующие действия:

  1. Загрузите Редактора Профиля AnyConnect (только зарегистрированные клиенты). Имя файла является AnyConnectProfileEditor2_4_1.jar.

  2. Создайте XML-файл с Редактором Профиля AnyConnect.

    1. Перейдите к вкладке списка серверов.

    2. Нажмите кнопку Add.

    3. Введите основной сервер на поле Hostname.

    4. Добавьте сервер резервного копирования ниже списка сервера резервного копирования на поле Адреса узла. Потом нажмите кнопку Add (добавить).


  3. Как только у вас есть XML-файл, необходимо назначить его на соединение, которое вы используете на ASA.

    1. В ASDM выберите Configuration> Remote Access VPN> Network (Client) Access> AnyConnect Connection Profiles.

    2. Выберите профиль и нажмите Edit.

    3. Нажмите Manage от Раздела политики Группы по умолчанию.

    4. Выберите групповую политику и нажмите Edit.

    5. Выберите Advanced и затем нажмите SSL VPN Client.

    6. Щелкните New. Затем необходимо ввести имя для Профиля и назначить XML-файл.


  4. Подключите клиент с сеансом для загрузки XML-файла.

AnyConnect: Проблемы, вызванные повреждением драйвера базы данных

Следующая запись в файле "SetupAPI.log" может указать на возможное повреждение системного каталога:

Драйвер W239, подписывающий список учащихся "C:\WINDOWS\INF\certclas.inf" was missing or invalid. Error 0xfffffde5: Unknown Error.Предполагается, что все классы устройств подчиняются политике подписывания драйвера.

Можно также получить это сообщение об ошибках: Error(3/17): Unable to start VA, setup shared queue, or VA gave up shared queue.

Можно получить этот вход в систему клиента: "The VPN client driver has encountered an error".

Восстановление

Эта проблема происходит из-за идентификатора ошибки Cisco CSCsm54689. Для решения этой проблемы перед запуском AnyConnect необходимо убедиться, что служба маршрутизации и удаленного доступа остановлена. Если эти действия не решили проблему, выполните следующие шаги:

  1. Откройте командную строку, используя учетную запись администратора ПК (запустите от имени администратора в ОС Vista).

  2. Работать net stop CryptSvc.

  3. Работайте:

    esentutl /p%systemroot%\System32\catroot2\
    {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb


  4. Когда предложено, выберите OK для попытки восстановления.
  5. Выйдите из командной строки.

  6. Перезагрузка.

Отказавшее восстановление

В случае неудачного восстановления выполните следующие действия:

  1. Откройте командную строку, используя учетную запись администратора ПК (запустите от имени администратора в ОС Vista).

  2. Работать net stop CryptSvc.

  3. Переименуйте папку %WINDIR%\system32\catroot2 to catroot2_old.

  4. Выйдите из командной строки.

  5. Перезагрузка.

Анализ базы данных

Можно в любой момент проанализировать базу данных с целью выявления ошибок.

  1. Откройте командную строку, используя учетную запись администратора ПК.

  2. Работайте:

    esentutl /g%systemroot%\System32\catroot2\
    {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb


    Дополнительные сведения см. в документе Целостность базы данных системного каталога.

    Примечание: Обратитесь к asapedia для получения дополнительной информации.

Сообщения об ошибках

Ошибка: Не удается обновить базу данных управления сеансами

В то время как VPN SSL связана через web-браузер, Unable to Update the Session Management Database. сообщение об ошибках появляется, и журналы ASA показывают %ASA-3-211001: Memory allocation Error. The adaptive security appliance failed to allocate RAM system memory.

Решение 1

Эта проблема происходит из-за идентификатора ошибки Cisco CSCsm51093. Чтобы решить эту проблему, перезагрузите ASA или обновите ПО ASA до промежуточной версии, указанной в сообщении об ошибке. Обратитесь к идентификатору ошибки Cisco CSCsm51093 для получения дополнительной информации.

Решение 2

Если обнаружение угрозы используется, этот вопрос может также быть решен при отключении обнаружения угрозы на ASA.

Ошибка: "Модуль c:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnapi.dll был не в состоянии регистрироваться"

При использовании клиента AnyConnect на портативных ПК или PC ошибка происходит во время установки:

"Module C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnapi.dll failed
to register..."

Когда с этой ошибкой встречаются, установщик не может продвинуться, и клиент удален.

Решение

Это возможные обходной пути для решения этой ошибки:

  • Последний клиент AnyConnect официально больше не поддерживается с Microsoft Windows 2000. Это - проблема реестра с компьютером 2000 года. Обратитесь к разделу требований Windows из Комментариев к выпуску AnyConnect.

  • Удалите приложения VMware. Как только AnyConnect установлен, приложения VMware могут быть добавлены назад на ПК.

  • Добавьте ASA к их надежным узлам. Для получения дополнительной информации обратитесь к Добавляющему Устройству безопасности к Списку раздела Надежных узлов из Комментариев к выпуску AnyConnect.

  • Скопируйте эти файлы от \ProgramFiles\Cisco\CiscoAnyconnect папки до новой папки и выполните командную строку regsvr32 vpnapi.dll:

    • vpnapi.dll
    • vpncommon.dll
    • vpncommoncrypt.dll


  • Повторно захватите образ операционную систему на портативном ПК/ПК.

Сообщение журнала, отнесенное к этой ошибке у клиента AnyConnect, выглядит подобным этому:

DEBUG: Error 2911:  Could not remove the folderC:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, ,
DEBUG: Error 2911: Could not remove the folder C:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, ,
Info 1721. There is a problem with this Windows Installer package. A program required for
this install to complete could not be run. Contact your support personnel or package
vendor. Action: InstallHelper.exe, location: C:\Program Files\Cisco\Cisco AnyConnect VPN
Client\InstallHelper.exe, command: -acl "C:\Documents and Settings\All Users\Application
Data\Cisco\Cisco AnyConnect VPN Client\\" -r

Ошибка: "Ошибка была получена от защищенного шлюза в ответ на запрос согласования VPN. Свяжитесь с администратором сети"

Когда клиенты пытаются соединиться с VPN с Cisco AnyConnect VPN Client, эта ошибка получена.

Это сообщение было получено от защищенного шлюза:

"Класс недопустимого адреса" или "Хост или сеть 0" или "Другая ошибка"

Решение

Проблема происходит из-за истощения локального IP - пула ASA. Поскольку ресурс пула VPN исчерпан, диапазон пула IP должен быть увеличен.

Идентификатор ошибки Cisco является CSCsl82188, подан для этой проблемы. Эта ошибка обычно происходит, когда локальный пул для назначения адреса исчерпан, или если 32-разрядная маска подсети используется для пула адресов. Обходной путь должен развернуть пул адресов и использовать 24-разрядную маску подсети для пула.

Ошибка: Сеанс не мог быть установлен. Предел сеанса 2 достиг.

Когда вы пытаетесь подключить больше чем два клиента с Клиентом AnyConnect VPN Client, вы получаете Login Failed сообщение об ошибках у Клиента и предупреждающее сообщение в журналах ASA, которое сообщает Session could not be established. Session limit of 2 reached. У меня есть AnyConnect существенная лицензия на ASA, который выполняет Версию 8.0.4.

Решение 1

Эта ошибка происходит, потому что AnyConnect существенная лицензия не поддерживается версией ASA 8.0.4. Необходимо обновить ASA к версии 8.2.2. Это решает ошибку.

Примечание: Независимо от используемой лицензии, если предел сеанса достигнут, пользователь получит login failed сообщение об ошибке.

Решение 2

Если vpn-sessiondb max-anyconnect-premium-or-essentials-limit команда session-limit используется для установления предела сеансов VPN, разрешенных быть установленными, эта ошибка может также произойти. Если session-limit установлен как два, то пользователь не может установить больше чем два сеанса даже при том, что лицензия установила поддержки больше сеансов. Установите session-limit в количество сеансов VPN, требуемых во избежание этого сообщения об ошибках.

Ошибка: Anyconnect, не включенный на сервере VPN при попытке подключить anyconnect с ASA

Вы получаете Anyconnect not enabled on VPN server сообщение об ошибках, когда вы пытаетесь подключить AnyConnect с ASA.

Решение

Эта ошибка решена при включении AnyConnect на внешнем интерфейсе ASA с ASDM. Для получения дополнительной информации о том, как включить AnyConnect на внешнем интерфейсе, обратитесь к Включению Протокола VPN-клиента SSL (SVC).

Ошибка:-%ASA-6-722036: Пользователь группы клиентов Группы xxxx IP x. x . x . x Передающий большой пакет 1220 (порог 1206)

%ASA-6-722036: Group < client-group > User < xxxx > IP < x.x.x.x> Transmitting large packet 1220 (threshold 1206) сообщение об ошибках появляется в журналах ASA. Что это регистрирует среднее значение и как это решено?

Решение

Это сообщение журнала сообщает, что большой пакет был передан клиенту. Источник пакета не знает о MTU клиента. Это может также произойти из-за сжатия несжимаемых данных. Обходной путь должен выключить сжатие SVC со сжатием обращения к операционной системе, ни один не дает команду. Это решает вопрос.

Ошибка: защищенный шлюз отклонил подключение vpn агента или запрос переподключения.

Когда вы соединяетесь с Клиентом AnyConnect, эта ошибка получена: "The secure gateway has rejected the agent's vpn connect or reconnect request. A new connection requires re-authentication and must be started manually. Please contact your network administrator if this problem persists. The following message was received from the secure gateway: no assigned address".

Когда вы соединяетесь с Клиентом AnyConnect, эта ошибка также получена: "The secure gateway has rejected the connection attempt. A new connection attempt to the same or another secure gateway is needed, which requires re-authentication. The following message was received from the secure gateway:Host or network is 0".

Когда вы соединяетесь с Клиентом AnyConnect, эта ошибка также получена: "The secure gateway has rejected the agent's vpn connect or reconnect request. A new connection requires a re-authentication and must be started manually. Please contact the network administrator if the problem persists. The following message was received from the secure gateway: No License".

Решение

Маршрутизатор пропускал конфигурацию пула после повторной загрузки. Необходимо добавить заинтересованную конфигурацию назад к маршрутизатору.

Router#show run | in pool

ip local pool SSLPOOL 192.168.30.2 192.168.30.254
svc address-pool SSLPOO

"The secure gateway has rejected the agent's vpn connect or reconnect request. A new connection requires a re-authentication and must be started manually. Please contact the network administrator if the problem persists. The following message was received from the secure gateway: No License" когда лицензия мобильности AnyConnect отсутствует, ошибка происходит. Как только лицензия установлена, вопрос решен.

Ошибка: Не удается обновить базу данных управления сеансами

Когда вы пытаетесь подтвердить подлинность в WebPortal, это сообщение об ошибках получено: "Unable to update the session management database".

Решение

Эта проблема отнесена к распределению памяти на ASA. Когда Версия ASA 8.2.1, с этой проблемой главным образом встречаются. Первоначально, это требует ОЗУ 512 МБ для его полной функциональности. Обратитесь к разделу Требований к памяти в Комментариях к выпуску.

Как постоянный обходной путь, обновите память 512 МБ. Можно упорядочить "Наборы обновления памяти".

Как временный обходной путь, попытайтесь освободить память с этими шагами:

  1. Отключите обнаружение угрозы.

  2. Отключите сжатие SVC.

  3. Повторно загрузите ASA.

Ошибка: The VPN client driver has encountered an error (Драйвер VPN-клиента обнаружил ошибку)

Когда вы пытаетесь соединиться с AnyConnect, это - сообщение об ошибках, полученное на клиентском компьютере.

Решение

Для решения этой ошибки завершите эту процедуру для ручной установки агента VPN AnyConnect в Интерактивный:

  1. Щелкните правой кнопкой мыши Мой компьютер Manage> Services And Applications> Services> и выбирают Cisco AnyConnect VPN Agent.

  2. Щелкните правой кнопкой мыши Свойства, затем войдите в систему и выберите сервис Allow для взаимодействия с рабочим столом.

    Это устанавливает DWORD значения Типа реестра в 110 (по умолчанию равняется 010) для HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vpnagent.

    Примечание: Если бы это должно использоваться, то предпочтение должно было бы использовать.MST, преобразовывают в этом случае. Это вызвано тем, что при установке этого вручную с этими методами это требует, чтобы это было установлено после каждой установки/процесса обновления. Это - то, почему существует потребность определить приложение, которое вызывает эту проблему.



    Когда Сервис маршрутизации и Служба удаленного доступа (RRAS) включены на Компьютере с операционной системой Windows, сбоях AnyConnect с The VPN client driver has encountered an error. сообщение об ошибке. Для решения этого вопроса удостоверьтесь, что Маршрутизация и RRAS отключена перед стартовым AnyConnect. Обратитесь к идентификатору ошибки Cisco CSCsm54689 для получения дополнительной информации.

Ошибка: "Неспособный обработать ответ от xxx.xxx.xxx.xxx"

Клиенты AnyConnect не в состоянии соединяться с Cisco ASA. Ошибка в окне AnyConnect "Unable to process response from xxx.xxx.xxx.xxx".

Решение

Для решения этой ошибки попробуйте эти обходные пути:

  • Удалите WebVPN из ASA и реактивируйте его.

  • Измените номер порта на 444 от существующих 443 и реактивируйте его на 443.

Для получения дополнительной информации о том, как включить WebVPN и изменить порт для WebVPN, обращается к этому Решению.

Ошибка: "Запрещенный вход в систему, механизм несанкционированного подключения, связывается с администратором"

Клиенты AnyConnect не в состоянии соединяться с Cisco ASA. Ошибка в окне AnyConnect "Login Denied , unauthorized connection mechanism , contact your administrator".

Решение

Это сообщение об ошибках происходит главным образом из-за проблем конфигурации, которые являются неподходящими или неполная конфигурация. Проверьте конфигурацию и удостоверьтесь, что она должна как требуется решить вопрос.

Ошибка: "Пакет Anyconnect, недоступный или поврежденный. Свяжитесь с системным администратором"

Когда вы пытаетесь запустить программное обеспечение AnyConnect от Macintosh - клиента для соединения с ASA, эта ошибка происходит.

Решение

Для решения этого выполните эти шаги:

  1. Загрузите пакет AnyConnect Macintosh к флэш-памяти ASA. Для получения дополнительной информации об этом обратитесь к Загрузке образа AnyConnect.

  2. Модифицируйте конфигурацию WebVPN для определения пакета AnyConnect, который используется.

    webvpn
    svc image disk0:/anyconnect-macosx-i386-2.3.2016-k9.pkg 2
    svc image disk0:/anyconnect-macosx-powerpc-2.3.2016-k9.pkg 3


    Команда образа обращения к операционной системе заменена командой образа anyconnect в Версии ASA 8.4 (1) и позже как показано здесь:

    hostname(config)#webvpn

    hostname(config-webvpn)#anyconnect image disk0:/
    anyconnect-win-3.0.0527-k9.pkg 1

    hostname(config-webvpn)#anyconnect image disk0:/
    anyconnect-macosx-i386-3.0.0414-k9.pkg 2

Ошибка: "Пакет AnyConnect на защищенном шлюзе не мог быть расположен"

Эта ошибка вызвана на машине Linux пользователя, когда это пытается соединиться с ASA путем запуска AnyConnect. Вот завершенная ошибка:

"The AnyConnect package on the secure gateway could not be located. You may
be experiencing network connectivity issues. Please try connecting again."

Решение

Для решения этого сообщения об ошибках проверьте, поддерживается ли Операционная система (OS), которая используется на клиентском компьютере, клиентом AnyConnect. Для полной информации на поддерживаемом программном обеспечении обратитесь к разделу Системных требований в Комментариях к выпуску AnyConnect.

Если ОС поддерживается, то проверьте, задан ли пакет AnyConnect в конфигурации WebVPN или нет. Посмотрите пакет Anyconnect недоступный или поврежденный раздел этого документа для получения дополнительной информации.

Ошибка: "Безопасная VPN через удаленный рабочий стол не поддерживается"

Пользователи неспособны выполнить доступ удаленного рабочего стола. Secure VPN via remote desktop is not supported сообщение об ошибках появляется.

Решение

Эта проблема происходит из-за этих идентификаторов ошибок Cisco: CSCsu22088 и CSCso42825. При обновлении Клиента AnyConnect VPN Client он может решить вопрос. Обратитесь к этим дефектам для получения дополнительной информации.

Ошибка: "Полученный серверный сертификат или его цепочка не соответствует FIPS.{\f7 A VPN connection will not be establishe}{\f3 d (Обнаружена проблема с сертификатом. Установить VPN-соединение невозможно.})

Когда вы пытаетесь к VPN к ASA 5505, The server certificate received or its chain does not comply with FIPS. A VPN connection will not be established сообщение об ошибках появляется.

Решение

Для решения этой ошибки необходимо отключить Федеральные стандарты обработки информации (FIPS) (FIPS) в файле Локальной политики AnyConnect. Этот файл может обычно находиться в C:\ProgramData\Cisco\Cisco AnyConnect VPN Client\AnyConnectLocalPolicy.xml. Если этот файл не найден в этом пути, то найдите файл в другом каталоге с путем такой как C:\Documents and Settings\All Users\Application Data\Cisco AnyConnectVPNClient\AnyConnectLocalPolicy.xml. Как только вы определяете местоположение файла xml, вносите изменения в этот файл как показано здесь:

Измените фразу:

<FipsMode>, истинный </FipsMode>

К:

<FipsMode> ложь </FipsMode>

Затем перезапустите компьютер. У пользователей должны быть административные разрешения для изменения этого файла.

Ошибка: "Сбой проверки достоверности сертификата"

Пользователи неспособны запустить AnyConnect и получить Certificate Validation Failure ошибка.

Решение

Проверка подлинности сертификата работает по-другому с AnyConnect по сравнению с Клиентом IPSEC. Для проверки подлинности сертификата для работы необходимо импортировать сертификат клиента к браузеру и изменить профиль подключения для использования проверки подлинности сертификата. Также необходимо выполнить эту команду на ASA, чтобы позволить сертификатам клиента SSL использоваться на внешнем интерфейсе:

ssl certificate-authentication interface outside port 443

Для получения дополнительной информации об этой команде, обратитесь к проверке подлинности сертификата SSL.

Ошибка: "Сервис Агента VPN встретился с проблемой и потребностями закрыть. Мы сожалеем о неудобстве"

Когда Версия 2.4.0202 AnyConnect установлена на ПК Windows XP, она останавливается при обновлении файлов локализации, и сообщение об ошибках показывает, что отказывает vpnagent.exe.

Решение

Это поведение зарегистрировано в идентификаторе ошибки Cisco CSCsq49102. Предложенный обходной путь должен отключить клиент Citrix.

Ошибка: "Этот пакет установки не мог быть открыт. Проверьте, что существует пакет"

Когда AnyConnect загружен, это сообщение об ошибках получено:

"Contact your system administrator. The installer failed with the following error: This installation package could not be opened. Verify that the package exists and that you can access it, or contact the application vendor to verify that this is a valid Windows Installer package."

Решение

Выполните эти шаги для устранения этой проблемы:

  1. Удалите любое антивирусное программное обеспечение.

  2. Отключите межсетевой экран Windows.

  3. Если никакой Шаг 1 или 2 не помогает, то отформатируйте машину и затем установите.

  4. Если проблема все еще сохраняется, откройте Кэйс TAC.

Ошибка: "Ошибка при применении преобразовывает. Проверьте, что указанные пути преобразования допустимы".

Это сообщение об ошибках получено во время автозагрузок AnyConnect от ASA:

"Contact your system administrator. The installer failed with the following error:
Error applying transforms. Verify that the specified transform paths are valid."

Это - сообщение об ошибках, полученное при соединении с AnyConnect для MacOS:

"The AnyConnect package on the secure gateway could not be located. You may be
experiencing network connectivity issues. Please try connecting again."

Решение

Завершите один из этих обходных путей для решения этого вопроса:

  1. Основная причина этой ошибки могла бы произойти из-за поврежденного MST файла трансляции (например, импортирована). Выполните эти шаги для решения проблемы этого:

    1. Удалите MST таблицу преобразования.

    2. Настройте образ AnyConnect для MacOS в ASA.


  2. От ASDM придерживайтесь сетевого доступа (клиент)> AnyConnect, Пользовательский>, Установки соединяют каналом и удаляют файл пакета AnyConnect. Удостоверьтесь, что пакет остается в сетевом доступе (клиент)> Усовершенствованным> VPN SSL> Клиентская Установка.

Если ни один из этих обходных путей не решает вопрос, обращается в техническую поддержку Cisco.

Ошибка: The VPN client driver has encountered an error (Драйвер VPN-клиента обнаружил ошибку)

Эта ошибка получена:

The VPN client driver has encountered an error when connecting through Cisco
AnyConnect Client.

Решение

Когда вы деинсталлируете Клиент AnyConnect, и затем удаляете антивирусное программное обеспечение, этот вопрос может быть решен. После этого повторно установите Клиент AnyConnect. Если это разрешение не работает, то переформатировало ПК для устранения этой проблемы.

Ошибка: "Переподключение VPN привело к другому параметру конфигурации. Значение сети VPN повторно инициализируется. Приложения, использующие частную сеть, возможно, должны быть восстановлены".

Когда вы пытаетесь запустить AnyConnect, эта ошибка получена:

"A VPN reconnect resulted in different configuration setting. The VPN network
setting is being re-initialized. Applications utilizing the private network may
need to be restarted."

Решение

Для решения этой ошибки используйте это:

group-policy <Name> attributes
webvpn
svc mtu 1200

Команда mtu обращения к операционной системе заменена anyconnect командой mtu в Версии ASA 8.4 (1) и позже как показано здесь:

hostname(config)#group-policy <Name> attributes

hostname(config-group-policy)#webvpn

hostname(config-group-webvpn)#anyconnect mtu 500

Ошибка AnyConnect при регистрации

Проблема

AnyConnect получает эту ошибку, когда это соединяется с Клиентом:

The VPN connection is not allowed via a local proxy. This can be changed
through AnyConnect profile settings.

Решение

Вопрос может быть решен при внесении этих изменений в профиль AnyConnect:

Добавьте эту линию к профилю AnyConnect:

<ProxySettings>IgnoreProxy</ProxySettings><
AllowLocalProxyConnections>
false</AllowLocalProxyConnections>

Параметр прокси IE Не Восстановлен после Разъединения AnyConnect на Windows 7

Проблема

В Windows 7, если параметр прокси IE настроен для Автоматически, обнаруживают параметры настройки, и AnyConnect отталкивает новый параметр прокси, параметр прокси IE не восстановлен назад для автоматического обнаружения параметров настройки после сторон пользователя сеанс AnyConnect. Это вызывает проблемы LAN для пользователей, которые требуют их параметра прокси, настроенного для, Автоматически обнаруживают параметры настройки.

Решение

Это поведение зарегистрировано в идентификаторе ошибки Cisco CSCtj51376. Предложенный обходной путь должен обновить к AnyConnect 3.0.

Ошибка: Основы AnyConnect не могут быть включены, пока все эти сеансы не закрыты.

Когда вы пытаетесь включить лицензию Основ AnyConnect, это сообщение об ошибках получено на Cisco ASDM:

There are currently 2 clientless SSL VPN sessions in progress. AnyConnect
Essentials can not be enabled until all these sessions are closed.

Решение

Это - нормальное поведение ASA. Основами AnyConnect является отдельно лицензированный VPN-клиент SSL (SVC). Это полностью настроено на ASA и предоставляет полную возможность AnyConnect с этими исключениями:

  • Никакой Cisco Secure Desktop (CSD) (включая HostScan/Vault/Cache Уборщика)

  • Никакой VPN SSL без клиента

  • Дополнительная поддержка Windows Mobile

Эта лицензия не может использоваться в то же время, что и совместно используемая лицензия премии VPN SSL. Когда необходимо использовать одну лицензию, необходимо отключить другой.

Ошибка: вкладка Connection на интернет-опции Internet Explorer скрывается, будучи связанным с клиентом AnyConnect.

Вкладка соединения на интернет-опции Internet Explorer скрывается после того, как вы будете связаны с клиентом AnyConnect.

Решение

Это происходит из-за функции строгой изоляции msie-прокси. При активации этой опции она скрывает вкладку Connections в Microsoft Internet Explorer на время сеанса VPN AnyConnect. Если вы отключаете опцию, она оставляет показ вкладки Connections неизменным.

Ошибка: Немного пользователей, получающих Вход в систему Отказавшее Сообщение об ошибках, когда другие в состоянии соединиться успешно через VPN AnyConnect

Когда другие могут соединиться успешно через VPN AnyConnect, несколько пользователей получают Вход в систему Отказавшее Сообщение об ошибках.

Решение

Этот вопрос может быть решен, если вы удостоверяетесь, что не требует, чтобы флажок процедур, предшествующих аутентификации был проверен для пользователей.

Ошибка: сертификат, который вы просматриваете, не совпадает с названием сайта, который вы пытаетесь просмотреть.

Во время обновления профиля AnyConnect ошибку показывают, который говорит, что сертификат недопустим. Это происходит с Windows только и в фазе обновления профиля. Сообщение об ошибках показывают здесь:

The certificate you are viewing does not match with the name of the site
you are trying to view.

Решение

Это может быть решено при изменении списка серверов профиля AnyConnect для использования FQDN сертификата.

Это - выборка профиля XML:

<ServerList>

<HostEntry>

<HostName>vpn1.ccsd.net</HostName>

</HostEntry>

</ServerList>

Примечание: Если существует существующая запись для Открытого IP - адреса сервера такой как <HostAddress>, тогда удалите его и сохраните только FQDN сервера (например, <HostName> но нет <Host Address>).

Не может запустить AnyConnect от хранилища CSD от Windows 7 Machine

Когда AnyConnect запущен от хранилища CSD, он не работает. Это предпринято на машинах Windows 7.

Решение

В настоящее время это не возможно, потому что это не поддерживается.

Профиль AnyConnect не становится реплицированным в резерв после аварийного переключения

Клиент VPN AnyConnect 3.0 с программным обеспечением Версии ASA 8.4.1 хорошо работает. Однако после аварийного переключения, нет никакой репликации для связанной конфигурации профиля AnyConnect.

Решение

Эта проблема наблюдалась и зарегистрирована под идентификатором ошибки Cisco CSCtn71662. Временный обходной путь должен вручную скопировать файлы к резервному модулю.

Сбои Клиента AnyConnect, если Internet Explorer Идет Офлайн

Когда это происходит, журнал событий AnyConnect содержит записи, подобные им:

Description : Function:
CAdapterNetworkStateIfc::SetConnectedStateToConnected
File: .\AdapterNetworkStateIfc.cpp
Line: 147
Invoked Function: InternetSetOption
Return Code: 12010 (0x00002EEA)
Description: The length is incorrect for the option type

Description : Function: CTransportWinHttp::InitTransport
File: .\CTransportWinHttp.cpp
Line: 252
Invoked Function: CConnectedStateIfc::SetConnectedStateToConnected
Return Code: -25362420 (0xFE7D000C)
Description: CADAPTERNETWORKSTATEIFC_ERROR_SET_OPTION

Решение

Это поведение наблюдается и зарегистрировано под идентификатором ошибки Cisco CSCtx28970. Для решения этого оставьте приложение AnyConnect и перезапуск. Соединения вновь появляются после перезапуска.

Сообщение об ошибке: TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER

Клиент AnyConnect не в состоянии соединяться и Unable to establish a connection сообщение об ошибках получено. В журнале событий AnyConnect, TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER ошибка найдена.

Решение

Это происходит, когда головной узел настроен для раздельного туннелирования с очень большим списком разделенных туннелей (приблизительно 180-200 записей), и один или несколько других клиентских атрибутов настроены в групповой политике, такой как dns-server.

Чтобы решить эту проблему, выполните следующие действия:

  1. Сократите количество записей в списке разделенных туннелей.

  2. Используйте эту конфигурацию для отключения DTLS:

    group-policy groupName attributes
    webvpn
    svc dtls none

Для получения дополнительной информации обратитесь к идентификатору ошибки Cisco CSCtc41770.

Сообщение об ошибке: "Попытка подключения отказала из-за недопустимой записи хоста"

Connection attempt has failed due to invalid host entry в то время как AnyConnect заверен с использованием сертификата, сообщение об ошибках получено.

Решение

Для решения этого вопроса попробуйте любое из этих возможных решений:

  • Обновите AnyConnect к версии 3.0.
  • Отключите Cisco Secure Desktop на компьютере.

Для получения дополнительной информации обратитесь к идентификатору ошибки Cisco CSCti73316.

Ошибка: "Гарантируйте, что серверные сертификаты могут передать строгий режим при настройке постоянной VPN"

Когда вы активируете Постоянную опцию на AnyConnect, Ensure your server certificates can pass strict mode if you configure always-on VPN сообщение об ошибках получено.

Решение

Это сообщение об ошибках подразумевает, если вы хотите использовать Постоянную функцию, необходимость допустимого, разъединяют сертификат, настроенный на головном узле. Без сертификата допустимого сервера не работает эта функция. Строгий Режим Свидетельства является опцией, которую вы устанавливаете в файле локальной политики AnyConnect, чтобы гарантировать, что соединения используют подтвержденный сертификат. Если вы включаете эту опцию в файле политики и подключении с поддельным сертификатом, сбоями соединения.

Ошибка: "Отказавшая попытка подключения"

Это Диагностическое средство создания отчетов AnyConnect (DART) показывает одну неудачную попытку:

******************************************
Date : 03/25/2014
Time : 09:52:21
Type : Error
Source : acvpnui

Description : Function: CTransportWinHttp::SendRequest
File: .\CTransportWinHttp.cpp
Line: 1170
Invoked Function: HttpSendRequest
Return Code: 12004 (0x00002EE4)
Description: An internal error occurred in the Microsoft
Windows HTTP Services

*****************************************
Date : 03/25/2014
Time : 09:52:21
Type : Error
Source : acvpnui

Description : Function: ConnectIfc::connect
File: .\ConnectIfc.cpp
Line: 472
Invoked Function: ConnectIfc::sendRequest
Return Code: -30015443 (0xFE36002D)
Description: CTRANSPORT_ERROR_CONN_UNKNOWN
******************************************
Date : 03/25/2014
Time : 09:52:21
Type : Error
Source : acvpnui

Description : Function: ConnectIfc::TranslateStatusCode
File: .\ConnectIfc.cpp
Line: 2999
Invoked Function: ConnectIfc::TranslateStatusCode
Return Code: -30015443 (0xFE36002D)
Description: CTRANSPORT_ERROR_CONN_UNKNOWN
Connection attempt failed. Please try again.

******************************************

Кроме того, обратитесь к просмотру событий, входит в систему машины Windows.

Решение

Это могло быть вызвано из-за поврежденного соединения Winsock. Перезагрузите соединение от команды PROMT с этой командой и перезапустите машину окон:

netsh winsock сброс

Обратитесь к, Как определить и восстановиться с повреждения Winsock2 в Windows Server 2003 в Windows XP, и в статье в базе знаний Windows Vista для получения дополнительной информации.

Дополнительные сведения


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 100597