Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

ASA 8.x: клиент AnyConnect VPN, расследующий технические замечания

20 сентября 2014 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (22 сентября 2010) | Английский (15 сентября 2014) | Отзыв


Содержание


Введение

Этот сценарий поиска неисправностей относится к заявлениям, которые не работают через Cisco AnyConnect Клиент VPN.

Предпосылки

Требования

Нет никаких определенных требований для этого документа.

Используемые компоненты

Информация в этом документе основана на Приборе безопасности ASA, который управляет версией 8.x.

Информация в этом документе была создана из устройств в определенной окружающей среде лаборатории. Все устройства, используемые в этом документе, начали с очищенного (неплатеж) конфигурацию. Если ваша сеть жива, удостоверьтесь, что вы понимаете потенциальное воздействие любой команды.

Соглашения

Направьте в Cisco Технические Соглашения Подсказок для получения дополнительной информации о соглашениях документа.

Поиск неисправностей процесса

Этот типичный сценарий поиска неисправностей относится к заявлениям, которые не работают через Cisco AnyConnect Клиент VPN для конечных пользователей с компьютерами Microsoft Windows-based. Эти секции обращаются и предоставляют решения проблем:

Установка и действительные проблемы адаптера

Закончите эти шаги:

  1. Получите файл системного журнала устройства:

    • Windows XP / Windows 2000:

      \Windows\setupapi.log
      
    • Windows Vista:

      Примечание: Скрытые папки должны быть сделаны видимыми для наблюдения этих файлов.

      \Windows\Inf\setupapi.app.log 
          \Windows\Inf\setupapi.dev.log
      

    Если вы видите ошибки в setupapi файле системного журнала, можно поднять многословие к 0x2000FFFF, как описано в этой статье Windows KB leavingcisco.com. Обратите внимание на то, что в статье говорится для урегулирования его в 0xFFFF, но если вы добавляете высокого уровня ценность 0x2, это делает регистрацию быстрее.

  2. Получите файл системного журнала инсталлятора MSI:

    Если это - начальная сеть, развертываются, устанавливают, эта регистрация расположена в справочнике временного секретаря в расчете на пользователя.

    • Windows XP / Windows 2000:

      \Documents and Settings\<username>\Local Settings\Temp\
      
    • Windows Vista:

      \Users\<username>\AppData\Local\Temp\
      

    Если это - автоматическое обновление, эта регистрация находится в справочнике временного секретаря системы:

    \Windows\Temp
    

    Имя файла находится в этом формате: anyconnect-win-x.x.xxxx-k9-install-yyyyyyyyyyyyyy.log. Получите новый файл для версии клиента, которого вы хотите установить. Изменения x.xxxx, основанные на версии, такой как 2.0.0343, и yyyyyyyyyyyyyy, являются датой и время устанавливания.

  3. Получите файл информации о системе PC:

    1. От Командной строки / коробка DOS, напечатайте это:

      • Windows XP / Windows 2000:

        winmsd /nfo c:\msinfo.nfo
        
      • Windows Vista:

        msinfo32 /nfo c:\msinfo.nfo
        

      Примечание: после печати, это вызывает, ждет. Это может взять между двумя - пятью минутами для файла для завершения.

    2. Получите systeminfo свалку файла из Командной строки:

      Windows XP и Windows Vista:

      systeminfo c:\sysinfo.txt
      

Посмотрите AnyConnect: Испортите Проблему Базы данных Водителя для отладки проблемы водителя.

Разъединение или неспособность установить начальную связь

Если вы испытываете проблемы связи с клиентом AnyConnect, такие как разъединения или неспособность установить начальную связь, получаете эти файлы:

  • Конфигурационный файл от ASA, чтобы определить, вызывает ли что-нибудь в конфигурации неудачу связи:

    От пульта ASA напечатайте write net x.x.x.x:ASA-Config.txt, где x.x.x.x является IP-адрес сервера TFTP в сети.

    ИЛИ

    От пульта ASA напечатайте show running-config. Позвольте конфигурации заканчивать на экране, затем вырежьте и вставьте редактору текста и спасите.

  • Журналы событий ASA:

    1. Чтобы позволить войти в систему, ASA для автора, webvpn, ssl, и svc события, выпускают эти команды CLI:

      config terminal 
      logging enable 
      logging timestamp 
      logging class auth console debugging 
      logging class webvpn console debugging 
      logging class ssl console debugging
      logging class svc console debugging
    2. Породите сессию AnyConnect и гарантируйте, что может быть воспроизведена неудача. Захватите продукцию регистрации от пульта до редактора текста и спасите.

    3. Для выведения из строя регистрации выпустите no logging enable.

  • Cisco AnyConnect регистрация Клиента VPN от Зрителя Windows Событий клиента PC:

    1. Выберите Начало> Пробег.

    2. Войдите:

      eventvwr.msc /s
    3. Щелкните правой кнопкой мыши по Cisco AnyConnect, которую регистрация Клиента VPN, и избранный Сохраняет Файлу системного журнала как AnyConnect.evt.

      Примечание: Всегда сохраняйте его как .evt формат файла.

Если пользователь не может соединиться с клиентом AnyConnect VPN, проблема могла бы быть связана с установленной сессией RDP, или Быстрое Пользовательское Переключение позволило на клиенте PC. Пользователь видит ошибку сообщения об ошибке AnyConnect profile settings mandate a single local user, but multiple local users are currently logged into your computer. A VPN connection will not be established на клиенте PC. Для решения этого вопроса разъедините, любой установил сессии RDP, и искалечьте Быстрого Пользователя, Переключающегося.

Примечание: Удостоверьтесь, что порт 443 не заблокирован так, клиент AnyConnect может соединиться с ASA.

Когда пользователь не может соединить клиента AnyConnect VPN с ASA, проблема могла бы быть вызвана несовместимостью между версией клиента AnyConnect и версией программного обеспечения ASA изображения. В этом случае пользователь получает это сообщение об ошибке: The installer was not able to start the Cisco VPN client, clientless access is not available.

Для решения этого вопроса модернизируйте версию клиента AnyConnect, чтобы быть совместимыми с изображением программного обеспечения ASA. Для подтверждения совместимости отошлите к Приборам безопасности и программному обеспечению Поддержанный раздел Информации о версии Клиента AnyConnect.

Когда пользователь не может соединиться с клиентом AnyConnect VPN от PC, проблема может быть вызвана подарком Антивирусного программного обеспечения на PC.

Примечание: AnyConnect должен быть установлен на компьютере перед установкой любых сторонних программных обеспечений брандмауэра/антивируса. Если AnyConnect будет установлен после каких-либо сторонних программных обеспечений брандмауэра/антивируса, то AnyConnect не соединится. Для решения этого вопроса отключите все опции личного firewall/AV. Затем сделайте мелочь на AnyConnect действительным адаптером и попытайтесь повторно соединить AnyConnect. Для получения дополнительной информации обратитесь к ошибке IDs CSCsj91840 Cisco (только зарегистрированные клиенты) и CSCti16453 (только зарегистрированные клиенты).

Когда вы логин в первый раз к AnyConnect, не бежит подлинник логина. Если вы разъединяете и логин снова, то подлинник логина хорошо работает. Это - ожидаемое поведение.

При соединении клиента AnyConnect VPN с ASA вы могли бы получить эту ошибку: User not authorized for AnyConnect Client access, contact your administrator.

Когда имидж AnyConnect отсутствует в ASA, эта ошибка замечена. Как только изображение загружено к ASA, AnyConnect может соединиться без любых проблем с ASA.

Эта ошибка может быть решена путем выведения из строя Дейтаграммной безопасности транспортного уровня (DTLS). Пойдите в Конфигурацию> Удаленный доступ VPN> Сеть (Клиент) Доступ> Профили Связи AnyConnect и снимите флажок с флажком Enable DTLS. Это отключает DTLS.

Когда пользователь разъединен, dartbundle файлы показывают это сообщение об ошибке: TUNNELPROTOCOLDPDMGR_ERROR_NO_DPD_RESPONSE:The secure gateway failed to respond to Dead Peer Detection packets. Эта ошибка означает, что канал DTLS был порван из-за dpd неудачи. Эта ошибка решена путем щипания dpd keepalives и издания этих команд:

webvpn
   svc keepalive 30
   svc dpd-interval client 80
   svc dpd-interval gateway 80

svc keepalive и svc команды dpd-интервала заменены anyconnect keepalive и anyconnect командами dpd-интервала соответственно в версии 8.4 (1) ASA и позже как показано здесь:

webvpn
anyconnect ssl keepalive 15
anyconnect dpd-interval client 5
anyconnect dpd-interval gateway 5

Проблемы с проходящим трафиком

Когда проблемы обнаружены с проходящим трафиком к частной сети с сессией AnyConnect через ASA, заканчивают эти шаги сбора данных:

  1. Получите продукцию шоу vpn-sessiondb, детализируют название фильтра svc <имя пользователя> команда ASA от пульта. Если продукция показывает Filter Name: XXXXX, то соберите продукцию для выставочного списка доступа XXXXX. Проверьте, что список доступа XXXXX не блокирует намеченный транспортный поток.

  2. Экспортируйте статистику AnyConnect от клиента AnyConnect VPN> Статистика> Детали> Экспорт (AnyConnect-ExportedStats.txt).

  3. Проверьте конфигурационный файл ASA на туземные заявления. Если NAT позволен, они должны освободить данные, которые возвращаются к клиенту в результате NAT. Например, к освобожденному NAT (туземный 0) IP-адреса от фонда AnyConnect, используйте это на CLI:

    access-list in_nat0_out extended permit ip any 10.136.246.0 255.255.255.0
    ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
    nat (inside) 0 access-list in_nat0_out
  4. Определите, должны ли tunneled ворота по умолчанию быть позволены для установки. Традиционные ворота по умолчанию являются воротами последней инстанции для нерасшифрованного движения.

    Пример

    
    !--- Route outside 0 0 is an incorrect statement.
    
    route outside 0 0 10.145.50.1
    route inside 0 0 10.0.4.2 tunneled
    

    Например, если Клиент VPN должен получить доступ к ресурсу, который не находится в таблице маршрутизации Ворот VPN, пакет разбит через стандартные ворота по умолчанию. Ворота VPN не нуждаются в полной внутренней таблице маршрутизации для решения этого. tunneled ключевое слово может использоваться в этом случае.

  5. Проверьте, пропускается ли движение AnyConnect инспекционной политикой ASA. Вы могли освободить определенное применение, которое используется клиентом AnyConnct путем осуществления Модульной стратегической Структуры Cisco ASA. Например, вы могли освободить тощий протокол от освобождения с помощью следующих команд.

    ASA(config)# policy-map global_policy
    ASA(config-pmap)#  class inspection_default
    ASA(config-pmap-c)# no inspect skinny

Проблемы катастрофы AnyConnect

Закончите эти шаги сбора данных:

  1. Гарантируйте, что позволяют Microsoft Utility доктор Уотсон. Чтобы сделать это, выберите Начало> Пробег и управляйте Drwtsn32.exe. Формируйте это и нажмите OK:

    Number of Instructions      : 25
    Number of Errors To Save    : 25
    Crash Dump Type             :  Mini 
    Dump Symbol Table           : Checked
    Dump All Thread Contexts    : Checked
    Append To Existing Log File : Checked
    Visual Notification         : Checked
    Create Crash Dump File      : Checked

    Когда катастрофа произойдет, соберите .log и .dmp файлы от C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson. Если эти файлы, кажется, используются, то используйте ntbackup.exe.

  2. Получите Cisco AnyConnect регистрация Клиента VPN от Зрителя Windows Событий клиента PC:

    1. Выберите Начало> Пробег.

    2. Войдите:

      eventvwr.msc /s
    3. Щелкните правой кнопкой мыши по Cisco AnyConnect, которую регистрация Клиента VPN, и избранный Сохраняет Файлу системного журнала Как AnyConnect.evt.

      Примечание: Всегда сохраняйте его как .evt формат файла.

Фрагментация / Проблемы Проходящего трафика

Некоторые заявления, такие как Microsoft Outlook, не работают. Однако тоннель в состоянии передать другое движение такой, поскольку маленький свистит.

Это может дать представления относительно проблемы фрагментации в сети. Потребительские маршрутизаторы особенно плохи при фрагментации пакета и повторной сборке.

Попробуйте измеряющий набор, свистит, чтобы видеть, терпит ли он неудачу в определенном размере. Например, –l 500 звона, –l 1000 звона, свистит –l 1500, звон –l 2000.

Рекомендуется формировать специальную группу для пользователей, которые испытывают фрагментацию и устанавливают svc mtu для этой группы к 1200. Это позволяет вам повторно добиваться пользователей, которые испытывают эту проблему, но не влияют на более широкую базу пользователей.

Проблема:

Связи TCP висят когда-то связанный с AnyConnect.

Решение:

Чтобы проверить, есть ли у вашего пользователя проблема фрагментации, приспособьте mtu для клиентов AnyConnect на ASA.

 ASA(config)#group-policy <name> attributes
                          webvpn
                              svc mtu 1200

Деинсталлируйте автоматически

Проблема:

Клиент AnyConnect VPN деинсталлирует себя, как только заканчивается связь.

Клиент регистрирует шоу, которые сохраняют установленными, установлен в отключенный.

Решение:

AnyConnect деинсталлирует себя, несмотря на который установленный выбор сторожевой башни отобран на Адаптивном диспетчере устройств безопасности (ASDM). Для решения этого вопроса формируйте установленную команду svc держать-инсталлятора под политикой группы.

Проблемы времени ожидания AnyConnect

Проблема:

Проблемы времени ожидания замечены с клиентом AnyConnect VPN.

Решение:

Дейтаграммная безопасность транспортного уровня (DTLS) избегает времени ожидания и проблем полосы пропускания, связанных с немного SSL-только связи, включая связи AnyConnect, и улучшает исполнение заявлений в реальном времени, которые чувствительны к задержкам пакета. DTLS позволяет клиенту AnyConnect, который устанавливает SSL VPN связь для использования двух одновременных тоннелей, тоннеля SSL и тоннеля DTLS.

При использовании DTLS он избегает времени ожидания и проблем полосы пропускания, связанных с некоторыми связями SSL, и улучшает исполнение заявлений в реальном времени, которые чувствительны к задержкам пакета. DTLS является основанным на стандартах протоколом SSL, который обеспечивает информационный канал низкого времени ожидания, который использует UDP. DTLS может быть позволен с svc dtls, позволяют команду, как показано:

hostname(config)#group-policy sales attributes

hostname(config-group-policy)#webvpn

hostname(config-group-webvpn)#svc dtls enable

Кроме того, при выведении из строя сжатия и df-bit-ignore время ожидания и проблемы полосы пропускания уменьшены. df-bit-ignore может быть позволен, и compression может быть отключен как показано здесь:

hostname(config)#group-policy <name> attributes
hostname(config-group-policy)#webvpn
hostname(config-group-webvpn)#svc df-bit-ignore enable
hostname(config-group-webvpn)#svc routing-filtering-ignore enable
hostname(config-group-webvpn)#svc mtu 1200
hostname(config-group-webvpn)#svc compression none

Кроме того, изменение вне ACLs на ASA для разрешения порта UDP 443 решит вопрос времени ожидания.

Проблема:

Anyconnect занимает очень долгое время для соединения.

Решение:

Конфигурация по доверенности в браузере является известной проблемой, которая вызвала бы проблемы медлительности. Один из искусственных приемов должен установить клиента игнорировать его. Позвольте "полномочие обхода" в профиле Anyconnect так, чтобы могла быть устранена проблема.

Добавьте следующую линию к профилю AnyConnect.

<ProxySettings>IgnoreProxy</ProxySettings>

Проблема, населяющая группу FQDN

Проблема: клиент AnyConnect предварительно населен с hostname вместо группы fqdn.

Когда вам настраивали группу балансировки нагрузки для SSL VPN, и клиент пытается соединиться с группой, запрос перенаправлен к узлу, ASA и клиент загружаются успешно. Через какое-то время, когда клиент попробовал еще раз соединяться с группой, группа fqdn не замечена в, "Соединяются с" записями. Вместо этого узел вход ASA, к которому был перенаправлен клиент, замечен.

Решение

Это происходит, потому что клиент AnyConnect сохраняет имя хоста, с которым это в последний раз соединилось. Это поведение наблюдается, и ошибка была подана. Для полных деталей об ошибке обратитесь к ошибке ID CSCsz39019 Cisco (только зарегистрированные клиенты). Модернизация Cisco AnyConnect к 2.5 является предложенной работой.

Конфигурация списка сервера резервного копирования

Список сервера резервного копирования формируется в случае, если главный сервер, отобранный пользователем, не достижим. Это определено в стекле "Сервера резервного копирования" в профиле AnyConnect. Закончите эти шаги:

  1. Загрузите Редактора Профиля AnyConnect (только зарегистрированные клиенты). Имя файла является AnyConnectProfileEditor2_4_1.jar.

  2. Создайте файл XML с помощью Редактора Профиля AnyConnect.

    1. Пойдите в счет списка сервера.

    2. Нажмите Add.

    3. Напечатайте главный сервер на области Hostname.

    4. Добавьте сервер резервного копирования ниже списка сервера резервного копирования на адресном поле Хозяина. Затем нажмите Add.

  3. Как только у вас есть файл XML, необходимо назначить его на связь, которую вы используете на ASA.

    1. В ASDM выберите Конфигурацию> Удаленный доступ VPN> Сеть (Клиент) Доступ> Профили Связи AnyConnect.

    2. Выберите свой профиль и нажмите Edit.

    3. Нажмите Manage от стратегической секции Default Group.

    4. Выберите свою политику группы и нажмите Edit.

    5. Выберите Продвинутый и затем нажмите SSL VPN Client.

    6. Нажмите New. Затем необходимо ввести имя для Профиля и назначить файл XML.

  4. Соедините клиента с сессией для загрузки файла XML.

AnyConnect: испортите проблему базы данных водителя

Этот вход в файле SetupAPI.log предполагает, что система каталога коррумпирована:

Водитель W239, подписывающийся список учащихся " C:\WINDOWS\INF\certclas.inf" was missing or invalid. Error 0xfffffde5: Unknown Error., принимая все классы устройства, подвергается водителю, подписывающему политику.

Можно также получить это сообщение об ошибке: Error(3/17): Unable to start VA, setup shared queue, or VA gave up shared queue.

И этот вход в систему клиента: "The VPN client driver has encountered an error"

Ремонт

Эта проблема происходит из-за ошибки ID CSCsm54689 Cisco (только зарегистрированные клиенты). Для решения этого вопроса удостоверьтесь, что Обслуживание Направления и Удаленного доступа искалечено перед стартом AnyConnect. Если это не решает вопрос, закончите эти шаги:

  1. Откройте командную строку как Администратора на PC (поднятый быстрый на Перспективе).

  2. Управляйте net stop CryptSvc.

  3. Управляемый:

    esentutl /p%systemroot%\System32\catroot2\
    {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
  4. Когда вызвано, выберите OK для попытки ремонта.

  5. Выйдите из командной строки.

  6. Перезагрузка.

Если ремонт терпит неудачу

Если ремонт терпит неудачу, закончите эти шаги:

  1. Откройте командную строку как Администратора на PC (поднятый быстрый на Перспективе).

  2. Управляйте net stop CryptSvc.

  3. Переименуйте %WINDIR %\system32\catroot2 к catroot2_old справочнику.

  4. Выйдите из командной строки.

  5. Перезагрузка.

Проанализируйте базу данных

В любое время можно проанализировать базу данных, чтобы определить, действительно ли это.

  1. Откройте командную строку как Admimistrator на PC.

  2. Управляемый:

    esentutl /g%systemroot%\System32\catroot2\
    {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb

    Обратитесь к Системной Целостности Базы данных Каталога для получения дополнительной информации.

    Примечание: Обратитесь к asapedia leavingcisco.com для получения дополнительной информации.

Сообщения об ошибках

Ошибка: неспособный обновить управленческую базу данных сессии

В то время как SSL VPN связан через веб-браузер, сообщение об ошибке Unable to Update the Session Management Database. появляется, и регистрации ASA показывают %ASA-3-211001: Memory allocation Error. The adaptive security appliance failed to allocate RAM system memory..

Решение 1

Эта проблема происходит из-за ошибки ID CSCsm51093 Cisco (только зарегистрированные клиенты). Для решения этого вопроса перезагрузите ASA или модернизируйте программное обеспечение ASA до временного выпуска, упомянутого в ошибке. Обратитесь к ошибке ID CSCsm51093 Cisco (только зарегистрированные клиенты) для получения дополнительной информации.

решение 2

Если обнаружение угрозы используется, этот вопрос может также быть решен путем выведения из строя обнаружения угрозы на ASA.

Ошибка: "Модуль c:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnapi.dll не зарегистрировался"

При использовании клиента AnyConnect на ноутбуках или PCs, ошибка происходит во время устанавливания:

"Модуль C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnapi.dll не зарегистрировался..."

Когда с этой ошибкой сталкиваются, инсталлятор не может продвинуться, и клиент удален.

Решение

Это возможные искусственные приемы для решения этой ошибки:

  • Последний клиент AnyConnect официально больше не поддерживается с Windows 2000. Это - проблема регистрации с компьютером 2000 года. Обратитесь к секции требований Windows из Информации о версии AnyConnect.

  • Удалите vmware заявления. Как только AnyConnect установлен, vmware заявления может быть добавлен назад к PC.

  • Добавьте ASA к их надежным сайтам. Для получения дополнительной информации обратитесь к Добавляющему Прибору безопасности к Списку секции Надежных сайтов из Информации о версии AnyConnect.

  • Скопируйте эти файлы от \ProgramFiles\Cisco\CiscoAnyconnect папки до новой папки и управляйте командной строкой regsvr32 vpnapi.dll:

    • vpnapi.dll

    • vpncommon.dll

    • vpncommoncrypt.dll

  • Переотображение операционная система на ноутбуке/PC.

Сообщение регистрации, связанное с этой ошибкой на клиенте AnyConnect, выглядит подобным этому:

DEBUG: Error 2911:  Could not remove the folder C:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, , 
DEBUG: Error 2911:  Could not remove the folder C:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, , 
Info 1721. There is a problem with this Windows Installer package. A program required for
this install to complete could not be run. Contact your support personnel or package
vendor. Action: InstallHelper.exe, location: C:\Program Files\Cisco\Cisco AnyConnect VPN
Client\InstallHelper.exe, command: -acl "C:\Documents and Settings\All Users\Application
Data\Cisco\Cisco AnyConnect VPN Client\\" -r

Ошибка: "Ошибка была получена от безопасных ворот в ответ на запрос переговоров VPN. Свяжитесь со своим сетевым администратором"

Когда клиенты пытаются соединить с VPN использование Cisco AnyConnect Клиент VPN, эта ошибка получена:

Это сообщение было получено от безопасных ворот:

"Незаконный класс адреса" или "Хозяин или сеть 0" или "Другая ошибка"

Решение

Проблема происходит из-за местного истощения бассейна IP ASA. Поскольку ресурс бассейна VPN исчерпан, диапазон бассейна IP должен быть увеличен.

Ошибка подана для этой проблемы. Ошибка Cisco ID является CSCsl82188 (только зарегистрированные клиенты). Эта ошибка обычно происходит, когда местный бассейн для назначения адреса исчерпан, или если 32-битная маска подсети используется для бассейна адреса. Работа должна расширить бассейн адреса и использовать 24-битную маску подсети для бассейна.

Ошибка: Сессия не могла быть установлена. Предел сессии 2 достиг.

Когда я пытаюсь соединить больше чем двух клиентов, использующих клиента AnyConnect VPN, я получаю сообщение об ошибке Login Failed на Клиенте и предупреждающее сообщение в регистрациях ASA, которое заявляет Session could not be established. Session limit of 2 reached. У меня есть AnyConnect существенная лицензия на ASA, который управляет версией 8.0.4.

Решение 1

Эта ошибка происходит, потому что AnyConnect существенная лицензия не поддержан версией 8.0.4 ASA. Необходимо модернизировать ASA до версии 8.2.2. Это решает ошибку.

Примечание: Независимо от используемой лицензии, если предел сессии достигнут, пользователь получит сообщение об ошибке login failed.

Решение 2

Если vpn-sessiondb max-anyconnect-premium-or-essentials-limit команда предела сессии используется для установления предела сессий VPN, разрешенных быть установленными, эта ошибка может также произойти. Если предел сессии установлен как 2, то пользователь не может установить больше чем две сессии даже при том, что лицензия установила поддержки больше сессий. Установите предел сессии числу сессий VPN, требуемых избегать этого сообщения об ошибке.

Ошибка: Anyconnect, не позволенный на сервере VPN при попытке соединить anyconnect с ASA

Я получаю сообщение об ошибке Anyconnect not enabled on VPN server при попытке соединить AnyConnect с ASA.

Решение

Эта ошибка решена путем предоставления возможности AnyConnect во внешнем интерфейсе ASA, использующего ASDM. Для получения дополнительной информации о том, как позволить AnyConnect во внешнем интерфейсе, отошлите к Предоставлению возможности SSL VPN Протокол Клиента.

Ошибка:-%ASA-6-722036: Пользователь группы клиента Группы xxxx IP x.x.x.x Передача большого пакета 1220 (порог 1206)

Сообщение об ошибке %ASA-6-722036: Group < client-group > User < xxxx > IP < x.x.x.x> Transmitting large packet 1220 (threshold 1206) появляется в регистрациях ASA. Что это регистрирует скупой и как это решено?

Решение

Это сообщение регистрации заявляет, что большой пакет послали клиенту. Источник пакета не знает о MTU клиента. Это может также произойти из-за сжатия несжимаемых данных. Работа должна выключить сжатие SVC с svc сжатием, которым ни один не командует. Это решает вопрос.

Ошибка: безопасные ворота отклонили vpn агента, соединяют или повторно соединяют запрос.

При соединении с Клиентом AnyConnect получена эта ошибка: "The secure gateway has rejected the agent's vpn connect or reconnect request. A new connection requires re-authentication and must be started manually. Please contact your network administrator if this problem persists. The following message was received from the secure gateway: no assigned address".

Эта ошибка также получена при соединении с Клиентом AnyConnect: "The secure gateway has rejected the connection attempt. A new connection attempt to the same or another secure gateway is needed, which requires re-authentication. The following message was received from the secure gateway:Host or network is 0".

Эта ошибка также получена при соединении с Клиентом AnyConnect: "The secure gateway has rejected the agent's vpn connect or reconnect request. A new connection requires a re-authentication and must be started manually. Please contact the network administrator if the problem persists. The following message was received from the secure gateway: No License".

Решение

Маршрутизатор пропускал конфигурацию бассейна после того, как перезагружают. Необходимо добавить заинтересованную конфигурацию назад к маршрутизатору.

Router#show run | in pool

ip local pool SSLPOOL 192.168.30.2 192.168.30.254
   svc address-pool SSLPOO

Когда лицензия подвижности AnyConnect отсутствует, ошибка "The secure gateway has rejected the agent's vpn connect or reconnect request. A new connection requires a re-authentication and must be started manually. Please contact the network administrator if the problem persists. The following message was received from the secure gateway: No License" происходит. Как только лицензия установлена, вопрос решен.

Ошибка: "Неспособный обновить управленческую базу данных сессии"

При попытке подтвердить подлинность в WebPortal, получено это сообщение об ошибке: "Unable to update the session management database".

Решение

Эта проблема связана с распределением памяти на ASA. Когда версия ASA 8.2.1, эта проблема главным образом замечена. Первоначально, это требует 512 МБ RAM для его полной функциональности. Обратитесь к секции Требований к памяти в информации о версии.

Как постоянная работа, модернизируйте память 512 МБ. Можно заказать "Комплекты Модернизации памяти".

Как временная работа, попытайтесь освободить память путем выполнения этих шагов:

  1. Отключите обнаружение угрозы.

  2. Отключите svc сжатие.

  3. Перезагрузите ASA.

Ошибка: "Водитель клиента VPN столкнулся с ошибкой"

Это - сообщение об ошибке, полученное на машине клиента при попытке соединиться с AnyConnect.

Решение

Для решения этой ошибки закончите эту процедуру для ручного урегулирования агента AnyConnect VPN в Интерактивный:

  1. Щелкните правой кнопкой мыши на My Computer> Manage> Services и Applications> Services> Select the Cisco AnyConnect VPN Agent.

  2. Щелкните правой кнопкой мыши по Properties, затем войдите в систему, и избранный Позволяют обслуживанию взаимодействовать с рабочим столом.

    Это устанавливает стоимость Типа регистрации DWORD в 110 (неплатеж равняется 010) для HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vpnagent.

    Примечание: Если бы это должно использоваться, то предпочтение должно было бы использовать.MST, преобразовывают в этот случай. Это вызвано тем, что, устанавливая это вручную использование следующих методов требует, чтобы это было установлено после каждого устанавливать/модернизировать процесс. Поэтому, потребность определить применение, которое вызывает это.

    Когда Обслуживанию Направления и Удаленного доступа (RRAS) позволяют на Windows PC, AnyConnect терпит неудачу с сообщением об ошибке The VPN client driver has encountered an error.. Для решения этого вопроса удостоверьтесь, что Направление и RRAS отключены прежде, чем начать AnyConnect. Обратитесь к ошибке ID CSCsm54689 Cisco (только зарегистрированные клиенты) для получения дополнительной информации.

Ошибка: "Неспособный обработать ответ от xxx.xxx.xxx.xxx"

Клиенты AnyConnect не соединяют с Cisco ASA. Ошибкой в окне AnyConnect является "Unable to process response from xxx.xxx.xxx.xxx".

Решение

Для решения этой ошибки попробуйте эти искусственные приемы:

  • Удалите webvpn из ASA и повторно позвольте его.

  • Измените число порта на 444 от существующих 443 и повторно позвольте его на 443 снова.

Для получения дополнительной информации о предоставлении возможности webvpn и изменении порта для webvpn, обратитесь к этому Решению.

Ошибка: "Логин Отрицаемый, несанкционированный механизм связи, свяжитесь со своим администратором"

Клиенты AnyConnect не соединяют с Cisco ASA. Ошибкой в окне AnyConnect является "Login Denied , unauthorized connection mechanism , contact your administrator".

Решение

Это сообщение об ошибке происходит главным образом из-за проблем конфигурации, которые являются неподходящими или неполная конфигурация. Проверьте конфигурацию и удостоверьтесь, что она должна как требуется решить вопрос.

Ошибка: "Пакет Anyconnect, недоступный или испорченный. Свяжитесь со своим системным администратором"

Когда вы пытаетесь начать программное обеспечение AnyConnect от клиента MAC для соединения с ASA, эта ошибка происходит.

Решение

Для решения этого закончите эти шаги:

  1. Загрузите пакет MAC AnyConnect на вспышку ASA. Для получения дополнительной информации об этом обратитесь к Загрузке имиджа AnyConnect.

  2. Измените webvpn конфигурацию для определения пакета AnyConnect, который будет использоваться.

    webvpn
     svc image disk0:/anyconnect-macosx-i386-2.3.2016-k9.pkg 2
     svc image disk0:/anyconnect-macosx-powerpc-2.3.2016-k9.pkg 3

    svc команда изображения заменена anyconnect командой изображения в версии 8.4 (1) ASA и позже как показано здесь:

    hostname(config)#webvpn
    
    hostname(config-webvpn)#anyconnect image disk0:/
    anyconnect-win-3.0.0527-k9.pkg 1
    
    hostname(config-webvpn)#anyconnect image disk0:/
    anyconnect-macosx-i386-3.0.0414-k9.pkg 2

Ошибка: "Пакет AnyConnect на безопасных воротах не мог быть расположен"

Эта ошибка вызвана на машине Linux пользователя при попытке соединиться с ASA путем запуска AnyConnect. Полная ошибка похожа на это:

"The AnyConnect package on the secure gateway could not be located. You may be experiencing network connectivity issues. Please try connecting again."

Решение

Для решения этого сообщения об ошибке проверьте, поддержана ли Операционная система (OS), используемая на машине клиента, клиентом AnyConnect. Для полной информации о поддержанном программном обеспечении обратитесь к секции Системных требований в Информации о версии AnyConnect.

Если OS поддержан, то проверьте, определен ли пакет AnyConnect в конфигурации WebVPN или нет. Посмотрите пакет Anyconnect недоступная или испорченная часть этого документа для получения дополнительной информации.

Ошибка: "Обеспечьте VPN через удаленный рабочий стол, не поддержан"

Пользователи неспособны выполнить доступ удаленного рабочего стола. Сообщение об ошибке Secure VPN via remote desktop is not supported появляется.

Решение

Эта проблема происходит из-за них ошибка Cisco IDs: CSCsu22088 (только зарегистрированные клиенты) и CSCso42825 (только зарегистрированные клиенты). Модернизация клиента AnyConnect VPN может решить вопрос. Обратитесь к этим ошибкам для получения дополнительной информации.

Ошибка: "Полученное свидетельство сервера или его цепь не выполняет FIPS. Связь VPN не будет установлена"

При попытке к VPN к ASA 5505 происходит сообщение об ошибке The server certificate received or its chain does not comply with FIPS. A VPN connection will not be established.

Решение

Для решения этой ошибки необходимо отключить FIPS в AnyConnect Местный стратегический файл. Этот файл может обычно находиться в C:\ProgramData\Cisco\Cisco AnyConnect VPN Client\AnyConnectLocalPolicy.xml. Если этот файл не найден в этом пути, то определите местонахождение файла в различном справочнике, имеющем путь, такой как C:\Documents and Settings\All Users\Application Data\Cisco AnyConnectVPNClient\AnyConnectLocalPolicy.xml. Как только вы определяете местонахождение xml файла, вносите изменения в этот файл как показано здесь:

Измените фразу:

<FipsMode>, верный </FipsMode>

К:

<FipsMode>, ложный </FipsMode>

Затем перезапустите компьютер. У пользователей должны будут быть административные разрешения изменить этот файл.

Ошибка: "Неудача проверки свидетельства"

Пользователи неспособны начать AnyConnect и получить ошибку Certificate Validation Failure.

Решение

Идентификация свидетельства работает по-другому с AnyConnect по сравнению с клиентом IPSec. Для идентификации свидетельства для работы необходимо импортировать свидетельство клиента браузеру и изменить профиль связи для использования идентификации свидетельства. Также необходимо позволить этой команде на ASA позволить свидетельствам клиента SSL использоваться во внешнем интерфейсе:

интерфейс идентификации сертификата SSL вне порта 443

Для получения дополнительной информации об этой команде, обратитесь к идентификации сертификата SSL.

Ошибка: "Обслуживание Агента VPN столкнулось с проблемой и потребностями закрыться. Мы сожалеем о неудобстве"

Когда AnyConnect 2.4.0202 установлен на Windows XP PC, он останавливается при обновлении файлов локализации, и сообщение об ошибке показывает, что vpnagent.exe терпит неудачу.

Решение

Это поведение загружено ошибка ID CSCsq49102 Cisco (только зарегистрированные клиенты). Предложенная работа должна искалечить клиента Citrix.

Ошибка: "Этот инсталляционный пакет не мог быть открыт. Проверьте, что существует пакет"

Когда AnyConnect загружен, это сообщение об ошибке получено:

"Contact your system administrator. The installer failed with the following error: This installation package could not be opened. Verify that the package exists and that you can access it, or contact the application vendor to verify that this is a valid Windows Installer package."

Решение

Закончите эти шаги для устранения этой проблемы:

  1. Удалите любое антивирусное программное обеспечение.

  2. Отключите брандмауэр Windows.

  3. Если никакой шаг 1 или 2 не помогает, то отформатируйте машину и затем установите.

  4. Если проблема все еще сохраняется, откройте Случай TAC (только зарегистрированные клиенты).

Ошибка: "Ошибка при применении преобразовывает. Проверьте, что указанные пути преобразования действительны".

Это сообщение об ошибке получено во время автозагрузки AnyConnect от ASA:

"Contact your system administrator. The installer failed with the following error: Error applying transforms. Verify that the specified transform paths are valid."

Это - сообщение об ошибке, полученное при соединении с AnyConnect для МАКОСА:

"The AnyConnect package on the secure gateway could not be located. You may be experiencing network connectivity issues. Please try connecting again."

Решение

Закончите один из этих искусственных приемов для решения этого вопроса:

  1. Первопричина этой ошибки могла бы произойти из-за испорченного файла перевода MST (например, импортирована). Выполните эти шаги для фиксации этого:

    1. Удалите таблицу перевода MST.

    2. Формируйте имидж AnyConnect для МАКОСА в ASA.

  2. От ASDM следуйте за "Сетью (Клиент), Доступ"> "обычай AnyConnect"> "Устанавливает" путь, и удалите файл пакета AnyConnect. Удостоверьтесь, что пакет остается в "Сети (Клиент) Доступом"> "Продвинутый"> "SSL VPN"> "Урегулирование Клиента".

Если ни один из этих искусственных приемов не решает вопрос, свяжитесь с Cisco Техническая поддержка.

Ошибка: "Водитель клиента VPN столкнулся с ошибкой"

Эта ошибка получена:

The VPN client driver has encountered an error when connecting through Cisco AnyConnect Client.

Решение

Когда вы деинсталлируете Клиента AnyConnect, затем удаляете антивирусное программное обеспечение, этот вопрос может быть решен. После этого повторно установите Клиента AnyConnect. Если эта резолюция не работает, то переформатировала PC для устранения этой проблемы.

Ошибка: "VPN повторно соединяется, привел к различному урегулированию конфигурации. Урегулирование сети VPN повторно инициализируется. Заявления, использующие частную сеть, возможно, должны быть восстановлены".

Эта ошибка получена при попытке начать AnyConnect:

"A VPN reconnect resulted in different configuration setting. The VPN network setting is being re-initialized. Applications utilizing the private network may need to be restarted."

Решение

Для решения этой ошибки используйте это:

group-policy <Name> attributes
			webvpn
				svc mtu 1200

svc mtu команда заменен anyconnect mtu команда в версии 8.4 (1) ASA и позже как показано здесь:

hostname(config)#group-policy <Name> attributes

hostname(config-group-policy)#webvpn

hostname(config-group-webvpn)#anyconnect mtu 500

Ошибка AnyConnect, в то время как логин

Проблема:

AnyConnect получает эту ошибку при соединении с Клиентом:

The VPN connection is not allowed via a local proxy. This can be changed 
through AnyConnect profile settings.

Решение

Вопрос может быть решен путем внесения этих изменений в профиль AnyConnect:

Добавьте эту линию к профилю AnyConnect:

<ProxySettings>IgnoreProxy</ProxySettings><AllowLocalProxyConnections>
false</AllowLocalProxyConnections>

Урегулирование Полномочия IE не восстановлено после того, как AnyConnect разъединяют на Windows 7

Проблема:

В Windows 7, если урегулирование полномочия IE формируется для Автоматически, обнаруживают параметры настройки, и AnyConnect отталкивает новое урегулирование по доверенности, урегулирование полномочия IE не восстановлено назад для автоматического обнаружения параметров настройки после того, как пользователь заканчивает сессию AnyConnect. Это вызывает проблемы LAN для пользователей, которые нуждаются в их урегулировании полномочия, формируемом для, Автоматически обнаруживают параметры настройки.

Решение

Это поведение загружено ошибка ID CSCtj51376 Cisco (только зарегистрированные клиенты). Предложенная работа должна модернизировать до AnyConnect 3.0.

Ошибка: Основы AnyConnect не могут быть позволены, пока все эти сессии не закрыты.

Это сообщение об ошибке получено на Cisco ASDM при попытке позволить лицензию Основ AnyConnect:

There are currently 2 clientless SSL VPN sessions in progress. AnyConnect Essentials can not be enabled until all these sessions are closed.

Решение

Это - нормальное поведение ASA. Основы AnyConnect являются отдельно лицензированным SSL VPN клиент. Это полностью формируется на ASA и обеспечивает полную способность AnyConnect за этими исключениями:

  • Никакой CSD (включая HostScan/Vault/Cache Уборщика)

  • Никакой clientless SSL VPN

  • Дополнительная поддержка операционной системы Windows Mobile

Эта лицензия не может использоваться в то же время, что и общие SSL VPN премия лицензируют. Когда необходимо использовать одну лицензию, необходимо отключить другой.

Ошибка: вкладка Connection на интернет-выборе Internet Explorer скрывается, будучи связанным с клиентом AnyConnect.

Счет связи на интернет-выборе Internet Explorer скрывается, будучи связанным с клиентом AnyConnect.

Решение

Это происходит из-за особенности строгой изоляции msie-по-доверенности. Активация этой опции скрывает вкладку Connections в Microsoft Internet Explorer на время сессии AnyConnect VPN. Выведение из строя особенности оставляет показ вкладки Connections неизменным.

Ошибка: Немного пользователей, получающих Логин Неудавшееся сообщение об ошибке, когда другие в состоянии соединиться успешно через AnyConnect VPN

Когда другие могут соединиться успешно через AnyConnect VPN, несколько пользователей получают Логин Неудавшееся сообщение об ошибке.

Решение

Этот вопрос может быть решен путем проверки, что не требует, чтобы флажок перед идентификацией был проверен на пользователей.

Ошибка: свидетельство, которое вы рассматриваете, не соответствует названию места, которое вы пытаетесь рассмотреть.

Во время обновления профиля AnyConnect ошибку показывают, который говорит, что свидетельство недействительно. Это происходит с Windows только и в фазе обновления профиля. Сообщение об ошибке показывают здесь:

The certificate you are viewing does not match with the name of the site you are trying to view.

Решение

Это может быть решено путем изменения списка сервера профиля AnyConnect для использования FQDN свидетельства.

Это - образец профиля xml:

<ServerList>

 <HostEntry>

    <HostName>vpn1.ccsd.net</HostName> 

 </HostEntry>

</ServerList>

Примечание: Если существует существующий вход для Общественного IP-адреса сервера, такого как <HostAddress>, то удалите его и сохраните только FQDN сервера (например, <HostName>, но не <Host Address>).

Не может начать AnyConnect от хранилища CSD от машины Windows 7

Когда AnyConnect начат от хранилища CSD, он не работает. Это предпринято на машинах Windows 7.

Решение

В настоящее время это не возможно, потому что это не поддержано.

Профиль AnyConnect, не копируемый к резерву после отказоустойчивости

Клиент AnyConnect 3.0 VPN с программным обеспечением ASA 8.4.1 хорошо работает. Однако после отказоустойчивости, нет никакого повторения для профиля AnyConnect связанной конфигурации. Как это решено?

Решение

Эта проблема наблюдалась и регистрировалась под ошибкой ID CSCtn71662 Cisco (только зарегистрированные клиенты). Временная работа должна вручную скопировать файлы к резервной единице.

Проблема: если Internet Explorer идет офлайн, клиент AnyConnect терпит крах

Когда это происходит, журнал событий AnyConnect содержит записи, подобные им:

Description : Function:
CAdapterNetworkStateIfc::SetConnectedStateToConnected
File: .\AdapterNetworkStateIfc.cpp
Line: 147
Invoked Function: InternetSetOption
Return Code: 12010 (0x00002EEA)
Description: The length is incorrect for the option type

Description : Function: CTransportWinHttp::InitTransport
File: .\CTransportWinHttp.cpp
Line: 252
Invoked Function: CConnectedStateIfc::SetConnectedStateToConnected
Return Code: -25362420 (0xFE7D000C)
Description: CADAPTERNETWORKSTATEIFC_ERROR_SET_OPTION

Решение

Это поведение наблюдается и регистрируется под ошибкой ID CSCtx28970 Cisco (только зарегистрированные клиенты). Для решения этого оставьте применение AnyConnect и перезапуск. Записи связи вновь появляются после перезапуска.

Сообщение об ошибке: TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER

Клиент AnyConnect не соединяется, и сообщение об ошибке Unable to establish a connection получено. В журнале событий AnyConnect найдена ошибка TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER.

Решение

Это происходит, когда headend формируется для туннелирования разделения с очень большим списком тоннеля разделения (приблизительно 180-200 записей), и один или несколько других признаков клиента формируются в политике группы, такой как dns-сервер.

Для решения этого вопроса закончите эти шаги:

  1. Сократите количество записей в списке тоннеля разделения.

  2. Используйте эту конфигурацию для выведения из строя DTLS:

    group-policy groupName attributes
      webvpn
        svc dtls none

Для получения дополнительной информации обратитесь к ошибке ID CSCtc41770 Cisco (только зарегистрированные клиенты).

Сообщение об ошибке: "Попытка связи потерпела неудачу из-за недействительного входа хозяина"

Сообщение об ошибке Connection attempt has failed due to invalid host entry получено при подтверждении AnyConnect с помощью свидетельства.

Решение

Для решения этого вопроса попробуйте любое из этих возможных решений:

  • Модернизируйте AnyConnect до версии 3.0.

  • Отключите Безопасный Рабочий стол Cisco на своем компьютере.

Для получения дополнительной информации обратитесь к ошибке ID CSCti73316 Cisco (только зарегистрированные клиенты).

Ошибка: "Гарантируйте, что ваши свидетельства сервера могут передать строгий способ при формировании постоянного VPN"

При активации Постоянной опции на AnyConnect получено сообщение об ошибке Ensure your server certificates can pass strict mode if you configure always-on VPN.

Решение

Это сообщение об ошибке подразумевает, если вы хотите использовать Постоянную функцию, необходимость в действительном, разъединяют свидетельство, формируемое на headend. Без действительного свидетельства сервера не будет работать эта особенность. Строгий Способ Свидетельства является выбором, что вы устанавливаете в AnyConnect местный стратегический файл, чтобы гарантировать, что связи используют действительное свидетельство. Если вы позволите этот выбор в стратегическом файле и соединитесь с поддельным свидетельством, то связь прервется.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Соответствующая информация


Document ID: 100597