Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

ASA безклиентый SSLVPN: проблемы плагина RDP

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ предоставляет ответы на некоторые часто задаваемые вопросы о плагине Протокола удаленного рабочего стола (RDP), доступном устройству адаптивной защиты Cisco (ASA) Безклиентая VPN Уровня защищенных сокетов (SSLVPN) пользователи.

Плагин RDP является только одним из плагинов, доступных пользователям, наряду с другими, такими как Secure Shell (SSH), Virtual Network Computing (VNC) и Citrix. Плагин RDP является одним из наиболее часто используемых плагинов в этом наборе. Этот документ предоставляет больше подробную информацию о развертываниях и процедурах устранения неполадок для этого плагина.

Примечание: Этот документ не предоставляет сведения о том, как настроить плагин RDP. Для дополнительных сведений обратитесь к Руководству Развертывания VPN SSL Cisco ASA 5500, Версии 8. x .

Внесенный специалистами службы технической поддержки Cisco.

Общие сведения

Плагин RDP развил из чистого на основе Java плагин RDP, для включения обоих Клиентов RDP ActiveX (Internet Explorer), а также Клиент Java (браузеры Не-internet explorer).  

Подключаемый модуль Java

Клиент RDP Java использует Надлежащий апплет RDP Java. Приложение Java тогда обернуто в плагине, который позволяет установку в ASA безклиентый портал.  

Плагин ActiveX

Плагин RDP также включает Клиента RDP Microsoft ActiveX, и плагин определяет, использовать ли Java или Клиента ActiveX на основе браузера. По этой причине:

  • Если пользователи Internet explorer (IE) пытаются использовать RDP через Безклиентый Портал SSLVPN, и URL закладки не содержит аргумент ForceJava=true, то Клиент ActiveX используется. Если ActiveX не в состоянии выполняться, плагин инициирует клиента Java.
  • Если пользователи неIE пытаются запустить закладку RDP или URL, только Клиент Java запущен.

Для получения дополнительной информации о требованиях для RDP ActiveX и Полномочия пользователя, сошлитесь на статью Microsoft Requirements for Remote Desktop Web Connection.

Следующий образ иллюстрирует три ссылки, которые могут быть выбраны в окне браузера после того, как запущен плагин:

  1. Новая Страница портала - Эта ссылка открывает страницу портала в новом окне браузера.
  2. Полный экран - Это использует окно RDP в полноэкранном режиме.
  3. Воссоединитесь с Java - Это вынуждает плагин повторно подключить и использовать Java вместо ActiveX.


 

Плагин RDP 

RDP и использование плагина RDP 2

  • Плагин RDP: Это - исходный плагин, созданный, который содержит и Java и Клиента ActiveX.
  • Плагин RDP2: из-за изменений в рамках протокола RDP, Надлежащий Клиент RDP Java был обновлен для поддержки Microsoft Windows 2003 Сервера терминала и Серверы терминала Windows Vista.

Совет: Последний плагин RDP комбинирует и RDP и протоколы RDP2. В результате плагин RDP2 является устаревшим. Рекомендуется использовать новую версию плагина RDP. Номенклатуры плагина RDP придерживаются этой структуры: rdp-plugin.yymmdd.jar, где yy является двухразрядным форматом года, мм, является двухразрядным форматом месяца, и dd является двухразрядным дневным форматом.

Для загрузки плагина посетите страницу разгрузки Программного обеспечения Cisco.

 

 

ActiveX по сравнению с расположением клиента Java 

ActiveX RDP

  • IE использования только
  • Оказывает поддержку для переданного звука 

Java RDP

  • Работает на все поддерживаемые обозреватели, которые являются поддерживающими Java.
  • Клиент Java запущен в IE, только если ActiveX не в состоянии запускать, или проходы аргумента ForceJava=true в закладке RDP.
  • Реализация Java RDP основывается на Надлежащем проекте RDP Java, инициативе с открытым исходным кодом; наилучшим образом поддержка оказана для приложения. 

Формат закладки RDP

Вот пример формата закладки RDP:

rdp://server:port/?Parameter1=value&Parameter2=value&Parameter3=value

Вот некоторые важные замечания о формате:

  • сервер- Это - единственный обязательный атрибут. Введите имя компьютера, который размещает Microsoft Terminal Services.
  • (дополнительный) порт - Это - виртуальный адрес в удаленном компьютере, который размещает Microsoft Terminal Services. Значение по умолчанию, 3389, совпадает с хорошом известным номер порта для Microsoft Terminal Services.
  • параметры - Это - дополнительная строка запроса, которая состоит из пар значения параметра. Вопросительный знак разграничивает начало строки аргумента, и каждая пара значения параметра разделена амперсандом.

    Вот список доступных параметров:

    • геометрия - Это - размер экрана клиента в пикселях (Ш x В).
    • бит/пкс - Это - биты на пиксель (глубина цвета), 8|16|24|32.
    • domain - Это - домен входа в систему.
    • имя пользователя - Это - имя пользователя для входа в систему.
    • пароль - Это - пароль для входа. Используйте пароль с осторожностью, потому что это используется в клиентской стороне и может наблюдаться.
    • консоль - Это используется для соединения с сеансом консоли на сервере (да/нет).
    • ForceJava - Установите этот параметр на да для использования только Клиента Java. Настройка по умолчанию нет.
    • оболочка - Установленный этот параметр на путь исполняемого файла/приложения, который запущен автоматически, когда вы соединяетесь с RDP (rdp://server/?shell=path, например).

    Вот список дополнительных параметров только для ActiveX:

    • RedirectDrives - Установите этот параметр в True для подключения удаленных дисков локально.
    • RedirectPrinters - Установите этот параметр в True для сопоставления удаленных принтеров локально.
    • Во весь экран- Установите этот параметр в True для запуска в режиме FullScreen.
    • ForceJava - Установите этот параметр на да для принуждения Клиента Java.
    • аудио - Этот параметр используется для передачи аудио по сеансу RDP:

      • 0 - Перенаправляет удаленные звуки к компьютеру клиента.
      • 1 - Играет звуки в удаленном компьютере.
      • 2 - Отключает звуковое перенаправление; не играет звуки в удаленном сервере. 

Плагин RDP и распределение нагрузки VPN

Распределение нагрузки мультигеографии поддерживается с использованием Сервера доменных имен (DNS) - основанное Распределение нагрузки Глобального сервера. Из-за различий в кэшировании результата DNS, плагины могли бы работать по-другому через различные операционные системы. Кэш DNS Windows позволяет плагину решать тот же IP-адрес когда это lauches приложение Java. На Macintosh (MAC) OS X для приложения Java возможно решить другой IP-адрес. В результате плагин не в состоянии запускать правильно.

Пример циклического алгоритма DNS - когда у вас есть одиночный URL (https://www. пример. com), где Запись DNS для www. пример. com может решить или 192.0.2.10 (ASA1) или 198.51.100.50 (ASA2).

После входов пользователя в систему в портал Безклиентого WEBVPN через браузер на ASA1, initiaition плагина RDP возможно. Во время инициирования клиента Java компьютеры MAC OS X выполняют новый запрос Разрешения DNS. С циклической Конфигурацией DNS существует 50%-й шанс, что этот второй ответ разрешения возвращает тот же узел, который был выбран для начального подключения WebVPN. Если ответ сервера DNS 198.51.100.50 (ASA2), а не 192.0.2.10 (ASA1), клиент Java инициирует соединение с неправильным ASA (ASA2). Поскольку пользовательский сеанс не существует на ASA2, запрос подключения отклонен.

Это могло бы привести к сообщениям Ошибки Java, подобным этому:

java.lang.ClassFormatError: Incompatible magic value 1008813135 in
 class file net/propero/rdp/applet/RdpApplet
 

Часто задаваемые вопросы 

Почему делают некоторые введенные символы не появляются на удаленном сеансе RDP?

Удаленный компьютер на сеансе RDP мог бы иметь другое значение области клавиатуры, чем локальный компьютер. Из-за этого различия, удаленный компьютер не мог бы отобразить определенные введенные символы или неверные символы. Это поведение замечено с только с Подключаемым модулем Java. Для решения этой проблемы используйте атрибут карты ключа для сопоставления локальной карты ключа в удаленный ПК.

Например, для установки немецкого сопоставления клавиатуры, используйте: 

rdp://<IP Address of the server>/?keymap=de

The following keymaps are available:
---------------------------------------------------------------------
ar    de    en-us fi    fr-be it    lt    mk    pl    pt-br sl    tk
da    en-gb es    fr    hr    ja    lv    no    pt    ru    sv    tr
---------------------------------------------------------------------

Известные неполадки с сопоставлениями клавиатуры

  • Идентификатор ошибки Cisco CSCth38454 - венгерская карта ключа Внедрения для плагина RDP.
  • Идентификатор ошибки Cisco CSCsu77600 - ключи окна плагина WebVPN RDP является неправильным. Сдвиг (ключ) .jar.
  • Идентификатор ошибки Cisco CSCtt04614 - WebVPN - диакритические знаки клавиатуры ES, которыми неправильно управляет плагин RDP.
  • Идентификатор ошибки Cisco CSCtb07767 - Плагин ASA - Настраивает параметры по умолчанию.

Совет: Другой возможный обходной путь должен использовать Приложение Шикарный Туннель для mstsc.exe. Это настроено под подрежимом конфигурации WebVPN с этой командой: список умного туннеля RDP RDP_List mstsc.exe окна платформы

Плагин RDP Java может поддержать полноэкранные сеансы RDP?

В настоящее время нет никакой собственной поддержки для полноэкранных сеансов RDP. CSCto87451 запроса на расширение был подан для реализации этого. Если параметр геометрии (геометрия =1024x768, например) установлен на разрешение пользовательского монитора, это работает в полноэкранном режиме. Поскольку пользовательские размеры экрана варьируются, могло бы быть необходимо создать множественные ссылки закладки. Клиент ActiveX исходно поддерживает полноэкранные сеансы RDP.  

Клиент Java может связаться с использованием AES 256 для шифрования?

Чтобы позволить клиенту Java выполнять согласование о SSL правильно, отрегулируйте заказ SSL ASA, установленного в шифр совпадать с этим:

Enabled cipher order: aes256-sha1 rc4-sha1 aes128-sha1 3des-sha1
Disabled ciphers: des-sha1 rc4-md5 null-sha1

Если установленный в шифр заказ является другим, клиент Java мог бы отобразить эту ошибку:

[Thread-12] INFO net.propero.rdp.Rdp - javax.net.ssl.SSLHandshakeException:
 Received fatal alert: handshake_failure 

Решите проблемы RDP 

При испытании других проблем с плагином RDP могло бы быть полезно собрать эти данные для решения проблем RDP:

  • Выходные данные show tech от ASA
  • Плагин webvpn импорта показа детализировал выходные данные от ASA
  • Операционная система компьютера пользователей и уровень установки патча
  • Операционная система конечного компьютера и уровень установки патча
  • Клиент, который используется (ActiveX или Java) и Версия JRE Java
  • Определите, находится ли ASA в распределять нагрузку кластере, основанном на DNS, или основанном на ASA

Известные предупреждения 

Проблемы обновления защиты Microsoft

  1. KB2695962 - Консультативная защита Microsoft: свертка обновления для ActiveX уничтожает биты: 8 мая 2012. 
  2. KB2675157 - MS12-023: совокупное обновление безопасности для Internet Explorer: 10 апреля 2012.
  3. cisco-sa-20120314-asaclient - Многофункциональное устройство защиты Cisco ASA серии 5500 Безклиентый элемент управления ActiveX VPN Удаленная Уязвимость Выполнения программы 14-го марта.
  4.  CSCtx68075 идентификатора ошибки Cisco - ломка ASA WebVPN, когда исправление Windows KB2585542 применен (8.2.5.29 / 8.4.3.9).
  5. KB2585542 - MS12-006: Описание обновления системы защиты для Webio, Winhttp и schannel в Windows: 10 января 2012. 

Клиент ActiveX

  • Признаки: Клиент ActiveX не в состоянии загружаться от Версий 6 - 9 IE после обновления к Версии операционной системы 8.4.3 ASA.

    • См. идентификатор ошибки Cisco CSCtx58556. Исправление доступно для Версий 8.4.3.4 и позже.
    • Обходной путь: Вызовите использование Клиента Java.

  • Признаки: Клиент ActiveX не в состоянии загружаться после того, как Версия операционной системы ASA понижена до версии до 8.4.3. Это влияет на пользователей, которые использовали клиента ActiveX на ASA с исправлением для идентификатора ошибки Cisco CSCtx58556 и соединяются с этим ASA с версией до 8.4.3. Это происходит из-за нового плагина RDP ActiveX, представленного в Версии ASA 8.4.3, которая не совместима с более ранними версиями.

    • См. идентификатор ошибки Cisco CSCtx57453.
    • Удалить все экземпляры Реестра Windows b8e73359-3422-4384-8d27-4ea1b4c01232? (старый CLSID ActiveX).

      Примечание: Предложено выполнить, резервная копия реестра компьютерной системы до любого редактирует.


  • Признаки: соединения RDP с устройствами с Аутентификацией уровня сети (NLA) включили сбой.

    • См. идентификатор ошибки Cisco CSCtu63661 для усовершенствования, которое запрашивает NLA быть включенным в плагине RDP ActiveX.
    • Несмотря на то, что Поддержки клиентов Microsoft ActiveX NLA, использование той функции в плагине ASA не поддерживается.
    • Обходной путь: Настройте плагин RDP (mstsc.exe), чтобы быть умно туннелированными. См. Руководство Развертывания VPN SSL Cisco ASA 5500, Версию 8. x .

  • Признаки: RDP ActiveX не в состоянии загружаться и показывает пустую страницу.

    • См. идентификатор ошибки Cisco CSCsx49794.
    • Когда цепочка сертификатов для сертификата SSL ASA больше, чем четыре сертификата (ROOT, SUBCA1, SUBCA2 и CERT ASA, например), это происходит.
    • Обходной путь:

      • Не устанавливайте большую цепочку сертификатов на ASA.
      • Плагин RDP Java, как известно, работает должным образом, в противоположность плагину ActiveX.
      • RDP также работает должным образом когда вы собственные окна configure mstsc.exe с шикарными туннелями.

  • Признаки: После того, как Клиент RDP ActiveX используется, пользователь нажимает кнопку Logout и получает HTTP 404 - Страница, Не найденная ошибкой. См. идентификатор ошибки Cisco CSCtz33266. Эта проблема имеет, решен со сменной Версией rdp-plugin.120424.jar или позже.

  • Признаки: у пользователя есть две вкладки, открытые в IE - один для сеанса RDP и другого для пробела или другой веб-страницы. IE не в состоянии работать правильно после того, как вкладка RDP закрыта.

    • См. идентификатор ошибки Cisco CSCua69129.
    • Обходной путь: Используйте плагин RDP Java (Набор ForceJava=true).

  • Признаки: плагин ActiveX вызывает использование высокозагруженного CPU с IE. См. идентификатор ошибки Cisco CSCua16597.

  • Признаки: После обновления установки Windows KB2695962 не загружается плагин RDP ActiveX. Когда новый сеанс RDP открыт, клиент ActiveX пытается установить порт VPN SSL Cisco Средство передачи (это не всегда происходит), и возвращается к безклиентой странице портала, не соединяясь с удаленным компьютером. Это происходит из-за уязвимости CVE-2012-0358, который решен на клиентской стороне Защитой Microsoft, Консультативной (2695962).

Клиент Java

Примечание: Cisco перераспределяет плагины без любых изменений. Из-за Генеральной общедоступной лицензии GNU, Cisco не изменяет или расширяет сменное приложение. properJavaRDP плагин является приложением с открытым исходным кодом, и любые проблемы с подключаемым программным обеспечением должны быть решены владельцем проекта.

  • Признаки: С высокой загрузкой процессора приложения запущены на удаленном компьютере, когда обращено через Клиента RDP Java, и катастрофический отказ приложения Java испытан.

    • Это сообщение об ошибках могло бы отобразиться: ФАТАЛЬНЫЙ net.propero.rdp - javax.net.ssl. SSLException: Соединение было завершением:.....
    • Поведение является triggerd при коммутации между два или больше с высокой загрузкой ЦПУ приложения быстро.
    • Эта Проблема устранена в сменных Версиях rdp.2012.6.4.jar и позже. 
    • Обходной путь:

      • Подключение с использованием Клиента ActiveX.
      • Не переключайтесь между приложениями быстро.

  • Признаки: Клиент RDP Java генерирует это сообщение об ошибках: net.propero.rdp. Rdp - java.net. SocketException: Сокет закрыт java.net. SocketException: Сокет закрыт, и затем закрывает.

    • Проблема вызвана туннельной группой, которой настроили URL группы с только FQDN (http://www. пример. com, например).
    • См. идентификатор ошибки Cisco CSCuh72888.
    • Обходной путь:

      • Удалите запись URL группы без "/" в туннельной группе.
      • Используйте клиента ActiveX.

  • Признаки: Клиент RDP Java отказывает, когда это связано с компьютером Windows 8.

    • У Клиента RDP Java в настоящее время нет поддержки этого.
    • См. идентификатор ошибки Cisco CSCuc79990
    • Обходной путь:

      • Используйте клиента RDP ActiveX.
      • Шикарный туннель собственный клиент RDP Windows (mstsc.exe).

  • Признаки: Клиент RDP Java отказывает с этим сообщением об ошибках: ARSigningException: Найденная запись без знака в ресурсе: https://10.105.130.91 / + CSCO+3a75676763663A2F2F2E637968747661662E ++/vnc/VncViewer.jar.

    • Эта проблема вызвана дефектом в переписателе Java webVPN ASA.
    • См. идентификатор ошибки Cisco CSCuj88114.
    • Обходной путь: понизьте до версии Java 7u40.


Document ID: 113600