Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

ASA безклиентый SSLVPN: проблемы плагина RDP

28 июля 2013 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (19 ноября 2013) | Отзыв


Содержание


Введение

Подключаемый модуль (плагин) протокола удаленного рабочего стола (RDP) является одним из плагинов, доступных пользователям бесклиентских сеансов Cisco ASA SSLVPN. Среди прочих плагинов — SSH, VNC, Citrix. Плагин RDP является одним из наиболее используемых плагинов в этом наборе, и является также тем с партией окружения беспорядка.

Этот документ предоставляет ответы на несколько вопросов и любых других, которые повышены после того, как определенные моменты ясно даны понять. Этот документ не предоставляет сведения о том, как настроить плагин, поскольку нет очень кроме импортирования правильного плагина.

Обратитесь к ASA Cisco 5500 Руководств Развертывания VPN SSL, Версию 8. x :

Примечание. Внесенный специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях в документах см. в Условные обозначения технических терминов Cisco.

Плагин RDP

Плагин RDP развился в течение времени от чистого основанного на Java плагина RDP до чего-то, что включает оба клиента RDP ActiveX (Internet Explorer), а также Клиент Java (браузеры неIE).

Для Клиента RDP Java плагин RDP Cisco использует properJava клиент RDP: http://properjavardp.sourceforge.net/

Плагин RDP также включает Клиент RDP ActiveX, и он звонит, использовать ли Java или клиент ActiveX на основе браузера. По этой причине

  • Если пользователи IE пробуют к RDP через Безклиентый Портал SSLVPN, и URL закладки не содержит аргумент "ForceJava=true", то клиент ActiveX используется.

  • Если пользователи неIE пытаются запустить Закладку RDP или URL, только Клиент Java запущен.

RDP и RDP 2: Какой плагин использовать?

Плагин RDP: Это - исходный Плагин RDP Java, который был обновлен для добавления Клиента ActiveX.

Плагин RDP2: Это основывается на протоколе RDP2, предположительно, обновил properJava клиент RDP, предназначенный для Серверов терминала Windows Vista и Windows 2003 Terminal Servers.

Однако последний плагин RDP комбинирует и RDP и RDP2, таким образом делая плагин RDP2 устаревшим. Т.е. продвижение вас должно будет только использовать плагин RDP (например, rdp-plugin.yymmdd.jar)

Откуда загрузить плагин:

Загрузка программного обеспечения

/image/gif/paws/113600/ptn_113600-01.gif

Текущий плагин RDP является "rdp-plugin.120424.jar". 27-ого апреля 2012 это было освобождено.

Таблица совместимости браузеров

Таблица совместимости браузеров существует только для Безклиентой Реализации SSLVPN и Версии операционной системы ASA. Пока эта матрица удовлетворена, плагины автоматически поддерживаются. Для получения дополнительной информации по поддерживаемым Платформам VPN обратитесь к серии 5500 ASA Cisco.

Что ожидать и что не ожидать?

ActiveX RDP

  • Предназначенный только для Internet Explorer

  • Звук передан по сеансу RDP

Java RDP

  • Должен работать на все поддерживаемые обозреватели (от матрицы выше), которым включили Java.

  • Клиент Java запущен в Internet Explorer, только если ActiveX не в состоянии запускать, или аргумент "ForceJava=true" передают в Закладке RDP или URL.

  • Поскольку реализация Java RDP основывается на properJava проекте RDP, инициативе с открытым исходным кодом, максимально эффективная служба предоставлена в течение времени сменного сбоя.

Устранение неисправностей проблем RDP

Что собрать?

  1. Выходные данные технологии показа.

  2. Выходные данные показа импортируют детализированный плагин webvpn.

  3. Задайте операционную систему ПК назначения.

  4. Задайте, используется ли версия RDP позже, чем 5.2.

  5. Использовался ли activex (только на IE) версия или версия Java.

  6. Задайте, является ли это настройкой балансировки нагрузки.

Использование SmartTunnel

Добавьте, что эти процессы к SmartTunnel перечисляют:

  • svchost.exe

  • services.exe

  • wininit.exe

  • TSWbPrxy.exe

  • wksprt.exe

  • mstsc.exe

Если это не работает, гарантирует, что список ST запущен при тестировании.

Работа с клиентами RDP Java непосредственно?

Чтобы определить, если проблема с плагином RDP или с webvpn, лучшим способом протестировать его является использование клиент непосредственно к RDP к рассматриваемому серверу и проверке, если то же поведение проявляет его. Если это делает тогда, это - проблема с клиентским плагином, который не создан Cisco. Выполните следующие действия:

  1. Загрузите этот файл архива zip. Они - properjavardp файлы JAR, которые использовались в плагине RDP (Плагин клиента службы терминалов для ASA).

  2. Разархивируйте zip на файле к папке.

  3. Откройте rdp-applet.html и измените значения для параметров ниже:

    <param name="server" value="xxxx">
    <param name="username" value="xxxx">
    <param name="password" value="xxxx">
  4. Сохраните файл, и открытый в Java включил браузер.

Известные предупреждения

Клиент ActiveX

  • RDP ActiveX не в состоянии загружаться от IE 6-9 после обновления к Версии операционной системы 8.4.3 ASA.

    Обратитесь к идентификатору ошибки Cisco CSCtx58556 (только зарегистрированные клиенты). Временное решение проблемы доступно от 8.4.3.4. Однако рекомендуется, чтобы обновление было сделано к последнему доступному ОС. Временное решение (если обновление кода ASA не является опцией):

    • Используйте RDP Java вместо этого. Например, пользователи IE (не вредит другим пользователям браузера) требуют набора аргумента "ForceJava=true" в URL RDP.

  • Вследствие предыдущего дефекта (CSCtx58556), если ASA переход на более ранние версии ОС выполнен, то остерегаются идентификатора ошибки Cisco CSCtx57453 (только зарегистрированные клиенты). В этом случае RDP ActiveX откажет для всех возвращающихся пользователей RDP (те пользователи, которые делали попытку RDP ActiveX на Безклиентом SSLVPN на 8.4.3 ASA). Это вызвано тем, что Плагин RDP ActiveX был обновлен в 8.4.3, который является несовместимым с более ранними версиями.

    Что сделать:

    • Имейте в виду и CSCtx58556 и CSCtx57453, когда развертывание ASA в масштабе всей компании базировало Службу SSLVPN. Или используйте 8.4.3 и позже, или 8.4.2 и ранее.

    • Если вы - возвращающийся пользователь RDP, например вы использовали 8.4.3 базирующихся RDP ActiveX и теперь должны использовать 8.4.2 или более ранний RDP ActiveX по Порталу SSLVPN:

      Удалите все экземпляры реестра "b8e73359-3422-4384-8d27-4ea1b4c01232? (старый CLSID ActiveX), используют regedit.

      Примечание. Это должно быть сделано после резервной копии реестра. Это должно быть сделано на ваш собственный риск. Консультируйтесь с поддержкой Microsoft для получения дополнительной информации.

  • Несмотря на то, что клиент ActiveX позволяет Аутентификации уровня сети (NLA) быть кодированной, реализация Cisco не включает ее. Вот открытый запрос на расширение, который запрашивает NLA быть включенным в плагине RDP ActiveX:

    Обратитесь к идентификатору ошибки Cisco CSCtu63661 (только зарегистрированные клиенты).

    Временное решение:

  • RDP ActiveX не в состоянии загружаться с пустой страницей. Когда Цепочка сертификатов третьей стороны установлена на ASA, появляется загружающееся сообщение; например, ASA имеет сертификат идентификации от Поставщика третьей стороны, и Цепочка сертификатов Поставщика третьей стороны установлена на ASA (под-CA1, под-CA2, Узел CA).

    Обратитесь к идентификатору ошибки Cisco CSCsx49794 (только зарегистрированные клиенты).

    Временное решение (если обновление кода ASA не является опцией):

    • Не устанавливайте большую цепочку сертификатов на ASA.

    • Плагин RDP Java, как известно, работает просто великолепно в противоположность Плагину ActiveX.

    • Кроме того, RDP хорошо работает при настройке собственных окон mstsc.exe с умными туннелями.

  • После используя RDP ActiveX при нажатии кнопки Logout вместо обычной Страницы Выхода из системы вы будете видеть 'HTTP 404 - Страница, Не найденная' Ошибка. Эта проблема не происходит с последним Плагином RDP, доступным на CCO, который является rdp-plugin.120424.jar.

    Обратитесь к V-комментариям в идентификаторе ошибки Cisco CSCtz33266 (только зарегистрированные клиенты).

  • Если у вас есть две вкладки, открытые в IE, один для Сеанса RDP и другого для пустой или случайной страницы, если вкладка RDP закрыта, IE прекращает работать.

  • Обратитесь к идентификатору ошибки Cisco CSCua16597 (только зарегистрированные клиенты) - RDP высокая загрузка CPU причин плагина ActiveX с IE

  • После установки Windows обновляют KB2695962, activeX плагин RDP входит в петлю. Если вы откроете новый сеанс RDP или щелкнете по закладке, то это попытается установить "порт VPN SSL Cisco Средство передачи" (иногда, это не пытается установить его), и возвращается к безклиентому порталу. Это вследствие уязвимости CVE-2012-0358, который был решен на клиентской стороне обновлением Microsoft.

Microsoft Security Advisory (2695962) leavingcisco.com

Чтобы подключить вас, должен обновить ASA к одному из временных решений проблемы в версиях, согласно рекомендации по вопросам безопасности Cisco:

Устройство адаптивной защиты Cisco ASA серии 5500 Безклиентый Элемент управления ActiveX VPN Удаленная Уязвимость Выполнения программы leavingcisco.com

Код неполадки

CSCtr00165 (только зарегистрированные клиенты) - Элемент управления ActiveX Средства передачи порта содержит Уязвимость переполнения буфера

/image/gif/paws/113600/ptn_113600-02.gif

Клиент Java

Установив факт, что реализация Подключаемого модуля Java RDP Cisco основывается на properJava проекте RDP, инициативе с открытым исходным кодом, во время Сбоя RDP Java, максимально эффективная служба предоставлена. Однако принесите любые проблемы к предупреждению Центра технической поддержки Cisco, и удовлетворительный ответ будет дан.

  • При запуске некоторых приложений са интенсивной загрузкой процессора через Сеанс RDP Java вы могли бы испытать RDP Java, завершающийся катастрофическим отказом на вас с "FATAL net.propero.rdp - javax.net.ssl. SSLException: Соединение было завершением:...." сообщение об ошибках. Когда эти приложения са интенсивной загрузкой процессора через сеанс RDP Java постоянно коммутированы между собой, это, главным образом, наблюдается.

    Обратитесь к идентификатору ошибки Cisco CSCtz78693 (только зарегистрированные клиенты).

    • Неподвижный Плагин доступен по запросу через Центр технической поддержки Cisco, и временное решение проблемы сделано только к плагину а не к ASA ОС.

Почему некоторые символы не обнаруживаются на удаленном сеансе RDP?

Удаленный компьютер через сеанс RDP имеет другую карту клавиатуры, чем локальный компьютер вследствие этого различия, которое не будет разоблачать удаленный компьютер, или это дезорганизует некоторые ключи. Это поведение было замечено с Модулем Java. Плагин ActiveX хорошо работает. Чтобы решить эту проблему, можно использовать карту ключа атрибута для сопоставления локальной карты ключа с удаленным ПК.

Пример, если немецкое сопоставление Клавиатуры требуется, то использует придерживающееся:

rdp://<IP Address of the server>/?keymap=de

Придерживающиеся карты ключа доступны:

---snip---
ar    de    en-us fi    fr-be it    lt    mk    pl    pt-br sl    tk
da    en-gb es    fr    hr    ja    lv    no    pt    ru    sv    tr
---snip---

Известные ошибки

Примечание. Другой возможный обходной путь должен использовать Приложение Умный Туннель для mstsc.exe:

smart-tunnel list RDP_List RDP mstsc.exe platform windows

Плагин RDP Java может поддержать полноэкранные сеансы RDP?

На данный момент, нет, нет никакой собственной поддержки для этого. Запрос на расширение CSCto87451 (только зарегистрированные клиенты) был подан для внедрения этого. Существует другой дефект, который был подан для этого некоторое время назад, CSCsl26897 (только зарегистрированные клиенты). Временное решение для этой проблемы должно использовать параметр геометрии; например, геометрия =1024x768. Конечно, это значение варьируется от экрана до экрана и не является действительно большим решением. Поочередно, если вы используете IE и Windows, тогда Клиент ActiveX действительно поддерживает полный экран.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 113600