أستكشاف أخطاء Cisco Secure Client VPN الشائعة وإصلاحها

المقدمة

يصف هذا المستند مشاكل عميل Cisco الآمن مع حالات فشل التطبيقات وانفصالها على Windows و MacOS و Linux.

المتطلبات الأساسية

المتطلبات

قبل إستخدام هذا المستند، تأكد من توفر ما يلي:

• Cisco Secure Client 5.x على نقطة النهاية (أو الإصدار الذي تدعمه وحدة الاستقبال والبث).
• القدرة على تجميع مجموعة DART أو سجلات العميل.
• الوصول الإداري إلى وحدة الاستقبال والبث الخاصة بشبكة VPN (ASA أو FTD).

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى:

• العميل: Cisco Secure Client 5.x (وحدة AnyConnect VPN النمطية).
• وحدة الاستقبال والبث: Cisco ASA 9.x أو Cisco Secure Firewall Threat Defense (FTD) مع Remote Access VPN.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

راجع أستكشاف أخطاء Cisco Secure Client وإصلاحها في دليل مسؤول المنتج.

عملية أستكشاف الأخطاء وإصلاحها

يفصل هذا المستند مشاكل شبكة VPN الخاصة بالعميل الآمن من Cisco (بما في ذلك AnyConnect) بما في ذلك حالات فشل التطبيقات وقطع الاتصال غير المتوقع والأخطاء الشائعة في تكوينات وحدة الاستقبال والبث طراز Windows و MacOS و Linux و Cisco ASA/FTD.

• التطبيقات التي لا تعمل من خلال نفق الشبكة الخاصة الظاهرية (VPN).
• اتصال/قطع اتصال العملاء بشكل غير متوقع.
• رسائل الخطأ الشائعة التي تظهر على العميل أو وحدة الاستقبال والبث.

يغطي هذا عميل VPN على Windows و MacOS و Linux، بما في ذلك تكوين وحدة الاستقبال والبث على Cisco ASA و Cisco Secure Firewall Threat Defense (FTD) الوصول عن بعد. شبكة خاصة ظاهرية.

راجع هذه الأقسام لمعالجة المشاكل والحلول الشائعة:

• جمع المعلومات لاستكشاف الأخطاء وإصلاحها
• مشكلات التثبيت والمهايئ الافتراضي
• قطع الاتصال أو عدم القدرة على إنشاء اتصال أولي
• مشكلات تتعلق بحركة مرور البيانات
• مشكلات تعطّل AnyConnect
• التجزئة / مشكلات حركة مرور البيانات
• إلغاء التثبيت تلقائيًا
• مشكلة في نشر مجموعة اسم المجال المؤهل بالكامل (FQDN)
• تكوين قائمة خادم النسخ الاحتياطي

جمع المعلومات لاستكشاف الأخطاء وإصلاحها

قم بتجميع بيانات العميل ووحدة الاستقبال والبث قبل تغيير التكوين. يطلب TAC عادة حزمة DART.

العميل - الإحصاء والتقني

1. تصدير إحصائيات الاتصال
   
   • Windows: أيقونة التروس > نافذة متقدمة > إحصائيات > AnyConnect VPN > تصدير الحالات
   • ماك أو إس: أيقونة الإحصائيات > حالات التصدير
   • لينوكس: تفاصيل حول واجهة المستخدم الرسومية (GUI) للعميل
2. تشغيل DART
   
   • Windows / Linux: أيقونة التروس > نافذة متقدمة > التشخيصات
   • ماك أو إس: قائمة التطبيق > إنشاء تقرير تشخيصي
   صحبت الحزمة إلى حالتك TAC أو استعملت تحميل إلى TAC مع ال SR رقم ورمز.
3. مشاكل المستعرض المضمنة: نافذة متقدمة > عامة > متصفح الويب > مسح البيانات.

وحدة الاستقبال والبث — ASA

• show running-config
• show vpn-sessiondb detail anyConnect filter name <username>
• مثال تصحيح الأخطاء:
  

  configure terminal
  logging enable
  logging timestamp
  logging class auth console debugging
  logging class webvpn console debugging
  logging class ssl console debugging
  logging class anyconnect console debugging

  قم بإعادة إنتاج الفشل، والناتج الالتقاط، ثم لا يتم تمكين التسجيل.

وحدة الاستقبال والبث — FTD

من FMC/CDO، قم بتصدير إعدادات سياسة Remote Access VPN وملف تعريف الاتصال. تجميع سجلات اتصال / VPN ل FTD SSL لنافذة الفشل.

مشكلات التثبيت والمهايئ الافتراضي

في حالة فشل التثبيت أو إعداد المحول الظاهري، اجمع:

1. سجلات إعداد Windows:
   

   %SystemRoot%\Inf\setupapi.dev.log
   %SystemRoot%\Inf\setupapi.setup.log

2. سجل مثبت MSI: ٪Localappdata٪\Temp\ أو ٪SystemRoot٪\Temp\ — اسم الملف Cisco-secure-client-win-*-install-*.log (الأحدث للإصدار الخاص بك).
3. تقنية MSI للنقاش (عند الحاجة):
   

   msiexec /i cisco-secure-client-win-<version>-predeploy-k9.msi /lvx %TEMP%\ac-install.log

4. معلومات النظام: msinfo32 /nfo ٪TEMP٪\msinfo.nfo وsysteminfo > ٪TEMP٪\sysinfo.txt

للاطلاع على أخطاء قاعدة بيانات برنامج التشغيل، راجع Cisco Secure Client: تالف سائق قاعدة معطيات إصدار والمسؤول قسم مرشد VPN زبون يصادف برنامج التشغيل خطأ (بعد Microsoft Windows Update).

قطع الاتصال أو عدم القدرة على إنشاء اتصال أولي

إذا واجهت مشاكل في الاتصال مع Cisco Secure Client، فقم بتجميع البيانات لكل تجميع معلومات لاستكشاف الأخطاء وإصلاحها قبل تغيير التكوين.

• تكوين وحدة الاستقبال والبث: show running-config أو نهج التصدير من FMC/CDO ل FTD.
• سجلات العميل: تجميع حزمة DART (راجع تجميع المعلومات). لا تعتمد على صادرات عارض الأحداث القديم .evt.
• تصحيح أخطاء ASA (إذا لزم الأمر): تمكين مصادقة فئة التسجيل وwebVPN وSSL وAnyConnect عند تصحيح الأخطاء؛ إعادة إنتاج الفشل؛ التقاط إخراج وحدة التحكم؛ ثم لا يتم تمكين التسجيل.

إذا تعذر على المستخدم الاتصال، فقد تكون المشكلة متعلقة ببروتوكول سطح المكتب البعيد (RDP) أو تبديل المستخدم السريع. يمكن للمستخدم مشاهدة: تفوض إعدادات ملف تعريف AnyConnect مستخدم محلي واحد، ولكن يتم حاليا تسجيل دخول العديد من المستخدمين المحليين إلى الكمبيوتر الخاص بك. يتعذر إنشاء اتصال شبكة VPN.

قم بقطع اتصال جلسة (جلسات) RDP وتعطيل تحويل المستخدم السريع. لا يتم دعم العديد من المستخدمين المحليين المتزامنين على نفس الجهاز لإنشاء VPN.

ملاحظة: تأكد من عدم حظر المنفذ 443 (و UDP 443 ل DTLS) حتى يمكن للعميل الوصول إلى وحدة الاستقبال والبث.

عندما يتعذر على مستخدم الاتصال، قد تكون المشكلة ناجمة عن عدم التوافق بين إصدار Cisco Secure Client وبرنامج وحدة الاستقبال والبث. يمكن للمستخدم تلقي: لم يتمكن المثبت من بدء تشغيل عميل Cisco VPN، ولا يتوفر الوصول دون عملاء. ترقية العميل إلى إصدار مدعوم بواسطة نشر ASA أو FTD Remote Access VPN.

عندما تقوم بتسجيل الدخول أول مرة إلى Cisco Secure Client، يمكن أن يحتوي البرنامج النصي لتسجيل الدخول على مشاكل. إذا قمت بقطع الاتصال ثم قمت بتسجيل الدخول مرة أخرى، فإن البرنامج النصي لتسجيل الدخول يعمل غالبا كما هو متوقع. هذا يمكن أن يكون سلوك متوقع طبقا لملف التخصيص وتوقيت البرنامج النصي.

عند الاتصال، يمكنك تلقي ما يلي: المستخدم غير مصرح له بوصول عميل AnyConnect، اتصل بالمسؤول لديك. غالبا ما يظهر هذا عند فقدان صورة العميل الآمنة على وحدة الاستقبال والبث. قم بتحميل صورة العميل الصحيحة وارجع إليها في تكوين RA VPN / WebVPN.

يمكن أن يعرض DART tunnelprotocolDPDMGR_ERROR_NO_DPD_RESPONSE عندما تكون قناة DTLS ممزقة بسبب فشل اكتشاف النظير (DPD). ضبط رسائل تنشيط الاتصال على ASA:

webvpn
 anyconnect ssl keepalive 15
 anyconnect dpd-interval client 5
 anyconnect dpd-interval gateway 5

تعطيل DTLS فقط كاختبار مؤقت (ASDM: التكوين > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profile، أو إلغاء تحديد تمكين DTLS أو مرادف FMC). يفضل إصلاح توقيت DPD والسماح ب UDP 443.

مشكلات تتعلق بحركة مرور البيانات

عندما يتم اكتشاف مشاكل في حركة مرور البيانات إلى الشبكة الخاصة باستخدام جلسة عمل عميل آمن من Cisco من خلال ASA، أكمل خطوات تجميع البيانات التالية:

1. احصل على إخراج تفاصيل AnyConnect اسم عامل التصفية <username> show vpn-sessionDB من وحدة التحكم في ASA. إذا كانت المخرجات تعرض اسم عامل التصفية: xxxxx، اجمع show access-list xxxxx. تحقق من أن قائمة الوصول لا تمنع حركة المرور المقصودة.
   
   
2. تصدير إحصائيات الاتصال: Cisco Secure Client (عميل آمن من Cisco) > Gear > Advanced Window (نافذة متقدمة) > Statistics > AnyConnect VPN > Export Stats.
   
   
3. تحقق من تكوين ASA لجمل nat. إن شبكة عنوان مكنت ترجمة (nat) يكون، يعفي حركة مرور أن يرجع إلى الزبون. مثال على إستثناء تجمع AnyConnect من قبل NAT:
   
   

   access-list in_nat0_out extended permit ip any 10.136.246.0 255.255.255.0
   ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
   nat (inside) 0 access-list in_nat0_out

4. حدد ما إذا كان يجب تمكين البوابة الافتراضية التي تم إنشاء قنوات لها. مثال:
   
   

   route outside 0 0 10.145.50.1
   route inside 0 0 10.0.4.2 tunneled

   
   إذا كان يجب على العميل الوصول إلى الموارد غير الموجودة في جدول توجيه عبارة VPN، فإن الكلمة الأساسية النفقي تقوم بتوجيه حركة مرور البيانات عبر نفق VPN.
   
   
5. تحقق ما إذا كانت سياسة التفتيش تقوم بإسقاط حركة مرور التطبيقات. يمكنك إستثناء بروتوكول ضمن إطار عمل النهج النمطي. مثال لنحيف:
   
   

   ASA(config)# policy-map global_policy
   ASA(config-pmap)#  class inspection_default
   ASA(config-pmap-c)# no inspect skinny

مشكلات تعطّل AnyConnect

أكمل خطوات جمع البيانات التالية:

1. قم بجمع DART مباشرة بعد التحطم.
2. لاحظ إدخالات Windows Error Reporting ل vpnAgent.exe / acvpnui.exe.
3. سجلات العميل: ٪Localappdata٪\Cisco\Cisco Secure Client\Log (التحقق من مسار الإصدار).

التجزئة / مشكلات حركة مرور البيانات

لا تعمل بعض التطبيقات، مثل Microsoft Outlook، أثناء مرور النفق بحركة مرور أصغر مثل إختبارات الاتصال الصغيرة. هذا يمكن أن يشير إلى التجزئة على المسار. غالبا ما تكون موجهات المستهلكين فقيرة عند التجزئة وإعادة التجميع.

جرب مجموعة قياس من الاختبارات: ping -l 500، ping -l 1000، ping -l 1500، ping -l 2000.

تكوين نهج مجموعة مخصص للمستخدمين المتضررين وتعيين MTU أقل:

group-policy <name> attributes
 webvpn
  anyconnect mtu 1200

إلغاء التثبيت تلقائيًا

المشكلة

يقوم Cisco Secure Client بإلغاء تثبيت نفسه بعد إنهاء الاتصال على الرغم من ظهور خيار "الاحتفاظ بالتثبيت" في ASDM/FMC.

الحل

group-policy <name> attributes
 webvpn
  anyconnect keep-installer installed

مشكلة في نشر مجموعة اسم المجال المؤهل بالكامل (FQDN)

المشكلة: تتم إعادة نشر AnyConnect client مسبقًا باسم المضيف بدلاً من مجموعة اسم المجال المؤهل بالكامل (FQDN).

عندما يكون لديك نظام مجموعة موازنة الأحمال ل SSL VPN ويتصل العميل، يمكن للطلب إعادة التوجيه إلى عقدة نظام مجموعة وينجح تسجيل الدخول. في محاولة اتصال لاحقة، لا يظهر FQDN لنظام المجموعة في Connect to؛ يمكن ظهور اسم المضيف للعقدة الأخيرة بدلا من ذلك.

الحل

يقوم العميل بتخزين آخر اسم مضيف ناجح. مسح الإدخالات المخزنة مؤقتا أو تعيين FQDN لنظام المجموعة في قائمة خادم ملف التعريف. تحقق من Cisco Secure Client الإصدار 5.x. راجع معرف تصحيح الأخطاء من Cisco CSCsz39019 للحصول على ملاحظات خاصة بالنظام الأساسي.

تكوين قائمة خادم النسخ الاحتياطي

يتم تكوين قائمة خوادم النسخ الاحتياطي عندما يكون الخادم الأساسي غير قابل للوصول. قم بتعريفه في جزء خادم النسخ الاحتياطي من ملف تعريف العميل. أكمل الخطوات التالية:

1. قم بتحرير التوصيف باستخدام محرر التوصيفات من حزمة "العميل الآمن" الخاصة بنقطة الاستقبال والبث أو وفقا لدليل تكوين ملف تعريف Secure Client 5.1. تعيين ملف التعريف في ASDM أو FMC.
   
   
2. إنشاء أو تحرير ملف تعريف XML:
   
   1. انتقل إلى علامة التبويب "قائمة الخوادم".
   2. انقر فوق إضافة (Add).
   3. أدخل اسم مضيف الخادم الأساسي.
   4. قم بإضافة خوادم النسخ الاحتياطي أسفل قائمة خوادم النسخ الاحتياطي، ثم انقر فوق إضافة.
3. تعيين ملف التعريف للاتصال في ASA:
   
   1. في ASDM: تشكيل > Remote Access VPN (الوصول عن بعد) > وصول الشبكة (العميل) > توصيفات توصيل AnyConnect.
   2. حدّد ملف التعريف الخاص بك وانقر فوق تحرير.
   3. انقر فوق إدارة من قسم "سياسة المجموعة الافتراضية".
   4. حدّد سياسة المجموعة الخاصة بك وانقر فوق تحرير.
   5. حدد متقدم ثم SSL VPN Client.
   6. انقر جديد، واسم ملف التخصيص، وقم بتعيين ملف XML.
4. اتصل بالعميل لتنزيل ملف التعريف.

العميل الآمن من Cisco: مشكلة في قاعدة بيانات برامج التشغيل التالفة

يقترح هذا الإدخال الموجود في ملف SetupAPI.log أن نظام الكتالوج تالف:

قائمة فئة تسجيل دخول برنامج التشغيل W239 "C:\WINDOWS\INF\certclas.inf" مفقودة أو غير صالحة. الخطأ 0xfffffde5: خطأ غير معروف.، بافتراض أن جميع فئات الأجهزة تخضع لنهج توقيع برنامج التشغيل. يمكنك أيضا تلقي: خطأ(17/3): يتعذر بدء تشغيل VA أو إعداد قائمة انتظار مشتركة أو تخلى VA عن قائمة انتظار مشتركة.

ويمكنك تلقي هذا السجل على العميل: "واجَه برنامج تشغيل عميل شبكة VPN خطأ".

إصلاح

يتعلق هذا الإصدار بمعرف تصحيح الأخطاء من Cisco CSCsm54689. قم بتعطيل خدمة التوجيه والوصول عن بعد (RRAS) قبل بدء تشغيل Cisco Secure Client. إذا إستمرت المشكلة:

1. فتح موجه أوامر كمسؤول على Windows.
   
   
2. قم بتشغيل net stop CryptSvc.
   
   
3. التشغيل:
   
   

   esentutl /p%systemroot%\System32\catroot2\
   {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb

4. عند المطالبة، أختر موافق لمحاولة الإصلاح.
5. اخرج من موجّه الأوامر.
   
   
6. إعادة التمهيد

فشل في الإصلاح

إذا فشل الإصلاح:

1. فتح موجه أوامر كمسؤول على Windows.
   
   
2. قم بتشغيل net stop CryptSvc.
   
   
3. قم بإعادة تسمية ٪WINDIR٪\system32\catroot2 إلى catroot2_old.
   
   
4. اخرج من موجّه الأوامر.
   
   
5. إعادة التمهيد

تحليل قاعدة البيانات

يمكنك تحليل قاعدة البيانات في أي وقت لتحديد ما إذا كانت صحيحة.

1. فتح موجه أوامر كمسؤول على Windows.
   
   
2. التشغيل:
   
   

   esentutl /g%systemroot%\System32\catroot2\
   {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb

   
   ارجع إلى تكامل قاعدة بيانات كتالوج النظام للحصول على مزيد من المعلومات.

رسائل الخطأ

الخطأ: يتعذّر تحديث قاعدة بيانات إدارة الجلسة

يمكن أن يظهر هذا الخطأ أثناء مصادقة SSL VPN أو Web Portal المستندة إلى المستعرض. يظهر العميل أو المدخل غير قادر على تحديث قاعدة بيانات إدارة جلسة العمل. يمكن أن يقوم ASA بتسجيل ٪ASA-3-211001: خطأ في تخصيص الذاكرة. فشل جهاز الأمان التكيفي في تخصيص ذاكرة نظام RAM.

الحل 1

مرتبط بمعرف تصحيح الأخطاء من Cisco CSCsm51093. أعد تحميل ASA أو قم بالترقية إلى إصدار ثابت لكل خطأ. على FTD، تحقق من حدود جلسة ذاكرة النظام الأساسي و RA VPN.

الحل 2

ذاكرة وحدة الاستقبال والبث المجانية:

1. قم بتعطيل الكشف عن التهديد في حالة التمكين.
2. تعطيل ضغط AnyConnect: لا يوجد ضغط AnyConnect تحت قسم webVPN لنهج المجموعة.
3. قم بإعادة تحميل ASA.
4. على الأنظمة الأساسية القديمة ASA التي تحتوي على ذاكرة وصول عشوائي سعة 256 ميجابايت، قم بالترقية إلى 512 ميجابايت إذا استمر إستهلاك الذاكرة.

الخطأ: "فشلت الوحدة النمطية في التسجيل" أثناء تثبيت Cisco Secure Client

أثناء التثبيت في Windows، يفيد المثبت بأن إحدى الوحدات النمطية (على سبيل المثال vpnapi.dll) فشلت في التسجيل وتم إرجاعها.

الحل

• إزالة مهايئات الشبكة الظاهرية VMware المتعارضة مؤقتا؛ إعادة تثبيت Secure Client؛ إضافة VMware مرة أخرى.
• إضافة FQDN الخاص بنقطة الاستقبال والبث إلى المواقع الموثوق بها في حالة إستخدام نشر ويب.
• من C:\Program Files\Cisco\CiscoSecure Client\، قم بتشغيل مرفوع: regsvr32 vpnapi.dll (وvpncommon.dll، vpncommonCrypt.dll إذا كان موجودا).
• قم بتجميع سجل نتائج MSI (راجع قسم التثبيت) و DART إذا كان التثبيت لا يزال يفشل.
• كحل أخير، قم بإصلاح Windows أو إعادة النشر من عملية إزالة تثبيت Clean Secure Client.

الخطأ: "تم استلام خطأ من العبّارة الآمنة استجابةً لطلب تفاوض شبكة VPN. يُرجى الاتصال بمسؤول الشبكة لديك"

عندما يتصل العملاء ب Cisco Secure Client، ترجع البوابة خطأ مثل "فئة العنوان غير القانونية"، "المضيف أو الشبكة هي 0"، أو "خطأ آخر".

الحل

تم استنفاد تجمع ASA أو FTD المحلي لبروتوكول الإنترنت أو تكوينه بشكل غير صحيح. مددت ال VPN عنوان بركة واستخدم قناع مناسب (مثلا /24 بدلا من /32-only بركة). راجع معرف تصحيح الأخطاء من Cisco CSCsl82188.

الخطأ: تعذّر تمكين Anyconnect على خادم شبكة VPN أثناء محاولة اتصال anyconnect بأجهزة الأمان المعدلة (ASA)

يشير العميل إلى عدم تمكين AnyConnect / Secure Client على خادم VPN.

الحل

قم بتمكين شبكة VPN للوصول عن بعد ونشر صورة عميل آمنة على وحدة الاستقبال والبث. على ASA: تشكيل > Remote Access VPN (الوصول عن بعد) > وصول الشبكة (العميل) > توصيفات توصيل AnyConnect. في FTD: تكوين صورة RA VPN والعميل في FMC. أستخدم دليل VPN للوصول عن بعد — ليس التكوين الخاص ب WebVPN الذي لا يحتاج إلى عملاء فقط.

الخطأ:- %ASA-6-722036: Group client-group User xxxx IP x.x.x.x جارِ إرسال حِزمة كبيرة 1220 (الحد 1206)

%ASA-6-722036: تظهر رسالة المجموعة < client-group > المستخدم < xxx > IP <.x.x.x> التي ترسل الحزمة الكبيرة 1220 (الحد 1206) في سجلات ASA.

الحل

تم إرسال حزمة كبيرة إلى العميل (وحدة الحد الأقصى للنقل (MTU) أو البيانات غير القابلة للضغط). تعطيل ضغط نهج المجموعة:

group-policy <name> attributes
 webvpn
  anyconnect compression none

الخطأ: رفضت العبّارة الآمنة طلب اتصال أو إعادة اتصال شبكة vpn الخاصة بالوكيل.

وتتضمن الأمثلة عدم تعيين عنوان أو أن المضيف أو الشبكة هو 0، أو لا يوجد ترخيص في رسالة البوابة.

الحل

تحقق من أن وحدة الاستقبال والبث بها تجمع IP محلي مكون وتعيين عنوان نهج المجموعة بعد إعادة التحميل أو تجاوز الفشل:

show running-config | include pool
ip local pool SSLPOOL 192.168.30.2 192.168.30.254
 anyconnect address-pool SSLPOOL

بالنسبة لعدم وجود ترخيص، قم بتثبيت أو تمكين ترخيص Secure Client Mobility المطلوب على وحدة الاستقبال والبث.

الخطأ: "واجَه برنامج تشغيل عميل شبكة VPN خطأ"

عادة ما يكون هناك عطل في المهايئ الظاهري أو تعارض في RRAS أو مشكلة في برنامج تشغيل ما بعد تحديث Windows.

الحل

1. قم بتعطيل خدمة التوجيه والوصول عن بعد (RRAS) قبل بدء تشغيل Secure Client.
2. أكمل برنامج Cisco Secure Client: خطوات إصدار قاعدة بيانات برنامج التشغيل التالفة إذا أظهر الخادم أخطاء الكتالوج.
3. بعد Windows Update، أستخدم خطأ "إصلاح برنامج تشغيل عميل VPN" في دليل مسؤول العميل الآمن 5.1.
4. قم بتجميع DART واتصل ب TAC إذا لزم الأمر. راجع معرف تصحيح الأخطاء من Cisco CSCsm54689.

الخطأ: "تتعذّر معالجة الاستجابة من xxx.xxx.xxx.xxx"

يفشل عميل Cisco الآمن في الاتصال بعجز معالجة الاستجابة من <gateway>.

الحل

• قم بتعطيل Remote Access VPN / WebVPN وإعادة تمكينه على الواجهة المتأثرة.
• حرك مؤقتا ال SSL VPN إلى آخر ميناء (مثلا 444)، بعد ذلك إستعادة 443.

راجع تكوين عميل SSL VPN على ASA. قم بتجميع DART إذا استمر الخطأ.

الخطأ: "تم رفض تسجيل الدخول، آلية الاتصال غير مصرح بها، اتصل بالمسؤول الخاص بك"

يظهر Cisco Secure Client رفض تسجيل الدخول، آلية اتصال غير مصرح بها، اتصل بالمسؤول.

الحل

راجع توصيف التوصيل والمصادقة على وحدة الاستقبال والبث (ASA أو FTD). تأكد من تطابق طريقة مصادقة العميل (RADIUS و SAML والشهادة وما إلى ذلك) مع التوصيف. تحقق من تعيين المجموعة-policy ومجموعة النفق.

الخطأ: "حِزمة Anyconnect غير متاحة أو تالفة. اتصل بمسؤول النظام لديك"

يمكن أن يظهر هذا الخطأ عند تشغيل Cisco Secure Client من عميل Macintosh.

الحل

1. قم بتحميل حزمة العميل الآمنة في نظام التشغيل MacOS إلى ذاكرة مؤقتة.
2. راجعها إلى تكوين WebVPN:
   

   webvpn
    anyconnect image disk0:/cisco-secure-client-macos-<version>-predeploy-k9.pkg 2

الخطأ: "تعذّر تحديد موقع حِزمة AnyConnect على العبّارة الآمنة"

في نظام التشغيل Linux (أو الأنظمة الأساسية الأخرى)، لا يمكن للعميل تنزيل الحزمة من وحدة الاستقبال والبث.

"The AnyConnect package on the secure gateway could not be located. You may
be experiencing network connectivity issues. Please try connecting again."

الحل

تحقق من أن نظام تشغيل العميل مدعوم ومن تكوين الصورة الصحيحة على وحدة الاستقبال والبث:

webvpn
 anyconnect image disk0:/cisco-secure-client-win-<version>-predeploy-k9.pkg 1
 anyconnect image disk0:/cisco-secure-client-macos-<version>-predeploy-k9.pkg 2

راجع حزمة AnyConnect غير متوفرة أو تالفة للخطوات ذات الصلة.

الخطأ: "شبكة VPN الآمنة عبر كمبيوتر سطح المكتب عن بُعد غير مدعومة"

يرى المستخدمون أن شبكة VPN الآمنة عبر سطح المكتب البعيد غير مدعومة.

الحل

الترقية إلى إصدار Cisco Secure Client الإصدار 5.x. رأيت cisco بق id CSCsu22088 و cisco بق id CSCso42825.

الخطأ: "لا تتوافق شهادة الخادم المستلمة أو سلسلتها مع FIPS. لن يتم إنشاء اتصال شبكة VPN"

يبلغ العميل أن شهادة الخادم أو السلسلة لا تتوافق مع FIPS.

الحل

إذا كان FIPS مطلوبا على نقطة النهاية، أستخدم الشهادات المتوافقة مع FIPS على وحدة الاستقبال والبث. إذا لم تكن مطلوبة، فعليك تحرير C:\ProgramData\Cisco\Cisco Secure Client\AnyConnectLocalPolicy.xml وتعيين <FipsMode>false</FipsMode>، ثم إعادة التشغيل (حقوق المسؤول مطلوبة).

الخطأ: "فشل التحقق من صحة الشهادة"

يتعذر على المستخدمين تشغيل Cisco Secure Client واستلام فشل التحقق من صحة الشهادة.

الحل

لمصادقة الشهادة، قم باستيراد شهادة العميل وتشكيل التوصيف لمصادقة الشهادة وتمكين ASA:

ssl certificate-authentication interface outside port 443

تأكد من تطابق شهادة الخادم مع FQDN في قائمة خوادم التوصيفات.

الخطأ: "واجهت خدمة وكيل شبكة VPN مشكلة ويتعين إغلاقها. نعتذر على الإزعاج"

تفشل خدمة vpnagent.exe أثناء التثبيت أو الترقية أو الاتصال.

الحل

1. إعادة تشغيل Cisco Secure Client - وكيل AnyConnect VPN في خدمات Windows.
2. الإصلاح أو إعادة التثبيت من نشر ويب وحدة الاستقبال والبث.
3. تجميع DART إذا فشلت الخدمة بشكل متكرر. للحصول على تعارضات Citrix، راجع معرف الأخطاء من Cisco CSCsq49102.

الخطأ: "تعذّر فتح حِزمة التثبيت هذه. تحقَّق من وجود الحِزمة"

فشل نشر ويب بسبب حدوث خطأ في Windows Installer بسبب تعذر فتح الحزمة.

الحل

1. تحقق من تنزيل MSI بالكامل؛ أعد المحاولة من مدخل وحدة الاستقبال والبث.
2. تعطيل AV العدواني مؤقتا على مجلد التنزيل؛ قم بتجميع سجل MSI للتوضيح.
3. تأكد من تشغيل خدمة Windows Installer.
4. إذا إستمرت المشكلة، فقم بجمع سجلات DART/MSI وفتح حالة مركز المساعدة الفنية.

الخطأ: "خطأ في تطبيق التحويلات. تحقّق من أن مسارات التحويل المحددة صالحة."

يفشل التنزيل التلقائي من وحدة الاستقبال والبث، في بعض الأحيان بسبب تلف تحويل MST.

الحل

1. قم بإزالة تحويل MST المخصص من تعريف التثبيت المخصص من وحدة الاستقبال والبث AnyConnect.
2. إعادة تحميل صورة العميل الآمنة الصحيحة على وحدة الاستقبال والبث.
3. في ASDM: الوصول إلى الشبكة (العميل) > تثبيت AnyConnect المخصص > إزالة الإدخالات المكررة؛ الاحتفاظ بالصورة النشطة ضمن إعدادات العميل.

الخطأ: "أدت إعادة توصيل شبكة VPN إلى إعداد تكوين مختلف. جارٍ إعادة تهيئة إعداد شبكة VPN. قد يتعين استعادة التطبيقات التي تستخدم الشبكة الخاصة."

يمكن أن تظهر هذه الرسالة بعد إعادة الاتصال عند تغيير إعدادات دفع وحدة الاستقبال والبث.

الحل

group-policy <Name> attributes
 webvpn
  anyconnect mtu 1200

خطأ عميل Cisco الآمن أثناء تسجيل الدخول

المشكلة: لا يسمح باتصال VPN عبر وكيل محلي. يمكن تغيير ذلك من خلال إعدادات توصيف AnyConnect.

الحل

<ProxySettings>IgnoreProxy</ProxySettings>
<AllowLocalProxyConnections>false</AllowLocalProxyConnections>

الخطأ: يتعذّر تمكين AnyConnect Essentials حتى يتم إغلاق كل هذه الجلسات.

يعرض ASDM جلسات عمل VPN التي لا تحتوي على عملاء قيد التقدم عند تمكين AnyConnect Essentials.

الحل

لا يمكن تشغيل AnyConnect Essentials بشكل متزامن مع ترخيص VPN الخاص ب SSL المشترك الفائق. قم بإنهاء جلسات عمل SSL VPN بدون عملاء قبل تمكين Essentials. لا يتضمن Essentials SSL VPN عديم العملاء.

الخطأ: يتلقى قلة من المستخدمين رسالة خطأ "فشل تسجيل الدخول" بينما يتمكّن آخرون من الاتصال بنجاح من خلال الشبكة الافتراضية الخاصة لدى AnyConnect

فشل تسجيل الدخول لبعض المستخدمين بينما يمكن للآخرين الاتصال.

الحل

تأكد من تعيين عدم طلب المصادقة المسبقة (أو ما يعادلها) بشكل صحيح للمستخدمين المتضررين. مقارنة تخطيط ملف تعريف اتصال وسياسة المجموعة.

الخطأ: الشهادة التي تعرضها لا تتطابق مع اسم الموقع الذي تحاول عرضه.

أثناء تحديث ملف التعريف في Windows، يفشل التحقق من صحة الشهادة في مقابل عنوان URL الخاص بالاتصال.

الحل

<ServerList>
 <HostEntry>
    <HostName>vpn1.example.com</HostName>
 </HostEntry>
</ServerList>

لا يتم إجراء نسخ متماثل لملف تعريف AnyConnect إلى وضع "الاستعداد" بعد تجاوز الفشل

بعد تجاوز فشل ASA، تكون الملفات المتعلقة بملف تعريف العميل الآمن مفقودة على الوحدة الاحتياطية.

الحل

راجع معرف تصحيح الأخطاء من Cisco CSCtn71662. الحل البديل: نسخ ملفات ملف التعريف يدويا إلى وضع الاستعداد. تحقق من مزامنة تكوين تجاوز الفشل ذو الحالة لتوصيفات RA VPN.

رسالة الخطأ: TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER

يفشل عميل Cisco الآمن في الاتصال بعجز عن إنشاء اتصال. يعرض سجل الأحداث TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER.

الحل

وهذا يحدث مع قائمة تقسيم النفق الكبيرة جدا (تقريبا 180-200 مدخل) بالإضافة إلى سمات نهج المجموعة الأخرى (على سبيل المثال، DNS-server).

1. تقليل إدخالات قائمة النفق المنقسم.
2. تعطيل DTLS مؤقتا:
   

   group-policy groupName attributes
    webvpn
     anyconnect ssl dtls none

راجع معرف تصحيح الأخطاء من Cisco CSCtc41770.

رسالة الخطأ: "فشلت محاولة الاتصال بسبب إدخال مضيف غير صالح"

فشلت محاولة الاتصال بسبب إدخال مضيف غير صالح أثناء مصادقة الشهادة.

الحل

• أستخدم اسم مضيف (FQDN) صالح في قائمة خادم ملف التعريف.
• إستخدام الإصدار 5.x من Cisco الآمن من Cisco.
• قم بإزالة نهج "سطح المكتب الآمن من Cisco" (CSD) المهمل إذا كان لا يزال موجودا.

راجع معرف تصحيح الأخطاء من Cisco CSCti73316.

الخطأ: "تأكد من أن شهادات الخادم يمكنها المرور في وضع "الصارم" في حالة تكوين شبكة VPN دائمة التشغيل"

عند تمكين "الاتصال الدائم"، يمكن للعميل الإبلاغ بأن شهادات الخادم يجب أن تتجاوز الوضع المقيد.

الحل

يتطلب Always-On شهادة وحدة الاستقبال والبث صالحة تطابق URL الاتصال. يؤدي وضع الشهادة المقيد في النهج المحلي إلى حدوث فشل إذا كانت الشهادة غير موثوق بها أو غير متطابقة.

انظر معتمد من قبل مرجع غير معروف في دليل مسؤول العميل الآمن 5.1.

الخطأ: "حدث خطأ داخلي في خدمات Microsoft Windows HTTP"

يمكن أن يعرض DART حالات فشل HttpSendRequest وحدث خطأ داخلي في Microsoft Windows HTTP Services مع أخطاء CTransportWinHttp.

الحل

قد يحدث هذا بسبب حالة Winsock التالفة. من موجه أوامر مرتفع: إعادة تعيين Netsh winsock

قم بإعادة تشغيل Windows وانظر Microsoft Guidelines عند إعادة تعيين Winsock.

الخطأ: "تلقى نقل بروتوكول SSL فشلاً في قناة آمنة.  قد يكون نتيجة لتكوين تشفير غير مدعوم على العبّارة الآمنة."

يمكن أن يعرض Cisco Secure Client DART أخطاء CTrangeWinHttp وCTransPort_ERROR_SECURE_CHANNEL_FAILURE عند فشل تفاوض TLS أو التشفير بين العميل ونقطة الاستقبال والبث.

الحل

1. على محطه الاستقبال والبث، أستخدم TLS 1.2+ ومجموعات التشفير الحديثة فقط. لا تقم بتمكين DES أو 3DES أو RC4.
2. مثال ASA:
   

   ssl cipher tlsv1.2 custom "AES256-GCM-SHA384:AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256"

3. تحقق من صحة شهادة الخادم ومطابقة FQDN.
4. ترقية العميل ووحدة الاستقبال والبث إلى الإصدارات المدعومة.
5. على Windows، ابق Schannel في TLS 1. 2+؛ لا تضعف تشفير العميل للنهايات الرئيسية القديمة.

معلومات ذات صلة

• أستكشاف أخطاء Cisco Secure Client وإصلاحها (دليل المسؤول 5.1)
• دليل أستكشاف أخطاء عميل AnyConnect VPN وإصلاحها - مشاكل شائعة خارجية
• الأسئلة المتداولة حول Cisco Secure Client / AnyConnect

محفوظات المراجعة

المراجعة	تاريخ النشر	التعليقات
3.0	23-Jun-2026	تحديث التدقيق الإملائي والنحوي وهيكل الجملة والمقدمة والمسافات وتنبيهات CCW.
1.0	04-Apr-2018	الإصدار الأولي