دليل استكشاف أخطاء عميل AnyConnect VPN Client وإصلاحها - المشكلات الشائعة

المقدمة

يصف هذا المستند سيناريو استكشاف الأخطاء وإصلاحها الذي ينطبق على التطبيقات التي لا تعمل من خلال AnyConnect VPN Client من Cisco.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

المعلومات الواردة في هذا المستند قائمة على Cisco Adaptive Security Appliance (ASA) الذي يقوم بتشغيل الإصدار 8.x.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

عملية استكشاف الأخطاء وإصلاحها

ينطبق سيناريو استكشاف الأخطاء وإصلاحها النموذجي هذا على التطبيقات التي لا تعمل من خلال Cisco AnyConnect VPN Client للمستخدمين النهائيين الذين يمتلكون أجهزة كمبيوتر تعمل بنظام التشغيل Microsoft Windows. وتعالج هذه الأقسام المشكلات وتوفر لها حلولاً:

• مشكلات التثبيت والمهايئ الافتراضي
• قطع الاتصال أو عدم القدرة على إنشاء اتصال أولي
• مشكلات تتعلق بحركة مرور البيانات
• مشكلات تعطّل AnyConnect
• التجزئة / مشكلات حركة مرور البيانات

مشكلات التثبيت والمهايئ الافتراضي

أكمل الخطوات التالية:

1. للحصول على ملف سجل الجهاز:
   
   
   • Windows XP / Windows 2000:
     
     

     \Windows\setupapi.log

     
     
     
   • نظام Windows Vista:
     
     

     ملاحظة: يجب أن تكون المجلدات المخفية مرئية لعرض هذه الملفات.

     
     
     

     \Windows\Inf\setupapi.app.log
     
         \Windows\Inf\setupapi.dev.log
     

     
     
     
   
   
   إذا رأيت أخطاء في ملف سجل setupapi، يمكنك تشغيل verbosity إلى 0x2000FFFF.
   
   
2. للحصول على ملف سجل مُثبِّت برنامج MSI:
   
   إذا كان هذا تثبيتًا أوليًا لنشر الويب، فسيتم وضع هذا السجل في الدليل المؤقت لكل مستخدم.
   
   
   • Windows XP / Windows 2000:
     
     

     \Documents and Settings\
              
              
                \Local Settings\Temp\ 
              
     

     
     
     
   • نظام Windows Vista:
     
     

     \Users\
              
              
                \AppData\Local\Temp\ 
              
     

     
     
     
   
   
   إذا كانت هذه ترقية تلقائية، فسيكون هذا السجل في الدليل المؤقت للنظام:
   
   

   \Windows\Temp
   

   
   
   اسم الملف بهذا التنسيق: AnyConnect-win-x.x.xxxx-k9-install-yyyyyyy.log. احصل على أحدث ملف لإصدار العميل الذي تريد تثبيته. يتغير x.xxxx بناءً على الإصدار، مثل 2.0.0343 وyyyyyyyyyyyyy هو تاريخ التثبيت ووقته.
   
   
3. للحصول على ملف معلومات نظام الكمبيوتر الشخصي:
   
   
   1. من مربع موجّه الأوامر/DOS، اكتب هذا:
      
      
      • Windows XP / Windows 2000:
        
        

        winmsd /nfo c:\msinfo.nfo
        

        
        
        
      • نظام Windows Vista:
        
        

        msinfo32 /nfo c:\msinfo.nfo
        

        
        
        

      ملاحظة: بعد كتابة هذه المطالبة، انتظر. قد يستغرق الملف من دقيقتين إلى خمس دقائق للاكتمال.

      
      
      
   2. للحصول على تفريغ ملف معلومات النظام من موجّه الأوامر:
      
      Windows XP وWindows Vista:
      
      

      systeminfo c:\sysinfo.txt
      

أحلت AnyConnect: تالف سائق قاعدة معطيات إصدار in order to صححت السائق إصدار.

قطع الاتصال أو عدم القدرة على إنشاء اتصال أولي

إذا واجهت مشكلات في الاتصال مع AnyConnect client، مثل حالات قطع الاتصال أو تعذّر إنشاء اتصال أولي، فاحصل على هذه الملفات:

• ملف التكوين من ASA لتحديد ما إذا كان أي شيء في التكوين يتسبب في فشل الاتصال:
  
  من وحدة التحكم الخاصة بـ ASA، اكتب write net x.x.x.x:ASA-Config.txt حيث x.x.x.x هو عنوان IP لخادم TFTP على الشبكة.
  
  أو
  
  من وحدة تحكّم ASA، اكتب show running-config. دع التكوين يكتمل على الشاشة، ثم قصه والصقه في محرر نصوص واحفظه.
  
  
• سجلات أحداث ASA:
  
  
  1. من أجل تمكين تسجيل الدخول إلى أحداث ASA للمصادقة، وWebVPN، وطبقة مآخذ التوصيل الآمنة (SSL)، وSSL VPN Client (SVC)، قم بإصدار أوامر واجهة سطر الأوامر (CLI) التالية:
     
     

     config terminal
     logging enable
     logging timestamp
     logging class auth console debugging
     logging class webvpn console debugging
     logging class ssl console debugging
     logging class svc console debugging

     
     
     
  2. قم بإنشاء جلسة AnyConnect وتأكد من إمكانية تكرار الفشل. قم بالتقاط إخراج التسجيل من وحدة التحكُّم إلى محرر نصوص وحفظه.
     
     
  3. لتعطيل التسجيل، قم بإصدار no logging enable.
     
     
  
  
  
• للحصول على سجل AnyConnect VPN Client لدى Cisco من عارض أحداث Windows لكمبيوتر العميل الشخصي:
  
  
  1. اختَر بدء > التشغيل.
     
     
  2. أدخِل:
     
     

     eventvwr.msc /s

     
     
     
  3. انقر بزر الماوس الأيمن فوق سجل AnyConnect VPN Client من Cisco، ثم حدّد حفظ ملف السجل كـ AnyConnect.evt.
     
     

     ملاحظة: احفظه دائما بتنسيق ملف .evt.

إذا تعذّر على المستخدم الاتصال مع AnyConnect VPN Client، فقد تتعلق المشكلة بجلسة بروتوكول سطح المكتب البعيد (RDP) تم تأسيسها أو تم تمكين تبديل المستخدم السريع على الكمبيوتر الشخصي للعميل. يمكن للمستخدم رؤية إعدادات ملف تعريف AnyConnect التي تفرض مستخدمًا محليًا واحدًا، ولكن تم تسجيل دخول العديد من المستخدمين المحليين حاليًا إلى جهاز الكمبيوتر الخاص بك. رسالة خطأ لن يتم إنشاء اتصال VPN خطأ على جهاز الكمبيوتر العميل. لحل هذه المشكلة، اقطع الاتصال عن أي جلسات RDP تم تأسيسها وقم بتعطيل تبديل المستخدم السريع. يتم التحكم في هذا السلوك بواسطة سمة Windows Logon Enforcement في ملف تعريف العميل، ولكن لا يوجد حاليًا إعداد يسمح بالفعل لمستخدم بإنشاء اتصال شبكة VPN أثناء تسجيل دخول عدة مستخدمين في الوقت نفسه على الجهاز نفسه. طلب التحسين CSCsx15061 تم تصنيفها لمعالجة هذه الميزة.

ملاحظة: تأكد من عدم حظر المنفذ 443 حتى يمكن لعميل AnyConnect الاتصال ب ASA.

عندما يتعذّر على أحد المستخدمين توصيل AnyConnect VPN Client بـ ASA، فقد يرجع السبب في المشكلة إلى عدم التوافق بين إصدار AnyConnect client وإصدار ASA software image. في هذه الحالة، يستقبل المستخدم رسالة الخطأ هذه: لم يتمكن المثبت من بدء تشغيل عميل Cisco VPN، لا يتوفر الوصول دون عميل.

لحل هذه المشكلة، قم بترقية إصدار AnyConnect client ليكون متوافقًا مع ASA software image.

عند تسجيل الدخول لأول مرة إلى AnyConnect، لا يعمل البرنامج النصي لتسجيل الدخول. وفي حالة قطع الاتصال وتسجيل الدخول مرة أخرى، فسيتم تشغيل البرنامج النصي لتسجيل الدخول بشكل جيد. وهذا هو السلوك المتوقع.

عند توصيل عميل AnyConnect VPN ب ASA، قد تتلقى هذا الخطأ: المستخدم غير مخول للوصول إلى AnyConnect Client، اتصل بالمسؤول.

يظهر هذا الخطأ عند فقدان صورة AnyConnect من ASA. بمجرد تحميل الصورة إلى ASA، يمكن لـ AnyConnect الاتصال دون أي مشكلات بـ ASA.

يمكن حل هذا الخطأ عن طريق تعطيل أمان طبقة نقل مخطط البيانات (DTLS). انتقل إلى التكوين > شبكة VPN للوصول عن بُعد > الوصول إلى الشبكة (Client) > ملفات تعريف اتصال AnyConnect وقم بإلغاء تحديدتمكين DTLS من خانة الاختيار. يؤدي هذا إلى تعطيل DTLS.

تظهر ملفات dartbundle رسالة الخطأ هذه عندما يتم قطع اتصال المستخدم: TUNNELPROTOCOLcoldpdmgr_ERROR_NO_DPD_RESPONSE:فشلت العبارة الآمنة في الاستجابة لحزم كشف النظير الميت. يعني هذا الخطأ أن قناة DTLS قد تم فصلها نتيجة فشل اكتشاف النظير الخامل (DPD). يتم حل هذا الخطأ إذا قمت بتعديل رسائل تنشيط اتصال DPD وإصدار هذه الأوامر:

webvpn
   svc keepalive 30
   svc dpd-interval client 80
   svc dpd-interval gateway 80

يتم استبدال الأمرين svc keepalive وsvc dpd-interval بالأمرين anyconnect keepalive وanyconnect dpd-interval على التوالي في ASA، الإصدار 8.4(1) والإصدارات اللاحقة كما هو موضّح هنا:

webvpn
anyconnect ssl keepalive 15
anyconnect dpd-interval client 5
anyconnect dpd-interval gateway 5

مشكلات تتعلق بحركة مرور البيانات

عندما يتم الكشف عن مشكلات تتعلق بحركة مرور البيانات إلى الشبكة الخاصة مع جلسة AnyConnect من خلال ASA، فقم بإكمال خطوات جمع البيانات التالية:

1. احصل على إخراج أمر ASA show vpn-sessiondb detail svc filter name <username> من وحدة التحكُّم. إذا عرض الإخراج اسم المرشح: xxxx، فقم بتجميع الإخراج ل show access-list xxxx. تحقّق من أن قائمة الوصول ××××× لا تحظر تدفق حركة مرور البيانات المقصودة.
   
   
2. قم بتصدير إحصائيات AnyConnect من AnyConnect VPN Client > الإحصائيات > التفاصيل > الإصدار (AnyConnect-ExportedStats.txt).
   
   
3. تحقّق من ملف تكوين ASA بحثًا عن عبارات nat. إذا تم تمكين ترجمة عنوان الشبكة (NAT)، يتعين أن يستثني هذا البيانات التي تعود إلى العميل كنتيجة لـ NAT. على سبيل المثال، لاستثناء NAT (‪nat 0‬) عناوين IP من مجموعة AnyConnect، استخدم هذا على واجهة سطر الأوامر (CLI):
   
   

   access-list in_nat0_out extended permit ip any 10.136.246.0 255.255.255.0
   ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
   nat (inside) 0 access-list in_nat0_out

   
   
   
4. حدّد ما إذا كان يتطلب تمكين العبّارة الافتراضية ذات الاتصال النفقي للإعداد. العبّارة الافتراضية التقليدية هي عبّارة الحل الأخير لحركة مرور البيانات غير المشفّرة.
   
   مثال:
   
   

   
   !--- Route outside 0 0 is an incorrect statement.
   
   route outside 0 0 10.145.50.1
   route inside 0 0 10.0.4.2 tunneled

   
   
   على سبيل المثال، إذا كان VPN Client يحتاج إلى الوصول إلى مورّد ليس موجودًا في جدول التوجيه لعبّارة VPN، يتم توجيه الحِزمة عبر العبّارة الافتراضية القياسية. لا تحتاج عبّارة VPN إلى جدول التوجيه الداخلي الكامل لحل تلك المشكلة. يمكن استخدام الكلمة الأساسية tunneled في هذه الحالة.
   
   
5. تحقّق مما إذا كانت حركة مرور بيانات AnyConnect قد تم تعطيلها بواسطة سياسة الفحص الخاصة بـ ASA. يمكنك استثناء التطبيق المحدد الذي يستخدمه AnyConnct client إذا قمت بتنفيذ التكوين Modular Policy Framework الخاص بـ Cisco ASA. على سبيل المثال، يمكنك استثناء بروتوكول skinny بهذه الأوامر.
   
   

   ASA(config)# policy-map global_policy
   ASA(config-pmap)#  class inspection_default
   ASA(config-pmap-c)# no inspect skinny

مشكلات تعطّل AnyConnect

أكمل خطوات جمع البيانات التالية:

1. تأكد من تمكين الأداة المساعدة Microsoft Dr Witchon. للقيام بذلك، قم باختيار بدء > تشغيل وقم بتشغيل Drwtsn32.exe. قم بتكوين هذا وانقر فوق موافق:
   
   

   Number of Instructions      : 25
   Number of Errors To Save    : 25
   Crash Dump Type             :  Mini
   Dump Symbol Table           : Checked
   Dump All Thread Contexts    : Checked
   Append To Existing Log File : Checked
   Visual Notification         : Checked
   Create Crash Dump File      : Checked

   
   
   عند حدوث العطل، قم بتجميع ملفي .log وdmp من C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson. إذا ظهرت هذه الملفات على أنها قيد الاستخدام، فاستخدم ntbackup.exe.
   
   
2. احصل على سجل AnyConnect VPN Client لدى Cisco من عارض أحداث Windows لكمبيوتر العميل الشخصي:
   
   
   1. اختَر بدء > التشغيل.
      
      
   2. أدخِل:
      
      

      eventvwr.msc /s

      
      
      
   3. انقر بزر الماوس الأيمن فوق سجل Cisco AnyConnect VPN Client، ثم حدّد حفظ ملف السجل كـ AnyConnect.evt.
      
      

      ملاحظة: احفظه دائما بتنسيق ملف .evt.

التجزئة / مشكلات حركة مرور البيانات

لا تعمل بعض التطبيقات مثل Microsoft Outlook. ومع ذلك، يستطيع الاتصال النفقي تمرير حركة مرور بيانات أخرى مثل أوامر اختبار الاتصال (ping) الصغيرة.

يمكن أن يوفر هذا معلومات حول مشكلة التجزئة في الشبكة. تكون موجّهات المستهلك ضعيفة بشكل خاص عند تجزئة الحِزمة وإعادة تجميعها.

جرّب مجموعة واسعة من أوامر اختبار الاتصال (ping) لتحديد ما إذا كان فشلها في حجم معين. على سبيل المثال، ping -l 500 وping -l 1000 وping -l 1500 وping -l 2000.

يُوصى بتكوين مجموعة خاصة للمستخدمين الذين يواجهون التجزئة، وتعيين وحدة الإرسال القصوى (MTU) لدى SVC لهذه المجموعة على 1200. يتيح لك هذا معالجة المستخدمين الذين يواجهون هذه المشكلة، مع عدم التأثير على قاعدة المستخدمين الأوسع.

المشكلة

تتعطل اتصالات TCP بمجرد اتصاله بـ AnyConnect.

الحل

للتحقُّق مما إذا كان المستخدم يواجه مشكلة التجزئة، اضبط MTU لعملاء AnyConnect على ASA.

 ASA(config)#group-policy <name> attributes
                          webvpn
                              svc mtu 1200

إلغاء التثبيت تلقائيًا

المشكلة

يقوم AnyConnect VPN Client بإلغاء تثبيت نفسه بمجرد إنهاء الاتصال. وتظهر سجلات العميل أنه قد تم تعيين الاستمرار في التثبيت على أنه "معطل".

الحل

يقوم AnyConnect بإلغاء تثبيت نفسه على الرغم من تحديد الخيار الاستمرار بالتثبيت في "Adaptive Security Device Manager (ASDM)". لحل هذه المشكلة، قم بتكوين الأمر المُثبّت svc keep-installer ضمن سياسة المجموعة.

مشكلة في نشر مجموعة اسم المجال المؤهل بالكامل (FQDN)

المشكلة: تم ملء عميل AnyConnect مسبقا باسم المضيف بدلا من اسم المجال المؤهل بالكامل (FQDN) لنظام المجموعة.

عندما يكون لديك مجموعة موازنة حمل تم إعدادها لصالح VPN ببروتوكول SSL ويحاول العميل الاتصال بالمجموعة، تتم إعادة توجيه الطلب إلى العقدة ASA ويسجّل العميل الدخول بنجاح. بعد فترة وجيزة، عندما يحاول العميل الاتصال بالمجموعة مرة أخرى، لا تظهر مجموعة FQDN في إدخالات التوصيل بـ. بدلاً من ذلك، يظهر إدخال العقدة ASA الذي تمت إعادة توجيه العميل إليه.

الحل

يحدث هذا لأن AnyConnect client يحتفظ باسم المضيف الذي قام بالتوصيل به آخر مرة. لذا تتم ملاحظة هذا السلوك وتقديم خطأ. للحصول على تفاصيل كاملة حول الخطأ، ارجع إلى معرف تصحيح الأخطاء من Cisco CSCsz39019. ال يقترح workaround أن يحسن ال cisco AnyConnect إلى صيغة 2.5.

تكوين قائمة خادم النسخ الاحتياطي

ويتم تكوين قائمة خادم النسخ الاحتياطي في حال يتعذّر الوصول إلى الخادم الرئيسي الذي حدّده المستخدم. ويتم تحديد ذلك في لوحة خادم النسخ الاحتياطي في ملف تعريف AnyConnect. أكمل الخطوات التالية:

1. قم بتنزيل محرر ملف تعريف AnyConnect (للعملاء المسجلين فقط). اسم الملف هو AnyConnectProfileEditor2_4_1.jar.
   
   
2. قم بإنشاء ملف XML باستخدام محرر ملف تعريف AnyConnect.
   
   
   1. انتقل إلى علامة التبويب "قائمة الخوادم".
      
      
   2. انقر فوق إضافة (Add).
      
      
   3. اكتب الخادم الرئيسي في حقل اسم المضيف.
      
      
   4. أضِف خادم النسخ الاحتياطي ضمن قائمة خواادم النسخ الاحتياطي في حقل عنوان المضيف. ثم انقر فوق إضافة.
   
   
   
3. بمجرد إنشاء ملف XML، ستحتاج إلى تعيينه للاتصال الذي تستخدمه على ASA.
   
   
   1. ضمن ASDM، اختَر التكوين > شبكة VPN للوصول عن بُعد > الوصول إلى الشبكة (Client) > ملفات تعريف اتصال AnyConnect.
      
      
   2. حدّد ملف التعريف الخاص بك وانقر فوق تحرير.
      
      
   3. انقر فوق إدارة من قسم "سياسة المجموعة الافتراضية".
      
      
   4. حدّد سياسة المجموعة الخاصة بك وانقر فوق تحرير.
      
      
   5. حدّد متقدم ثم انقر فوق SSL VPN Client.
      
      
   6. انقر فوق جديد. بعد ذلك، ستحتاج إلى كتابة اسم لملف التعريف وتعيين ملف XML.
   
   
   
4. قم بتوصيل العميل بالجلسة لتنزيل ملف XML.

AnyConnect: مشكلة في قاعدة بيانات برامج التشغيل تالفة

يفيد هذا الإدخال في ملف سجل SetupAPI بأن نظام الكتالوج تالف:

قائمة فئة تسجيل دخول برنامج التشغيل W239 "C:\WINDOWS\INF\certclas.inf" مفقودة أو غير صالحة. خطأ 0xfffde5: خطأ غير معروف.، بافتراض أن جميع فئات الأجهزة تخضع لنهج توقيع برنامج التشغيل.

يمكنك أيضا تلقي رسالة الخطأ هذه: خطأ (3/17): تعذر بدء تشغيل VA أو إعداد قائمة انتظار مشتركة أو قام VA بالتخلي عن قائمة الانتظار المشتركة.

يمكنك تلقي هذا السجل على العميل: "صادف برنامج تشغيل عميل شبكة VPN خطأ".

إصلاح

يرجع هذا إصدار إلى cisco بق id CSCsm54689. لحل هذه المشكلة، تأكد من تعطيل خدمة التوجيه والوصول عن بعد قبل بدء تشغيل AnyConnect. إذا لم ينجح ذلك في حل المشكلة، أكمل الخطوات التالية:

1. افتح موجّه الأوامر كمسؤول على الكمبيوتر الشخصي (موجّه غير مقيد على نظام التشغيل Vista).
   
   
2. قم بتشغيل net stop CryptSvc.
   
   
3. التشغيل:
   
   

   esentutl /p%systemroot%\System32\catroot2\
   {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb

   
   
   
4. عند المطالبة، اختَر موافق لمحاولة الإصلاح.
5. اخرج من موجّه الأوامر.
   
   
6. إعادة التمهيد

فشل في الإصلاح

في حالة فشل الإصلاح، أكمل الخطوات التالية:

1. افتح موجّه الأوامر كمسؤول على الكمبيوتر الشخصي (موجّه غير مقيد على نظام التشغيل Vista).
   
   
2. قم بتشغيل net stop CryptSvc.
   
   
3. أعِد تسمية الدليل %WINDIR%\system32\catroot2 to catroot2_old.
   
   
4. اخرج من موجّه الأوامر.
   
   
5. إعادة التمهيد

تحليل قاعدة البيانات

يمكنك تحليل قاعدة البيانات في أي وقت لتحديد ما إذا كانت صالحة.

1. افتح موجّه الأوامر كمسؤول على الكمبيوتر الشخصي.
   
   
2. التشغيل:
   
   

   esentutl /g%systemroot%\System32\catroot2\
   {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb

   
   
   ارجع إلى تكامل قاعدة بيانات كتالوج النظام للحصول على مزيد من المعلومات.
   

رسائل الخطأ

خطأ: تعذر تحديث قاعدة بيانات إدارة جلسة العمل

بينما يتم توصيل SSL VPN من خلال مستعرض ويب، تظهر رسالة غير قادرة على تحديث قاعدة بيانات إدارة الجلسات. رسالة الخطأ، وتظهر سجلات ASA ٪ASA-3-211001: خطأ في تخصيص الذاكرة. فشل جهاز الأمان التكيفي في تخصيص ذاكرة نظام RAM.

الحل 1

يرجع هذا إصدار إلى cisco بق id CSCsm51093. لحل هذه المشكلة، قم بإعادة تحميل ASA أو ترقية برنامج ASA إلى الإصدار المؤقت المذكور في الخطأ. أحلت cisco بق id CSCsm51093 للحصول على مزيد من المعلومات.

الحل 2

يمكن أيضًا حل هذه المشكلة إذا قمت بتعطيل ميزة "الكشف عن التهديدات" على ASA في حالة كانت ميزة "الكشف عن التهديدات" قيد الاستخدام.

خطأ: "فشلت الوحدة النمطية c:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnapi.dll في التسجيل"

عند استخدام AnyConnect client على أجهزة الكمبيوتر المحمولة أو أجهزة الكمبيوتر الشخصية، يحدث خطأ أثناء التثبيت:

"Module C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnapi.dll failed
to register..."

وعند مواجهة هذا الخطأ، يتعذّر على المُثبّت المُضي قدمًا ويتم حذف العميل.

الحل

فيما يلي الحلول البديلة الممكنة لحل هذا الخطأ:

• لم يعد الإصدار الأخير من AnyConnect client مدعومًا رسميًا من قِبل Microsoft Windows 2000. إنها مشكلة تسجيل مع جهاز الكمبيوتر الذي يعمل بنظام التشغيل إصدار 2000.  
  
  
• قم بإزالة تطبيقات VMware. بمجرد تثبيت AnyConnect، يمكن إضافة تطبيقات VMware مرة أخرى إلى الكمبيوتر الشخصي.
  
  
• أضِف ASA إلى مواقعها الموثوق بها.  
  
  
• قم بنسخ هذه الملفات من المجلد \ProgramFiles\Cisco\CiscoAnyconnect إلى مجلد جديد وقم بتشغيل موجّه الأوامر regsvr32 vpnapi.dll:
  
  
  • vpnapi.dll
  • vpncommon.dll
  • vpncommoncrypt.dll
  
  
  
• إعادة تثبيت صورة نظام التشغيل على الكمبيوتر المحمول/الكمبيوتر الشخصي.

تبدو رسالة السجل المتعلقة بهذا الخطأ على AnyConnect client مشابهة لما يلي:

DEBUG: Error 2911:  Could not remove the folderC:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, ,
DEBUG: Error 2911:  Could not remove the folder C:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, ,
Info 1721. There is a problem with this Windows Installer package. A program required for
this install to complete could not be run. Contact your support personnel or package
vendor. Action: InstallHelper.exe, location: C:\Program Files\Cisco\Cisco AnyConnect VPN
Client\InstallHelper.exe, command: -acl "C:\Documents and Settings\All Users\Application
Data\Cisco\Cisco AnyConnect VPN Client\\" -r

خطأ: تم تلقي خطأ من البوابة الآمنة إستجابة لطلب تفاوض VPN. يُرجى الاتصال بمسؤول الشبكة لديك"

عندما يحاول العملاء الاتصال بشبكة VPN باستخدام AnyConnect VPN Client من Cisco، يتم استلام هذا الخطأ.

تم استلام هذه الرسالة من العبّارة الآمنة:

"فئة عنوان غير قانوني" أو "المضيف أو الشبكة هو 0" أو " خطأ آخر"

الحل

تحدث المشكلة بسبب استنزاف تجمع عنوان IP المحلي الخاص بـ ASA. نظرًا لاستنفاد مورد تجمع VPN، ينبغي توسيع نطاق مجموعة IP.

معرّف الأخطاء من Cisco هو CSCsl82188 تم تقديمه لهذه المشكلة. يحدث هذا الخطأ عادةً عند استنفاد التجمع المحلي لتعيين العنوان، أو في حالة استخدام قناع شبكة فرعية 32 بت لمجموعة العنوان. يتمثل الحل البديل في توسيع مجموعة العنوان واستخدام قناع شبكة فرعية 24 بت للمجموعة.

خطأ: تعذر إنشاء جلسة العمل. تم الوصول إلى حد الجلسة البالغ 2.

عند محاولة توصيل أكثر من عميلين بعميل AnyConnect VPN، تتلقى رسالة خطأ فشل تسجيل الدخول على العميل ورسالة تحذير في سجلات ASA تنص على تعذر إنشاء جلسة العمل. تم الوصول إلى حد الجلسة البالغ 2. أن لدي ترخيص AnyConnect essential على ASA، والذي يقوم بتشغيل الإصدار 8.0.4.

الحل 1

يحدث هذا الخطأ لأن ترخيص AnyConnect الأساسي غير مدعوم من قبل ASA الإصدار 8.0.4. تحتاج إلى ترقية ASA إلى الإصدار 8.2.2. يؤدي هذا إلى حل الخطأ.

ملاحظة: بغض النظر عن الترخيص المستخدم، في حالة الوصول إلى حد جلسة العمل، سيستلم المستخدم رسالة خطأ تسجيل الدخول الذي فشل.

الحل 2

ويمكن أن يحدث هذا الخطأ أيضًا في حالة استخدام الأمر vpn-sessiondb max-anyconnect-premium-or-essentials-limit session-limit لتعيين حد جلسات VPN المسموح بإنشائها. إذا تم تعيين حد الجلسة كجلستين، فلن يتمكّن المستخدم من إنشاء أكثر من جلستين على الرغم من أن الترخيص الذي تم تثبيته يدعم المزيد من الجلسات. قم بتعيين حد الجلسة وفقًا لعدد جلسات VPN المطلوبة لتجنُّب رسالة الخطأ هذه.

خطأ: لم يتم تمكين AnyConnect على خادم VPN أثناء محاولة توصيل AnyConnect ب ASA

تتلقى رسالة خطأ لم يتم تمكين Anyconnect على خادم VPN عند محاولة توصيل AnyConnect بـ ASA.

الحل

ويتم حل هذا الخطأ إذا قمت بتمكين AnyConnect على الواجهة الخارجية لـ ASA باستخدام ASDM. لمزيد من المعلومات حول كيفية تمكين AnyConnect على الواجهة الخارجية، ارجع إلى تكوين Clientless SSL VPN (WebVPN) على ASA.

خطأ:- ٪ASA-6-722036: مستخدم مجموعة عملاء المجموعة xxxx IP x.x.x.x يرسل الحزمة الكبيرة 1220 (الحد 1206)

تظهر رسالة الخطأ ٪ASA-6-722036: مجموعة </client-group > مستخدم < xxx > IP </x.x.x> التي ترسل حزمة كبيرة 1220 (الحد 1206) في سجلات ASA. ماذا يعني هذا السجل وكيف يتم تحليله؟

الحل

تشير رسالة السجل هذه إلى أنه تم إرسال حِزمة كبيرة إلى العميل. مصدر الحِزمة ليس على دراية بحد MTU الخاص بالعميل. قد يرجع ذلك أيضًا إلى ضغط البيانات غير القابلة للضغط. يتمثل الحل البديل في إيقاف تشغيل ضغط SVC باستخدام الأمر svc compression none. ويؤدي هذا إلى حل المشكلة.

خطأ: رفضت البوابة الآمنة طلب اتصال VPN الخاص بالعميل أو إعادة الاتصال.

عند الاتصال بعميل AnyConnect، يتم تلقي هذا الخطأ: "رفضت البوابة الآمنة طلب اتصال VPN الخاص بالعميل أو إعادة الاتصال. يتطلب اتصال جديد إعادة المصادقة ويجب بدء تشغيله يدويًا. يُرجى الاتصال بمسئول الشبكة لديك، في حال استمرار هذه المشكلة. تم تلقي الرسالة التالية من البوابة الآمنة: لا يوجد عنوان معين.

كما يتم تلقي هذا الخطأ عند الاتصال بعميل AnyConnect: "قامت البوابة الآمنة برفض محاولة الاتصال. مطلوب محاولة اتصال جديدة بالعبّارة نفسها أو عبّارة أخرى آمنة، الأمر الذي يتطلب إعادة المصادقة. تم استلام الرسالة التالية من العبّارة الآمنة: المضيف أو الشبكة هي 0".

كما يتم تلقي هذا الخطأ عند الاتصال بعميل AnyConnect: "رفضت البوابة الآمنة طلب اتصال VPN الخاص بالعميل أو إعادة الاتصال. يتطلب اتصال جديد إعادة مصادقة ويجب بدء تشغيله يدويًا. يُرجى الاتصال بمسئول الشبكة، في حالة استمرار المشكلة. تم تلقي الرسالة التالية من البوابة الآمنة: لا يوجد ترخيص.

الحل

افتقد الموجّه تكوين المجموعة بعد إعادة التحميل. تحتاج إلى إضافة التكوين المعنيّ مرة أخرى إلى الموجه.

Router#show run | in pool

ip local pool SSLPOOL 192.168.30.2 192.168.30.254
   svc address-pool SSLPOO

"رفضت العبّارة الآمنة طلب اتصال أو إعادة اتصال شبكة vpn الخاصة بالوكيل. يتطلب اتصال جديد إعادة مصادقة ويجب بدء تشغيله يدويًا. يُرجى الاتصال بمسئول الشبكة، في حالة استمرار المشكلة. تم تلقي الرسالة التالية من البوابة الآمنة: لا يحدث خطأ ترخيص" عند فقدان ترخيص التنقل ل AnyConnect. وبمجرد تثبيت الترخيص، يتم حل المشكلة.

خطأ: "يتعذر تحديث قاعدة بيانات إدارة جلسة العمل"

عند محاولة المصادقة في WebPortal، يتم تلقي رسالة الخطأ هذه: "يتعذر تحديث قاعدة بيانات إدارة جلسة العمل".

الحل

تتعلق هذه المشكلة بتخصيص الذاكرة على ASA. غالبا ما تتم مواجهة هذه المشكلة عندما يكون إصدار ASA هو 8.2.1. ويتطلب ذلك في الأصل ذاكرة وصول عشوائي (RAM) سعة 512 ميجابايت للحصول على الوظائف الكاملة الخاصة بها.

كحل بديل دائم، قم بترقية الذاكرة إلى 512 ميجابايت.

كحل بديل مؤقت، حاول تفريغ الذاكرة من خلال الخطوات التالية:

1. قم بتعطيل ميزة "الكشف عن التهديدات".
   
   
2. قم بتعطيل ضغط SVC.
   
   
3. قم بإعادة تحميل ASA.
   
   

خطأ: "واجه برنامج تشغيل عميل شبكة VPN خطأ"

هذه رسالة خطأ تم الحصول عليها على جهاز client عند محاولة اتصالك بـ AnyConnect.

الحل

لحل هذا الخطأ، قم بإكمال هذا الإجراء لتعيين وكيل AnyConnect VPN يدويًا إلى "تفاعلي":

1. انقر بزر الماوس الأيمن فوق جهاز الكمبيوتر الخاص بي > الإدارة > الخدمات والتطبيقات > الخدمات > وحدّد وكيل AnyConnect VPN في Cisco.
   
   
2. انقر بزر الماوس الأيمن فوق خصائص، ثم قم بتسجيل الدخول، وتحديد السماح للخدمة بالتفاعل مع كمبيوتر سطح المكتب.
   
   وهذا يؤدي إلى تعيين قيمة نوع "السجل" DWORD إلى 110 (القيمة الافتراضية هي 010) لـ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vpnagent.
   
   

   ملاحظة: إذا كان هذا المراد إستخدامه، فسيكون التفضيل هو إستخدام تحويل .mst في هذا المثيل. ويرجع هذا إلى أنه إذا قمت بتعيين هذا يدويًا باستخدام هذه الطرق، سيتطلب الأمر تعيين ذلك بعد كل عملية تثبيت/ترقية. وهذا هو سبب ضرورة تحديد التطبيق الذي يسبّب هذه المشكلة.

   
   
   عند تمكين خدمة التوجيه والوصول عن بعد (RRAS) على كمبيوتر Windows، يفشل AnyConnect مع برنامج تشغيل عميل شبكة VPN الذي صادف خطأ. رسالة خطأ. لحل هذه المشكلة، تأكد من تعطيل التوجيه وRRAS قبل بدء تشغيل AnyConnect. ارجع إلى معرّف الأخطاء من Cisco CSCsm54689 للحصول على مزيد من المعلومات.

خطأ: "يتعذر معالجة الاستجابة من xxx.xxx.xxx.xxx"

يفشل أي جهاز من AnyConnect clients في الاتصال بـ Cisco ASA. الخطأ في نافذة AnyConnect هو "تتعذر معالجة الاستجابة من xxx.xxx.xxx.xxx".

الحل

لحل هذا الخطأ، جرّب هذه الحلول البديلة:

• قم بإزالة WebVPN من ASA وإعادة تمكينها.<
  
  
• قم بتغيير رقم المنفذ إلى 444 من الرقم الحالي 443 وإعادة تمكينه على 443.

لمزيد من المعلومات حول كيفية تمكين WebVPN وتغيير المنفذ لـ WebVPN، ارجع إلى هذا الحل.

خطأ: "تم رفض تسجيل الدخول، آلية اتصال غير مصرح بها، اتصل بالمسؤول"

يفشل أي جهاز من AnyConnect clients في الاتصال بـ Cisco ASA. الخطأ في نافذة AnyConnect هو "تم رفض تسجيل الدخول، آلية الاتصال غير مصرح بها، اتصل بالمسؤول الخاص بك".

الحل

تحدث رسالة الخطأ هذه غالبًا بسبب مشكلات التكوين غير الصحيحة أو عملية تكوين غير مكتملة. تحقّق من التكوين وتأكد من أنه وفق المطلوب لحل المشكلة.

<

خطأ: حزمة AnyConnect غير متوفرة أو تالفة. اتصل بمسؤول النظام لديك"

يحدث هذا الخطأ عندما تحاول تشغيل برنامج AnyConnect من جهاز (client) يعمل بنظام Macintosh للاتصال بـ ASA.

الحل

لحل هذا الأمر، أكمل الخطوات التالية:

1. قم بتحميل حِزمة Macintosh AnyConnect لذاكرة ASA المؤقتة.
   
   
2. قم بتعديل تكوين WebVPN لتحديد حِزمة AnyConnect المستخدمة.
   
   

   webvpn
    svc image disk0:/anyconnect-macosx-i386-2.3.2016-k9.pkg 2
    svc image disk0:/anyconnect-macosx-powerpc-2.3.2016-k9.pkg 3

   
   
   يتم استبدال الأمر svc image باستخدام الأمر anyconnect image في ASA الإصدار 8.4(1) والإصدارات اللاحقة كما هو موضّح هنا:
   
   

   hostname(config)#webvpn
   
   hostname(config-webvpn)#anyconnect image disk0:/
   anyconnect-win-3.0.0527-k9.pkg 1
   
   hostname(config-webvpn)#anyconnect image disk0:/
   anyconnect-macosx-i386-3.0.0414-k9.pkg 2

خطأ: "تعذر تحديد موقع حزمة AnyConnect على البوابة الآمنة"

يحدث هذا الخطأ على جهاز مستخدم يعمل بنظام التشغيل Linux عندما يحاول الاتصال بـ ASA من خلال تشغيل AnyConnect. فيما يلي الخطأ بالكامل:

"The AnyConnect package on the secure gateway could not be located. You may
be experiencing network connectivity issues. Please try connecting again."

الحل

لحل رسالة الخطأ هذه، تحقّق ما إذا كان نظام التشغيل (OS) المستخدَم على الجهاز العميل مدعومًا من قِبل AnyConnect client.  

إذا كان نظام التشغيل مدعومًا، فحينها تحقّق مما إذا كانت حِزمة AnyConnect محددة في تكوين WebVPN أم لا. اطّلع على قسم حِزمة Anyconnect غير متاحة أو تالفة من هذا المستند لمزيد من المعلومات.

خطأ: "شبكة VPN الآمنة عبر سطح المكتب البعيد غير مدعومة"

يتعذّر على المستخدمين إجراء الوصول إلى كمبيوتر سطح المكتب عن بُعد. تظهر رسالة الخطأ شبكة VPN الآمنة عبر كمبيوتر سطح المكتب عن بُعد غير مدعومة.

الحل

يرجع هذا إصدار إلى هذا cisco بق id: CSCsu22088 وCSCso42825. إذا قمت بترقية عميل AnyConnect VPN، فيمكنه حل المشكلة. ارجع إلى هذه الأخطاء للحصول على المزيد من المعلومات.

خطأ: لم تتوافق شهادة الخادم التي تم تلقيها أو السلسلة الخاصة بها مع FIPS. لن يتم إنشاء اتصال شبكة VPN"

عندما تحاول توصيل شبكة VPN بـ ASA 5505، لا تتوافق شهادة الخادم المستلمة أو سلسلتها مع FIPS. تظهر رسالة الخطأ لن يتم إنشاء اتصال VPN.

الحل

لحل هذا الخطأ، يتعين عليك تعطيل معايير معالجة المعلومات الفيدرالية (FIPS) في ملف السياسة المحلية من AnyConnect. يمكن العثور على هذا الملف عادةً في C:\ProgramData\Cisco\Cisco AnyConnect VPN Client\AnyConnectLocalPolicy.xml. إذا لم يتم العثور على هذا الملف في هذا المسار، فحدد موقع الملف في دليل مختلف باستخدام مسار مثل C:\Documents and Settings\All Users\Application Data\Cisco AnyConnectVPNClient\AnyConnectLocalPolicy.xml. وبمجرد تحديد موقع ملف xml، قم بإجراء التغييرات على هذا الملف كما هو موضّح هنا:

قم بتغيير العبارة:

<FipsMode>صواب</FipsMode>

إلى:

<FipsMode>خطأ</FipsMode>

ثم أعِد تشغيل جهاز الكمبيوتر. يجب أن يكون للمستخدمين صلاحية الأذونات الإدارية لتعديل هذا الملف.

خطأ: "فشل التحقق من صحة الشهادة"

يتعذّر على المستخدمين تشغيل AnyConnect ويتلقون الخطأ فشل التحقق من الشهادة.

الحل

تعمل مصادقة الشهادة بشكل مختلف مع AnyConnect مقارنةً بعميل IPSec. حتى تعمل مصادقة الشهادة، يتعين عليك استيراد شهادة العميل إلى المتصفح الخاص بك وتغيير ملف تعريف الاتصال لاستخدام مصادقة الشهادة. كما تحتاج إلى تمكين هذا الأمر على ASA الخاص بك للسماح باستخدام شهادات SSL client على الواجهة الخارجية:

واجهة مصادقة شهادة ssl خارج منفذ 443

خطأ: صادفت خدمة عامل الشبكة الخاصة الظاهرية (VPN) مشكلة وتحتاج إلى الإغلاق. نعتذر على الإزعاج"

عند تثبيت AnyConnect الإصدار 2.4.0202 على جهاز كمبيوتر يعمل بنظام التشغيل Windows XP، يتوقف عند تحديث ملفات الترجمة وتظهر رسالة خطأ تبين أن ملف vpnagent.exe فشل.

الحل

تم تسجيل هذا السلوك في معرف تصحيح الأخطاء من Cisco CSCsq49102. الحل البديل المقترح هو تعطيل عميل Citrix.

خطأ: تعذر فتح حزمة التثبيت هذه. تحقَّق من وجود الحِزمة"

أثناء تنزيل AnyConnect، يتم استلام رسالة الخطأ هذه:

اتصل بمسؤول النظام الخاص بك. فشل المثبت مع حدوث الخطأ التالي: تعذر فتح حزمة التثبيت هذه. تحقق من وجود الحزمة وأنه يمكنك الوصول إليها، أو اتصل بمورّد التطبيق للتحقق من صلاحية حزمة Windows Installer."

الحل

أكمل الخطوات التالية لإصلاح هذه المشكلة:

1. قم بإزالة جميع برامج مكافحة الفيروسات.
   
   
2. قم بتعطيل جدار حماية Windows.
   
   
3. إذا لم تنجح الخطوة 1 أو 2، قم بتهيئة الجهاز ثم التثبيت.
   
   
4. إذا ما زالت المشكلة قائمة، افتح حالة في مركز المساعدة الفنية (TAC).

خطأ: خطأ في تطبيق التحويلات. تحقّق من أن مسارات التحويل المحددة صالحة."

يتم استلام رسالة الخطأ هذه أثناء التنزيل التلقائي لـ AnyConnect من ASA:

"Contact your system administrator. The installer failed with the following error:
Error applying transforms. Verify that the specified transform paths are valid."

هذه هي رسالة الخطأ المستلمة عند الاتصال بـ AnyConnect بالنسبة لنظام التشغيل MacOS:

"The AnyConnect package on the secure gateway could not be located. You may be
experiencing network connectivity issues. Please try connecting again."

الحل

أكمل أحد هذه الحلول البديلة لحل هذه المشكلة:

1. قد يكون السبب الجوهري لهذا الخطأ ملف ترجمة MST تالف (على سبيل المثال، تم الاستيراد). قم بتنفيذ الخطوات التالية لإصلاح ذلك:
   
   
   1. قم بإزالة جدول ترجمة MST.
      
      
   2. قم بتكوين صورة AnyConnect لنظام التشغيل MacOS في ASA.
   
   
   
2. من ASDM، اتّبع الوصول إلى الشبكة (Client) > عميل AnyConnect > مسار التثبيت واحذف ملف حِزمة AnyConnect. تأكد من بقاء الحِزمة في الوصول إلى الشبكة (Client) > متقدم > SSL VPN > إعدادات Client.

وإذا لم يقم أي من الحلين البديلين هذين بحل المشكلة، تواصل مع الدعم الفني في Cisco.

خطأ: "واجه برنامج تشغيل عميل شبكة VPN خطأ"

تم استلام هذا الخطأ:

The VPN client driver has encountered an error when connecting through Cisco
AnyConnect Client.

الحل

يمكن حل هذه المشكلة عند إلغاء تثبيت AnyConnect Client، ثم إزالة برنامج مكافحة الفيروسات. بعد ذلك، أعد تثبيت AnyConnect Client. إذا لم ينجح هذا الحل، فحينها أعِد تهيئة جهاز الكمبيوتر الشخصي لإصلاح هذه المشكلة.

خطأ: أسفرت إعادة اتصال VPN عن إعداد تكوين مختلف. جارٍ إعادة تهيئة إعداد شبكة VPN. قد يتعين استعادة التطبيقات التي تستخدم الشبكة الخاصة."

يتم استلام هذا الخطأ عندما تحاول تشغيل AnyConnect:

"A VPN reconnect resulted in different configuration setting. The VPN network
setting is being re-initialized. Applications utilizing the private network may
need to be restarted."

الحل

لحل هذا الخطأ، استخدم ما يلي:

group-policy <Name> attributes
			webvpn
				svc mtu 1200

يتم استبدال الأمر svc mtu باستخدام الأمر anyconnect mtu في ASA الإصدار 8.4(1) والإصدارات اللاحقة كما هو موضّح هنا:

hostname(config)#group-policy 
     
     
       attributes 
      
 
     
hostname(config-group-policy)#webvpn

hostname(config-group-webvpn)#anyconnect mtu 500

خطأ AnyConnect أثناء تسجيل الدخول

المشكلة

يستلم AnyConnect هذا الخطأ عندما يتصل بـ Client:

The VPN connection is not allowed via a local proxy. This can be changed
through AnyConnect profile settings.

الحل

ويمكن حل هذه المشكلة إذا أجريتَ هذه التغييرات على ملف تعريف AnyConnect:

أضِف هذا السطر إلى ملف تعريف AnyConnect:

<ProxySettings>IgnoreProxy</ProxySettings><
AllowLocalProxyConnections>
false</AllowLocalProxyConnections>

لم تتم استعادة إعداد وكيل IE بعد قطع اتصال AnyConnect على Windows 7

المشكلة

في نظام التشغيل Windows 7، إذا تم تكوين إعداد وكيل IE إلى كشف الإعدادات تلقائيًا ودفع AnyConnect إلى إعداد وكيل جديد، لن تتم استعادة إعداد وكيل IE مرة أخرى إلى كشف الإعدادات تلقائيًا بعد انتهاء المستخدم من جلسة AnyConnect. وهذا يتسبب في حدوث مشكلات في شبكة LAN للمستخدمين الذين يحتاجون إلى تكوين إعداد الوكيل لديهم إلى كشف الإعدادات تلقائيًا.

الحل

تم تسجيل هذا السلوك في معرف تصحيح الأخطاء من Cisco CSCtj51376. ال يقترح workaround أن يحسن إلى AnyConnect 3.0.

خطأ: لا يمكن تمكين AnyConnect Essentials حتى يتم إغلاق جميع جلسات العمل هذه.

يتم استلام رسالة الخطأ هذه على Cisco ASDM عندما تحاول تمكين ترخيص AnyConnect Essentials:

There are currently 2 clientless SSL VPN sessions in progress. AnyConnect
Essentials can not be enabled until all these sessions are closed.

الحل

وهذا هو السلوك الطبيعي لـ ASA. AnyConnect Essentials هو عميل VPN ببروتوكول SSL مرخص بشكل منفصل. لقد تم تكوينه بالكامل على ASA ويوفر إمكانية AnyConnect الكاملة، مع الاستثناءات التالية:

• لا يوجد Cisco Secure Desktop (CSD) (بما في ذلك HostScan/Vault/Cache Cleaner)
  
  
• لا توجد شبكة VPN ببرتوكول SSL بلا عملاء
  
  
• الدعم الاختياري للهاتف المحمول الذي يعمل بنظام Windows
  
  

ولا يمكن استخدام هذا الترخيص في نفس وقت استخدام ترخيص VPN تبرتوكول SSL المميز المشترك. عندما تحتاج إلى استخدام ترخيص واحد، يتعين عليك تعطيل الترخيص الآخر.

خطأ: يتم إخفاء علامة التبويب "اتصال" على خيار إنترنت ل Internet Explorer بعد الاتصال بعميل AnyConnect.

تختفي علامة التبويب اتصال في الخيار إنترنت على Internet Explorer بعد اتصالك ببرنامج AnyConnect client.

الحل

وهذا بفضل ميزة msie-proxy lockdown. إذا قمتَ بتمكين هذه الميزة، فإنها تخفي علامة التبويب "اتصال" على Microsoft Internet Explorer أثناء جلسة AnyConnect VPN واحدة. إذا قمت بتعطيل الميزة، سيترك هذا عرض علامة التبويب "اتصال" دون تغيير.

خطأ: قليل من المستخدمين الذين يحصلون على رسالة خطأ فشل تسجيل الدخول عندما يكون الآخرون قادرين على الاتصال بنجاح من خلال AnyConnect VPN

يستلم قلة من المستخدمين رسالة خطأ "فشل تسجيل الدخول" بينما يمكن للآخرين الاتصال بنجاح من خلال AnyConnect VPN.

الحل

يمكن حل هذه المشكلة إذا تأكدتَ من تحديد خانة الاختيار لا تتطلب عملية ما قبل المصادقة للمستخدمين.

خطأ: الشهادة التي تقوم بعرضها غير متطابقة مع اسم الموقع الذي تحاول عرضه.

أثناء تحديث ملف تعريف AnyConnect، يظهر خطأ يوضّح أن الشهادة غير صالحة. ولا يحدث هذا إلا مع نظام Windows وفي مرحلة تحديث ملف التعريف. رسالة الخطأ موضحة هنا:

The certificate you are viewing does not match with the name of the site
you are trying to view.

الحل

يمكن حل ذلك إذا عدّلتَ قائمة الخادم لملف تعريف AnyConnect لاستخدام اسم المجال المؤهل بالكامل (FQDN) للشهادة.

وفيما يلي نموذج لملف تعريف XML:

<ServerList>

 <HostEntry>

    <HostName>vpn1.ccsd.net</HostName>

 </HostEntry>

</ServerList>

ملاحظة: إذا كان هناك إدخال موجود لعنوان IP العام للخادم مثل <HostAddress>، فقم بإزالته والاحتفاظ فقط ب FQDN الخاص بالخادم (على سبيل المثال، <HostName> ولكن ليس <Host Address>).

يتعذّر تشغيل AnyConnect بواسطة CSD Vault من جهاز يعمل بنظام التشغيل Windows 7

عندما يتم تشغيل AnyConnect من CSD vault، فإنه لا يعمل. وتمت هذه المحاولة على أجهزة تعمل بنظام تشغيل Windows 7.

الحل

حاليًا، هذا غير ممكن نظرًا لأنه غير مدعوم.

لا يتم إجراء نسخ متماثل لملف تعريف AnyConnect إلى وضع "الاستعداد" بعد تجاوز الفشل

يعمل AnyConnect 3.0 VPN client مع برنامج ASA، الإصدار 8.4.1 بشكل جيد. ومع ذلك، بعد تجاوز الفشل، لا يوجد نسخ متماثل لملف تعريف AnyConnect ذي صلة بالتكوين.

الحل

تمت ملاحظة هذه المشكلة وتسجيلها ضمن معرف تصحيح الأخطاء من Cisco CSCtn71662. الحل المؤقت هو نسخ الملفات يدويا إلى الوحدة الاحتياطية.

يتعطل AnyConnect Client في حالة عدم اتصال Internet Explorer

وعندما يحدث هذا، يحتوي سجل أحداث AnyConnect على إدخالات مشابهة لهذه:

Description : Function:
CAdapterNetworkStateIfc::SetConnectedStateToConnected
File: .\AdapterNetworkStateIfc.cpp
Line: 147
Invoked Function: InternetSetOption
Return Code: 12010 (0x00002EEA)
Description: The length is incorrect for the option type

Description : Function: CTransportWinHttp::InitTransport
File: .\CTransportWinHttp.cpp
Line: 252
Invoked Function: CConnectedStateIfc::SetConnectedStateToConnected
Return Code: -25362420 (0xFE7D000C)
Description: CADAPTERNETWORKSTATEIFC_ERROR_SET_OPTION

الحل

تتم ملاحظة هذا السلوك وتسجيله ضمن معرف تصحيح الأخطاء من Cisco CSCtx28970. لحل هذه المشكلة، قم بإنهاء تطبيق AnyConnect وإعادة التشغيل. تظهر إدخالات الاتصال مرة أخرى بعد إعادة التشغيل.

رسالة الخطأ: TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER

فشل اتصال عميل AnyConnect وتم استلام رسالة الخطأ يتعذر إنشاء اتصال. في سجل أحداث AnyConnect، تم العثور على الخطأ TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER.

الحل

يحدث هذا عند تكوين محطة الاستقبال والبث للاتصال النفقي المقسّم باستخدام قائمة اتصال نفقي مقسّم ضخمة للغاية (ما يقرب من 180 إلى 200 إدخال) ويتم تكوين سمة عميل أخرى أو أكثر في سياسة المجموعة، مثل خادم dns.

لحل هذه المشكلة، أكمل الخطوات التالية:

1. قم بتقليل عدد الإدخالات في قائمة الاتصال النفقي المقسّم.
   
   
2. استخدم هذا التكوين لتعطيل DTLS:
   
   

   group-policy groupName attributes
     webvpn
       svc dtls none

للحصول على مزيد من المعلومات، ارجع إلى معرّف الأخطاء من Cisco ‪CSCtc41770‬.

رسالة الخطأ: "فشلت محاولة الاتصال بسبب إدخال مضيف غير صالح"

يتم استلام رسالة الخطأ فشلت محاولة الاتصال بسبب إدخال مضيف غير صالح أثناء مصادقة AnyConnect مع استخدام شهادة.

الحل

لحل هذه المشكلة، جرّب أي من الحلول الممكنة التالية:

• قم بترقية AnyConnect إلى الإصدار 3.0.
• قم بتعطيل Cisco Secure Desktop على جهاز الكمبيوتر لديك.

للحصول على مزيد من المعلومات، ارجع إلى معرّف الأخطاء من Cisco ‪CSCti73316‬.

خطأ: "تأكد من أن شهادات الخادم لديك يمكنها إجتياز الوضع المقيد إذا قمت بتكوين VPN موجود دائما"

عند تمكين ميزة التشغيل دائمًا على AnyConnect، يتم استلام رسالة الخطأ تأكد من أن شهادات الخادم يمكنها اجتياز الوضع الصارم إذا قمت بتكوين شبكة VPN بميزة التشغيل دائمًا.

الحل

تتضمن رسالة الخطأ هذه أنه إذا كنتَ ترغب في استخدام ميزة "دائم التشغيل"، فأنت بحاجة إلى شهادة خادم صالحة تم تكوينها على محطة الاستقبال والبث. لا تعمل هذه الميزة بدون شهادة خادم صالحة. ويُعد "وضع الشهادة الصارم" خيارًا تقوم بتعيينه في ملف السياسة المحلية لـ AnyConnect لضمان استخدام الاتصالات لشهادة صالحة. وإذا قمت بتمكين هذا الخيار في ملف السياسة وبالاتصال بشهادة وهمية، سيفشل الاتصال.

خطأ: "حدث خطأ داخلي في Microsoft Windows HTTP Services"

تعرض أداة تشخيص وإعداد تقارير AnyConnect (DART) هذه محاولة فاشلة واحدة:

******************************************
Date        : 03/25/2014
Time        : 09:52:21
Type        : Error
Source      : acvpnui

Description : Function: CTransportWinHttp::SendRequest
File: .\CTransportWinHttp.cpp
Line: 1170
Invoked Function: HttpSendRequest
Return Code: 12004 (0x00002EE4)
Description: An internal error occurred in the Microsoft 
Windows HTTP Services 
*****************************************
Date        : 03/25/2014
Time        : 09:52:21
Type        : Error
Source      : acvpnui

Description : Function: ConnectIfc::connect
File: .\ConnectIfc.cpp
Line: 472
Invoked Function: ConnectIfc::sendRequest
Return Code: -30015443 (0xFE36002D)
Description: CTRANSPORT_ERROR_CONN_UNKNOWN
******************************************
Date        : 03/25/2014
Time        : 09:52:21
Type        : Error
Source      : acvpnui

Description : Function: ConnectIfc::TranslateStatusCode
File: .\ConnectIfc.cpp
Line: 2999
Invoked Function: ConnectIfc::TranslateStatusCode
Return Code: -30015443 (0xFE36002D)
Description: CTRANSPORT_ERROR_CONN_UNKNOWN
Connection attempt failed.  Please try again.

******************************************

ارجع أيضًا إلى سجلات عارض الأحداث على جهاز Windows.

الحل

قد يحدث هذا بسبب اتصال Winsock تالف. قم بإعادة تعيين الاتصال من موجّه الأوامر بهذا الأمر وإعادة تشغيل جهاز windows لديك:

إعادة تعيين netsh winsock

للحصول على مزيد من المعلومات، ارجع إلى مقال قاعدة المعارف كيفية تحديد تلف Winsock2 والاسترداد منه في أنظمة تشغيل Windows Server 2003 وWindows XP وWindows Vista .

خطأ: تلقى نقل SSL فشل قناة آمنة.  قد يكون نتيجة لتكوين تشفير غير مدعوم على العبّارة الآمنة."

تعرض أداة تشخيص وإعداد تقارير AnyConnect (DART) هذه محاولة فاشلة واحدة:

******************************************
Date        : 10/27/2014
Time        : 16:29:09
Type        : Error
Source      : acvpnui

Description : Function: CTransportWinHttp::handleRequestError
File: .\CTransportWinHttp.cpp
Line: 854
The SSL transport received a Secure Channel Failure.  May be a result of a unsupported crypto configuration on the Secure Gateway.

******************************************
Date        : 10/27/2014
Time        : 16:29:09
Type        : Error
Source      : acvpnui

Description : Function: CTransportWinHttp::SendRequest
File: .\CTransportWinHttp.cpp
Line: 1199
Invoked Function: CTransportWinHttp::handleRequestError
Return Code: -30015418 (0xFE360046)
Description: CTRANSPORT_ERROR_SECURE_CHANNEL_FAILURE

******************************************
Date        : 10/27/2014
Time        : 16:29:09
Type        : Error
Source      : acvpnui

Description : Function: ConnectIfc::TranslateStatusCode
File: .\ConnectIfc.cpp
Line: 3026
Invoked Function: ConnectIfc::TranslateStatusCode
Return Code: -30015418 (0xFE360046)
Description: CTRANSPORT_ERROR_SECURE_CHANNEL_FAILURE
Connection attempt failed.  Please try again.
******************************************

الحل

لا يدعم Windows 8.1 تشفير RC4 وفقًا لتحديث قاعدة المعارف (KB) التالي:

http://support2.microsoft.com/kb/2868725

إما أن تقوم بتكوين تشفير DES/3DES لشبكة VPN بتنسيق SSL على ASA باستخدام الأمر "ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 des-sha1" (أو) بتحرير ملف تسجيل Windows على جهاز العميل كما هو مذكور أدناه:

https://technet.microsoft.com/en-us/library/dn303404.aspx

معلومات ذات صلة

• أجهزة الأمان Cisco ASA 5500 Series Adaptive Security Appliances
• الأسئلة المتداولة حول AnyConnect VPN Client
• الأسئلة المتداولة حول Cisco Secure Desktop (CSD)
• عميل Cisco AnyConnect VPN
• الدعم التقني والمستندات - Cisco Systems