Fehlerbehebung bei häufigen Problemen mit dem Cisco Secure Client VPN

Einleitung

In diesem Dokument werden Probleme mit dem Cisco Secure Client bei Anwendungsfehlern und Verbindungsunterbrechungen unter Windows, MacOS und Linux beschrieben.

Voraussetzungen

Anforderungen

Stellen Sie vor der Verwendung dieses Dokuments Folgendes sicher:

• Cisco Secure Client 5.x auf dem Endgerät (oder die Version, die Ihr Headend unterstützt).
• Sammeln von DART-Paketen oder Client-Protokollen
• Administrator-Zugriff auf das VPN-Headend (ASA oder FTD)

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf:

• Kunde: Cisco Secure Client 5.x (AnyConnect VPN-Modul)
• Headend: Cisco ASA 9.x oder Cisco Secure Firewall Threat Defense (FTD) mit Remote Access VPN.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Lesen Sie die Fehlerbehebung für Cisco Secure Client im Handbuch für Produktadministratoren.

Fehlerbehebung

In diesem Dokument werden Cisco Secure Client VPN-Probleme (einschließlich AnyConnect) beschrieben, darunter Anwendungsfehler, unerwartete Verbindungsunterbrechungen und häufige Fehler bei Windows-, MacOS-, Linux- und Cisco ASA/FTD-Headend-Konfigurationen.

• Anwendungen, die den VPN-Tunnel nicht durchlaufen.
• Clients stellen unerwartet eine Verbindung her/trennen diese.
• Häufige Fehlermeldungen auf dem Client oder Headend.

Dies umfasst den VPN-Client unter Windows, MacOS und Linux, einschließlich Headend-Konfiguration auf der Cisco ASA und Cisco Secure Firewall Threat Defense (FTD) Remote Access. VPN:

Lesen Sie diese Abschnitte, um häufige Probleme und Lösungen zu besprechen:

• Sammeln von Informationen zur Fehlerbehebung
• Probleme bei der Installation und mit dem virtuellen Adapter
• Trennung der Verbindung oder Herstellung der Erstverbindung nicht möglich
• Probleme beim Weiterleiten von Datenverkehr
• Probleme mit Abstürzen von AnyConnect
• Fragmentierung/Probleme beim Weiterleiten von Datenverkehr
• Automatisch deinstallieren
• Problem beim Ausfüllen des Cluster-FQDN
• Konfiguration der Backup-Serverliste

Sammeln von Informationen zur Fehlerbehebung

Sammeln Sie Client- und Headend-Daten, bevor Sie die Konfiguration ändern. TAC fordert in der Regel ein DART-Paket an.

Client - Statistik und DART

1. Verbindungsstatistik exportieren
   
   • Windows: Zahnradsymbol > Erweitertes Fenster > Statistik > AnyConnect VPN > Statistiken exportieren
   • MacOS: Statistiksymbol > Statistiken exportieren
   • Linux : Details zur Client-GUI
2. DART ausführen
   
   • Windows/Linux: Zahnradsymbol > Erweitertes Fenster > Diagnose
   • MacOS: Anwendungsmenü > Diagnosebericht erstellen
   Fügen Sie das Paket zu Ihrem TAC-Ticket hinzu, oder verwenden Sie Upload zu TAC mit der SR-Nummer und dem Token.
3. Probleme mit eingebetteten Browsern: Erweitertes Fenster > Allgemein > Webbrowser > Daten löschen.

Headend - ASA

• show running-config
• show vpn-sessiondb detail anyconnect filtername <Benutzername>
• Debug-Beispiel:
  

  configure terminal
  logging enable
  logging timestamp
  logging class auth console debugging
  logging class webvpn console debugging
  logging class ssl console debugging
  logging class anyconnect console debugging

  Reproduzieren Sie den Fehler, erfassen Sie die Ausgabe, und aktivieren Sie keine Protokollierung.

Headend — FTD

Exportieren Sie von FMC/CDO die Remote Access VPN-Richtlinie und die Einstellungen für das Verbindungsprofil. Sammeln Sie FTD SSL VPN-/Verbindungsprotokolle für das Fehlerfenster.

Probleme bei der Installation und mit dem virtuellen Adapter

Wenn die Installation oder die Einrichtung des virtuellen Adapters fehlschlägt, erfassen Sie Folgendes:

1. Windows-Setup-Protokolle:
   

   %SystemRoot%\Inf\setupapi.dev.log
   %SystemRoot%\Inf\setupapi.setup.log

2. MSI-Installationsprotokoll: %LOCALAPPDATA%\Temp\ oder %SystemRoot%\Temp\ — Dateiname cisco-secure-client-win-*-install-*.log (zuletzt in Ihrer Version).
3. Ausführliche MSI (falls erforderlich):
   

   msiexec /i cisco-secure-client-win-<version>-predeploy-k9.msi /lvx %TEMP%\ac-install.log

4. Systeminformationen: msinfo32 /nfo %TEMP%\msinfo.nfo und systeminfo > %TEMP%\sysinfo.txt

Informationen zu Treiberdatenbankfehlern finden Sie unter Cisco Secure Client: Fehler bei beschädigter Treiberdatenbank und im Administratorhandbuch-Abschnitt Fehler beim Auftreten von VPN-Clienttreibern (nach einem Microsoft Windows Update).

Trennung der Verbindung oder Herstellung der Erstverbindung nicht möglich

Wenn beim Cisco Secure Client Verbindungsprobleme auftreten, erfassen Sie zur Fehlerbehebung Daten per Gather Information (Sammeln von Informationen), bevor Sie die Konfiguration ändern.

• Headend-Konfiguration: show running-config oder export policy from FMC/CDO for FTD.
• Client-Protokolle: Sammeln Sie ein DART-Paket (siehe Sammeln von Informationen). Verlassen Sie sich nicht auf die Exporte der Ereignisanzeige .evt.
• ASA-Fehlerbehebung (falls erforderlich): Aktivieren Sie Protokollierungsklassenauthentifizierung, webvpn, ssl und anyconnect beim Debuggen. den Fehler zu reproduzieren; Ausgabe der Erfassungskonsole; dann keine Protokollierung aktivieren.

Wenn der Benutzer keine Verbindung herstellen kann, kann das Problem mit dem Remote Desktop Protocol (RDP) oder Fast User Switching zusammenhängen. Der Benutzer sieht Folgendes: Die AnyConnect-Profileinstellungen erfordern einen einzelnen lokalen Benutzer, aber mehrere lokale Benutzer sind derzeit bei Ihrem Computer angemeldet. Es kann keine VPN-Verbindung hergestellt werden.

Trennen Sie die RDP-Sitzung(en), und deaktivieren Sie Fast User Switching. Mehrere gleichzeitige lokale Benutzer werden für den VPN-Aufbau nicht auf demselben Computer unterstützt.

Anmerkung: Stellen Sie sicher, dass Port 443 (und UDP 443 für DTLS) nicht blockiert sind, damit der Client das Headend erreichen kann.

Wenn ein Benutzer keine Verbindung herstellen kann, kann das Problem durch die Inkompatibilität zwischen der Cisco Secure Client-Version und der Headend-Software verursacht werden. Der Benutzer kann Folgendes empfangen: Das Installationsprogramm konnte den Cisco VPN-Client nicht starten, der Client-lose Zugriff ist nicht verfügbar. Aktualisieren Sie den Client auf eine Version, die von Ihrer ASA- oder FTD Remote Access-VPN-Bereitstellung unterstützt wird.

Wenn Sie sich das erste Mal beim Cisco Secure Client anmelden, kann es Probleme mit dem Anmeldeskript geben. Wenn Sie die Verbindung trennen und sich erneut anmelden, wird das Anmeldeskript oft wie erwartet ausgeführt. Dieses Verhalten hängt vom Profil und vom Skripttakt ab.

Wenn Sie eine Verbindung herstellen, erhalten Sie: Der Benutzer hat keine Zugriffsberechtigung auf den AnyConnect-Client, wenden Sie sich an Ihren Administrator. Dies tritt häufig auf, wenn das Secure Client-Abbild am Headend fehlt. Laden Sie das richtige Client-Image hoch, und verweisen Sie darauf in der RA VPN-/WebVPN-Konfiguration.

DART kann TUNNELPROTOCOLDPDMGR_ERROR_NO_DPD_RESPONSE anzeigen, wenn der DTLS-Kanal aufgrund eines DPD-Ausfalls (Dead Peer Detection) heruntergefahren wird. Keepalive auf ASA optimieren:

webvpn
 anyconnect ssl keepalive 15
 anyconnect dpd-interval client 5
 anyconnect dpd-interval gateway 5

Deaktivieren Sie DTLS nur als temporären Test (ASDM: Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles, deaktivieren Sie Enable DTLS, oder FMC Equivalent). Festlegen des DPD-Timings und Zulassen von UDP 443

Probleme beim Weiterleiten von Datenverkehr

Wenn bei einer Cisco Secure Client-Sitzung über die ASA Probleme bei der Weiterleitung von Datenverkehr an das private Netzwerk festgestellt werden, führen Sie die folgenden Schritte zur Datenerfassung aus:

1. Rufen Sie die Ausgabe von show vpn-sessiondb detail anyconnect filter name <benutzername> von der ASA-Konsole ab. Wenn die Ausgabe Filter Name: XXXXX, Zugriffsliste anzeigen XXXXX. Vergewissern Sie sich, dass die Zugriffsliste den beabsichtigten Datenverkehr nicht blockiert.
   
   
2. Verbindungsstatistiken exportieren: Cisco Secure Client > Getriebe > Erweitertes Fenster > Statistik > AnyConnect VPN > Statistiken exportieren.
   
   
3. Überprüfen Sie die ASA-Konfiguration auf nat-Anweisungen. Wenn Network Address Translation (NAT) aktiviert ist, entbinden Sie Datenverkehr, der zum Client zurückkehrt. Beispiel für die NAT-Befreiung eines AnyConnect-Pools:
   
   

   access-list in_nat0_out extended permit ip any 10.136.246.0 255.255.255.0
   ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
   nat (inside) 0 access-list in_nat0_out

4. Bestimmen Sie, ob das getunnelte Standardgateway aktiviert werden muss. Beispiel:
   
   

   route outside 0 0 10.145.50.1
   route inside 0 0 10.0.4.2 tunneled

   
   Wenn der Client Ressourcen erreichen muss, die nicht in der Routing-Tabelle des VPN-Gateways enthalten sind, leitet das getunnelte Schlüsselwort den Datenverkehr durch den VPN-Tunnel weiter.
   
   
5. Überprüfen, ob die Überprüfungsrichtlinie Anwendungsdatenverkehr verwirft Sie können ein Protokoll im Rahmen des Modular Policy Framework ausnehmen. Beispiel für Skinny:
   
   

   ASA(config)# policy-map global_policy
   ASA(config-pmap)#  class inspection_default
   ASA(config-pmap-c)# no inspect skinny

Probleme mit Abstürzen von AnyConnect

Führen Sie folgende Datenerfassungsschritte aus:

1. Sammeln Sie DART sofort nach dem Absturz.
2. Hinweis Windows-Fehlerberichterstattungseinträge für vpnagent.exe / acvpnui.exe.
3. Client-Protokolle: %LOCALAPPDATA%\Cisco\Cisco Secure Client\Protokolle (überprüfen Sie den Pfad für Ihre Version).

Fragmentierung/Probleme beim Weiterleiten von Datenverkehr

Einige Anwendungen, z. B. Microsoft Outlook, funktionieren nicht, während der Tunnel kleineren Datenverkehr wie kleine Pings weiterleitet. Dies kann auf eine Fragmentierung des Pfads hinweisen. Consumer-Router sind häufig schlecht in Fragmentierung und Reassemblierung.

Testen Sie einen skalierbaren Satz von Pings: ping -l 500, ping -l 1000, ping -l 1500, ping -l 2000.

Konfigurieren Sie eine dedizierte Gruppenrichtlinie für betroffene Benutzer, und legen Sie eine niedrigere MTU fest:

group-policy <name> attributes
 webvpn
  anyconnect mtu 1200

Automatisch deinstallieren

Problem

Der Cisco Secure Client deinstalliert sich selbst, nachdem die Verbindung beendet wurde, obwohl in ASDM/FMC Keep Installed (Installierte Version beibehalten) ausgewählt angezeigt wird.

Lösung

group-policy <name> attributes
 webvpn
  anyconnect keep-installer installed

Problem beim Ausfüllen des Cluster-FQDN

Problem: Der AnyConnect-Client wird mit dem Host-Namen anstelle des vollständigen Domänennamens (Fully Qualified Domain Name, FQDN) ausgefüllt.

Wenn Sie einen Lastenausgleichs-Cluster für SSL VPN haben und der Client eine Verbindung herstellt, kann die Anforderung an einen Clusterknoten umgeleitet werden, und die Anmeldung ist erfolgreich. Bei einem späteren Verbindungsversuch wird der Cluster-FQDN unter Verbinden mit nicht angezeigt. Stattdessen kann der Hostname des letzten Knotens angezeigt werden.

Lösung

Der Client speichert den letzten erfolgreichen Hostnamen im Cache. Löschen Sie zwischengespeicherte Einträge, oder legen Sie den Cluster-FQDN in der Profilserverliste fest. Verifizierung auf Cisco Secure Client 5.x. Plattformspezifische Hinweise finden Sie unter Cisco Bug ID CSCsz39019.

Konfiguration der Backup-Serverliste

Eine Sicherungsserverliste wird konfiguriert, wenn der primäre Server nicht erreichbar ist. Definieren Sie sie im Bereich Backup Server des Clientprofils. Führen Sie diese Schritte aus:

1. Bearbeiten Sie das Profil mit dem Profil-Editor aus Ihrem Secure Client-Paket am Headend oder gemäß dem Secure Client 5.1 Profile Configuration Guide. Weisen Sie das Profil als ASDM oder FMC zu.
   
   
2. Erstellen oder bearbeiten Sie das XML-Profil:
   
   1. Rufen Sie die Registerkarte "Serverliste" auf.
   2. Klicken Sie auf Hinzufügen.
   3. Geben Sie den Hostnamen des primären Servers ein.
   4. Fügen Sie Sicherungsserver in der Liste der Sicherungsserver hinzu, und klicken Sie dann auf Hinzufügen.
3. Weisen Sie der Verbindung auf der ASA das Profil zu:
   
   1. Im ASDM: Konfiguration > Remotezugriff-VPN > Netzwerkzugriff (Client) > AnyConnect-Verbindungsprofile.
   2. Wählen Sie Ihr Profil aus und klicken Sie auf Bearbeiten.
   3. Klicken Sie im Abschnitt "Standardgruppenrichtlinie" auf Verwalten.
   4. Wählen Sie Ihre Gruppenrichtlinie aus und klicken Sie auf Bearbeiten.
   5. Wählen Sie Advanced und dann SSL VPN Client aus.
   6. Klicken Sie auf Neu, geben Sie dem Profil einen Namen, und weisen Sie die XML-Datei zu.
4. Verbinden des Clients zum Herunterladen des Profils

Cisco Secure Client: Problem mit fehlerhafter Treiberdatenbank

Dieser Eintrag in der Datei SetupAPI.log deutet darauf hin, dass das Katalogsystem beschädigt ist:

W239 Treibersignatur-Klassenliste "C:\WINDOWS\INF\certclas.inf" fehlt oder ist ungültig. Fehler 0xfffffde5: Unbekannter Fehler. Es wird davon ausgegangen, dass alle Geräteklassen der Richtlinie für die Treibersignierung unterliegen. Darüber hinaus erhalten Sie: Fehler(3/17): VA konnte nicht gestartet werden, gemeinsame Warteschlange eingerichtet oder VA hat gemeinsame Warteschlange aufgegeben.

Und Sie können dieses Protokoll auf dem Client erhalten: "Beim VPN-Client-Treiber ist ein Fehler aufgetreten".

Reparatur

Dieses Problem hängt mit der Cisco Bug-ID CSCsm54689 zusammen. Deaktivieren Sie den Routing- und RAS-Dienst, bevor Sie den Cisco Secure Client starten. Wenn das Problem weiterhin besteht:

1. Öffnen Sie eine Eingabeaufforderung als Administrator unter Windows.
   
   
2. Führen Sie net sop CryptSvc aus.
   
   
3. Ausgeführt:
   
   

   esentutl /p%systemroot%\System32\catroot2\
   {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb

4. Wählen Sie bei entsprechender Aufforderung OK aus, um die Reparatur zu versuchen.
5. Beenden Sie die Eingabeaufforderung.
   
   
6. Starten Sie erneut.

Reparatur fehlgeschlagen

Wenn die Reparatur fehlschlägt:

1. Öffnen Sie eine Eingabeaufforderung als Administrator unter Windows.
   
   
2. Führen Sie net sop CryptSvc aus.
   
   
3. Benennen Sie %WINDIR%\system32\catroot2 in catroot2_old um.
   
   
4. Beenden Sie die Eingabeaufforderung.
   
   
5. Starten Sie erneut.

Datenbank analysieren

Sie können die Datenbank jederzeit analysieren, um festzustellen, ob sie gültig ist.

1. Öffnen Sie eine Eingabeaufforderung als Administrator unter Windows.
   
   
2. Ausgeführt:
   
   

   esentutl /g%systemroot%\System32\catroot2\
   {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb

   
   Weitere Informationen finden Sie unter Integrität der Systemkatalog-Datenbank.

Fehlermeldungen

Fehler: Sitzungsmanagement-Datenbank kann nicht aktualisiert werden

Dieser Fehler kann bei der browserbasierten SSL VPN- oder Webportal-Authentifizierung auftreten. Der Client oder das Portal zeigt an, dass die Sitzungsverwaltungsdatenbank nicht aktualisiert werden kann. Die ASA kann %ASA-3-211001 protokollieren: Fehler bei der Speicherzuweisung. Die Adaptive Security Appliance konnte keinen RAM-Systemspeicher zuweisen.

Lösung 1

Verwandt mit Cisco Bug-ID CSCsm51093. Laden Sie die ASA neu, oder aktualisieren Sie sie auf eine feste Version pro Bug. Überprüfen Sie auf FTD die Einschränkungen für den Plattformspeicher und die RA VPN-Sitzungen.

Lösung 2

Freier Headend-Speicher:

1. Deaktivieren Sie die Erkennung von Sicherheitsrisiken, wenn diese Option aktiviert ist.
2. AnyConnect-Komprimierung deaktivieren: anyconnect-Komprimierung keine im webvpn-Abschnitt für Gruppenrichtlinien.
3. Laden Sie die ASA neu.
4. Bei älteren ASA-Plattformen mit 256 MB RAM ist ein Upgrade auf 512 MB erforderlich, wenn die Speichererschöpfung anhält.

Fehler: "Modul konnte nicht registriert werden" während Cisco Secure Client-Installation

Während der Installation unter Windows meldet das Installationsprogramm, dass ein Modul (z. B. vpnapi.dll) nicht registriert werden konnte, und führt einen Rollback aus.

Lösung

• Entfernen Sie die in Konflikt stehenden virtuellen VMware-Netzwerkadapter vorübergehend. Secure Client neu installieren; VMware wieder hinzufügen.
• Fügen Sie den Headend-FQDN bei Verwendung der Webbereitstellung vertrauenswürdigen Sites hinzu.
• Führen Sie unter C:\Program Files\Cisco\Cisco Secure Client\ die folgenden erhöhten Programme aus: regsvr32 vpnapi.dll (und vpncommon.dll, vpncommoncrypt.dll, falls vorhanden).
• Sammeln Sie das ausführliche MSI-Protokoll (siehe Installationsabschnitt) und DART, wenn die Installation weiterhin fehlschlägt.
• Reparieren Sie als letztes Mittel Windows oder stellen Sie es über eine saubere Deinstallation des sicheren Clients erneut bereit.

Fehler: "Ein Fehler wurde vom sicheren Gateway als Antwort auf die VPN-Verhandlungsanfrage empfangen. Wenden Sie sich an Ihren Netzwerkadministrator"

Wenn Clients eine Verbindung mit dem Cisco Secure Client herstellen, gibt das Gateway einen Fehler zurück, z. B. "Illegal address class", "Host or network is 0" oder "Other error".

Lösung

Der lokale ASA- oder FTD-IP-Pool ist ausgeschöpft oder falsch konfiguriert. Erweitern Sie den VPN-Adresspool, und verwenden Sie eine geeignete Maske (z. B. /24 anstelle eines reinen /32-Pools). Siehe Cisco Bug-ID CSCsl82188.

Fehler: AnyConnect bei dem Versuch, AnyConnect mit ASA zu verbinden, nicht auf dem VPN-Server aktiviert

Der Client meldet, dass AnyConnect/Secure Client auf dem VPN-Server nicht aktiviert ist.

Lösung

Aktivieren Sie Remote Access VPN, und stellen Sie ein Secure Client-Image auf dem Headend bereit. Auf ASA: Konfiguration > Remotezugriff-VPN > Netzwerkzugriff (Client) > AnyConnect-Verbindungsprofile. Über FTD: Konfigurieren von RA VPN und Client-Image in FMC Verwenden Sie einen VPN-Leitfaden für den Remote-Zugriff - keine clientlose WebVPN-Only-Konfiguration.

Fehler:- %ASA-6-722036: Gruppe client-group Benutzer xxxx IP x.x.x.x überträgt großes Paket 1220 (Schwellenwert 1206)

Die Fehlermeldung %ASA-6-722036: Group < client-group > User < xxxx > IP < x.x.x.x> Transmitting large packet 1220 (threshold 1206) message shows in ASA logs.

Lösung

Ein großes Paket wurde an den Client gesendet (MTU oder nicht komprimierbare Daten). Deaktivieren Sie die Komprimierung für die Gruppenrichtlinie:

group-policy <name> attributes
 webvpn
  anyconnect compression none

Fehler: Das sichere Gateway hat die Anfrage zur VPN-Verbindung oder -Neuverbindung des Agenten abgelehnt.

Beispiele: Keine zugewiesene Adresse, Host oder Netzwerk ist 0, oder Keine Lizenz in der Gateway-Nachricht.

Lösung

Überprüfen Sie, ob das Headend nach dem Neuladen oder Failover über einen konfigurierten lokalen IP-Pool und eine Adresszuweisung für Gruppenrichtlinien verfügt:

show running-config | include pool
ip local pool SSLPOOL 192.168.30.2 192.168.30.254
 anyconnect address-pool SSLPOOL

Für "Keine Lizenz" installieren oder aktivieren Sie die erforderliche Secure Client-Mobility-Lizenz am Headend.

Fehler: "Beim VPN-Client-Treiber ist ein Fehler aufgetreten"

Normalerweise liegt das Problem beim virtuellen Adapter, beim RRAS-Konflikt oder beim Treiber nach Windows Update.

Lösung

1. Deaktivieren Sie den Routing- und RAS-Dienst (Routing and Remote Access Service), bevor Sie Secure Client starten.
2. Vervollständigen Sie den Cisco Secure Client: Fehlerhafte Treiberdatenbank-Problemschritte, wenn die Setupapi Katalogfehler anzeigt.
3. Verwenden Sie nach dem Windows Update im Administratorleitfaden für Secure Client 5.1 die Option VPN-Clienttreiberfehler reparieren.
4. Sammeln Sie DART, und wenden Sie sich bei Bedarf an das TAC. Siehe Cisco Bug-ID CSCsm54689.

Fehler: "Die Antwort von xxx.xxx.xxx.xxx kann nicht verarbeitet werden"

Der Cisco Secure Client kann keine Verbindung herstellen mit Antwort von <gateway> konnte nicht verarbeitet werden.

Lösung

• Deaktivieren und aktivieren Sie Remote Access VPN/WebVPN auf der betroffenen Schnittstelle erneut.
• Verschieben Sie das SSL VPN vorübergehend an einen anderen Port (z. B. 444), und stellen Sie dann 443 wieder her.

Siehe Konfiguration des SSL VPN-Clients auf ASA. Erfassen Sie DART, wenn der Fehler weiterhin besteht.

Fehler: "Anmeldung verweigert, nicht autorisierter Verbindungsmechanismus, wenden Sie sich an Ihren Administrator"

Cisco Secure Client zeigt Anmeldeverweigerung an, nicht autorisierter Verbindungsmechanismus. Wenden Sie sich an den Administrator.

Lösung

Verbindungsprofil und Authentifizierung am Headend (ASA oder FTD) überprüfen. Stellen Sie sicher, dass die Clientauthentifizierungsmethode (RADIUS, SAML, Zertifikat usw.) mit dem Profil übereinstimmt. Überprüfen Sie die Gruppenrichtlinien- und Tunnelgruppenzuweisung.

Fehler: "AnyConnect-Paket ist nicht verfügbar oder beschädigt. Wenden Sie sich an Ihren Systemadministrator"

Dieser Fehler kann beim Starten des Cisco Secure Client von einem Macintosh-Client auftreten.

Lösung

1. Laden Sie das macOS Secure Client-Paket in den Headend-Flash hoch.
2. Verweisen Sie in der WebVPN-Konfiguration darauf:
   

   webvpn
    anyconnect image disk0:/cisco-secure-client-macos-<version>-predeploy-k9.pkg 2

Fehler: "Das AnyConnect-Paket auf dem sicheren Gateway konnte nicht gefunden werden"

Unter Linux (oder anderen Plattformen) kann der Client das Paket nicht vom Headend herunterladen.

"The AnyConnect package on the secure gateway could not be located. You may
be experiencing network connectivity issues. Please try connecting again."

Lösung

Überprüfen Sie, ob das Client-Betriebssystem unterstützt wird und das richtige Image auf dem Headend konfiguriert ist:

webvpn
 anyconnect image disk0:/cisco-secure-client-win-<version>-predeploy-k9.pkg 1
 anyconnect image disk0:/cisco-secure-client-macos-<version>-predeploy-k9.pkg 2

Die entsprechenden Schritte finden Sie unter AnyConnect-Paket nicht verfügbar oder beschädigt.

Fehler: "Secure VPN über Remote-Desktop wird nicht unterstützt"

Benutzer sehen, dass ein sicheres VPN über den Remote-Desktop nicht unterstützt wird.

Lösung

Führen Sie ein Upgrade auf eine unterstützte Cisco Secure Client 5.x-Version durch. Siehe Cisco Bug-ID CSCsu22088 und Cisco Bug-ID CSCso42825.

Fehler: "Das empfangene Serverzertifikat oder seine Kette ist nicht FIPS-konform. Es wird keine VPN-Verbindung hergestellt"

Der Client meldet, dass das Serverzertifikat oder die Serverkette nicht mit FIPS übereinstimmt.

Lösung

Falls FIPS auf dem Endgerät erforderlich ist, verwenden Sie die FIPS-konformen Zertifikate auf dem Headend. Falls nicht erforderlich, bearbeiten Sie den Ordner C:\ProgramData\Cisco\Cisco Secure Client\AnyConnectLocalPolicy.xml, und legen Sie <FipsMode>false</FipsMode> fest. Starten Sie anschließend neu (Admin-Rechte erforderlich).

Fehler: "Fehler bei der Validierung des Zertifikats"

Benutzer können den Cisco Secure Client nicht starten und Fehler bei der Zertifikatsvalidierung erhalten.

Lösung

Importieren Sie für die Zertifikatsauthentifizierung das Clientzertifikat, konfigurieren Sie das Profil für die Zertifikatsauthentifizierung, und aktivieren Sie auf ASA:

ssl certificate-authentication interface outside port 443

Stellen Sie sicher, dass das Serverzertifikat mit dem FQDN in der Profilserverliste übereinstimmt.

Fehler: "Der VPN-Agent-Service hat ein Problem festgestellt und muss geschlossen werden. Bitte entschuldigen Sie die Unannehmlichkeiten"

Der Dienst vpnagent.exe schlägt während der Installation, des Upgrades oder der Verbindung fehl.

Lösung

1. Starten Sie Cisco Secure Client - AnyConnect VPN Agent in Windows Services neu.
2. Reparieren oder neu installieren von Headend Web-Bereitstellung.
3. Erfassen Sie DART, wenn der Service wiederholt ausfällt. Informationen zu Citrix-Konflikten finden Sie unter Cisco Bug-ID CSCsq49102.

Fehler: "Dieses Installationspaket konnte nicht geöffnet werden. Überprüfen Sie, ob das Paket vorhanden ist"

Die Webbereitstellung schlägt mit einem Windows Installer-Fehler fehl, der besagt, dass das Paket nicht geöffnet werden konnte.

Lösung

1. Überprüfen Sie, ob die MSI vollständig heruntergeladen wurde. wiederholen Sie den Vorgang über das Headend-Portal.
2. Deaktivieren Sie vorübergehend aggressive AV auf dem Download-Ordner; das ausführliche MSI-Protokoll zu erfassen.
3. Stellen Sie sicher, dass der Windows Installer-Dienst ausgeführt wird.
4. Wenn das Problem weiterhin besteht, sammeln Sie DART/MSI-Protokolle, und erstellen Sie ein TAC-Ticket.

Fehler: "Fehler beim Anwenden von Transformationen. Überprüfen Sie, ob die angegebenen Transformationspfade gültig sind."

Das automatische Herunterladen vom Headend schlägt fehl, manchmal aufgrund einer beschädigten MST-Transformation.

Lösung

1. Entfernen Sie die benutzerdefinierte MST-Transformation aus der benutzerdefinierten AnyConnect-Installationsdefinition am Headend.
2. Laden Sie das richtige Secure Client-Image erneut auf das Headend hoch.
3. Im ASDM: Network (Client) Access > AnyConnect Custom > Installations — Entfernen Sie doppelte Einträge; das aktive Image unter den Client-Einstellungen beibehalten.

Fehler: "Eine VPN-Neuverbindung führte zu einer anderen Konfigurationseinstellung. Die VPN-Netzwerkeinstellung wird neu initialisiert. Anwendungen, die das private Netzwerk nutzen, müssen möglicherweise wiederhergestellt werden."

Diese Meldung kann nach der erneuten Verbindung angezeigt werden, wenn sich die Pushed-Einstellungen am Headend ändern.

Lösung

group-policy <Name> attributes
 webvpn
  anyconnect mtu 1200

Cisco Secure Client-Fehler bei der Anmeldung

Problem: Die VPN-Verbindung ist über einen lokalen Proxy nicht zulässig. Dies kann über die AnyConnect-Profileinstellungen geändert werden.

Lösung

<ProxySettings>IgnoreProxy</ProxySettings>
<AllowLocalProxyConnections>false</AllowLocalProxyConnections>

Fehler: AnyConnect Essentials kann nicht aktiviert werden, bis alle Sitzungen geschlossen sind.

ASDM zeigt die SSL VPN-Sitzungen ohne Client, die bei der Aktivierung von AnyConnect Essentials ausgeführt werden.

Lösung

AnyConnect Essentials kann nicht gleichzeitig mit der Premium Shared SSL VPN-Lizenz ausgeführt werden. Beenden Sie SSL VPN-Sitzungen ohne Client, bevor Sie Essentials aktivieren. Essentials enthält kein SSL VPN ohne Client.

Fehler: Einige Benutzer erhalten die Fehlermeldung "Anmeldung fehlgeschlagen", während andere sich über AnyConnect VPN erfolgreich verbinden können

Einige Benutzer erhalten Anmeldung fehlgeschlagen, während andere eine Verbindung herstellen können.

Lösung

Stellen Sie sicher, dass keine Vorabauthentifizierung (oder eine gleichwertige Authentifizierung) für die betroffenen Benutzer richtig eingestellt ist. Vergleichen der Zuordnung von Gruppenrichtlinien und Verbindungsprofilen

Fehler: Das angezeigte Zertifikat stimmt nicht mit dem Namen des Standorts überein, den Sie anzeigen möchten.

Während der Profilaktualisierung unter Windows schlägt die Zertifikatsvalidierung bei der Verbindungs-URL fehl.

Lösung

<ServerList>
 <HostEntry>
    <HostName>vpn1.example.com</HostName>
 </HostEntry>
</ServerList>

AnyConnect-Profil wird nach dem Failover nicht auf dem Standby repliziert

Nach dem ASA-Failover fehlen auf dem Standby-Gerät profilbezogene Dateien für den Secure Client.

Lösung

Siehe Cisco Bug-ID CSCtn71662. Problemumgehung: Profildateien manuell in den Standby kopieren. Überprüfen der Synchronisierung der Stateful Failover-Konfiguration für RA VPN-Profile

Fehlermeldung: TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER

Cisco Secure Client kann keine Verbindung herstellen mit Verbindung kann nicht hergestellt werden. Das Ereignisprotokoll zeigt TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER an.

Lösung

Dies geschieht mit einer sehr großen Split-Tunnel-Liste (ca. 180-200 Einträge) sowie weiteren Gruppenrichtlinienattributen (z. B. dns-server).

1. Reduzieren Sie Split-Tunnel-Listeneinträge.
2. DTLS vorübergehend deaktivieren:
   

   group-policy groupName attributes
    webvpn
     anyconnect ssl dtls none

Siehe Cisco Bug-ID CSCtc41770.

Fehlermeldung: "Der Verbindungsversuch ist aufgrund eines ungültigen Host-Eintrags fehlgeschlagen"

Der Verbindungsversuch schlug aufgrund eines ungültigen Hosteintrags während der Zertifikatauthentifizierung fehl.

Lösung

• Verwenden Sie einen gültigen Hostnamen (FQDN) in der Profilserverliste.
• Verwenden Sie den unterstützten Cisco Secure Client 5.x.
• Entfernen Sie die veraltete Cisco Secure Desktop (CSD)-Richtlinie, falls diese noch vorhanden ist.

Siehe Cisco Bug-ID CSCti73316.

Fehler: "Stellen Sie sicher, dass Ihre Serverzertifikate den strikten Modus bestehen können, wenn Sie stets verfügbares VPN konfigurieren"

Wenn Always-On aktiviert ist, kann der Client melden, dass Serverzertifikate den strikten Modus passieren müssen.

Lösung

Always-On erfordert ein gültiges Headend-Zertifikat, das mit der Verbindungs-URL übereinstimmt. Der strenge Zertifikatmodus in der lokalen Richtlinie verursacht einen Fehler, wenn das Zertifikat nicht vertrauenswürdig ist oder nicht übereinstimmt.

Siehe Zertifizierung durch eine unbekannte Behörde im Administratorleitfaden für Secure Client 5.1.

Fehler: "In den Microsoft Windows HTTP-Diensten ist ein interner Fehler aufgetreten"

DART kann HttpSendRequest-Fehler und einen internen Fehler in den Microsoft Windows HTTP Services mit CTransportWinHttp-Fehlern anzeigen.

Lösung

Dies kann durch einen beschädigten Winsock-Zustand verursacht werden. Über eine Eingabeaufforderung mit erhöhten Rechten: netsh winsock reset

Starten Sie Windows neu, und lesen Sie Microsoft-Anleitung zum Zurücksetzen von Winsock.

Fehler: "Der SSL-Transport hat einen Fehler beim sicheren Kanal empfangen. Dies wird möglicherweise durch eine nicht unterstützte Krypto-Konfiguration auf dem sicheren Gateway verursacht."

Cisco Secure Client DART kann CTransportWinHttp-Fehler und CTransPORT_ERROR_SECURE_CHANNEL_FAILURE anzeigen, wenn die TLS- oder Verschlüsselungsverhandlung zwischen dem Client und dem Headend fehlschlägt.

Lösung

1. Verwenden Sie am Headend nur TLS 1.2+ und moderne Verschlüsselungssuiten. DES, 3DES oder RC4 nicht aktivieren.
2. ASA-Beispiel:
   

   ssl cipher tlsv1.2 custom "AES256-GCM-SHA384:AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256"

3. Überprüfen Sie die Gültigkeit des Serverzertifikats und die Übereinstimmung mit dem FQDN.
4. Führen Sie für den Client und das Headend ein Upgrade auf unterstützte Versionen durch.
5. Unter Windows Schannel bei TLS 1.2+ belassen; die Client-Verschlüsselung für veraltete Headends nicht schwächen.

Zugehörige Informationen

• Fehlerbehebung bei Cisco Secure Client (Administratoranleitung 5.1)
• AnyConnect VPN Client - Fehlerbehebung - Häufige Probleme Extern
• Cisco Secure Client/AnyConnect - Häufig gestellte Fragen

Revisionsverlauf

Überarbeitung	Veröffentlichungsdatum	Kommentare
3.0	23-Jun-2026	Aktualisierte Rechtschreibung, Grammatik, Satzstruktur, Einführung, Abstände und CCW-Warnmeldungen.
1.0	04-Apr-2018	Erstveröffentlichung