Fehlerbehebung bei häufigen, geschützten Fehlern des Roaming-Clients

Download-Optionen

  • PDF     (244.7 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
Aktualisiert:10. September 2025
Dokument-ID:224847

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird die Fehlerbehebung bei häufigen Problemen beschrieben, bei denen ein Roaming-Client zwar geschützt ist, sich aber nicht wie erwartet verhält.

    Überblick

    Willkommen bei der "my roaming client"-Reihe der Wissensdatenbank Artikel. Diese Reihe bietet eine interaktive Reihe von Fragen als Antwort auf die gängigen Herausforderungen von Roaming-Kunden.

    Dieses Dokument bezieht sich auf ein Szenario, in dem der Roaming-Client grün und geschützt ist, sich aber nicht wie erwartet verhält. Dieses Dokument enthält häufig gestellte Fragen zu diesem Szenario, die nach der Bereitstellung von Roaming-Clients häufig auftauchen. Der Client wird installiert, verhält sich jedoch nicht wie erwartet.

    Index "My Roaming Client Series":

    1. Mein Roaming-Client wird nicht aktiviert und....
    2. Mein Roaming-Client sagt "Geschützt", aber....

    Häufige Probleme

    Erkunden Sie die Möglichkeiten in jedem Unterabschnitt, indem Sie die Lücke "Mein Roaming-Client sagt "Geschützt", aber... _________" ausfüllen:

    Unbekannt, ungeschützt

    Wenn dies der aktuelle Zustand ist, ist dieser Artikel nicht für dieses Szenario bestimmt! Dies stellt einen ungeschützten Zustand dar, in dem sich der Client noch nicht registriert hat. In diesem Artikel erfahren Sie, wie ein Proxy einen Roaming-Client daran hindern kann, sich zu registrieren, oder wenden Sie sich an unser Support-Team, um Unterstützung zu erhalten.

    Keine Standorte werden blockiert

    Der Roaming-Client meldet "Protected" (Geschützt), wenn DNS über UDP 53 oder 443 auf 208.67.222.222 und 208.67.222 oder 208.67.222.222 erreicht werden kann oder wenn der Client aufgrund einer bekannten Richtlinie deaktiviert wird. Wenn der Client einen geschützten Modus meldet, aber keine Blöcke auftreten, gehen Sie wie folgt vor:

    1. Suchen Sie nach einem Proxy. Bei einem transparenten oder expliziten Proxy wird der auf dem Computer aufgelöste DNS erneut angefordert und vom Proxyserver außer Kraft gesetzt. Umbrella mit einem Proxy verwenden?
    2. Ein DNS-Proxy einer Drittanbietersoftware überschreibt die DNS-Antworten des Roaming-Clients.
    3. Es wird eine andere als die erwartete Richtlinie angewendet. Hier erfahren Sie, wie Sie die Anwendung der erwarteten Richtlinie überprüfen.

    Falsche Richtlinie wird angewendet

    Der Roaming-Client meldet "Geschützt und verschlüsselt" oder "Geschützt und transparent", aber die Richtlinien für Roaming-Clients gelten nicht:

    1. Überprüfen Sie, ob die Client-basierte Roaming-Richtlinie die Richtlinie ist, die den Zuschlag erhält. Wenn sich das Netzwerk im Netzwerk befindet und das Netzwerk in der Richtlinienreihenfolge höher ist als die Roaming-Clients, gilt seine Richtlinie. Weitere Informationen zur Festlegung der angewendeten Richtlinien finden Sie in diesem Artikel oder unter policy-debug.opendns.com.
    2. Suchen Sie nach einem Proxy. Bei einem transparenten oder expliziten Proxy wird der auf dem Computer aufgelöste DNS erneut angefordert und vom Proxyserver außer Kraft gesetzt. Der Proxyserver, der Umbrella verwendet, wendet nur die ausgangsbasierte Abdeckung auf Netzwerkebene an. Umbrella mit einem Proxy verwenden?
    3. Verwenden Sie das AnyConnect Roaming Security-Modul? Der Standalone-Roaming-Client darf nicht gleichzeitig installiert werden! Wenn sowohl ERCService.exe als auch acumbrellaagent.exe gleichzeitig ausgeführt werden, bedeutet dies, dass beide installiert sind. Deinstallieren Sie den Standalone Umbrella Roaming Client, und stellen Sie sicher, dass keine Softwareverwaltungstools ihn neu installieren.

    Öffentlicher oder vollständiger DNS-Fehler

    In diesem Szenario erhält kein DNS eine Antwort. Ein nslookup in der Eingabeaufforderung oder im Terminal gibt die Zeit für oder schlägt fehl, und Browser melden DNS-Probleme und können Seiten nicht laden:

    1. Ein DNS-Proxy einer Drittanbietersoftware überschreibt die DNS-Antworten des Roaming-Clients. Viele Software überschreiben nur "Website-Ziel"-A-Einträge, sodass TXT-Datensätze frei passieren können. Da der Roaming-Client die DNS-Verfügbarkeit mit TXT-Datensätzen überprüft, wird der Roaming-Client aktiviert, auch wenn nicht alle A-Datensätze Umbrella erreichen. Verschlüsselte Umbrella DNS in Kombination mit der Hintergrundsoftware führt oft zu einem Fehler beim Senden von DNS A-Einträgen.
    2. Eine Firewall verfügt über einen integrierten DNS-Schutz oder einen "Web-Schutz"-Service, der Umbrella beeinträchtigen kann.
    3. Tritt dies zeitweilig auf, kann es sich um PAT/NAT-Erschöpfung handeln. Durch die Erweiterung des Roaming-Clients hat sich die Anzahl der direkten UDP-Verbindungen aus dem Ausgangsnetz der Arbeitsstationen erhöht. Dies führt unregelmäßig dazu, dass entweder nur DNS oder der gesamte Web-Datenverkehr fehlschlägt. Weitere Informationen finden Sie in diesem Artikel über die Port-Erschöpfung und dazu, wie Sie durch Ändern des UDP-Timeouts oder Validieren Ihres UDP-Verbindungslimits Hilfe erhalten können.
    4. Verwenden Sie das AnyConnect Roaming Security-Modul? Der Standalone-Roaming-Client darf nicht gleichzeitig installiert werden! Wenn sowohl ERCService.exe als auch acumbrellaagent.exe gleichzeitig ausgeführt werden, bedeutet dies, dass beide installiert sind. Deinstallieren Sie den Standalone Umbrella Roaming Client, und stellen Sie sicher, dass keine Softwareverwaltungstools ihn neu installieren.

    Lokaler DNS-Fehler

    In diesem Szenario scheitern alle öffentlichen Aufzeichnungen. Domänen in Ihrer internen Domänenliste können jedoch nicht aufgelöst werden. Wenn die lokalen DNS-Server direkt abgefragt werden, ist die Abfrage erfolgreich.

    1. Wurde die Domäne, die fehlschlägt, Ihrer internen Domänenliste hinzugefügt? Beachten Sie, dass jedes Suffix automatisch dynamisch zur lokalen (nicht Cloud-seitigen) Liste hinzugefügt wird. Alle lokalen Domänen, die nicht in dieser Liste aufgeführt sind, können nicht richtig aufgelöst werden. Alle lokalen Domänen, die nicht in der Liste aufgeführt sind, werden in den Dashboard-Berichten angezeigt. Keine Domäne in der Liste. Erfahren Sie hier, wie der lokale DNS funktioniert.
    2. Sind die lokalen DNS-Server korrekt? Überprüfen Sie, ob die im Roaming-Client gespeicherten Werte Ihren Erwartungen entsprechen. Überprüfen Sie, ob jeder aufgelistete Server (siehe Speicherort in diesem Dokument) die Antwort zurückgeben kann. Wählen Sie eine aus, an die jede lokale DNS-Anforderung gesendet werden soll. Diese entsprechen Ihrer DHCP-Lease- oder statischen Zuweisung. Falls nicht, teilen Sie uns dies mit, indem Sie ein Support-Ticket eröffnen.
      • Mac: /var/lib/data/opendns/resolv_orig.conf
      • PC: C:\ProgramData\OpenDNS\ERC\Resolver#-Name-of-NetworkAdaptor.conf
    3. Software- oder VPN-Kompatibilität Tritt das Problem nur auf, wenn es sich auf einem VPN befindet? Wenn ja, stellen Sie sicher, dass das VPN nicht einschränkt, wohin DNS fließen kann, oder dass Ihr VPN nicht auf unserer Liste der nicht unterstützten VPNs steht. Weitere Informationen finden Sie in unserem Artikel zur VPN-Kompatibilität.

    Der Client wird offline auf dem Dashboard angezeigt.

    Der Synchronisierungsvorgang des Roaming-Clients ist für die Client-Zustände ausschlaggebend, wie im Dashboard dargestellt. Der Roaming-Client wird nur aktiviert, wenn:

    • Mindestens eine Synchronisierung mit unserem Synchronisierungsserver (derzeit sync.hydra.opendns.com) ist seit dem Client-Start abgeschlossen.
    • Einer der Umbrella DNS Server ist auf Port 443 oder 53 UDP verfügbar. 

    Der Dashboard-Status des Clients wird bei jeder Synchronisierung aktualisiert (dauert derzeit bis zu 60 Minuten). Hier einige mögliche Gründe, warum diese Staaten nicht aktuell sind:

    1. Der Client-Status hat sich seit der letzten Synchronisierung geändert. Beachten Sie, dass die erste Synchronisierung beim Start erfolgt, während der Client "offline" ist oder nicht geschützt ist, da die Synchronisierung geschützt werden muss.
    2. Aufgrund von Netzwerkeinschränkungen kommt es gelegentlich zu einer fehlerhaften Synchronisierung des Clients. Eine erste Synchronisierung kann stattgefunden haben, nachfolgende Synchronisierungsaktualisierungen schlagen jedoch fehl, sodass der Client offline angezeigt wird.
    3. Der Computer hat seit dem letzten Start des Clients Netzwerke gewechselt. Der Computer wurde beispielsweise in einer Bäckerei-Cafeteria mit Synchronisierungszugriff eingeschaltet und dann ohne Synchronisierungszugriff in das Unternehmensnetzwerk gebracht. Der Client bleibt geschützt/verschlüsselt, wenn DNS verfügbar ist. Das Dashboard meldet jedoch, dass der Client offline ist.

    Der Computer meldet eine Warnung "Keine Verbindung".

    Wenn Sie den Roaming-Client verwenden, können Computer in bestimmten Netzwerkumgebungen die Anzeige "Gelbes Dreieck" für die Netzwerkverbindung anzeigen, aber der Netzwerkzugriff ist voll funktionsfähig. Dies kann sich auf Microsoft-Anwendungen wie Outlook auswirken, da sie nicht synchronisiert werden, wenn der Indikator ausgelöst wird.

    1. Dieses Problem stellt eine bekannte Designeinschränkung in Windows dar. So beheben Sie das Problem dauerhaft:
      • Windows 7/8: befolgen Sie die Anweisungen in diesem Dokument zur Hosts-Datei.
      • Windows 10: Aktualisieren Sie auf Version 1709 oder höher, und befolgen Sie diese Anweisungen, um entweder Ihre Gruppenrichtlinie oder die Registrierung zu ändern, um das Problem von Microsoft zu implementieren.

    Der lokale DNS-Eintrag für den Computer wird entfernt

    Der Roaming-Client leitet alle DNS-Abfragen transparent an eine beliebige Domäne in der Liste der internen Domänen weiter. Wenn Sie den Roaming-Client verwenden, sehen Sie meistens zwei Updates statt einer, da wir den DNS auf dem Computer ändern. Falls der Datensatz verschwindet:

    1. Lesen Sie diesen Artikel, um einen Microsoft-Hotfix für Windows 7 bereitzustellen, um zu verhindern, dass der Datensatz gelöscht wird, sobald der Client in den geschützten Modus wechselt.

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    10-Sep-2025
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.