Konfigurieren von Umbrella und BlueCoat Webfilter/K9

Download-Optionen

  • PDF     (237.4 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (81.5 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (66.9 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:8. Oktober 2025
Dokument-ID:225187

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie die Kompatibilität zwischen dem Umbrella-Roaming-Client und BlueCoat Webfilter/K9 konfiguriert wird.

    Überblick

    Dieser Artikel bezieht sich auf Computer, auf denen der Umbrella Roaming Client und BlueCoat installiert sind. Dieser Artikel bezieht sich auf die Verwendung eines BlueCoat-Filteragenten, der auf dem Computer installiert ist. Dies kann mit einer PAC- oder Proxy-Konfiguration zusammenfallen. 

    Der Umbrella-Roaming-Client und das Umbrella Roaming Security Module in AnyConnect sind derzeit nicht mit der softwarebasierten Filterung von BlueCoat kompatibel, die versucht, DNS zu steuern. 

    Betroffene Software: 

    • Cisco AnyConnect Umbrella Roaming Security-Modul
    • Umbrella-Roaming-Client

    Symptome

    AnyConnect Roaming-Modul und Roaming-Client älter als 2.2.150

    Wenn der Roaming-Client oder das Roaming-Modul aktiv ist, schlägt der gesamte DNS-Dienst fehl. Dies führt zu einem offensichtlichen Verlust der Benutzerfreundlichkeit auf dem Computer und zu einem Verlust der Fähigkeit, auf Webressourcen zuzugreifen. Insbesondere schlagen alle DNS-Anfragen an einen A-Eintrag fehl. jedoch andere Datensatztypen wie AAAA oder TXT erfolgreich sind. 

    Wenn der Roaming-Client deinstalliert oder vorübergehend gestoppt wird, kehrt das normale Netzwerkverhalten zurück. 

    Der Roaming-Client erkennt nicht, dass DNS fehlschlägt, da nur A-Einträge fehlschlagen. Daher bleibt der Client aktiv und verschlüsselt.  

    Roaming-Client 2.2.150 und höher

    Wenn der Roaming-Client aktiv ist, wechselt der Client mit der Nachricht in den offenen Zustand

    "Wir haben mögliche Interferenzen mit A- und/oder AAAA-DNS-Abfragen erkannt. Es kann Software auf dem System vorhanden sein, die Probleme verursacht."

    Dies ist eine neue Erkennungsmethode für Software, die A-Records überschreibt, aber TXT-Datensätze nicht ändert. Wir markieren dieses Verhalten und deaktivieren es, um den Verlust von DNS zu verhindern.

    Fehlerbehebung

    Um zu überprüfen, ob Sie derzeit dieses Problem beobachten, stellen Sie sicher, dass die folgenden Bedingungen zutreffen:

    • Diese Szenarien führen zu einem DNS-Ausfall (oder der Deaktivierung des A-Eintragsmodus)
      • BlueCoat aktiv und:
        • Roaming-Client oder -Modul geschützt und verschlüsselt
        • Roaming-Client oder -Modul geschützt und unverschlüsselt
      • BlueCoat-Prozess manuell abgebrochen (nicht deinstalliert). Die Umleitung ist aktiv, aber der zugrunde liegende Proxy ist offline. 
        • Roaming-Client oder -Modul geschützt 
        • Roaming-Client deinstalliert oder beendet 
    • Diese führen zu keinem Problem
      • Der Roaming-Client oder das Roaming-Modul, auf dem BlueCoat deinstalliert ist (nach einem Neustart)
      • Der BlueCoat-Webfilter ist installiert, und es wird kein Roaming-Client ausgeführt.

    Wenn DNS ausfällt, schlagen alle A-Einträge fehl, aber TXT-Einträge werden weiterhin nicht von BlueCoat und der Funktion umgeleitet. 

    Ursache und Lösung

    Dieses Kompatibilitätsproblem hat zwei Ursachen. 

    1. Die BlueCoat-Software leitet A-Datensatzabfragen (die gebräuchlichsten DNS-Einträge zum Anzeigen von Webseiten) um, sodass nur diese Abfragen beantwortet werden können. Dieser DNS kann das Netzwerk verlassen, aber er kann nicht auf das System antworten. Der Roaming-Client kann dies nicht außer Kraft setzen.
    2. Der Roaming-Client bestimmt die DNS-Verfügbarkeit, indem er TXT-Datensatzantworten überprüft, die für die Umbrella-Resolver eindeutig sind. Da BlueCoat keine TXT-Datensätze erzwingt, sind die Tests des Roaming-Clients auch dann erfolgreich, wenn alle A-Datensätze fehlschlagen. Dieser A-Record-Fehler und TXT-Record-Erfolg führt dazu, dass der Roaming-Client verschlüsselt bleibt, wodurch ein defekter Zustand mit der BlueCoat-Software effektiv aufrechterhalten wird.

    Die selektive DNS-Proxy-Durchsetzung von BlueCoat auf einer niedrigen Ebene im System verursacht ein direktes Kompatibilitätsproblem mit dem Roaming-Client. Die Auswirkungen auf die Benutzer sind ein Verlust von DNS und der DNS-basierten Web-Browsing-Fähigkeit. 

    Die einzige Lösung zu diesem Zeitpunkt ist, die Verwendung der BlueCoat Workstation-Software, die DNS umleitet, einzustellen und stattdessen Umbrella-basierte Inhaltsbeschränkungen zu nutzen. BlueCoat kann die DNS-Durchsetzung zu einem späteren Zeitpunkt deaktivieren.  

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    08-Oct-2025
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.