Introducción
Este documento describe cómo configurar la versión 9.2.1 del Cisco Adaptive Security Appliance (ASA) para posicionar a los usuarios de VPN frente a Cisco Identity Services Engine (ISE) sin necesidad de un nodo de estado en línea (IPN).
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- Conocimiento básico de la configuración de la CLI de ASA y de la configuración de VPN de capa de conexión segura (SSL)
- Conocimiento básico de la configuración de VPN de acceso remoto en ASA
- Conocimiento básico de ISE y servicios de estado
Componentes Utilizados
La información que contiene este documento se basa en estas versiones de software:
- Versiones 9.2.1 y posteriores del software Cisco ASA
- Microsoft Windows versión 7 con Cisco AnyConnect Secure Mobility Client versión 3.1
- Cisco ISE versión 1.2 con parche 5 o posterior
Antecedentes
La versión 9.2.1 de Cisco ASA admite el cambio de autorización (CoA) RADIUS (RFC 5176). Esto permite que los usuarios de VPN se posicionen frente a Cisco ISE sin necesidad de una IPN. Después de iniciar sesión un usuario de VPN, el ASA redirige el tráfico web al ISE, donde se proporciona al usuario un agente o agente web de Network Admission Control (NAC). El agente realiza comprobaciones específicas en la máquina del usuario para determinar su cumplimiento con un conjunto configurado de reglas de estado, como las reglas de sistema operativo (OS), parches, antivirus, servicio, aplicación o registro.
Los resultados de la validación de estado se envían luego al ISE. Si la máquina se considera una queja, el ISE puede enviar una CoA RADIUS al ASA con el nuevo conjunto de políticas de autorización. Después de una validación de estado correcta y CoA, se permite al usuario acceder a los recursos internos.
Configurar
Diagrama de red y flujo de tráfico

Este es el flujo de tráfico, como se ilustra en el diagrama de red:
- El usuario remoto utiliza Cisco Anyconnect para el acceso VPN al ASA.
- El ASA envía una solicitud de acceso RADIUS para ese usuario al ISE.
- Esa solicitud llega a la política denominada postura de ASA92 en ISE. Como resultado, se devuelve el perfil de autorización de postura ASA92. ISE envía un RADIUS Access-Accept con dos pares Cisco Attribute-Value:
- url-redirect-acl=redirect: este es el nombre de la Lista de control de acceso (ACL) que se define localmente en el ASA, que decide el tráfico que se debe redirigir.
- url-redirect=https://ise2.test-cisco.com:8443/guestportal/gateway?sessionId=xx&action=cpp: es la URL a la que se debe redirigir el usuario remoto.
Consejo: Los servidores del sistema de nombres de dominio (DNS) asignados a los clientes VPN deben poder resolver el nombre de dominio completo (FQDN) que se devuelve en la URL de redirección. Si los filtros VPN se configuran para restringir el acceso en el nivel de grupo de túnel, asegúrese de que el conjunto de clientes pueda acceder al servidor ISE en el puerto configurado (TCP 8443 en este ejemplo).
- El ASA envía un paquete de inicio de solicitud de contabilización RADIUS y recibe una respuesta. Esto es necesario para enviar todos los detalles con respecto a la sesión a ISE. Estos detalles incluyen session_id, dirección IP externa del cliente VPN y la dirección IP del ASA. ISE utiliza session_id para identificar esa sesión. El ASA también envía información periódica de la cuenta intermedia, donde el atributo más importante es la dirección IP con trama con la IP que el ASA asigna al cliente (10.10.10 en este ejemplo).
- Cuando el tráfico del usuario de VPN coincide con la ACL definida localmente (redirección), se redirige a https://ise2.test-cisco.com:8443. Según la configuración, ISE aprovisiona el agente NAC o el agente web.
- Después de instalar el agente en el equipo cliente, realiza automáticamente comprobaciones específicas. En este ejemplo, busca el archivo c:\test.txt. También envía un informe de estado al ISE, que puede incluir varios intercambios con el uso del protocolo SWISS y los puertos TCP/UDP 8905 para acceder al ISE.
- Cuando el ISE recibe el informe de estado del agente, vuelve a procesar las reglas de autorización. Esta vez, se conoce el resultado de la postura y se aplica otra regla. Envía un paquete RADIUS CoA:
- Si el usuario cumple con la normativa, se envía un nombre de ACL descargable (DACL) que permite el acceso completo (compatible con la regla AuthZ ASA92).
- Si el usuario no cumple con la normativa, se envía un nombre de DACL que permite el acceso limitado (la regla de autenticación de ASA92 no cumple con la norma).
Nota: La RADIUS CoA siempre se confirma; es decir, ASA envía una respuesta al ISE para confirmar.
- El ASA elimina el redireccionamiento. Si no tiene las DACL almacenadas en caché, debe enviar una solicitud de acceso para descargarlas del ISE. El DACL específico se adjunta a la sesión VPN.
- La próxima vez que el usuario de VPN intente acceder a la página web, puede acceder a todos los recursos permitidos por la DACL instalada en el ASA.
Si el usuario no cumple con la normativa, solo se concede acceso limitado.
Nota: Este modelo de flujo difiere de la mayoría de los escenarios que utilizan RADIUS CoA. Para las autenticaciones 802.1x por cable/inalámbricas, RADIUS CoA no incluye ningún atributo. Sólo activa la segunda autenticación en la que se asocian todos los atributos, como DACL. Para el estado de ASA VPN, no hay una segunda autenticación. Todos los atributos se devuelven en la RADIUS CoA. La sesión VPN está activa y no es posible cambiar la mayoría de los parámetros del usuario VPN.
Configuraciones
Utilice esta sección para configurar el ASA y el ISE.
ASA
Esta es la configuración básica de ASA para el acceso a Cisco AnyConnect:
ip local pool POOL 10.10.10.10-10.10.10.100 mask 255.255.255.0
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address xxxx 255.255.255.0
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 192.168.111.10 255.255.255.0
aaa-server ISE protocol radius
aaa-server ISE (inside) host 10.48.66.74
key cisco
webvpn
enable outside
anyconnect-essentials
anyconnect image disk0:/anyconnect-win-3.1.02040-k9.pkg 1
anyconnect enable
tunnel-group-list enable
group-policy GP-SSL internal
group-policy GP-SSL attributes
vpn-tunnel-protocol ikev1 ikev2 ssl-client ssl-clientless
tunnel-group RA type remote-access
tunnel-group RA general-attributes
address-pool POOL
authentication-server-group ISE
default-group-policy GP-SSL
tunnel-group RA webvpn-attributes
group-alias RA enable
Para la integración de ASA con el estado de ISE, asegúrese de:
- Configure el servidor de autenticación, autorización y contabilidad (AAA) para la autorización dinámica para aceptar CoA.
- Configure la contabilización como un grupo de túnel para enviar los detalles de la sesión VPN hacia el ISE.
- Configure la contabilidad provisional que enviará la dirección IP asignada al usuario y actualizará periódicamente el estado de la sesión en ISE.
- Configure la ACL de redirección, que decide si se permite el tráfico DNS e ISE. El resto del tráfico HTTP se redirige al ISE para su estado.
Este es el ejemplo de configuración:
access-list redirect extended deny udp any any eq domain
access-list redirect extended deny ip any host 10.48.66.74
access-list redirect extended deny icmp any any
access-list redirect extended permit tcp any any eq www
aaa-server ISE protocol radius
authorize-only
interim-accounting-update periodic 1
dynamic-authorization
aaa-server ISE (inside) host 10.48.66.74
key cisco
tunnel-group RA general-attributes
address-pool POOL
authentication-server-group ISE
accounting-server-group ISE
default-group-policy GP-SSL
ISE
Complete estos pasos para configurar el ISE:
- Vaya a Administration > Network Resources > Network Devices y agregue el ASA como dispositivo de red:

- Navegue hasta Policy > Results > Authorization > Downloadable ACL y configure la DACL de modo que permita el acceso completo. La configuración ACL predeterminada permite todo el tráfico IP en el ISE:

- Configure una ACL similar que proporcione acceso limitado (para usuarios que no cumplen las normas).
- Vaya a Policy > Results > Authorization > Authorization Profiles y configure el perfil de autorización denominado ASA92-sture, que redirige a los usuarios para su estado. Marque la casilla de verificación Web Redirection, seleccione Client Provisioning en la lista desplegable y asegúrese de que redirect aparezca en el campo ACL (esa ACL se define localmente en el ASA):

- Configure el perfil de autorización denominado compatible con ASA92, que sólo debe devolver la DACL denominada PERMIT_ALL_TRAFFIC que proporciona acceso completo a los usuarios que cumplen con la normativa:

- Configure un perfil de autorización similar denominado ASA92 no compatible, que debería devolver el DACL con acceso limitado (para usuarios que no cumplen con la normativa).
- Navegue hasta Política > Autorización y configure las Reglas de Autorización:
- Cree una regla que permita el acceso completo si los resultados del estado son conformes. El resultado es la política de autorización compatible con ASA92.
- Cree una regla que permita el acceso limitado si los resultados del estado no cumplen con la normativa. El resultado es la política de autorización que no cumple con ASA92.
- Asegúrese de que si no se supera ninguna de las dos reglas anteriores, la regla predeterminada devuelve la postura de ASA92, que fuerza una redirección en el ASA.

- Las reglas de autenticación predeterminadas comprueban el nombre de usuario en el almacén de identidades interno. Si se debe cambiar esto (por ejemplo, si está protegido en Active Directory (AD)), navegue hasta Policy > Authentication y realice el cambio:

- Navegue hasta Policy > Client Provisioning y configure las reglas de aprovisionamiento. Estas son las reglas que deciden el tipo de agente que se debe aprovisionar. En este ejemplo, sólo existe una regla simple y el ISE selecciona el agente NAC para todos los sistemas de Microsoft Windows:

Cuando los agentes no están en ISE, es posible descargarlos:

- Si es necesario, puede navegar hasta Administration > System > Settings > Proxy y configurar el proxy para ISE (para acceder a Internet).
- Configure las reglas de estado, que verifican la configuración del cliente. Puede configurar reglas que verifiquen:
- archivos: existencia, versión, fecha
- registro: clave, valor, existencia
- aplicación: nombre del proceso, ejecución, no ejecución
- service - service name, running, not running
- antivirus: se admiten más de 100 proveedores, versión, cuando se actualizan las definiciones
- antispyware: se admiten más de 100 proveedores, versión, cuando se actualizan las definiciones
- estado compuesto: mezcla de todos
- condiciones de diccionario personalizadas: uso de la mayoría de los diccionarios de ISE
- En este ejemplo, sólo se realiza una verificación de existencia de un archivo simple. Si el archivo c:\test.txt está presente en el equipo cliente, es compatible y permite el acceso completo. Navegue hasta Política > Condiciones > Condiciones del archivo y configure la condición del archivo:

- Navegue hasta Política > Resultados > Estado > Requisitos y cree un requisito. Este requisito debe cumplirse cuando se cumpla la condición anterior. Si no es así, se ejecuta la acción de remediación. Puede haber muchos tipos de acciones de remediación disponibles, pero en este ejemplo se utiliza la más simple: se muestra un mensaje específico.

Nota: En un escenario normal, se puede utilizar la acción de remediación de archivos (ISE proporciona el archivo descargable).
- Navegue hasta Política > Estado y utilice el requisito que creó en el paso anterior (denominado file_required) en las reglas de estado. La única regla de estado requiere que todos los sistemas de Microsoft Windows cumplan el requisito file_required. Si se cumple este requisito, la estación cumple; si no se cumple, la estación no cumple con la normativa.

Reevaluación periódica
De forma predeterminada, el estado es un evento único. Sin embargo, a veces es necesario verificar periódicamente el cumplimiento de las normas por parte de los usuarios y ajustar el acceso a los recursos en función de los resultados. Esta información se envía a través del protocolo SWISS (NAC Agent) o se codifica dentro de la aplicación (Web Agent).
Complete estos pasos para verificar el cumplimiento por parte del usuario:
- Navegue hasta Administración > Configuración > Estado > Reevaluaciones y habilite la reevaluación globalmente (por configuración de grupo de identidad):

- Cree una condición de estado que coincida con todas las reevaluaciones:

- Cree una condición similar que coincida sólo con las evaluaciones iniciales:

Ambas condiciones se pueden utilizar en las reglas de postura. La primera regla coincide sólo con las evaluaciones iniciales y la segunda coincide con todas las evaluaciones posteriores:

Verificación
Para confirmar que su configuración funciona correctamente, asegúrese de que estos pasos se completan como se describe a continuación:
- El usuario VPN se conecta al ASA.
- El ASA envía una solicitud RADIUS y recibe una respuesta con los atributos url-redirect y url-redirect-acl:

- Los registros de ISE indican que la autorización coincide con el perfil de estado (la primera entrada de registro):

- ASA agrega una redirección a la sesión VPN:
aaa_url_redirect: Added url redirect:https://ise2.test-cisco.com:8443/
guestportal/gateway?sessionId=c0a8700a0000900052b840e6&action=cpp
acl:redirect for 10.10.10.10
- El estado de la sesión VPN en el ASA muestra que el estado es obligatorio y redirige el tráfico HTTP:
ASA# show vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : cisco Index : 9
Assigned IP : 10.10.10.10 Public IP : 10.147.24.61
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Essentials
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)RC4 DTLS-Tunnel: (1)AES128
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
Bytes Tx : 16077 Bytes Rx : 19497
Pkts Tx : 43 Pkts Rx : 225
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : GP-SSL Tunnel Group : RA
Login Time : 14:55:50 CET Mon Dec 23 2013
Duration : 0h:01m:34s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : c0a8700a0000900052b840e6
Security Grp : 0
AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 9.1
Public IP : 10.147.24.61
Encryption : none Hashing : none
TCP Src Port : 50025 TCP Dst Port : 443
Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 28 Minutes
Client OS : win
Client Type : AnyConnect
Client Ver : Cisco AnyConnect VPN Agent for Windows 3.1.02040
Bytes Tx : 5204 Bytes Rx : 779
Pkts Tx : 4 Pkts Rx : 1
Pkts Tx Drop : 0 Pkts Rx Drop : 0
SSL-Tunnel:
Tunnel ID : 9.2
Assigned IP : 10.10.10.10 Public IP : 10.147.24.61
Encryption : RC4 Hashing : SHA1
Encapsulation: TLSv1.0 TCP Src Port : 50044
TCP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 28 Minutes
Client OS : Windows
Client Type : SSL VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 3.1.02040
Bytes Tx : 5204 Bytes Rx : 172
Pkts Tx : 4 Pkts Rx : 2
Pkts Tx Drop : 0 Pkts Rx Drop : 0
DTLS-Tunnel:
Tunnel ID : 9.3
Assigned IP : 10.10.10.10 Public IP : 10.147.24.61
Encryption : AES128 Hashing : SHA1
Encapsulation: DTLSv1.0 UDP Src Port : 63296
UDP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : Windows
Client Type : DTLS VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 3.1.02040
Bytes Tx : 5669 Bytes Rx : 18546
Pkts Tx : 35 Pkts Rx : 222
Pkts Tx Drop : 0 Pkts Rx Drop : 0
ISE Posture:
Redirect URL : https://ise2.test-cisco.com:8443/guestportal/gateway?
sessionId=c0a8700a0000900052b840e6&action=cpp
Redirect ACL : redirect
- El cliente que inicia el tráfico HTTP que coincide con la ACL de redirección se redirige al ISE:
aaa_url_redirect: Created proxy for 10.10.10.10
aaa_url_redirect: Sending url redirect:https://ise2.test-cisco.com:8443/
guestportal/gateway?sessionId=c0a8700a0000900052b840e6&action=cpp
for 10.10.10.10
- El cliente se redirige al ISE para su estado:

- El agente NAC está instalado. Después de instalar el NAC Agent, descarga las reglas de estado a través del protocolo SWISS y realiza verificaciones para determinar el cumplimiento. A continuación, el informe de estado se envía al ISE.

- El ISE recibe el informe de estado, reevalúa las reglas de autorización y (si es necesario) cambia el estado de autorización y envía una CoA. Esto se puede verificar en el ise-psc.log:
cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a8700a0000900052b840e6
:::- Decrypting report
cisco.cpm.posture.runtime.PostureManager -:cisco:c0a8700a0000900052b840e6
:::- User cisco belongs to groups NAC Group:NAC:IdentityGroups:User Identity
Groups:Employee,NAC Group:NAC:IdentityGroups:An
cisco.cpm.posture.runtime.PostureManager -:cisco:c0a8700a0000900052b840e6
:::- Posture report token for endpoint mac 08-00-27-CD-E8-A2 is Healthy
cisco.cpm.posture.runtime.PostureManager -:cisco:c0a8700a0000900052b840e6
:::- Posture state is compliant for endpoint with mac 08-00-27-CD-E8-A2
cisco.cpm.posture.runtime.PostureCoA -:cisco:c0a8700a0000900052b840e6
:::- Posture CoA is triggered for endpoint [null] with session
[c0a8700a0000900052b840e6]
- El ISE envía un CoA RADIUS que incluye el session_id y el nombre DACL que permite el acceso completo:

Esto se refleja en los registros de ISE:
- La primera entrada del registro es para la autenticación inicial que devuelve el perfil de estado (con redirección).
- La segunda entrada de registro se completa después de recibir el informe SWISS compatible.
- La tercera entrada de registro se rellena cuando se envía la CoA, junto con la confirmación (descrita como Autorización Dinámica Correcta).
- La entrada final del registro se crea cuando el ASA descarga el DACL.

- Los errores en el ASA muestran que se recibe la CoA y que se elimina la redirección. El ASA descarga las DACL si es necesario:
ASA# Received RAD_COA_REQUEST
RADIUS packet decode (CoA-Request)
Radius: Value (String) =
41 43 53 3a 43 69 73 63 6f 53 65 63 75 72 65 2d | ACS:CiscoSecure-
44 65 66 69 6e 65 64 2d 41 43 4c 3d 23 41 43 53 | Defined-ACL=#ACS
41 43 4c 23 2d 49 50 2d 50 45 52 4d 49 54 5f 41 | ACL#-IP-PERMIT_A
4c 4c 5f 54 52 41 46 46 49 43 2d 35 31 65 66 37 | LL_TRAFFIC-51ef7
64 62 31 | db1
Got AV-Pair with value audit-session-id=c0a8700a0000900052b840e6
Got AV-Pair with value ACS:CiscoSecure-Defined-ACL=
#ACSACL#-IP-PERMIT_ALL_TRAFFIC-51ef7db1
aaa_url_redirect: Deleted url redirect for 10.10.10.10
- Después de la sesión VPN, Cisco tiene aplicado el DACL (acceso completo) para el usuario:
ASA# show vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : cisco Index : 9
Assigned IP : 10.10.10.10 Public IP : 10.147.24.61
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Essentials
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)RC4 DTLS-Tunnel: (1)AES128
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
Bytes Tx : 94042 Bytes Rx : 37079
Pkts Tx : 169 Pkts Rx : 382
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : GP-SSL Tunnel Group : RA
Login Time : 14:55:50 CET Mon Dec 23 2013
Duration : 0h:05m:30s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : c0a8700a0000900052b840e6
Security Grp : 0
AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 9.1
Public IP : 10.147.24.61
Encryption : none Hashing : none
TCP Src Port : 50025 TCP Dst Port : 443
Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 24 Minutes
Client OS : win
Client Type : AnyConnect
Client Ver : Cisco AnyConnect VPN Agent for Windows 3.1.02040
Bytes Tx : 5204 Bytes Rx : 779
Pkts Tx : 4 Pkts Rx : 1
Pkts Tx Drop : 0 Pkts Rx Drop : 0
SSL-Tunnel:
Tunnel ID : 9.2
Assigned IP : 10.10.10.10 Public IP : 10.147.24.61
Encryption : RC4 Hashing : SHA1
Encapsulation: TLSv1.0 TCP Src Port : 50044
TCP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 24 Minutes
Client OS : Windows
Client Type : SSL VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 3.1.02040
Bytes Tx : 5204 Bytes Rx : 172
Pkts Tx : 4 Pkts Rx : 2
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Filter Name : #ACSACL#-IP-PERMIT_ALL_TRAFFIC-51ef7db1
DTLS-Tunnel:
Tunnel ID : 9.3
Assigned IP : 10.10.10.10 Public IP : 10.147.24.61
Encryption : AES128 Hashing : SHA1
Encapsulation: DTLSv1.0 UDP Src Port : 63296
UDP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : Windows
Client Type : DTLS VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 3.1.02040
Bytes Tx : 83634 Bytes Rx : 36128
Pkts Tx : 161 Pkts Rx : 379
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Filter Name : #ACSACL#-IP-PERMIT_ALL_TRAFFIC-51ef7db1
Nota: El ASA siempre elimina las reglas de redirección, incluso cuando el CoA no tiene ninguna DACL conectada.
Troubleshoot
En esta sección se brinda información que puede utilizar para resolver problemas en su configuración.
Depuraciones en ISE
Navegue hasta Administración > Registro > Configuración de registro de depuración para habilitar las depuraciones. Cisco recomienda habilitar depuraciones temporales para:
- SWISS
- Reenvío ininterrumpido (NSF)
- Sesión NSF
- Aprovisionamiento
- Condición
Ingrese este comando en la CLI para ver las depuraciones:
ise2/admin# show logging application ise-psc.log tail count 100
Navegue hasta Operaciones > Informes > Informes de ISE > Terminales y usuarios > Evaluación de detalles de estado para ver los informes de estado:

En la página Evaluación de estado más detalles, se muestra un nombre de directiva con un nombre de requisito, junto con los resultados:

Depuraciones en ASA
Puede habilitar estos debugs en el ASA:
- debug aaa url-redirect
- debug aaa authorization
- debug radius dynamic-authorization
- debug radius decode
- debug radius user cisco
Depuraciones para el agente
Para el agente NAC, es posible recopilar las depuraciones con el Cisco Log Packager, que se inicia desde la GUI o con la CLI: CCAAgentLogPackager.app.

Consejo: Puede decodificar los resultados con la herramienta Technical Assistance Center (TAC).
Para recuperar los registros del agente Web, navegue a estas ubicaciones:
- C: > Documento y configuración > <user> > Local Settings > Temp > webagent.log (decodificado con la herramienta TAC)
- C: > Documento y configuración > <user> > Configuración local > Temperatura > webagentsetup.log
Nota: Si los registros no están en estas ubicaciones, verifique la variable TEMP Environment.
Falla de estado del agente NAC
Si el estado falla, se presenta al usuario la razón:

A continuación, se permiten al usuario acciones de remediación si se configuran:
Información Relacionada