Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe un escenario de Troubleshooting que se aplique a las aplicaciones que no trabajan a través del Cliente Cisco AnyConnect VPN.
No hay requisitos específicos para este documento.
La información en este documento se basa en un dispositivo de seguridad adaptante de Cisco (ASA) esa versión 8.x de los funcionamientos.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.
Este escenario de troubleshooting típico corresponde a las aplicaciones que no funcionan con Cisco AnyConnect VPN Client para los usuarios finales con equipos compatibles con Microsoft Windows. Estas secciones abordan y brindan las soluciones a los problemas:
Complete estos pasos:
\Windows\setupapi.log
Nota: Las carpetas ocultas deben estar visibles para que puedan verse estos archivos.
\Windows\Inf\setupapi.app.log
\Windows\Inf\setupapi.dev.log
\Documents and Settings\<username>\Local Settings\Temp\
\Users\<username>\AppData\Local\Temp\
\Windows\Temp
winmsd /nfo c:\msinfo.nfo
msinfo32 /nfo c:\msinfo.nfo
Nota: Después de que usted teclee en este prompt, espere. El archivo puede tardar entre dos y cinco minutos en completarse.
systeminfo c:\sysinfo.txt
Refiera a AnyConnect: Problema en la Base de Datos del Driver Dañado para ejecutar un debug del problema del driver.
Si usted experimenta los Problemas de conexión con el cliente de AnyConnect, tal como desconexiones o la incapacidad de establecer una conexión inicial, obtenga estos archivos:
ASA-Config.txt donde
está direccionamiento
x.x.x.x del theIP de un servidor TFTP en la red.config terminal
logging enable
logging timestamp
logging class auth console debugging
logging class webvpn console debugging
logging class ssl console debugging
logging class svc console debugging
eventvwr.msc /s
Nota: Siempre guarde el archivo con el formato de archivo .evt.
Si el usuario no puede conectar con el cliente VPN de AnyConnect, el problema se pudo relacionar con una sesión o un fast switching de usuarios establecida del protocolo del Escritorio Remoto (RDP) habilitado en PC del cliente. El usuario puede ver que las configuraciones del perfil de AnyConnect requieren un solo usuario local, pero varios usuarios locales actualmente tienen una sesión iniciada en su equipo. No se establecerá la conexión VPN; aparece un mensaje de error en el equipo cliente. Para resolver este problema, desconecte cualquier sesión establecida RDP y inhabilite el fast switching de usuarios.
Nota: Aseegurese que el puerto 443 no está bloqueado así que el cliente de AnyConnect puede conectar con el ASA.
Cuando un usuario no puede conectar al cliente VPN de AnyConnect con el ASA, el problema se pudo causar por una incompatibilidad entre la versión de cliente de AnyConnect y la versión de la imagen del software ASA. En este caso, el usuario recibe este mensaje de error: El instalador no podía comenzar al Cliente Cisco VPN, acceso del clientless no está disponible
.
Para resolver este problema, actualice la versión de cliente de AnyConnect para ser compatible con la imagen del software ASA. Para verificar la compatibilidad, consulte la sección Dispositivos de Seguridad y Soporte de Software de las notas de Anyconnect Client Release.
Cuando un usuario no puede conectar con el cliente VPN de AnyConnect del PC, el problema se puede causar por el Software anti virus presente en el PC.
Nota: AnyConnect se debe instalar en el ordenador antes de que usted instale cualquier software de tercera persona del Firewall/del contra virus (AV). Si AnyConnect está instalado después de algún software de tercera persona del Firewall/del contra virus, después AnyConnect no puede conectar. Para resolver este problema, inhabilite todas las características del firewall/AV personal. Entonces, realice los cambios pequeños en el adaptador virtual de AnyConnect e intente volver a conectar AnyConnect. Para más información, refiera al bug Cisco ID CSCsj91840 y CSCti16453.
Cuando usted inicia sesión la primera vez al AnyConnect, el script del login no se ejecuta. Si usted desconecta y inicia sesión otra vez, después el script del login se ejecuta muy bien. Ésta es la conducta esperada.
Cuando usted conecta al cliente VPN de AnyConnect con el ASA, usted puede ser que reciba este error: El usuario no autorizado para el acceso al cliente de AnyConnect, entra en contacto a su administrador
.
Se considera este error cuando la imagen de AnyConnect falta del ASA. Una vez que la imagen se carga al ASA, AnyConnect puede conectar sin ningunos problemas con el ASA.
Este error puede ser resuelto inhabilitando la Seguridad de la capa de transporte de datagrama (DTL). Vaya a la configuración > al acceso del VPN de acceso remoto > de la red (cliente) > a los perfiles de la conexión de AnyConnect y desmarque la casilla de verificación del permiso DTL. Esto inhabilita los DTL.
Los archivos del dartbundle muestran este mensaje de error cuando el usuario consigue disconnected: TUNNELPROTOCOLDPDMGR_ERROR_NO_DPD_RESPONSE: El gateway seguro no pudo responder a los paquetes del Dead Peer Detection
. Este error significa que el canal DTL era rasgado debido al error del Dead Peer Detection (DPD). Se resuelve este error si usted pellizca el Keepalives DPD y publica estos comandos:
webvpn
svc keepalive 30
svc dpd-interval client 80
svc dpd-interval gateway 80
El keepalive svc y los comandos del DPD-intervalo svc son substituidos por el keepalive del anyconnect y los comandos del DPD-intervalo del anyconnect respectivamente en la Versión de ASA 8.4(1) y posterior como se muestra aquí:
webvpn
anyconnect ssl keepalive 15
anyconnect dpd-interval client 5
anyconnect dpd-interval gateway 5
Cuando los problemas se detectan con el paso del tráfico a la red privada con una sesión de AnyConnect con el ASA, complete estos pasos de la recolección de datos:
nombre del filtro:
XXXXX, recopile el resultado para show access-list XXXXX . Verifique que la lista de acceso XXXXX no bloquee el flujo de tráfico deseado.access-list in_nat0_out extended permit ip any 10.136.246.0 255.255.255.0
ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
nat (inside) 0 access-list in_nat0_out
!--- Route outside 0 0 is an incorrect statement.
route outside 0 0 10.145.50.1
route inside 0 0 10.0.4.2 tunneled
ASA(config)# policy-map global_policy
ASA(config-pmap)# class inspection_default
ASA(config-pmap-c)# no inspect skinny
Complete estos pasos de la recolección de datos:
Number of Instructions : 25
Number of Errors To Save : 25
Crash Dump Type : Mini
Dump Symbol Table : Checked
Dump All Thread Contexts : Checked
Append To Existing Log File : Checked
Visual Notification : Checked
Create Crash Dump File : Checked
eventvwr.msc /s
Nota: Siempre guarde el archivo con el formato de archivo .evt.
Algunas aplicaciones, tales como Microsoft Outlook, no trabajan. Sin embargo, el túnel puede pasar el otro tráfico tal como pequeños ping.
Esto puede proporcionar pistas en cuanto a un problema de fragmentación en la red. El rendimiento de los routers del consumidor es particularmente deficiente en cuanto a la fragmentación de paquetes y el re ensamblado.
Intente un conjunto del escalamiento de los ping para determinar si falla en cierto tamaño. Por ejemplo, ping - l 500, ping - l 1000, ping - l 1500, ping - l 2000.
Se recomienda que usted configura a un grupo especial para los usuarios que experimentan la fragmentación, y fija la unidad máxima de la transición de SVC (MTU) para este grupo a 1200. Esto le permite a los usuarios del remediate que experimentan este problema, pero no afectar la Base del usuario más amplia.
Problema
Caída de las conexiones TCP conectada una vez con AnyConnect.
Solución
Para verificar si su usuario tiene un problema de fragmentación, ajuste el MTU para que haya clientes de AnyConnect en el ASA.
ASA(config)#group-policy <name> attributes
webvpn
svc mtu 1200
Problema
El cliente VPN de AnyConnect se desinstala una vez que la conexión termina. Los logs del cliente muestran que la opción mantener instalado está inhabilitada.
Solución
AnyConnect se desinstala a pesar de ése que la opción instalada custodia se selecciona en el Administrador de dispositivos de seguridad adaptante (ASDM). Para resolver este problema, configure el comando svc keep-installer installed debajo de la política de grupo.
Problema: PRE-pueblan al cliente de AnyConnect con el nombre de host en vez del nombre de dominio completo (FQDN) del cluster.
Cuando usted tiene una configuración del cluster del balanceo de carga para SSL VPN y el cliente intenta conectar con el cluster, la petición se reorienta al nodo ASA y el cliente abre una sesión con éxito. Después de una cierta hora, cuando el cliente intenta conectar con el cluster otra vez, el cluster FQDN no se considera en la conexión con las entradas. En lugar, se considera la entrada del nodo ASA a la cual han reorientado al cliente.
Solución
Esto ocurre porque el cliente de AnyConnect conserva el nombre del host al cual él la más reciente conectado. Se observa este comportamiento y se ha clasifiado un bug. Para los detalles completos sobre el bug, refiera al Id. de bug Cisco CSCsz39019. La solución alternativa sugerida es actualizar Cisco AnyConnect a la versión 2.5.
Se configura una lista del servidor de backup en caso de que el servidor principal seleccionado por el usuario no sea accesible. Esto se define en el cristal del servidor de backup en el perfil de AnyConnect. Complete estos pasos:
Esta entrada en el archivo SetupAPI.log sugiere que el sistema de catálogo está dañado:
Falta la lista de clase de firma del driver W239 “C:\WINDOWS\INF\certclas.inf” o no es válida. Error 0xfffffde5: El Error desconocido.
, si se asume que todas las clases de dispositivo está conforme a la directiva de firma del driver.
Usted puede también recibir este mensaje de error: Error(3/17): Incapaz de comenzar el VA, la configuración compartió la cola, o el VA abandonó la cola compartida
.
Usted puede recibir este inicio el cliente: “El driver del cliente VPN ha encontrado un error”
.
Este problema es debido al Id. de bug Cisco CSCsm54689. Para resolver este problema, asegúrese de que el Routing and Remote Access Service esté inhabilitado antes de iniciar AnyConnect. Si esto no resuelve el problema, siga estos pasos:
esentutl /p%systemroot%\System32\catroot2\
{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
Si la reparación falla, siga estos pasos:
Puede analizar la base de datos en cualquier momento para determinar si es válida.
esentutl /g%systemroot%\System32\catroot2\
{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
Nota: Refiera al asapedia para más información.
Cuando la SSL VPN está conectada a través de un navegador web, aparece Unable to Update the Session Management Database como mensaje de error, y los logs de ASA muestran %ASA-3-211001: Memory allocation Error. El dispositivo de seguridad adaptante no pudo afectar un aparato memoria del sistema del RAM
.
Este problema es debido al Id. de bug Cisco CSCsm51093. Para resolver este problema, recargue el ASA o actualice el software ASA a la versión provisoria mencionada en el bug. Refiera al Id. de bug Cisco CSCsm51093 para más información.
Este problema puede también ser resuelto si usted inhabilita la amenaza-detección en el ASA si se utiliza la amenaza-detección.
Cuando usted utiliza al cliente de AnyConnect en las laptopes o los PC, un error ocurre durante el instalar:
"Module C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnapi.dll failed
to register..."
Cuando se encuentra este error, el instalador no puede moverse adelante y quitan al cliente.
Éstas son las soluciones alternativas posibles para resolver este error:
El mensaje del registro relacionado con este error en el cliente de AnyConnect parece similar a esto:
DEBUG: Error 2911: Could not remove the folderC:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, ,
DEBUG: Error 2911: Could not remove the folder C:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, ,
Info 1721. There is a problem with this Windows Installer package. A program required for
this install to complete could not be run. Contact your support personnel or package
vendor. Action: InstallHelper.exe, location: C:\Program Files\Cisco\Cisco AnyConnect VPN
Client\InstallHelper.exe, command: -acl "C:\Documents and Settings\All Users\Application
Data\Cisco\Cisco AnyConnect VPN Client\\" -r
Cuando los clientes intentan conectar con el VPN con el Cliente Cisco AnyConnect VPN, se recibe este error.
Este mensaje fue recibido del gateway seguro:
La “clase de la extensión ilegal” o el “host o la red es 0" o “otros errores”
El problema ocurre debido al agotamiento de la agrupación IP local ASA. Mientras que se agota el recurso del pool VPN, el rango de la agrupación IP debe ser agrandado.
El Id. de bug Cisco es CSCsl82188 se clasifía para este problema. Este error ocurre generalmente cuando agotan a la agrupación local para la asignación de dirección, o si utilizan a una máscara de subred de 32 bits para la agrupación de direcciones. La solución alternativa es ampliar a la agrupación de direcciones y utilizar a una máscara de subred 24-bit para el pool.
Cuando usted intenta conectar a más de dos clientes con el cliente VPN de AnyConnect, usted recibe el mensaje de error fallado login
en el cliente y un mensaje de advertencia en los registros ASA que estado la sesión no podría ser establecido. Límite de sesión de 2 alcanzados
. Tengo la licencia esencial de AnyConnect en el ASA, que funciona con la versión 8.0.4.
Este error ocurre porque la licencia esencial de AnyConnect no es soportada por la Versión de ASA 8.0.4. Usted necesita actualizar el ASA a la versión 8.2.2. Esto resuelve el error.
Nota: Sin importar la licencia usada, si se alcanza el límite de sesión, el usuario recibirá el mensaje de error fallado login
.
Este error puede también ocurrir si utilizan al comando session-limit del MAX-anyconnect-superior-o-esencial-límite de VPN-sessiondb de establecer el límite de sesiones de VPN permitidas para ser establecido. Si el sesión-límite se fija como dos, después el usuario no puede establecer más de dos sesiones aunque la licencia instalada soporta más sesiones. Fije el sesión-límite al número de sesiones de VPN requeridas para evitar este mensaje de error.
Usted recibe el Anyconnect no habilitado en el
mensaje de error del servidor VPN
cuando usted intenta conectar AnyConnect con el ASA.
Se resuelve este error si usted habilita AnyConnect en la interfaz exterior del ASA con el ASDM. Para más información sobre cómo habilitar AnyConnect en la interfaz exterior, refiera a habilitar el protocolo del cliente VPN SSL.
El %ASA-6-722036: El usuario < xxxx > del < Grupo de clientes > del grupo IP < x.x.x.x> que transmite el mensaje de error grande del paquete 1220 (umbral 1206)
aparece en los registros del ASA. ¿Se resuelve qué hace este medio logarítmico y cómo esto?
Estados de este mensaje del registro que un paquete grande fue enviado al cliente. La fuente del paquete no es consciente del MTU del cliente. Esto puede también ser debido a la compresión de los datos incompresibles. La solución alternativa es apagar la compresión de SVC con el comando none de la compresión svc. Esto resuelve el problema.
Cuando usted conecta con el cliente de AnyConnect, se recibe este error: “El gateway seguro ha rechazado el vpn del agente conecta o vuelve a conectar la petición. Una nueva conexión requiere la reautentificación y se debe comenzar manualmente. Entre en contacto por favor a su administrador de la red si persiste este problema. El siguiente mensaje fue recibido del gateway seguro: ningún direccionamiento asignado”
.
Este error también se recibe cuando usted conecta con el cliente de AnyConnect: “El gateway seguro ha rechazado el intento de conexión. Una tentativa de la nueva conexión lo mismo u otro asegura el gateway es necesaria, que requiere la reautentificación. El siguiente mensaje fue recibido del gateway seguro: El host o la red es el 0"
.
Este error también se recibe cuando usted conecta con el cliente de AnyConnect: “El gateway seguro ha rechazado el vpn del agente conecta o vuelve a conectar la petición. Una nueva conexión requiere una reautentificación y se debe comenzar manualmente. Entre en contacto por favor al administrador de la red si persiste el problema. El siguiente mensaje fue recibido del gateway seguro: Ninguna licencia”
.
El router faltaba la configuración de agrupación después de la recarga. Usted necesita agregar la configuración en cuestión de nuevo al router.
Router#show run | in pool
ip local pool SSLPOOL 192.168.30.2 192.168.30.254
svc address-pool SSLPOO
“El gateway seguro ha rechazado el vpn del agente conecta o vuelve a conectar la petición. Una nueva conexión requiere una reautentificación y se debe comenzar manualmente. Entre en contacto por favor al administrador de la red si persiste el problema. El siguiente mensaje fue recibido del gateway seguro:
Error de ninguna licencia el”
ocurre cuando la licencia de la movilidad de AnyConnect falta. Una vez que la licencia está instalada, se resuelve el problema.
Cuando usted intenta autenticar en WebPortal, se recibe este mensaje de error: “Incapaz de poner al día la base de datos de la administración de la sesión”
.
Este problema se relaciona con la asignación de memoria en el ASA. Este problema se encuentra sobre todo cuando la Versión de ASA es 8.2.1. Originalmente, esto requiere un RAM 512MB para sus funciones completas. Refiera a la sección de los requisitos de memoria en los Release Note.
Como solución alternativa permanente, actualice la memoria a 512MB. Usted puede pedir los “equipos de actualización de memoria”.
Como solución provisoria, intente liberar la memoria con estos pasos:
Esto es un mensaje de error obtenido en la máquina del cliente cuando usted intenta conectar con AnyConnect.
Para resolver este error, complete este procedimiento para fijar manualmente el agente de AnyConnect VPN a interactivo:
Nota: Si se va éste a ser utilizado, después la preferencia sería utilizar el .MST transforma el en este caso. Esto es porque si usted fija esto manualmente con estos métodos, requiere que esto esté fijada después de cada instale/proceso de actualización. Esta es la razón por la cual hay una necesidad de identificar la aplicación que causa este problema.
el cliente VPN que el driver ha encontrado un error.
. Para resolver este problema, aseegurese que el rutear y el RRAS está inhabilitado antes de comenzar AnyConnect. Refiera al Id. de bug Cisco CSCsm54689 para más información.Fall de los clientes de AnyConnect a conectar con Cisco ASA. El error en la ventana de AnyConnect no puede “procesar la respuesta del xxx.xxx.xxx.xxx”.
Para resolver este error, intente estas soluciones alternativas:
Para más información sobre cómo habilitar el WebVPN y cambiar el puerto para el WebVPN, refiera a esta solución.
Los clientes de AnyConnect no pueden conectar con Cisco ASA. El error en la ventana de AnyConnect es “login negado, mecanismo de la conexión no autorizada, entra en contacto a su administrador”
.
Este mensaje de error ocurre sobre todo debido a los problemas de configuración que son incorrectos o una configuración incompleta. Marque la configuración y aseegurese la es como sea necesario resolver el problema.
Este error ocurre cuando usted intenta poner en marcha el software de AnyConnect de un cliente Macintosh para conectar con un ASA.
Para resolver esto, complete estos pasos:
webvpn
svc image disk0:/anyconnect-macosx-i386-2.3.2016-k9.pkg 2
svc image disk0:/anyconnect-macosx-powerpc-2.3.2016-k9.pkg 3
hostname(config)#webvpn
hostname(config-webvpn)#anyconnect image disk0:/
anyconnect-win-3.0.0527-k9.pkg 1
hostname(config-webvpn)#anyconnect image disk0:/
anyconnect-macosx-i386-3.0.0414-k9.pkg 2
Este error se causa en la máquina de Linux del usuario cuando intenta conectar con el ASA iniciando AnyConnect. Aquí está el error completo:
"The AnyConnect package on the secure gateway could not be located. You may
be experiencing network connectivity issues. Please try connecting again."
Para resolver este mensaje de error, verifique si el operating system (OS) que se utilice en la máquina del cliente es soportado por el cliente de AnyConnect. Para toda la información sobre el software admitido, refiera a la sección de los requisitos del sistema en los Release Note de AnyConnect.
Si se soporta el OS, después verifique si el paquete de AnyConnect se especifica en la configuración del WebVPN o no. Vea la sección inasequible o corrompida del paquete de Anyconnect de este documento para más información.
Los usuarios no pueden realizar un acceso de escritorio remoto. El VPN seguro vía el escritorio remoto no es
mensaje de error soportado
aparece.
Este problema es debido a este bug Cisco ID: CSCsu22088 y CSCso42825. Si usted actualiza al cliente VPN de AnyConnect, puede resolver el problema. Refiera a estos bug para más información.
Cuando usted intenta al VPN al ASA 5505, el certificado de servidor recibido o su encadenamiento no cumple con los FIP. Una conexión VPN no será
mensaje de error establecido
aparece.
Para resolver este error, usted debe inhabilitar los Estándares de procesamiento de la información federales (FIP) en el archivo de la política local de AnyConnect. Este archivo se puede encontrar generalmente en el cliente VPN \ AnyConnectLocalPolicy.xml de C:\ProgramData\Cisco\Cisco AnyConnect. Si
este archivo no se encuentra en esta trayectoria, después localice el archivo en un directorio distinto con una trayectoria tal como usuarios \ datos de aplicación \ Cisco AnyConnectVPNClient \ AnyConnectLocalPolicy.xml de
C:\Documents and Settings\All. Una vez que
usted localiza el archivo del xml, realice los cambios a este archivo como se muestra aquí:
Cambie la frase:
<FipsMode>true</FipsMode>
A:
<FipsMode>false</FipsMode>
Entonces, recomience el ordenador. Los usuarios deben tener permisos administrativos para modificar este archivo.
Los usuarios no pueden iniciar AnyConnect y recibir el error del error de la validación de certificado
.
Los trabajos de la autenticación certificada con AnyConnect compararon diferentemente al cliente IPSec. Para que la autenticación certificada trabaje, usted debe importar el certificado del cliente a su navegador y cambiar el perfil de la conexión para utilizar la autenticación certificada. Usted también necesita permitir a este comando en su ASA para permitir que los certificados del cliente SSL sean utilizados en la interfaz exterior:
puerto externo 443 de la interfaz de la autenticación certificada SSL
Para más información sobre este comando, refiera a la autenticación certificada SSL.
Cuando la versión 2.4.0202 de AnyConnect está instalada en Windows XP PC, para en la puesta al día de los archivos de la localización y un mensaje de error muestra que el vpnagent.exe falla.
Este comportamiento es el Id. de bug Cisco abierto una sesión CSCsq49102. La solución alternativa sugerida es inhabilitar al cliente del Citrix.
Cuando se descarga AnyConnect, se recibe este mensaje de error:
“Entre en contacto a su administrador de sistema. El instalador fallado con el error siguiente: Este paquete de la instalación no podía ser abierto. Verifique que exista el paquete y que usted pueda accederlo, o entre en contacto al vendedor de la aplicación para verificar que esto es un paquete válido del instalador de Windows.”
Complete estos pasos para solucionar este problema:
Este mensaje de error se recibe durante la auto-descarga de AnyConnect del ASA:
"Contact your system administrator. The installer failed with the following error:
Error applying transforms. Verify that the specified transform paths are valid."
Éste es el mensaje de error recibido al conectar con AnyConnect para el MacOS:
"The AnyConnect package on the secure gateway could not be located. You may be
experiencing network connectivity issues. Please try connecting again."
Complete una de estas soluciones alternativas para resolver este problema:
Si ningunas de estas soluciones alternativas resuelven el problema, entre en contacto el Soporte técnico de Cisco.
Se recibe este error:
The VPN client driver has encountered an error when connecting through Cisco
AnyConnect Client.
Este problema puede ser resolved cuando usted desinstala al cliente de AnyConnect, y después quita el software del contra virus. Después de esto, reinstale al cliente de AnyConnect. Si esta resolución no trabaja, después cambie formato el PC para reparar este problema.
Se recibe este error cuando usted intenta iniciar AnyConnect:
"A VPN reconnect resulted in different configuration setting. The VPN network
setting is being re-initialized. Applications utilizing the private network may
need to be restarted."
Para resolver este error, utilice esto:
group-policy <Name> attributes
webvpn
svc mtu 1200
Al comando mtu del anyconnect en la Versión de ASA 8.4(1) substituye al comando mtu svc y posterior como se muestra aquí:
hostname(config)#group-policy <Name> attributes
hostname(config-group-policy)#webvpn
hostname(config-group-webvpn)#anyconnect mtu 500
Problema
El AnyConnect recibe este error cuando conecta con el cliente:
The VPN connection is not allowed via a local proxy. This can be changed
through AnyConnect profile settings.
El problema puede ser resuelto si usted realiza estos cambios al perfil de AnyConnect:
Agregue esta línea al perfil de AnyConnect:
<ProxySettings>IgnoreProxy</ProxySettings><
AllowLocalProxyConnections>
false</AllowLocalProxyConnections>
Problema
En Windows 7, si la configuración de representación IE se configura para automáticamente detecte las configuraciones y a AnyConnect empuja hacia abajo una nueva configuración de representación, la configuración de representación IE no se restablece de nuevo a automáticamente detectan las configuraciones después del usuario termina la sesión de AnyConnect. Esto causa los problemas LAN para los usuarios que necesitan su configuración de representación configurada para automáticamente detectan las configuraciones.
Este comportamiento es el Id. de bug Cisco abierto una sesión CSCtj51376. La solución alternativa sugerida es actualizar al 3.0 de AnyConnect.
Este mensaje de error se recibe en el ASDM de Cisco cuando usted intenta habilitar la licencia del esencial de AnyConnect:
There are currently 2 clientless SSL VPN sessions in progress. AnyConnect
Essentials can not be enabled until all these sessions are closed.
Éste es el comportamiento normal del ASA. El esencial de AnyConnect es un cliente VPN por separado autorizado SSL. Se configura totalmente en el ASA y proporciona la capacidad completa de AnyConnect, con estas excepciones:
Esta licencia no se puede utilizar al mismo tiempo que la licencia compartida del premio SSL VPN. Cuando usted necesita utilizar una licencia, usted necesita inhabilitar la otra.
La lengueta de la conexión en la opción de Internet del Internet Explorer oculta después de que usted esté conectado con el cliente de AnyConnect.
Esto es debido a la característica del lockdown del MSIE-proxy. Si usted habilita esta característica, oculta la lengueta de las conexiones en Microsoft Internet Explorer para la duración de una sesión de VPN de AnyConnect. Si usted inhabilita la característica, sale de la visualización de la lengueta de las conexiones sin cambios.
Algunos usuarios reciben el mensaje de error fallado login cuando otros pueden conectar con éxito con el AnyConnect VPN.
Este problema puede ser resuelto si usted se aseegura no requiere el checkbox de la PRE-autenticación se marca para saber si hay los usuarios.
Durante la actualización del perfil de AnyConnect, se muestra un error que dice el certificado es inválido. Esto ocurre con Windows solamente y en la fase de la actualización del perfil. El mensaje de error se muestra aquí:
The certificate you are viewing does not match with the name of the site
you are trying to view.
Esto puede ser resuelta si usted modifica la lista de servidores del perfil de AnyConnect para utilizar el FQDN del certificado.
Esto es una muestra del perfil XML:
<ServerList>
<HostEntry>
<HostName>vpn1.ccsd.net</HostName>
</HostEntry>
</ServerList>
Nota: Si hay una entrada existente para el IP Address público del servidor tal como <HostAddress>
, después quítelo y conserve solamente el FQDN del servidor (por ejemplo, <hostname>
pero no < dirección de host >
).
Cuando el AnyConnect se inicia de la cámara acorazada CSD, no trabaja. Esto se intenta en las máquinas de Windows 7.
Actualmente, esto no es posible porque no se soporta.
El cliente VPN del 3.0 de AnyConnect con los trabajos del software de la Versión de ASA 8.4.1 muy bien. Sin embargo, después de la Conmutación por falla, no hay replicación para la configuración relacionada del perfil de AnyConnect.
Este problema se ha observado y se ha registrado bajo el Id. de bug Cisco CSCtn71662. La solución provisoria es copiar manualmente los archivos a la unidad en espera.
Cuando ocurre esto, el registro de acontecimientos de AnyConnect contiene las entradas similares a éstos:
Description : Function:
CAdapterNetworkStateIfc::SetConnectedStateToConnected
File: .\AdapterNetworkStateIfc.cpp
Line: 147
Invoked Function: InternetSetOption
Return Code: 12010 (0x00002EEA)
Description: The length is incorrect for the option type
Description : Function: CTransportWinHttp::InitTransport
File: .\CTransportWinHttp.cpp
Line: 252
Invoked Function: CConnectedStateIfc::SetConnectedStateToConnected
Return Code: -25362420 (0xFE7D000C)
Description: CADAPTERNETWORKSTATEIFC_ERROR_SET_OPTION
Este comportamiento se observa y se registra bajo el Id. de bug Cisco CSCtx28970. Para resolver esto, salga la aplicación de AnyConnect y reláncela. Las entradas de la conexión reaparecen después del relanzamiento.
El cliente de AnyConnect no puede conectar y se recibe el incapaz de establecer un
mensaje de error de conexión
. En el registro de acontecimientos de AnyConnect, se encuentra el error TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER
.
Esto ocurre cuando el headend se configura para el Túnel dividido con una lista de túnel dividido muy grande (aproximadamente entradas del 180-200) y uno o más otros atributos del cliente se configuran en la grupo-directiva, tal como dns-servidor.
Complete estos pasos para resolver el problema:
group-policy groupName attributes
webvpn
svc dtls none
Para más información, refiera al Id. de bug Cisco CSCtc41770.
Se recibe el intento de conexión ha fallado debido al
mensaje de error inválido de la entrada de host
mientras que AnyConnect se autentica con el uso de un certificado.
Para resolver este problema, intente cualquiera de estas Soluciones posibles:
Para más información, refiera al Id. de bug Cisco CSCti73316.
Cuando usted habilita Siempre-en la característica en AnyConnect, el asegurar sus certificados de servidor puede pasar el modo estricto si usted configura siempre-en el
mensaje de vpn error
se recibe.
Este mensaje de error implica que si usted quiere utilizar Siempre-en la característica, usted necesita un válido separa el certificado configurado en el headend. Sin un certificado de servidor válido, esta característica no trabaja. El modo estricto CERT es una opción que usted fija en el archivo de la política local de AnyConnect para asegurar el uso de las conexiones a un certificado válido. Si usted habilita esta opción en el archivo de políticas y conecta con un certificado falso, la conexión falla.
Esta herramienta de informe de diagnóstico de AnyConnect (DARDO) muestra un intento fallido:
******************************************
Date : 03/25/2014
Time : 09:52:21
Type : Error
Source : acvpnui
Description : Function: CTransportWinHttp::SendRequest
File: .\CTransportWinHttp.cpp
Line: 1170
Invoked Function: HttpSendRequest
Return Code: 12004 (0x00002EE4)
Description: An internal error occurred in the Microsoft
Windows HTTP Services
*****************************************
Date : 03/25/2014
Time : 09:52:21
Type : Error
Source : acvpnui
Description : Function: ConnectIfc::connect
File: .\ConnectIfc.cpp
Line: 472
Invoked Function: ConnectIfc::sendRequest
Return Code: -30015443 (0xFE36002D)
Description: CTRANSPORT_ERROR_CONN_UNKNOWN
******************************************
Date : 03/25/2014
Time : 09:52:21
Type : Error
Source : acvpnui
Description : Function: ConnectIfc::TranslateStatusCode
File: .\ConnectIfc.cpp
Line: 2999
Invoked Function: ConnectIfc::TranslateStatusCode
Return Code: -30015443 (0xFE36002D)
Description: CTRANSPORT_ERROR_CONN_UNKNOWN
Connection attempt failed. Please try again.
******************************************
También, refiera al visor de eventos abre una sesión la máquina de Windows.
Esto se podía causar debido a una conexión corrompida del Winsock. Reajuste la conexión del comando prompt con este comando y recomience su máquina de las ventanas:
restauración del Winsock del netsh
Refiera a cómo determinar y recuperarse de la corrupción Winsock2 en el Servidor Windows 2003, en Windows XP, y en el artículo sobre Knowledge Base de Windows Vista para más información.