Este documento describe cómo resolver problemas los problemas con las Javas 7 en el (CSD) /Cisco Hostscan del Cliente de movilidad Cisco AnyConnect Secure, del Cisco Secure Desktop, y el clientless SSL VPN (WebVPN).
Funcione con el verificador de las Javas para marcar si la Java se soporta en los navegadores funcionando. Si la Java se habilita correctamente, revise la consola Java abre una sesión la orden para analizar el problema.
Este procedimiento describe cómo habilitar la consola abre una sesión Windows:
Este procedimiento describe cómo habilitar la consola abre una sesión un mac:
Para los problemas AnyConnect-relacionados, recoja los registros de diagnóstico de la información de AnyConnect (DARDO) así como los registros de la consola Java.
El Id. de bug Cisco CSCuc55720, “IE causa un crash con las Javas 7 cuando el paquete 3.1.1 se habilita en el ASA,” era un problema conocido, donde el Internet Explorer causó un crash cuando un WebLaunch fue realizado y AnyConnect 3.1 fue habilitado en el headend. Se ha reparado este bug.
Usted puede ser que encuentre los problemas cuando usted utiliza algunas versiones de AnyConnect y de las Javas 7 con los subprogramas Java. Para más información, vea el Id. de bug Cisco CSCue48916, “rotura del subprograma Java al usar AnyConnect 3.1.00495 o 3.1.02026 y Java el v7."
Si AnyConnect no conecta incluso después usted actualiza el Entorno de tiempo de ejecución Java (JRE) a las Javas 7, o si una aplicación Java no puede conectar sobre el túnel VPN, revise los registros de la consola Java y busque estos mensajes:
java.net.SocketException: Permission denied: connect
at java.net.DualStackPlainSocketImpl.waitForConnect(Native Method)
at java.net.DualStackPlainSocketImpl.socketConnect(Unknown Source)
Estas entradas de registro indican que el cliente/la aplicación hace las llamadas del IPv6.
Una solución para este problema es inhabilitar el IPv6 (si es parada) en el adaptador Ethernet y el adaptador virtual de AnyConnect (VA):
Una segunda solución es configurar las Javas para preferir el IPv4 sobre el IPv6. Fije la propiedad Propiedad del sistema 'java.net.preferIPv4Stack “verdad” tal y como se muestra en de estos ejemplos:
System.setProperty("java.net.preferIPv4Stack" , "true");
-Djava.net.preferIPv4Stack=true
-Djava.net.preferIPv4Stack=true
Para la información adicional, refiérase:
Una tercera solución es inhabilitar el IPv6 totalmente en las máquinas de Windows; edite esta entrada de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\TCPIP6\Parameters
Para la información adicional, vea cómo inhabilitar el IP versión 6 o a sus componentes específicos en Windows.
El código del Javascript de Cisco buscó previamente Sun como el valor para el vendedor de las Javas. Sin embargo, el Oracle cambió ese valor según lo descrito en JDK7: Cambios de la propiedad del vendedor de las Javas. Este problema fue reparado por el Id. de bug Cisco CSCub46241, “weblaunch de AnyConnect falla del Internet Explorer con las Javas el 7."
No se ha señalado ningunos problemas. Las pruebas con AnyConnect 3.1 (con la configuración de WebLaunch/del safari/del mac 10.7.4/Javas 7.10) no muestran ningún error.
Se ha clasifiado el Id. de bug Cisco CSCue48916, “rotura del subprograma Java al usar AnyConnect 3.1.00495 o 3.1.02026 y Java el v7,". La investigación inicial indica que los problemas no son un bug en el lado del cliente, pero se pudo relacionar con la configuración de la máquina virtual Java (VM) en lugar de otro.
Previamente, para utilizar las Javas 7 apps en el cliente de AnyConnect 3.1(2026), usted desmarcó las configuraciones del adaptador virtual del IPv6. Sin embargo, es necesario ahora completar todos los pasos en este procedimiento:
setx _JAVA_OPTIONS -Djava.net.preferIPv4Stack=true
Para los problemas CSD/Hostscan-related, recoja los registros del DARDO así como los registros de la consola Java.
Para obtener los registros del DARDO, el nivel de registro CSD se debe dar vuelta a hacer el debug de en el ASA:
Hostscan es susceptible a las caídas similares a ésas descritas previamente para AnyConnect en Windows (Id. de bug Cisco CSCuc55720). El problema hostscan ha sido resuelto por el Id. de bug Cisco CSCuc48299, “IE con las Javas 7 caídas en HostScan Weblaunch.”
En CSD 3.5.x, todo el fall de las conexiones WebVPN; esto incluye los lanzamientos de la red de AnyConnect. Los registros de la consola Java no revelan ninguna problemas:
Java Plug-in 10.10.2.12
Using JRE version 1.7.0_10-ea-b12 Java HotSpot(TM) 64-Bit Server VM
User home directory = /Users/rtpvpn
----------------------------------------------------
c: clear console window
f: finalize objects on finalization queue
g: garbage collect
h: display this help message
l: dump classloader list
m: print memory usage
o: trigger logging
q: hide console
r: reload policy configuration
s: dump system and deployment properties
t: dump thread list
v: dump thread stack
x: clear classloader cache
0-5: set trace level to <n>
----------------------------------------------------
Si usted retrocede a JRE 6 o actualiza el CSD a 3.6.6020 o más adelante, los registros de la consola Java revelan los problemas:
Java Plug-in 10.10.2.12
Using JRE version 1.7.0_10-ea-b12 Java HotSpot(TM) 64-Bit Server VM
User home directory = /Users/rtpvpn
----------------------------------------------------
c: clear console window
f: finalize objects on finalization queue
g: garbage collect
h: display this help message
l: dump classloader list
m: print memory usage
o: trigger logging
q: hide console
r: reload policy configuration
s: dump system and deployment properties
t: dump thread list
v: dump thread stack
x: clear classloader cache
0-5: set trace level to <n>
----------------------------------------------------
CacheEntry[ https://rtpvpnoutbound6.cisco.com/CACHE/sdesktop/install/binaries/
instjava.jar ]: updateAvailable=false,lastModified=Wed Dec 31 19:00:00 EST
1969,length=105313
Fri Oct 19 18:12:20 EDT 2012 Downloaded
https://rtpvpnoutbound6.cisco.com/CACHE/sdesktop/hostscan/darwin_i386/cstub
to /var/folders/zq/w7l9gxks7512fsl4vk07v9nc0000gn/T/848638312.tmp/cstub
Fri Oct 19 18:12:20 EDT 2012 file signature verification
PASS: /var/folders/zq/w7l9gxks7512fsl4vk07v9nc0000gn/T/848638312.tmp/cstub
Fri Oct 19 18:12:20 EDT 2012 Spawned CSD stub.
La resolución es actualizar el CSD o retroceder las Javas. Porque Cisco recomienda que usted funciona con la última versión del CSD, usted debe actualizar el CSD, bastante que las Javas del downgrade, especialmente puesto que un downgrade de las Javas puede ser difícil en un mac.
Los problemas con Chrome y el safari son conducta esperada:
Si usted hace ya las Javas 7 instalar, las resoluciones son:
Si usted usted está en el mac 10.9 y tiene ya el habilitado del plug-in de Javas (según lo descrito en los problemas con Chrome y el safari con WebLaunch en la sección del mac 10.8), el WebLaunch pudo continuar fallando. Se inician todos los subprogramas java, pero el navegador continúa simplemente haciendo girar. Si los registros de las Javas se habilitan según lo descrito en la sección de Troubleshooting general, los registros se llenan rápidamente como se muestra aquí:
at java.lang.Thread.run(Thread.java:744)
Mon Dec 16 16:00:17 EST 2013 Failed to download cstub
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
Busque este tipo de entrada anterior en el registro:
Mon Dec 16 16:00:17 EST 2013 Downloaded https://rave.na.sage.com/CACHE/
sdesktop/hostscan/darwin_i386/manifest java.io.FileNotFoundException:
/Users/user1/.cisco/hostscan/bin/cstub (Operation not permitted) at
java.io.FileInputStream.open(Native Method)
Esto indica que usted está encontrando el Id. de bug Cisco CSCuj02425, “WebLaunch en OSX 10.9 falla si se inhabilita el modo inseguro de las Javas.” Para la solución alternativa este problema, modifica las preferencias de las Javas así que las Javas pueden ejecutarse en el modo inseguro para el safari:
Para los problemas del WebVPN relacionados con las Javas, recoja estos datos para los propósitos de Troubleshooting:
Reading Signers from 8412En este ejemplo, 6a0665e9-1f510559.idx es la versión ocultada de mffta.jar 7. Si usted no tiene acceso a estos archivos, usted puede recogerlos del caché de las Javas al usar la conexión directa.
https://rtpvpnoutbound6.cisco.com/+CSCO+00756767633A2F2F7A2D73767972662E6
E7067727A76687A2E6179++/mffta.jar
C:\Users\wvoosteren\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41\
6a0665e9-1f510559.idx
Una Configuración de prueba puede apresurar la resolución.
Los cambios recientemente anunciados programaron para la actualización 51 (enero de 2014) de las Javas 7 han establecido que el resbalador predeterminado de la Seguridad requiere las firmas del código y los permisos manifiesten el atributo. En resumen, todos los subprogramas java requieren:
Las aplicaciones son afectadas si utiliza las Javas comenzadas a través de un buscador Web. Las aplicaciones se ejecutan de ningunos donde fuera de un buscador Web están muy bien. Cuál este los medios para WevVPN son todos los plug-in del cliente que son distribuidos por Cisco podrían ser afectados. Puesto que estos plug-in no son mantenidos ni son soportados por Cisco, Cisco no puede realizar los cambios al certificado de firma del código o al applet para asegurarlo cumple con estas restricciones. La solución apropiada para esto es utilizar el certificado de firma del código temporal en el ASA. Los ASA proporcionan un certificado temporal de la firma de código para firmar los subprogramas java (para el rewriter y los plug-in de las Javas). El certificado temporal deja los subprogramas java realizar sus funciones previstas sin un mensaje de advertencia. Los administradores ASA deben substituir el certificado temporal antes de que expire con su propio certificado de firma del código publicado por un Certificate Authority (CA) de confianza. Si esto no es una opción viable, la solución alternativa es completar estos pasos:
Las aplicaciones que inician los subprogramas java han estado señaladas para fallar sobre el WebVPN después de una actualización a las Javas 7. Este problema es causado por la falta del algoritmo de troceo seguro (soporte SHA)-256 para el rewriter de las Javas. El Id. de bug Cisco CSCud54080, el soporte "SHA-256 para el rewriter de las Javas del webvpn,” se ha clasifiado para este problema.
Las aplicaciones que comienzan los subprogramas java a través del portal con el túnel elegante pudieron fallar cuando se utiliza JRE7; esto es la más común con los sistemas 64-bit. En las capturas, observe que la Java VM envía los paquetes en el texto claro, no a través de la conexión del túnel elegante al ASA. Esto ha sido dirigida por el Id. de bug Cisco CSCue17876, “algunos subprogramas java no conectará vía el túnel elegante en las ventanas con el jre1.7."
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
15-Jul-2014 |
Versión inicial |