Solucionar errores comunes de cliente de roaming protegido

Opciones de descarga

  • PDF     (243.5 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
Actualizado:10 de septiembre de 2025
ID del documento:224847

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo resolver problemas comunes donde un cliente de roaming está protegido pero no se comporta como se esperaba.

    Overview

    Bienvenido al artículo de la base de conocimientos de la serie "mi cliente de roaming". Esta serie proporciona una serie interactiva de preguntas en respuesta a los retos habituales de los clientes de roaming.

    Este documento está dirigido al escenario en el que el cliente de roaming está protegido y es ecológico, pero no se comporta de la manera esperada. Este documento proporciona preguntas frecuentes para este escenario que se ven con frecuencia después de implementar clientes de roaming. El cliente se instala, pero no se comporta como se esperaba.

    El Índice "Mi serie de clientes de roaming":

    1. Mi cliente de roaming no se activa y....
    2. Mi cliente de roaming dice "Protegido" pero....

    Problemas comunes

    Explore las posibilidades de cada subsección, rellenando el espacio en blanco de "Mi cliente de roaming dice "Protegido" pero... _________":

    Desconocido, sin protección

    Si este es el estado actual, este artículo no está dirigido a este escenario. Esto representa un estado no protegido en el que el cliente aún no se ha registrado. Consulte este artículo sobre cómo un proxy puede evitar que un cliente de roaming se registre o póngase en contacto con nuestro equipo de soporte para obtener ayuda.

    No hay sitios bloqueados

    El cliente de roaming informa "Protegido" cuando podemos alcanzar 208.67.220.220 y 208.67.222.222 para DNS sobre UDP 53 o 443 o si el cliente está configurado para inhabilitar debido a una política conocida. Si el cliente informa de un modo protegido, pero no se producen bloqueos, siga estos pasos:

    1. Compruebe si hay un proxy. En el caso de un proxy transparente o explícito, el servidor proxy vuelve a solicitar y sobrescribe el DNS resuelto en el equipo. ¿Usando Umbrella con un proxy?
    2. Un proxy DNS de software de terceros está invalidando las respuestas DNS del cliente de roaming
    3. Se está aplicando una política diferente a la esperada. Vea aquí cómo confirmar la aplicación de la política esperada.

    Se está aplicando una política incorrecta

    El cliente de roaming informa de "protegido y cifrado" o "protegido y transparente", pero las políticas de cliente de roaming no se aplican:

    1. Valide que la política basada en cliente de roaming sea la política ganadora. Si en la red, y la red es más alta en el orden de políticas que los clientes de roaming, se aplica su política. Consulte este artículo sobre cómo determinar qué política se está aplicando o visite policy-debug.opendns.com para obtener más información.
    2. Compruebe si hay un proxy. En el caso de un proxy transparente o explícito, el servidor proxy vuelve a solicitar y sobrescribe el DNS resuelto en el equipo. El servidor proxy que utiliza Umbrella solo aplicaría su cobertura de nivel de red basada en salida. ¿Usando Umbrella con un proxy?
    3. ¿Utiliza el módulo de seguridad de roaming de AnyConnect? El cliente de roaming independiente no se debe instalar al mismo tiempo. Si tanto ERCService.exe como acumbrellaagent.exe se están ejecutando simultáneamente, esto indica que ambos están instalados. Desinstale el cliente de roaming independiente de Umbrella y asegúrese de que no haya herramientas de administración de software que lo reinstalen.

    El DNS público o todos están fallando

    En esta situación, todos los DNS no reciben una respuesta. Una nslookup en el símbolo del sistema o terminal se ejecuta cuando se produce un error o falla, y los navegadores informan de problemas de DNS y no pueden cargar las páginas:

    1. Un proxy DNS de software de terceros está invalidando las respuestas DNS del cliente de roaming. Muchos softwares solo invalidan los registros A de "destino del sitio web", permitiendo que los registros TXT pasen libremente. Dado que el cliente de roaming verifica la disponibilidad de DNS con los registros TXT, el cliente de roaming se activa incluso si todos los registros A no llegan a Umbrella. El DNS de paraguas cifrado combinado con el software de fondo a menudo conduce a una falla al enviar los registros A de DNS.
    2. Un firewall tiene incorporada la protección DNS o un servicio de "protección web", que puede interferir con Umbrella.
    3. Si esto ocurre intermitentemente, esto puede ser agotamiento de PAT/NAT. La adición del cliente de roaming ha aumentado el número de conexiones UDP directas fuera de la red de salida de las estaciones de trabajo. Esto provoca de forma intermitente un error en el DNS o en todo el tráfico web. Para obtener más información, consulte este artículo sobre este agotamiento de puertos y cómo puede ayudar cambiar el tiempo de espera UDP o validar el límite de conexión UDP.
    4. ¿Utiliza el módulo de seguridad de roaming de AnyConnect? El cliente de roaming independiente no se debe instalar al mismo tiempo. Si tanto ERCService.exe como acumbrellaagent.exe se están ejecutando simultáneamente, esto indica que ambos están instalados. Desinstale el cliente de roaming independiente de Umbrella y asegúrese de que no haya herramientas de administración de software que lo reinstalen.

    Fallos de DNS local

    En este escenario, cualquier registro público falla; sin embargo, los dominios de la lista de dominios internos no se pueden resolver. Si se consultan directamente los servidores DNS locales, la consulta se realiza correctamente.

    1. ¿El dominio no se ha agregado a la lista de dominios internos? Tenga en cuenta que cualquier sufijo de búsqueda se agrega automáticamente de forma dinámica a la lista local (no en la nube). Cualquier dominio solo local que no esté en esta lista no se puede resolver correctamente. Los dominios locales que no se encuentren en la lista aparecerán en los informes del panel. Cualquier dominio de la lista no lo hace. Descubra cómo funciona el DNS local aquí.
    2. ¿Son correctos los servidores DNS locales? Valide que los valores almacenados dentro del cliente de roaming coincidan con sus expectativas. Valide que cada servidor enumerado (consulte la ubicación en este documento) pueda devolver la respuesta. Elijamos uno al que enviar cada solicitud DNS local. Coinciden con la concesión DHCP o la asignación estática. Si no es así, háganoslo saber abriendo un caso de soporte.
      • Mac: /var/lib/data/opendns/resolv_orig.conf
      • PC: C:\ProgramData\OpenDNS\ERC\Resolver#-Name-of-NetworkAdaptor.conf
    3. Compatibilidad de software o VPN. ¿Ocurre el problema solo cuando se encuentra en una VPN? Si es así, asegúrese de que la VPN no restrinja dónde puede fluir el DNS o de que su VPN no esté en nuestra lista no admitida. Consulte nuestro artículo sobre compatibilidad de VPN para obtener más información.

    El cliente se muestra desconectado en el panel

    El proceso de sincronización del cliente de roaming es fundamental para los estados del cliente, como se muestra en el panel. El cliente de roaming solo se activa cuando:

    • Al menos una sincronización con nuestro servidor de sincronización (actualmente sync.hydra.opendns.com) se ha completado desde el inicio del cliente
    • Uno de los servidores Umbrella DNS está disponible en el puerto 443 o 53 UDP. 

    El estado del panel del cliente se actualiza cada vez que se realiza una sincronización (actualmente tarda hasta 60 minutos). A continuación se indican algunas posibles razones por las que estos estados no están actualizados:

    1. El estado del cliente ha cambiado desde la última sincronización. Tenga en cuenta que la sincronización inicial al arrancar es cuando el cliente está "desconectado" o no está protegido debido a la necesidad de que la sincronización esté protegida.
    2. El cliente experimenta un error intermitente al sincronizar debido a restricciones de red. Puede que se haya producido una sincronización inicial, pero las actualizaciones de sincronización subsiguientes fallan, lo que hace que el cliente aparezca sin conexión.
    3. El equipo ha conmutado redes desde el último inicio del cliente. Por ejemplo, el equipo se encendió en una panadería-cafetería con acceso sincronizado y, a continuación, se incorporó a la red corporativa sin acceso sincronizado. El cliente permanece protegido/cifrado si DNS está disponible, pero el panel informa que el cliente está desconectado.

    El ordenador muestra una advertencia de "sin conectividad"

    Al utilizar el cliente de itinerancia, los equipos de determinados entornos de red pueden mostrar un indicador de "triángulo amarillo" de conectividad de red, pero el acceso a la red es totalmente operativo. Esto puede afectar a las aplicaciones de Microsoft, como Outlook, ya que no se sincronizan si se activa el indicador.

    1. Este problema es una limitación de diseño conocida en Windows. Para resolverlo de forma permanente:
      • Windows 7/8: siga las instrucciones del archivo hosts de este documento.
      • Windows 10: Actualice a la versión 1709 o posterior y siga estas instrucciones para modificar la directiva de grupo o el Registro para implementar la corrección de Microsoft.

    Desaparece la entrada de DNS local para el equipo

    El cliente móvil reenvía de forma transparente cualquier consulta DNS a cualquier dominio de la lista de dominios internos. Cuando utiliza el cliente de roaming, con frecuencia ve dos actualizaciones en lugar de una porque estamos cambiando el DNS en la máquina. En caso de que el registro desaparezca:

    1. Lea este artículo para implementar una revisión de Microsoft para Windows 7 para evitar que el registro se elimine en el momento en que el cliente entra en el modo protegido.

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    10-Sep-2025
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos