Avez-vous un compte?
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit un scénario de dépannage qui s'applique aux applications qui ne fonctionnent pas par le Cisco AnyConnect VPN Client.
Aucune spécification déterminée n'est requise pour ce document.
Les informations dans ce document sont basées sur une appliance de sécurité adaptable Cisco (ASA) cette version 8.x de passages.
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.
Ce scénario typique de dépannage s'applique aux applications qui ne fonctionnent pas par le Cisco AnyConnect VPN Client pour des utilisateurs avec les ordinateurs Microsoft Windows. Ces sections traitent et fournissent des solutions aux problèmes :
Procédez comme suit :
\Windows\setupapi.log
Remarque: Les dossiers masqués doivent être rendus visibles afin de voir ces fichiers.
\Windows\Inf\setupapi.app.log
\Windows\Inf\setupapi.dev.log
\Documents and Settings\<username>\Local Settings\Temp\
\Users\<username>\AppData\Local\Temp\
\Windows\Temp
winmsd /nfo c:\msinfo.nfo
msinfo32 /nfo c:\msinfo.nfo
Remarque: Après que vous tapiez dans cette demande, attendez. Cela peut prendre entre deux et cinq minutes pour terminer le fichier.
systeminfo c:\sysinfo.txt
Référez-vous à AnyConnect : Question de base de données de pilote altérée afin de déboguer le problème du pilote.
Si vous rencontrez des problèmes de connexion avec le client AnyConnect, comme des déconnexions ou l'incapacité d'établir une connexion initiale, obtenez ces fichiers :
ASA-Config.txt où
x.x.x.x est adresse de
theIP d'un serveur TFTP sur le réseau.config terminal
logging enable
logging timestamp
logging class auth console debugging
logging class webvpn console debugging
logging class ssl console debugging
logging class svc console debugging
eventvwr.msc /s
Remarque: Enregistrez-le toujours sous le format de fichier .evt.
Si l'utilisateur ne peut pas se connecter à l'AnyConnect VPN Client, la question pourrait être liée à une commutation établie de session ou de client rapide de Remote Desktop Protocol (la RDP) activée sur le PC client. L'utilisateur peut voir que les paramètres de profil AnyConnect imposent un seul utilisateur local, mais des utilisateurs locaux multiples sont actuellement connectés à votre ordinateur. Message d'erreur Aucune connexion VPN ne sera établie sur le PC client. Afin de résoudre ce problème, déconnectez n'importe quelle session RDP établie et désactivez la commutation rapide d'utilisateur.
Remarque: Assurez-vous que le port 443 n'est pas bloqué ainsi le client d'AnyConnect peut se connecter à l'ASA.
Quand un utilisateur ne peut pas connecter le client VPN d'AnyConnect à l'ASA, le problème peut être causé par une incompatibilité entre la version du client d'AnyConnect et la version d'image du logiciel ASA. Dans ce cas, l'utilisateur reçoit ce message d'erreur : L'installateur ne pouvait pas commencer le Client VPN Cisco, accès sans client n'est pas disponible
.
Afin de résoudre ce problème, mettez à niveau la version du client d'AnyConnect pour être compatible avec l'image du logiciel ASA. Afin de vérifier la compatibilité, référez-vous à la section sur les appliances de sécurité et logiciels pris en charge des notes de publication relatives au client AnyConnect.
Quand un utilisateur ne peut pas se connecter au client VPN d'AnyConnect depuis le PC, le problème peut être causé par le logiciel antivirus installé sur le PC.
Remarque: AnyConnect doit être installé sur l'ordinateur avant que vous installiez n'importe quel tiers logiciel de Pare-feu/antivirus (poids du commerce). Si AnyConnect est installé après n'importe quels tiers Pare-feu/logiciel antivirus, alors AnyConnect ne se connecte pas. Afin de résoudre ce problème, désactivez toutes les configurations du firewall/AV personnel. Puis, apportez un petit changement sur l'adaptateur et l'essai virtuels d'AnyConnect pour rebrancher AnyConnect. Le pour en savoir plus, se rapportent aux id CSCsj91840 et CSCti16453 de bogue Cisco.
Quand vous vous connectez pour la première fois à AnyConnect, le script de connexion ne fonctionne pas. Si vous vous déconnectez et vous reconnectez, le script de connexion fonctionne très bien. C'est le comportement prévu.
Quand vous connectez l'AnyConnect VPN Client à l'ASA, vous pourriez recevoir cette erreur : L'utilisateur non autorisé pour l'accès client d'AnyConnect, contactent votre administrateur
.
Cette erreur est vue quand l'image d'AnyConnect manque de l'ASA. Une fois que l'image est chargée à l'ASA, AnyConnect peut ne se connecter sans aucune question à l'ASA.
Cette erreur peut être résolue en désactivant le Transport Layer Security de datagramme (DTLS). Allez à la configuration > à l'Accès à distance VPN > réseau (client) Access > des profils de connexion d'AnyConnect et décochez la case de l'enable DTLS. Ceci désactive DTLS.
Les fichiers de dartbundle affichent ce message d'erreur quand l'utilisateur obtient déconnecté : TUNNELPROTOCOLDPDMGR_ERROR_NO_DPD_RESPONSE : La passerelle sécurisée n'a pas répondu aux paquets de Dead Peer Detection
. Cette erreur signifie que le canal DTLS était dû déchiré à la panne de Dead Peer Detection (DPD). Cette erreur est résolue si vous tordez le Keepalives DPD et émettez ces commandes :
webvpn
svc keepalive 30
svc dpd-interval client 80
svc dpd-interval gateway 80
Le svc keepalive et les commandes de svc dpd-interval sont remplacés par la keepalive d'anyconnect et les commandes de dpd-intervalle d'anyconnect respectivement dans la version 8.4(1) et ultérieures ASA comme affiché ici :
webvpn
anyconnect ssl keepalive 15
anyconnect dpd-interval client 5
anyconnect dpd-interval gateway 5
Quand des problèmes sont détectés avec passer le trafic au réseau privé avec une session d'AnyConnect par l'ASA, terminez-vous ces étapes de donnée-collecte :
access-list in_nat0_out extended permit ip any 10.136.246.0 255.255.255.0
ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
nat (inside) 0 access-list in_nat0_out
!--- Route outside 0 0 is an incorrect statement.
route outside 0 0 10.145.50.1
route inside 0 0 10.0.4.2 tunneled
ASA(config)# policy-map global_policy
ASA(config-pmap)# class inspection_default
ASA(config-pmap-c)# no inspect skinny
Terminez-vous ces étapes de donnée-collecte :
Number of Instructions : 25
Number of Errors To Save : 25
Crash Dump Type : Mini
Dump Symbol Table : Checked
Dump All Thread Contexts : Checked
Append To Existing Log File : Checked
Visual Notification : Checked
Create Crash Dump File : Checked
eventvwr.msc /s
Remarque: Enregistrez-le toujours sous le format de fichier .evt.
Quelques applications, telles que Microsoft Outlook, ne fonctionnent pas. Cependant, le tunnel peut transmettre tout autre trafic comme de petits messages Ping.
Ceci peut fournir des indices quant à un problème de fragmentation dans le réseau. Les Routeurs du consommateur sont particulièrement pauvres à la fragmentation de paquets et au réassemblage.
Essayez un ensemble d'évolution de pings afin de déterminer s'il échoue à une certaine taille. Par exemple, ping - l 500, ping - l 1000, ping - l 1500, ping - l 2000.
Il est recommandé que vous configurez un groupe spécial pour les utilisateurs qui éprouvent la fragmentation, et placez l'unité maximum de transition de SVC (MTU) pour ce groupe à 1200. Ceci vous permet de corriger les utilisateurs qui rencontrent ce problème, sans affecter la base d'utilisateurs plus large.
Problème
Blocage des connexions TCP une fois établies avec AnyConnect.
Solution
Afin de vérifier si votre utilisateur a un problème de fragmentation, réglez le mtu pour les clients d'AnyConnect sur l'ASA.
ASA(config)#group-policy <name> attributes
webvpn
svc mtu 1200
Problème
Le client VPN d'AnyConnect se désinstalle une fois que la connexion se termine. Les journaux du client montrent que l'option keep installed est désactivée.
Solution
AnyConnect se désinstalle en dépit du fait que l'option keep installed est sélectionnée sur ASDM (Adaptive Security Device Manager). Afin de résoudre ce problème, configurez la commande svc keep-installer installed sous group-policy.
Problème : Le client d'AnyConnect pré-est rempli avec l'adresse Internet au lieu du nom de domaine complet de batterie (FQDN).
Quand vous avez une installation de batterie d'Équilibrage de charge pour le VPN SSL et les tentatives de client de se connecter à la batterie, la demande est réorientée au noeud ASA et le client ouvre une session avec succès. Après une certaine heure, quand les essais de client à connecter à la batterie de nouveau, le FQDN de batterie n'est pas vus dans le connecter aux entrées. Au lieu de cela, l'entrée du noeud ASA à laquelle le client a été réorienté est vue.
Solution
Ceci se produit parce que le client d'AnyConnect retient le nom d'hôte auquel il s'est pour la dernière fois connecté. On observe ce comportement et une bogue a été classée. Pour les détails complets au sujet de la bogue, référez-vous à l'ID de bogue Cisco CSCsz39019. Le workaround suggéré est d'améliorer le Cisco AnyConnect à la version 2.5.
Une liste de sauvegarde de serveur est configurée au cas où le serveur principal sélectionné par l'utilisateur ne serait pas accessible. Ceci est défini dans le volet de sauvegarde de serveur dans le profil d'AnyConnect. Procédez comme suit :
Cette entrée dans le fichier SetupAPI.log suggère que le système de catalogue est altéré :
La liste de classe de signature du pilote W239 " C:\WINDOWS\INF\certclas.inf" était manquante ou non valide. Erreur 0xfffffde5 :
Erreur inconnue. Le système assume que toutes les classes de périphérique sont sujettes à la stratégie de signature du pilote.
Vous pouvez également recevoir ce message d'erreur : Error(3/17) : Incapable de commencer le VA, l'installation a partagé la file d'attente, ou le VA a abandonné la file d'attente partagée
.
Vous pouvez recevoir ce login le client : « Le gestionnaire de client vpn a rencontré une erreur »
.
Cette question est due à l'ID de bogue Cisco CSCsm54689. Afin de résoudre ce problème, assurez-vous que le service de routage et d'accès distant est désactivé avant de démarrer AnyConnect. Si ceci ne résout pas le problème, complétez ces étapes :
esentutl /p%systemroot%\System32\catroot2\
{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
Si la réparation échoue, complétez ces étapes :
Vous pouvez analyser la base de données à tout moment afin de déterminer si elle est valide.
esentutl /g%systemroot%\System32\catroot2\
{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
Remarque: Référez-vous au pour en savoir plus d'asapedia.
Tandis que le VPN SSL est connecté par un navigateur web, le message d'erreur Incapable de mettre à jour la base de données de gestion de session. apparaît, et les journaux ASA indiquent %ASA-3-211001 : Erreur d'allocation mémoire
. L'appliance de sécurité adaptable n'a pas alloué la mémoire système de RAM
.
Cette question est due à l'ID de bogue Cisco CSCsm51093. Afin de résoudre ce problème, rechargez le logiciel ASA ou mettez-le à niveau à la version intermédiaire mentionnée dans le bogue. Référez-vous au pour en savoir plus de l'ID de bogue Cisco CSCsm51093.
Cette question peut également être résolue si vous désactivez la menace-détection sur l'ASA si la menace-détection est utilisée.
Quand vous utilisez le client d'AnyConnect sur des ordinateurs portables ou des PC, une erreur se produit pendant l'installer :
"Module C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnapi.dll failed
to register..."
Quand vous rencontrez cette erreur, l'installateur ne peut pas avancer et le client est retiré.
Voici les solutions de contournement possibles pour résoudre cette erreur :
Le message du journal lié à cette erreur sur le client AnyConnect est semblable à ceci :
DEBUG: Error 2911: Could not remove the folderC:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, ,
DEBUG: Error 2911: Could not remove the folder C:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, ,
Info 1721. There is a problem with this Windows Installer package. A program required for
this install to complete could not be run. Contact your support personnel or package
vendor. Action: InstallHelper.exe, location: C:\Program Files\Cisco\Cisco AnyConnect VPN
Client\InstallHelper.exe, command: -acl "C:\Documents and Settings\All Users\Application
Data\Cisco\Cisco AnyConnect VPN Client\\" -r
Quand l'essai de clients à connecter au VPN au Cisco AnyConnect VPN Client, cette erreur est reçu.
Ce message a été reçu de la passerelle sécurisée :
« Illegal address class » ou « Host or network is 0 » ou « Other error »
Le problème se pose en raison de l'épuisement de pool IP local ASA. Pendant que la ressource en groupe VPN est épuisée, la chaîne de pool d'IP doit être agrandie.
L'ID de bogue Cisco est CSCsl82188 est classé pour cette question. Cette erreur se produit habituellement quand le groupe local pour l'affectation d'adresses est épuisé, ou si un masque de sous-réseau de 32 bits est utilisé pour le pool d'adresses. Le contournement est de développer le pool d'adresses et d'utiliser un masque de sous-réseau 24-bit pour le groupe.
Quand vous essayez de connecter plus de deux clients à l'AnyConnect VPN Client, vous recevez le message d'erreur d'échec de connexion
sur le client et un message d'avertissement dans les logs ASA que la session d'
états ne pourrait pas être établie.
limite de session de 2 atteinte. Je dispose de la licence AnyConnect essential sur ASA, qui exécute la version 8.0.4.
Cette erreur se produit parce que la licence AnyConnect essential n'est pas prise en charge par ASA version 8.0.4. Vous devez mettre à niveau ASA vers la version 8.2.2. Ceci résout l'erreur.
Remarque: Indépendamment du permis utilisé, si la limite de session est atteinte, l'utilisateur recevra le message d'erreur d'échec de connexion
.
Cette erreur peut également se produire si la commande de session-limit de maximum-anyconnect-premium-ou-essentiel-limite de VPN-sessiondb est utilisée de fixer la limite des sessions VPN permises pour être établi. Si la session-limit est fixée en tant que deux, alors l'utilisateur ne peut pas établir plus de deux sessions quoique le permis installé prenne en charge plus de sessions. Fixez la session-limit au nombre de sessions VPN requises afin d'éviter ce message d'erreur.
Vous recevez l'Anyconnect non activé sur le
message d'erreur de serveur VPN
quand vous essayez de connecter AnyConnect à l'ASA.
Cette erreur est résolue si vous activez AnyConnect sur l'interface extérieure de l'ASA avec l'ASDM. Pour plus d'informations sur la façon d'activer AnyConnect sur l'interface externe, référez-vous à la section relative à l'activation du protocole client VPN SSL.
Le message d'erreur %ASA-6-722036: Groupe < client-groupe > Utilisateur < xxxx > IP < x.x.x.x> Transmission d'un grand paquet 1220 (seuil 1206), le message d'erreur apparaît dans les journaux de l'ASA. Que signifie ce journal et comment est-ce résolu ?
Ce message du journal déclare qu'un grand paquet a été envoyé au client. La source du paquet ne reconnaît pas le MTU du client. Ceci peut également être dû à la compression de données incompressibles. La solution de contournement consiste à désactiver la compression SVC avec la commande svc compression none. Ceci résout le problème.
Quand vous vous connectez au client d'AnyConnect, cette erreur est reçue : « La passerelle sécurisée a rejeté le vpn de l'agent connectent ou rebranchent la demande. Une nouvelle connexion exige la ré-authentification et doit être commencée manuellement. Veuillez contacter votre administrateur réseau si ce problème persiste. Le message suivant a été reçu de la passerelle sécurisée : aucune adresse attribuée »
.
Cette erreur est également reçue quand vous vous connectez au client d'AnyConnect : « La passerelle sécurisée a rejeté la tentative de connexion. Une nouvelle tentative de connexion à la même chose ou un autre sécurisent la passerelle est nécessaire, qui exige la ré-authentification. Le message suivant a été reçu de la passerelle sécurisée : L'hôte ou le réseau est 0"
.
Cette erreur est également reçue quand vous vous connectez au client d'AnyConnect : « La passerelle sécurisée a rejeté le vpn de l'agent connectent ou rebranchent la demande. Une nouvelle connexion exige une ré-authentification et doit être commencée manuellement. Veuillez contacter l'administrateur réseau si le problème persiste. Le message suivant a été reçu de la passerelle sécurisée : Aucun permis »
.
Le routeur manquait la configuration de groupe après recharge. Vous devez ajouter la configuration intéressée de nouveau au routeur.
Router#show run | in pool
ip local pool SSLPOOL 192.168.30.2 192.168.30.254
svc address-pool SSLPOO
« La passerelle sécurisée a rejeté le vpn de l'agent connectent ou rebranchent la demande. Une nouvelle connexion exige une ré-authentification et doit être commencée manuellement. Veuillez contacter l'administrateur réseau si le problème persiste. Le message suivant a été reçu de la passerelle sécurisée :
Erreur d'aucun permis la »
se produit quand le permis de mobilité d'AnyConnect manque. Une fois que le permis est installé, la question est résolue.
Quand vous essayez d'authentifier dans WebPortal, ce message d'erreur est reçu : « Incapable de mettre à jour la base de données de Gestion de session »
.
Ce problème est lié à l'allocation de mémoire sur l'ASA. Cette question est en grande partie produite quand la version ASA est 8.2.1. Initialement, ceci exige une RAM 512MB pour sa fonctionnalité complète. Référez-vous à la section de mémoires réquises dans les notes de mise à jour.
Comme contournement permanent, améliorez la mémoire à 512MB. Vous pouvez commander « les kits d'adaptation de mémoire ».
Comme contournement provisoire, essai pour libérer la mémoire avec ces étapes :
C'est un message d'erreur obtenu sur la machine cliente quand vous essayez de se connecter à AnyConnect.
Afin de résoudre cette erreur, remplissez cette procédure afin de placer manuellement l'agent d'AnyConnect VPN à interactif :
Remarque: Si ce doit être utilisé, alors la préférence serait d'utiliser le .MST transforment dans ce cas. C'est parce que si vous placez ceci manuellement avec ces méthodes, il exige que ceci soit placé après chaque installent/processus de mise à niveau. C'est pourquoi il y a un besoin d'identifier l'application qui pose ce problème.
le le client vpn que le gestionnaire a rencontré une erreur.
. Afin de résoudre ce problème, assurez-vous que l'acheminement et le RRAS est désactivé avant de commencer AnyConnect. Référez-vous au pour en savoir plus de l'ID de bogue Cisco CSCsm54689.Les clients d'AnyConnect ne se connectent pas à Cisco ASA. L'erreur dans la fenêtre d'AnyConnect ne peut pas « traiter la réponse de xxx.xxx.xxx.xxx ».
Afin de résoudre cette erreur, essayez ces contournements :
Pour plus d'informations sur la façon activer le webvpn et changer le port pour le webvpn, référez-vous à cette solution.
Les clients d'AnyConnect ne se connectent pas à Cisco ASA. L'erreur dans la fenêtre d'AnyConnect est « procédure de connexion refusée, mécanisme non autorisé de connexion, contactent votre administrateur »
.
Ce message d'erreur se produit en grande partie en raison des questions de configuration qui sont inexactes ou d'une configuration inachevée. Vérifiez la configuration et assurez-vous qu'elle est au besoin de résoudre le problème.
Cette erreur se produit quand vous essayez de lancer le logiciel d'AnyConnect d'un client de Macintosh afin de se connecter à une ASA.
Afin de résoudre ceci, terminez-vous ces étapes :
webvpn
svc image disk0:/anyconnect-macosx-i386-2.3.2016-k9.pkg 2
svc image disk0:/anyconnect-macosx-powerpc-2.3.2016-k9.pkg 3
hostname(config)#webvpn
hostname(config-webvpn)#anyconnect image disk0:/
anyconnect-win-3.0.0527-k9.pkg 1
hostname(config-webvpn)#anyconnect image disk0:/
anyconnect-macosx-i386-3.0.0414-k9.pkg 2
Cette erreur est provoqué par sur la machine Linux de l'utilisateur quand elle essaye de se connecter à l'ASA en lançant AnyConnect. Voici l'erreur complète :
"The AnyConnect package on the secure gateway could not be located. You may
be experiencing network connectivity issues. Please try connecting again."
Afin de résoudre ce message d'erreur, vérifiez si le système d'exploitation (SYSTÈME D'EXPLOITATION) qui est utilisé sur la machine cliente est pris en charge par le client d'AnyConnect. Pour des informations complètes sur le logiciel pris en charge, référez-vous à la section de configurations système requises dans les notes de mise à jour en AnyConnect.
Si le SYSTÈME D'EXPLOITATION est pris en charge, alors vérifiez si le module d'AnyConnect est spécifié dans la configuration de webvpn ou pas. Voyez la section indisponible ou corrompue de module d'Anyconnect de ce pour en savoir plus de document.
Les utilisateurs ne peuvent pas exécuter un accès de bureau distant. Le VPN sécurisé par l'intermédiaire du bureau distant n'est pas
message d'erreur pris en charge
apparaît.
Cette question est due à ces id de bogue Cisco : CSCsu22088 et CSCso42825. Si vous promouvez l'AnyConnect VPN Client, il peut résoudre le problème. Référez-vous à ces pour en savoir plus de bogues.
Quand vous tentez au VPN à l'ASA 5505, le le certificat de serveur reçu ou sa chaîne n'est pas conforme aux PAP. Une connexion VPN ne sera pas
message d'erreur établi
apparaît.
Afin de résoudre cette erreur, vous devez désactiver les Normes fédérales pour le traitement de l'information (PAP) dans le fichier de stratégie de gens du pays d'AnyConnect. Ce fichier peut habituellement être trouvé à l'AnyConnect VPN Client de C:\ProgramData\Cisco\Cisco \ AnyConnectLocalPolicy.xml. Si
ce fichier n'est pas trouvé dans ce chemin, alors localisez le fichier à un répertoire différent avec un chemin tel que des utilisateurs \ données des applications \ Cisco AnyConnectVPNClient \ AnyConnectLocalPolicy.xml de
C:\Documents and Settings\All. Une fois que
vous localisez le fichier de xml, apportez des modifications à ce fichier comme affiché ici :
Changez l'expression :
<FipsMode>true</FipsMode>
À :
<FipsMode>false</FipsMode>
Puis, redémarrez l'ordinateur. Les utilisateurs doivent avoir des autorisations administratives afin de modifier ce fichier.
Les utilisateurs ne peuvent pas lancer AnyConnect et recevoir l'erreur de panne de validation de certificat
.
Les travaux d'authentification de certificat différemment avec AnyConnect ont comparé au client d'IPSec. Pour que l'authentification de certificat fonctionne, vous devez importer le certificat client à votre navigateur et changer le profil de connexion afin d'utiliser l'authentification de certificat. Vous devez également permettre à cette commande sur votre ASA afin de permettre des certificats client SSL à utiliser sur l'interface extérieure :
port extérieur 443 d'interface de certificat-authentification SSL
Pour plus d'informations sur cette commande, référez-vous à l'authentification de certificat ssl.
Quand la version 2.4.0202 d'AnyConnect est installée sur un PC de Windows XP, elle arrête à mettre des dossiers à jour de localisation et un message d'erreur prouve que le vpnagent.exe échoue.
Ce comportement est l'ID de bogue Cisco ouvert une session CSCsq49102. Le contournement suggéré est de désactiver le client de Citrix.
Quand AnyConnect est téléchargé, ce message d'erreur est reçu :
« Contactez votre administrateur système. L'installateur a manqué avec l'erreur suivante : Ce module d'installation n'a pas pu être ouvert. Vérifiez que le module existe et que vous pouvez l'accéder à, ou contactez le fournisseur d'applications pour vérifier que c'est un module valide d'installer windows. »
Terminez-vous ces étapes afin de réparer cette question :
Ce message d'erreur est reçu pendant l'automatique-téléchargement d'AnyConnect de l'ASA :
"Contact your system administrator. The installer failed with the following error:
Error applying transforms. Verify that the specified transform paths are valid."
C'est le message d'erreur reçu en se connectant à AnyConnect pour le MaOS :
"The AnyConnect package on the secure gateway could not be located. You may be
experiencing network connectivity issues. Please try connecting again."
Terminez-vous un de ces contournements afin de résoudre ce problème :
Si ni l'un ni l'autre de ces contournements ne résolvent le problème, entrez en contact avec le support technique de Cisco.
Cette erreur est reçue :
The VPN client driver has encountered an error when connecting through Cisco
AnyConnect Client.
Cette question peut être résolue quand vous désinstallez le client d'AnyConnect, et puis enlève le logiciel antivirus. Après ceci, réinstallez le client d'AnyConnect. Si cette résolution ne fonctionne pas, alors reformatez le PC afin de réparer cette question.
Cette erreur est reçue quand vous essayez de lancer AnyConnect :
"A VPN reconnect resulted in different configuration setting. The VPN network
setting is being re-initialized. Applications utilizing the private network may
need to be restarted."
Afin de résoudre cette erreur, utilisez ceci :
group-policy <Name> attributes
webvpn
svc mtu 1200
La commande de mtu de svc est remplacée par la commande de mtu d'anyconnect dans la version 8.4(1) et ultérieures ASA comme affiché ici :
hostname(config)#group-policy <Name> attributes
hostname(config-group-policy)#webvpn
hostname(config-group-webvpn)#anyconnect mtu 500
Problème
L'AnyConnect reçoit cette erreur quand il se connecte au client :
The VPN connection is not allowed via a local proxy. This can be changed
through AnyConnect profile settings.
La question peut être résolue si vous apportez ces modifications au profil d'AnyConnect :
Ajoutez cette ligne au profil d'AnyConnect :
<ProxySettings>IgnoreProxy</ProxySettings><
AllowLocalProxyConnections>
false</AllowLocalProxyConnections>
Problème
Dans le Windows 7, si le paramètre de proxy IE est configuré pour automatiquement détectez les configurations et l'AnyConnect abaisse un nouveau paramètre de proxy, le paramètre de proxy IE n'est pas restauré de nouveau à automatiquement détectent des configurations après les utilisateurs finaux la session d'AnyConnect. Ceci entraîne des questions de RÉSEAU LOCAL pour les utilisateurs qui ont besoin de leur paramètre de proxy configuré pour automatiquement détectent des configurations.
Ce comportement est l'ID de bogue Cisco ouvert une session CSCtj51376. Le contournement suggéré est d'améliorer à AnyConnect 3.0.
Ce message d'erreur est reçu sur Cisco ASDM quand vous tentez d'activer le permis d'AnyConnect Essentials :
There are currently 2 clientless SSL VPN sessions in progress. AnyConnect
Essentials can not be enabled until all these sessions are closed.
C'est le comportement normal de l'ASA. L'AnyConnect Essentials est un client séparément autorisé de VPN SSL. Il est entièrement configuré sur l'ASA et fournit à la pleine capacité d'AnyConnect, ces exceptions :
Ce permis ne peut pas être utilisé en même temps que la licence premium partagée de VPN SSL. Quand vous devez utiliser un permis, vous devez désactiver l'autre.
L'onglet de connexion sur l'option Internet de l'Internet Explorer masque après que vous soyez connecté au client d'AnyConnect.
C'est dû à la caractéristique de lockdown de msie-proxy. Si vous activez cette caractéristique, elle masque l'onglet de connexions dans Microsoft Internet Explorer pour la durée d'une session VPN d'AnyConnect. Si vous désactivez la configuration, elle laisse l'affichage de l'onglet de connexions inchangé.
Quelques utilisateurs reçoivent le message d'erreur d'échec de connexion quand d'autres peuvent se connecter avec succès par l'AnyConnect VPN.
Cette question peut être résolue si vous vous assurez que n'exigez pas la case à cocher de pré-authentification est vérifié les utilisateurs.
Pendant la mise à jour de profil d'AnyConnect, une erreur est affichée que dit que le certificat est non valide. Ceci se produit avec Windows seulement et à la phase de mise à jour de profil. Le message d'erreur est affiché ici :
The certificate you are viewing does not match with the name of the site
you are trying to view.
Ceci peut être résolu si vous modifiez la liste de serveur du profil d'AnyConnect afin d'utiliser le FQDN du certificat.
C'est un échantillon du profil XML :
<ServerList>
<HostEntry>
<HostName>vpn1.ccsd.net</HostName>
</HostEntry>
</ServerList>
Remarque: S'il y a une entrée existante pour l'adresse IP publique du serveur telle que le <HostAddress>
, alors enlevez-le et retenez seulement le FQDN du serveur (par exemple, <HostName>
mais pas < host address >
).
Quand l'AnyConnect est lancé de la chambre forte CSD, cela ne fonctionne pas. Ceci est tenté sur des ordinateurs de Windows 7.
Actuellement, ce n'est pas possible parce qu'il n'est pas pris en charge.
Le client d'AnyConnect 3.0 VPN avec le logiciel de version 8.4.1 ASA fonctionne bien. Cependant, après Basculement, il n'y a aucune réplication pour la configuration associée par profil d'AnyConnect.
Ce problème a été observé et connecté sous l'ID de bogue Cisco CSCtn71662. Le contournement provisoire est de copier manuellement les fichiers sur l'équipement de réserve.
Quand ceci se produit, le journal d'événements d'AnyConnect contient des entrées semblables à ces derniers :
Description : Function:
CAdapterNetworkStateIfc::SetConnectedStateToConnected
File: .\AdapterNetworkStateIfc.cpp
Line: 147
Invoked Function: InternetSetOption
Return Code: 12010 (0x00002EEA)
Description: The length is incorrect for the option type
Description : Function: CTransportWinHttp::InitTransport
File: .\CTransportWinHttp.cpp
Line: 252
Invoked Function: CConnectedStateIfc::SetConnectedStateToConnected
Return Code: -25362420 (0xFE7D000C)
Description: CADAPTERNETWORKSTATEIFC_ERROR_SET_OPTION
Ce comportement est observé et connecté sous l'ID de bogue Cisco CSCtx28970. Afin de résoudre ceci, quittez l'application d'AnyConnect et la relancez. Les entrées de connexion réapparaissent après relance.
Le client d'AnyConnect ne se connecte pas et l'incapable d'établir un
message d'erreur de connexion
est reçu. Dans le journal d'événements d'AnyConnect, l'erreur TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER
est trouvée.
Ceci se produit quand le headend est configuré pour la Segmentation de tunnel avec une liste très grande de tunnel partagé (approximativement 180-200 entrées) et un ou plusieurs autres attributs de client sont configurés dans la stratégie de groupe, telle que le dns-server.
Pour résoudre ce problème, exécutez les étapes suivantes :
group-policy groupName attributes
webvpn
svc dtls none
Le pour en savoir plus, se rapportent à l'ID de bogue Cisco CSCtc41770.
La tentative de connexion a en raison défectueux du
message d'erreur non valide d'entrée de hôte
est reçue tandis qu'AnyConnect est authentifié avec l'utilisation d'un certificat.
Afin de résoudre ce problème, essayez l'un ou l'autre de ces solutions possibles :
Le pour en savoir plus, se rapportent à l'ID de bogue Cisco CSCti73316.
Quand vous activez la caractéristique illimitée sur AnyConnect, l'assurer vos Certificats de serveur peut passer le mode strict si vous configurez le
message d'erreur illimité VPN
est reçu.
Ce message d'erreur implique que si vous voulez utiliser la caractéristique illimitée, vous avez besoin d'un valide divisez le certificat configuré sur le headend. Sans certificat de serveur valide, cette caractéristique ne fonctionne pas. Le mode strict de CERT est une option que vous placez dans le fichier de stratégie local d'AnyConnect afin d'assurer l'utilisation de connexions à un certificat valide. Si vous activez cette option dans le fichier de stratégie et vous connectez à un certificat factice, la connexion échoue.
Cet outil de génération de rapports diagnostique d'AnyConnect (DART) affiche un essai raté :
******************************************
Date : 03/25/2014
Time : 09:52:21
Type : Error
Source : acvpnui
Description : Function: CTransportWinHttp::SendRequest
File: .\CTransportWinHttp.cpp
Line: 1170
Invoked Function: HttpSendRequest
Return Code: 12004 (0x00002EE4)
Description: An internal error occurred in the Microsoft
Windows HTTP Services
*****************************************
Date : 03/25/2014
Time : 09:52:21
Type : Error
Source : acvpnui
Description : Function: ConnectIfc::connect
File: .\ConnectIfc.cpp
Line: 472
Invoked Function: ConnectIfc::sendRequest
Return Code: -30015443 (0xFE36002D)
Description: CTRANSPORT_ERROR_CONN_UNKNOWN
******************************************
Date : 03/25/2014
Time : 09:52:21
Type : Error
Source : acvpnui
Description : Function: ConnectIfc::TranslateStatusCode
File: .\ConnectIfc.cpp
Line: 2999
Invoked Function: ConnectIfc::TranslateStatusCode
Return Code: -30015443 (0xFE36002D)
Description: CTRANSPORT_ERROR_CONN_UNKNOWN
Connection attempt failed. Please try again.
******************************************
En outre, référez-vous au visualisateur d'événements ouvre une session l'ordinateur Windows.
Ceci pourrait sont provoqué par en raison d'une connexion corrompue de Winsock. Remettez à l'état initial la connexion de l'invite de commande avec cette commande et redémarrez votre ordinateur de fenêtres :
remise de Winsock de netsh
Référez-vous le comment déterminer et récupérer de la corruption Winsock2 dans les Windows Server 2003, dans Windows XP, et dans le pour en savoir plus d'article de la base de connaissances de Windows Vista.