Cisco Secure Client VPNの一般的な問題のトラブルシューティング

ダウンロードオプション

PDF (484.4 KB)
Adobe Reader を使ってさまざまなデバイスで表示

Updated: 2026 年 6 月 23 日

Document ID:212972

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポートコンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版（リンクからアクセス可能）もあわせて参照することを推奨します。

内容

はじめに

前提条件

要件

使用するコンポーネント

トラブルシューティングプロセス

トラブルシューティングのための情報の収集

クライアント：統計情報とDART

ヘッドエンド：ASA

ヘッドエンド：FTD

インストールと仮想アダプタの問題

接続の解除と初期接続確立の失敗

通過トラフィックの問題

AnyConnect のクラッシュの問題

フラグメンテーションまたは通過トラフィックの問題

自動的なアンインストール

クラスタ FQDN の設定問題

バックアップサーバリストの設定

Cisco Secure Client：破損したドライバデータベースの問題

修復

修復の失敗

データベースの分析

エラーメッセージ

エラー: Unable to Update the Session Management Database

解決策 1

解決策 2

エラー：Cisco Secure Clientのインストール中に「Module failed to register」

ソリューション

エラー: "An error was received from the secure gateway in response to the VPN negotiation request.Please contact your network administrator"

ソリューション

エラー: Anyconnect not enabled on VPN server while trying to connect anyconnect to ASA

ソリューション

エラー:- %ASA-6-722036: Group client-group User xxxx IP x.x.x.x Transmitting large packet 1220 (threshold 1206)

ソリューション

エラー: The secure gateway has rejected the agent's vpn connect or reconnect request.

ソリューション

エラー: "The VPN client driver has encountered an error"

ソリューション

エラー: "Unable to process response from xxx.xxx.xxx.xxx"

ソリューション

エラー: "Login Denied , unauthorized connection mechanism , contact your administrator"

ソリューション

エラー: "Anyconnect package unavailable or corrupted.Contact your system administrator"

ソリューション

エラー: "The AnyConnect package on the secure gateway could not be located"

ソリューション

エラー: "Secure VPN via remote desktop is not supported"

ソリューション

エラー: "The server certificate received or its chain does not comply with FIPS.A VPN connection will not be established"

ソリューション

エラー: "Certificate Validation Failure"

ソリューション

エラー: "VPN Agent Service has encountered a problem and needs to close.We are sorry for the inconvenience"

ソリューション

エラー: "This installation package could not be opened.Verify that the package exists"

ソリューション

エラー: "Error applying transforms.Verify that the specified transform paths are valid."

ソリューション

エラー: "A VPN reconnect resulted in different configuration setting.The VPN network setting is being re-initialized.Applications utilizing the private network may need to be restored."

ソリューション

ログイン時のCisco Secure Clientエラー

ソリューション

エラー: AnyConnect Essentials can not be enabled until all these sessions are closed.

ソリューション

エラー: Few users getting Login Failed Error message when others are able to connect successfully through AnyConnect VPN

ソリューション

エラー: The certificate you are viewing does not match with the name of the site you are trying to view.

ソリューション

フェールオーバー後に AnyConnect プロファイルがスタンバイ側へ複製されない

ソリューション

エラーメッセージ: TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER

ソリューション

エラーメッセージ: "Connection attempt has failed due to invalid host entry"

ソリューション

エラー: "Ensure your server certificates can pass strict mode if you configure always-on VPN"

ソリューション

エラー: "An internal error occurred in the Microsoft Windows HTTP Services"

ソリューション

エラー: "The SSL transport received a Secure Channel Failure.May be a result of a unsupported crypto configuration on the Secure Gateway."

ソリューション

はじめに

このドキュメントでは、Windows、macOS、およびLinuxでのアプリケーションの障害と切断に関するCisco Secure Clientの問題について説明します。

前提条件

要件

このドキュメントを使用する前に、次の点を確認してください。

エンドポイント（またはヘッドエンドがサポートするバージョン）上のCisco Secure Client 5.x
DARTバンドルまたはクライアントログの収集機能。
VPNヘッドエンド（ASAまたはFTD）への管理アクセス。

使用するコンポーネント

このドキュメントの情報は、次のハードウェアに基づくものです。

クライアント：Cisco Secure Client 5.x（AnyConnect VPNモジュール）。
ヘッドエンド：Cisco ASA 9.xまたはCisco Secure Firewall Threat Defense(FTD)とリモートアクセスVPN

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

プロダクトアドミニストレータガイドの「Cisco Secure Clientのトラブルシューティング」を参照してください。

トラブルシューティングプロセス

このドキュメントでは、Windows、macOS、Linux、およびCisco ASA/FTDヘッドエンド設定でのアプリケーション障害、予期しない接続解除、および一般的なエラーを含む、Cisco Secure Client VPN(SVC)の問題（AnyConnectを含む）について詳しく説明します。

VPNトンネル経由で動作しないアプリケーション。
クライアントが予期せずに接続/切断する。
クライアントまたはヘッドエンドに表示される一般的なエラーメッセージ。

ここでは、Cisco ASAおよびCisco Secure Firewall Threat Defense(FTD)リモートアクセスでのヘッドエンド設定を含む、Windows、macOS、およびLinuxでのVPNクライアントについて説明します。VPN に追加するユーザを編集します。

ヒント：トラブルシューティングを行う前に、Cisco Secure Client DARTバンドルを収集してください。DART Analyzer BDBタスクを使用して、DART出力を分析できます。

一般的な問題と解決策に対処するには、次の項を参照してください。

トラブルシューティングのための情報の収集
インストールと仮想アダプタの問題
接続の解除と初期接続確立の失敗
通過トラフィックの問題
AnyConnect のクラッシュの問題
フラグメンテーションまたは通過トラフィックの問題
自動的なアンインストール
クラスタ FQDN の設定問題
バックアップサーバリストの設定

トラブルシューティングのための情報の収集

設定を変更する前に、クライアントとヘッドエンドのデータを収集します。TACは通常、DARTバンドルを要求します。

クライアント：統計情報とDART

接続統計のエクスポート
- Windowsの場合：Gear Icon > Advanced Window > Statistics > AnyConnect VPN > Export Stats
- macOS:統計情報アイコン>統計情報のエクスポート
- Linux：クライアントGUIの詳細
DARTの実行
- Windows/Linux：歯車アイコン>アドバンスドウィンドウ>診断
- macOS：アプリケーションメニュー>診断レポートの生成
バンドルをTACケースに添付するか、SR番号とトークンを使用してUpload to TACを実行します。
組み込みブラウザの問題：Advanced Window > General > Web Browser > Clear Data。

ヘッドエンド：ASA

show running-config
show vpn-sessiondb detail anyconnect filter name <ユーザ名>

デバッグ例：

configure terminal
logging enable
logging timestamp
logging class auth console debugging
logging class webvpn console debugging
logging class ssl console debugging
logging class anyconnect console debugging

障害を再現し、出力をキャプチャしてから、no logging enableを実行します。

ヘッドエンド：FTD

FMC/CDOから、リモートアクセスVPNポリシーおよび接続プロファイル設定をエクスポートします。FTD SSL VPN/接続ログを収集して障害ウィンドウを表示します。

インストールと仮想アダプタの問題

インストールまたは仮想アダプタのセットアップが失敗した場合は、次の情報を収集します。

Windowsセットアップログ：

%SystemRoot%\Inf\setupapi.dev.log
%SystemRoot%\Inf\setupapi.setup.log

MSIインストーラログ：%LOCALAPPDATA%\Temp\ または%SystemRoot%\Temp\ – ファイル名cisco-secure-client-win-*-install-*.log（ご使用のバージョン用の最新バージョン）。

詳細MSI （必要な場合）:

msiexec /i cisco-secure-client-win-<version>-predeploy-k9.msi /lvx %TEMP%\ac-install.log

システム情報：msinfo32 /nfo %TEMP%\msinfo.nfoおよびsysteminfo > %TEMP%\sysinfo.txt

ドライバデータベースエラーについては、『Cisco Secure Client：破損したドライバデータベースの問題』および『管理者ガイド』の「VPN Clientドライバでエラーが発生する（Microsoft Windows Update後）」を参照してください。

接続の解除と初期接続確立の失敗

Cisco Secure Clientで接続の問題が発生する場合は、トラブルシューティング用の収集情報ごとにデータを収集してから、設定を変更します。

ヘッドエンド設定：show running-configまたはFTDのFMC/CDOからのエクスポートポリシー。
クライアントログ：DARTバンドルを収集します（「情報の収集」を参照）。レガシーのEvent Viewer .evtエクスポートに依存しないでください。
ASAデバッグ（必要な場合）：デバッグ時にlogging class auth、webvpn、ssl、およびanyconnectを有効にし、障害を再現し、コンソール出力をキャプチャしてから、no logging enableを実行します。

ユーザが接続できない場合、問題はリモートデスクトッププロトコル(RDP)またはファーストユーザスイッチングに関連している可能性があります。AnyConnect profile settings mandate a single local user, but multiple local users are currently logged into your computer.（AnyConnectプロファイル設定では1人のローカルユーザが必須となっていますが、複数のローカルユーザがコンピュータにログインしています。）VPN接続を確立できません。

RDPセッションを切断し、Fast User Switchingを無効にします。同じマシン上でVPNを確立する複数の同時ローカルユーザはサポートされません。

注：クライアントがヘッドエンドに到達できるように、ポート443（およびDTLS用のUDP 443）がブロックされていないことを確認してください。

ユーザが接続できない場合、問題の原因はCisco Secure Clientのバージョンとヘッドエンドソフトウェアの間の互換性がないことが考えられます。The installer was not able to start the Cisco VPN client, clientless access is not availableというエラーメッセージが表示されます。 ASAまたはFTDリモートアクセスVPNの導入でサポートされているバージョンにクライアントをアップグレードします。

Cisco Secure Clientに初めてログインするときに、ログインスクリプトに問題がある可能性があります。接続を切断して再度ログインすると、多くの場合、ログインスクリプトが期待どおりに実行されます。プロファイルとスクリプトのタイミングによっては、これは予想どおりの動作になる場合があります。

接続すると、「User not authorized for AnyConnect Client access, contact your administrator」というメッセージが表示されます。これは、ヘッドエンドにセキュアクライアントイメージがない場合によく見られます。正しいクライアントイメージをアップロードし、RA VPN/WebVPN設定で参照します。

デッドピア検出(DPD)の障害によってDTLSチャネルが切断された場合、DARTでTUNNELPROTOCOLDPDMGR_ERROR_NO_DPD_RESPONSEが表示される可能性があります。ASAでキープアライブを調整します。

webvpn
 anyconnect ssl keepalive 15
 anyconnect dpd-interval client 5
 anyconnect dpd-interval gateway 5

一時的なテストとしてのみDTLSを無効にします(ASDM:Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles、Enable DTLSのチェックマークをはずすか、FMCで同等の機能を使用します)。 DPDタイミングを修正してUDP 443を許可することを優先します。

通過トラフィックの問題

ASAを介したCisco Secure Clientセッションでプライベートネットワークへのトラフィックの通過に関する問題が検出された場合は、次の手順でデータを収集します。

ASAコンソールから、show vpn-sessiondb detail anyconnect filter name <username>の出力を取得します。出力にFilter Name: XXXXXが表示される場合は、show access-list XXXXXを収集します。アクセスリストが目的のトラフィックをブロックしていないことを確認します。
接続統計情報のエクスポート：Cisco Secure Client > Gear > Advanced Window > Statistics > AnyConnect VPN > Export Stats。
ASA設定でnat設定文を確認します。ネットワークアドレス変換(NAT)が有効な場合、クライアントに戻るトラフィックを除外します。AnyConnectプールをNAT免除する例：
```
access-list in_nat0_out extended permit ip any 10.136.246.0 255.255.255.0
ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
nat (inside) 0 access-list in_nat0_out
```
トンネリングされたデフォルトゲートウェイを有効にする必要があるかどうかを判断します。例：
```
route outside 0 0 10.145.50.1
route inside 0 0 10.0.4.2 tunneled
```
クライアントがVPNゲートウェイルーティングテーブルにないリソースに到達する必要がある場合、tunneledキーワードにより、そのトラフィックはVPNトンネルを介してルーティングされます。
検査ポリシーでアプリケーショントラフィックがドロップされるかどうかを確認します。モジュラポリシーフレームワークでプロトコルを除外できます。Skinnyの例：
```
ASA(config)# policy-map global_policy
ASA(config-pmap)#  class inspection_default
ASA(config-pmap-c)# no inspect skinny
```

AnyConnect のクラッシュの問題

次のデータ収集手順を実行します。

クラッシュが発生した直後にDARTを収集します。
vpnagent.exeまたはacvpnui.exeのWindowsエラー報告エントリに注意してください。
クライアントログ：%LOCALAPPDATA%\Cisco\Cisco Secure Client\Logs（使用しているバージョンのパスを確認します）。

フラグメンテーションまたは通過トラフィックの問題

Microsoft Outlookなどの一部のアプリケーションは、トンネルが小さなpingのような小さなトラフィックを通過させている間は機能しません。これは、パス上のフラグメンテーションを示す可能性があります。一般消費者向けのルータでは、フラグメンテーションと再構成が不十分な場合がよくあります。

一連のpingのスケーリングを試行します(ping -l 500、ping -l 1000、ping -l 1500、ping -l 2000)。

影響を受けるユーザ専用のグループポリシーを設定し、より低いMTUを設定します。

group-policy <name> attributes
 webvpn
  anyconnect mtu 1200

自動的なアンインストール

問題

ASDM/FMCでkeep installedが選択されている場合でも、接続の終了後にCisco Secure Clientがアンインストールされます。

ソリューション

group-policy <name> attributes
 webvpn
  anyconnect keep-installer installed

クラスタ FQDN の設定問題

問題：AnyConnectクライアントに、クラスタの完全修飾ドメイン名（FQDN）ではなくホスト名が予め入力されます。

SSL VPNのロードバランシングクラスタがあり、クライアントが接続すると、要求がクラスタノードにリダイレクトされ、ログインに成功します。後で接続しようとすると、クラスタFQDNがConnect toに表示されず、代わりに最後のノードのホスト名が表示される場合があります。

ソリューション

クライアントは、最後に成功したホスト名をキャッシュします。キャッシュされたエントリをクリアするか、プロファイルサーバーリストでクラスターのFQDNを設定してください。Cisco Secure Client 5.xでの確認プラットフォーム固有の注意事項については、Cisco Bug ID CSCsz39019を参照してください。

バックアップサーバリストの設定

バックアップサーバリストは、プライマリサーバに到達できないときに設定されます。クライアントプロファイルのBackup Serverペインで定義します。次のステップを実行します。

ヘッドエンドセキュアクライアントパッケージから、または『セキュアクライアント5.1プロファイルコンフィギュレーションガイド』に従って、プロファイルエディタでプロファイルを編集します。ASDMまたはFMCでプロファイルを割り当てます。
XMLプロファイルの作成または編集：
1. [server list] タブに移動します。
2. [Add] をクリックします。
3. プライマリサーバのホスト名を入力します。
4. バックアップサーバのリストにバックアップサーバを追加し、Addをクリックします。
プロファイルをASAの接続に割り当てます。
1. ASDMで、Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profilesの順に選択します。
2. 該当するプロファイルを選択して [Edit] をクリックします。
3. [Default Group Policy] セクションの [Manage] をクリックします。
4. 該当するグループポリシーを選択して、[Edit] をクリックします。
5. Advancedを選択してから、SSL VPN Clientを選択します。
6. Newをクリックし、プロファイルに名前を付けて、XMLファイルを割り当てます。
クライアントを接続してプロファイルをダウンロードします。

Cisco Secure Client：破損したドライバデータベースの問題

SetupAPI.logファイルのこのエントリは、カタログシステムが破損していることを示しています。

W239 ドライバ署名クラスリスト：" C:\WINDOWS\INF\certclas.inf" was missing or invalid.Error 0xfffffde5: Unknown Error。これは、すべてのデバイスクラスがドライバ署名ポリシーの対象であることを前提としています。また、「Error(3/17): Unable to start VA, setup shared queue, or VA gave up shared queue」というメッセージも表示されます。

そして、クライアントで次のログを受信できます： 「The VPN client driver has encountered an error」。

修復

この問題は、Cisco Bug ID CSCsm54689に関連しています。Cisco Secure Clientを起動する前に、ルーティングとリモートアクセスサービス(RRAS)を無効にしてください。問題が解決しない場合は、次の手順を実行します。

Windowsでは、コマンドプロンプトをAdministratorとして開きます。
net stop CryptSvc を実行します。

次のコマンドを実行します。

esentutl /p%systemroot%\System32\catroot2\
{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb

プロンプトが表示されたら、[OK] を選択して修復を試行します。
コマンドプロンプトを終了します。
再起動します。

修復の失敗

修復が失敗した場合：

Windowsでは、コマンドプロンプトをAdministratorとして開きます。
net stop CryptSvc を実行します。
%WINDIR%\system32\catroot2の名前をcatroot2_oldに変更します。
コマンドプロンプトを終了します。
再起動します。

データベースの分析

データベースはいつでも分析して、有効かどうかを判断できます。

Windowsでは、コマンドプロンプトをAdministratorとして開きます。
次のコマンドを実行します。
```
esentutl /g%systemroot%\System32\catroot2\
{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
```
詳細については、『System Catalog Database Integrity』を参照してください。

エラーメッセージ

エラー: Unable to Update the Session Management Database

このエラーは、ブラウザベースのSSL VPNまたはWebポータル認証中に表示される可能性があります。クライアントまたはポータルで「Unable to Update the Session Management Database」と表示される。ASAは、「%ASA-3-211001: Memory allocation Error.The adaptive security appliance failed to allocate RAM system memory」と表示されます。

解決策 1

Cisco Bug ID CSCsm51093に関連。ASAをリロードするか、バグごとに修正済みリリースにアップグレードします。FTDで、プラットフォームメモリとRA VPNセッションの制限を確認します。

解決策 2

空きヘッドエンドメモリ：

脅威検出が有効になっている場合は無効にします。
グループポリシーwebvpnセクションで、AnyConnect圧縮を無効にする：anyconnect compression none。
ASA をリロードします。
256 MBのRAMを搭載した古いASAプラットフォームでは、メモリ不足が続く場合は512 MBにアップグレードします。

エラー：Cisco Secure Clientのインストール中に「Module failed to register」

Windowsへのインストール時に、モジュール(vpnapi.dllなど)の登録とロールバックが失敗したことがインストーラから報告されます。

ソリューション

競合するVMware仮想ネットワークアダプタを一時的に削除し、Secure Clientを再インストールし、VMwareを追加し直します。
Web展開を使用している場合は、ヘッドエンドFQDNを信頼済みサイトに追加します。
C:\Program Files\Cisco\Cisco Secure Client\から、regsvr32 vpnapi.dll(および、存在する場合はvpncommon.dll、vpncommoncrypt.dll)を実行します。
MSIの詳細ログ（「インストール」セクションを参照）を収集し、インストールが失敗する場合はDARTを収集します。
最後の手段として、Windowsを修復するか、クリーンなSecure Clientアンインストールから再デプロイします。

エラー: "An error was received from the secure gateway in response to the VPN negotiation request.Please contact your network administrator"

クライアントがCisco Secure Clientに接続すると、ゲートウェイから「Illegal address class」、「Host or network is 0」、または「Other error」などのエラーが返されます。

ソリューション

ASAまたはFTDのローカルIPプールが枯渇しているか、設定に誤りがあるVPNアドレスプールを展開し、適切なマスクを使用します（たとえば、/32専用プールの代わりに/24）。 Cisco Bug ID CSCsl82188を参照してください。

エラー: Anyconnect not enabled on VPN server while trying to connect anyconnect to ASA

クライアントから、AnyConnect/セキュアクライアントがVPNサーバで有効になっていないことが報告されます。

ソリューション

リモートアクセスVPNを有効にし、ヘッドエンドにセキュアクライアントイメージを展開します。ASAで、Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profilesの順に選択します。FTDで、FMCにRA VPNとクライアントイメージを設定します。クライアントレスWebVPNのみの設定ではなく、リモートアクセスVPNガイドを使用してください。

エラー:- %ASA-6-722036: Group client-group User xxxx IP x.x.x.x Transmitting large packet 1220 (threshold 1206)

%ASA-6-722036: Group < client-group > User < xxxx > IP < x.x.x.x> Transmitting large packet 1220 (threshold 1206)メッセージがASAログに表示されます。

ソリューション

大きなパケットがクライアントに送信されました（MTUまたは非圧縮データ）。グループポリシーの圧縮を無効にします。

group-policy <name> attributes
 webvpn
  anyconnect compression none

エラー: The secure gateway has rejected the agent's vpn connect or reconnect request.

たとえば、ゲートウェイメッセージに「no assigned address」、「Host or network is 0」、または「No License」が含まれているとします。

ソリューション

リロードまたはフェールオーバー後に、ヘッドエンドに設定済みのIPローカルプールとグループポリシーアドレスが割り当てられていることを確認します。

show running-config | include pool
ip local pool SSLPOOL 192.168.30.2 192.168.30.254
 anyconnect address-pool SSLPOOL

No Licenseの場合、必要なセキュアクライアントモビリティライセンスをヘッドエンドにインストールするか、有効にします。

エラー: "The VPN client driver has encountered an error"

通常、仮想アダプタの障害、RRASの競合、またはWindows Update後のドライバの問題です。

ソリューション

Secure Clientを起動する前に、ルーティングとリモートアクセスサービス(RRAS)を無効にしてください。
setupapiでカタログエラーが表示される場合は、「Cisco Secure Client：破損したドライバデータベースの問題」の手順を実行します。
Windows Updateの後、『Secure Client 5.1管理者ガイド』の「Repair VPN Client Driver Error」を使用してください。
DARTを収集し、必要に応じてTACに連絡します。Cisco Bug ID CSCsm54689を参照してください。

エラー: "Unable to process response from xxx.xxx.xxx.xxx"

Cisco Secure ClientがUnable to process response from <gateway>で接続に失敗する。

ソリューション

影響を受けるインターフェイスでリモートアクセスVPN/WebVPNを無効にしてから再度有効にします。
一時的にSSL VPNを別のポート（444など）に移動し、443を復元します。

「ASAでのSSL VPNクライアントの設定」を参照してください。エラーが解決しない場合は、DARTを収集します。

エラー: "Login Denied , unauthorized connection mechanism , contact your administrator"

Cisco Secure Clientで「Login Denied, unauthorized connection mechanism, contact your administrator」と表示される。

ソリューション

ヘッドエンド（ASAまたはFTD）の接続プロファイルと認証を確認します。クライアント認証方式（RADIUS、SAML、証明書など）がプロファイルと一致していることを確認します。グループポリシーとトンネルグループの割り当てを確認します。

エラー: "Anyconnect package unavailable or corrupted.Contact your system administrator"

このエラーは、MacintoshクライアントからCisco Secure Clientを起動するときに表示される可能性があります。

ソリューション

ヘッドエンドフラッシュにmacOS Secure Clientパッケージをアップロードします。

WebVPNの設定で参照してください。

webvpn
 anyconnect image disk0:/cisco-secure-client-macos-<version>-predeploy-k9.pkg 2

エラー: "The AnyConnect package on the secure gateway could not be located"

Linux（または他のプラットフォーム）では、クライアントはヘッドエンドからパッケージをダウンロードできません。

"The AnyConnect package on the secure gateway could not be located. You may
be experiencing network connectivity issues. Please try connecting again."

ソリューション

クライアントOSがサポートされており、ヘッドエンドに正しいイメージが設定されていることを確認します。

webvpn
 anyconnect image disk0:/cisco-secure-client-win-<version>-predeploy-k9.pkg 1
 anyconnect image disk0:/cisco-secure-client-macos-<version>-predeploy-k9.pkg 2

関連する手順については、「使用できないまたは破損しているAnyConnectパッケージ」を参照してください。

エラー: "Secure VPN via remote desktop is not supported"

ユーザには、「リモートデスクトップ経由のセキュアVPNはサポートされていません」と表示されます。

ソリューション

サポートされているCisco Secure Client 5.xリリースにアップグレードします。Cisco Bug ID CSCsu22088およびCisco Bug ID CSCso42825を参照してください。

エラー: "The server certificate received or its chain does not comply with FIPS.A VPN connection will not be established"

クライアントから、サーバー証明書またはチェーンがFIPSに準拠していないことが報告されました。

ソリューション

エンドポイントでFIPSが必要な場合は、ヘッドエンドでFIPS準拠の証明書を使用します。このファイルが不要な場合は、C:\ProgramData\Cisco\Cisco Secure Client\AnyConnectLocalPolicy.xmlを編集して<FipsMode>false</FipsMode>を設定し、再起動します（管理者権限が必要）。

エラー: "Certificate Validation Failure"

ユーザがCisco Secure Clientを起動できず、証明書検証エラーを受け取ります。

ソリューション

証明書認証では、クライアント証明書をインポートし、証明書認証のプロファイルを設定し、ASAで次のコマンドを実行します。

ssl certificate-authentication interface outside port 443

サーバ証明書がプロファイルサーバリスト内のFQDNに一致していることを確認します。

エラー: "VPN Agent Service has encountered a problem and needs to close.We are sorry for the inconvenience"

インストール、アップグレード、または接続中にvpnagent.exeサービスに障害が発生します。

ソリューション

Windowsサービスで、Cisco Secure Client - AnyConnect VPN Agentを再起動します。
ヘッドエンドWeb配置から修復または再インストールします。
サービスが繰り返し失敗する場合は、DARTを収集します。Citrixの競合については、Cisco Bug ID CSCsq49102を参照してください。

エラー: "This installation package could not be opened.Verify that the package exists"

Web配置が失敗し、パッケージを開けなかったというWindowsインストーラエラーが表示されます。

ソリューション

MSIのダウンロードが完了したことを確認します。ヘッドエンドポータルから再試行します。
ダウンロードフォルダでアグレッシブAVを一時的に無効にし、詳細なMSIログを収集します。
Windowsインストーラサービスが実行されていることを確認します。
問題が解決しない場合は、DART/MSIログを収集し、TACケースをオープンします。

エラー: "Error applying transforms.Verify that the specified transform paths are valid."

ヘッドエンドからの自動ダウンロードが、破損したMSTトランスフォームが原因で失敗する場合があります。

ソリューション

ヘッドエンドのAnyConnectカスタムインストール定義からカスタムMSTトランスフォームを削除します。
ヘッドエンドで正しいセキュアクライアントイメージを再アップロードします。
ASDMでNetwork (Client) Access > AnyConnect Custom > Installs – 重複するエントリを削除し、クライアント設定の下にアクティブイメージを保持します。

エラー: "A VPN reconnect resulted in different configuration setting.The VPN network setting is being re-initialized.Applications utilizing the private network may need to be restored."

このメッセージは、ヘッドエンドのプッシュ設定が変更されたときに再接続後に表示される場合があります。

ソリューション

group-policy <Name> attributes
 webvpn
  anyconnect mtu 1200

ログイン時のCisco Secure Clientエラー

問題：VPN接続はローカルプロキシ経由では許可されていません。これは、AnyConnectのプロファイル設定を使用して変更できます。

ソリューション

<ProxySettings>IgnoreProxy</ProxySettings>
<AllowLocalProxyConnections>false</AllowLocalProxyConnections>

エラー: AnyConnect Essentials can not be enabled until all these sessions are closed.

AnyConnect Essentialsを有効にしたときに、ASDMに「clientless SSL VPN sessions in-progress」と表示される。

ソリューション

AnyConnect Essentialsは、Premium Shared SSL VPNライセンスと同時に実行することはできません。Essentialsをイネーブルにする前に、クライアントレスSSL VPN(WebVPN)セッションを終了してください。EssentialsにはクライアントレスSSL VPNは含まれません。

エラー: Few users getting Login Failed Error message when others are able to connect successfully through AnyConnect VPN

一部のユーザはLogin Failedを受信し、他のユーザは接続できます。

ソリューション

影響を受けるユーザに対して、do not require pre-authentication（または同等の）が正しく設定されていることを確認します。グループポリシーと接続プロファイルのマッピングを比較します。

エラー: The certificate you are viewing does not match with the name of the site you are trying to view.

Windowsでのプロファイルの更新中に、接続URLに対する証明書の検証が失敗します。

ソリューション

<ServerList>
 <HostEntry>
    <HostName>vpn1.example.com</HostName>
 </HostEntry>
</ServerList>

注：証明書がFQDNのみの場合は、パブリックIPを使用する<HostAddress>エントリを削除します。

フェールオーバー後に AnyConnect プロファイルがスタンバイ側へ複製されない

ASAのフェールオーバー後に、スタンバイユニットでセキュアクライアントプロファイル関連のファイルが消失する。

ソリューション

Cisco Bug ID CSCtn71662を参照してください。回避策：プロファイルファイルをスタンバイに手動でコピーします。RA VPNプロファイルのステートフルフェールオーバー設定の同期を確認します。

エラーメッセージ: TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER

Cisco Secure Clientが「Unable to establish a connection」で接続に失敗します。イベントログにTLSPROTOCOL_ERROR_INSUFFICIENT_BUFFERと表示されます。

ソリューション

これは、非常に大きなスプリットトンネルリスト（約180 ～ 200エントリ）と、その他のグループポリシー属性(dns-serverなど)で発生します。

スプリットトンネルリストエントリを減らす。

DTLSを一時的に無効にします。

group-policy groupName attributes
 webvpn
  anyconnect ssl dtls none

Cisco Bug ID CSCtc41770を参照してください。

エラーメッセージ: "Connection attempt has failed due to invalid host entry"

証明書の認証中に無効なホストエントリが発生したため、接続に失敗しました。

ソリューション

プロファイルサーバリストで有効なホスト名(FQDN)を使用します。
サポートされているCisco Secure Client 5.xを使用します。
廃止されたCisco Secure Desktop(CSD)ポリシーがまだ存在する場合は削除します。

Cisco Bug ID CSCti73316を参照してください。

エラー: "Ensure your server certificates can pass strict mode if you configure always-on VPN"

Always-Onが有効な場合、クライアントはサーバ証明書がstrictモードを通過する必要があることを報告できます。

ソリューション

Always-Onには、接続URLと一致する有効なヘッドエンド証明書が必要です。ローカルポリシーのStrict Certificate Modeは、証明書が信頼できない、または一致しない場合にエラーを引き起こします。

『Secure Client 5.1 Administrator Guide』の「Certified by an Unknown Authority」を参照してください。

エラー: "An internal error occurred in the Microsoft Windows HTTP Services"

DARTでは、HttpSendRequestエラーや、Microsoft Windows HTTPサービスで内部エラーが発生し、CTransportWinHttpエラーが表示される場合があります。

ソリューション

これは、破損したWinsock状態によって発生する可能性があります。管理者特権でのコマンドプロンプトから： netsh winsock reset

Windowsを再起動して、MicrosoftのWinsockのリセットに関するガイダンスを参照してください。

エラー: "The SSL transport received a Secure Channel Failure.May be a result of a unsupported crypto configuration on the Secure Gateway."

Cisco Secure ClientのDARTでは、クライアントとヘッドエンドの間でTLSまたは暗号ネゴシエーションが失敗した場合、CTransportWinHttpエラーとCTransPORT_ERROR_SECURE_CHANNEL_FAILUREが表示される場合があります。

ソリューション

ヘッドエンドでは、TLS 1.2+と最新の暗号スイートのみを使用します。DES、3DES、またはRC4を有効にしないでください。

ASAの例：

ssl cipher tlsv1.2 custom "AES256-GCM-SHA384:AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256"

サーバ証明書の有効性とFQDNの一致を確認します。
クライアントとヘッドエンドをサポートされているリリースにアップグレードします。
Windowsでは、SchannelをTLS 1.2+のままにしてください。廃止されたヘッドエンドのクライアント暗号化を弱めないでください。

改定	発行日	コメント
3.0	23-Jun-2026	スペルチェック、文法、文章構造、概要、スペース、およびCCWのアラートを更新。
1.0	04-Apr-2018	初版

Cisco Secure Client VPNの一般的な問題のトラブルシューティング

ダウンロード オプション

偏向のない言語

翻訳について

内容

はじめに

前提条件

要件

使用するコンポーネント

トラブルシューティングプロセス

トラブルシューティングのための情報の収集

クライアント：統計情報とDART

ヘッドエンド：ASA

ヘッドエンド：FTD

インストールと仮想アダプタの問題

接続の解除と初期接続確立の失敗

通過トラフィックの問題

AnyConnect のクラッシュの問題

フラグメンテーションまたは通過トラフィックの問題

自動的なアンインストール

クラスタ FQDN の設定問題

バックアップ サーバ リストの設定

Cisco Secure Client：破損したドライバデータベースの問題

修復

修復の失敗

データベースの分析

エラー メッセージ

エラー: Unable to Update the Session Management Database

解決策 1

解決策 2

エラー：Cisco Secure Clientのインストール中に「Module failed to register」

ソリューション

エラー: "An error was received from the secure gateway in response to the VPN negotiation request.Please contact your network administrator"

ソリューション

エラー: Anyconnect not enabled on VPN server while trying to connect anyconnect to ASA

ソリューション

エラー:- %ASA-6-722036: Group client-group User xxxx IP x.x.x.x Transmitting large packet 1220 (threshold 1206)

ソリューション

エラー: The secure gateway has rejected the agent's vpn connect or reconnect request.

ソリューション

エラー: "The VPN client driver has encountered an error"

ソリューション

エラー: "Unable to process response from xxx.xxx.xxx.xxx"

ソリューション

エラー: "Login Denied , unauthorized connection mechanism , contact your administrator"

ソリューション

エラー: "Anyconnect package unavailable or corrupted.Contact your system administrator"

ソリューション

エラー: "The AnyConnect package on the secure gateway could not be located"

ソリューション

エラー: "Secure VPN via remote desktop is not supported"

ソリューション

エラー: "The server certificate received or its chain does not comply with FIPS.A VPN connection will not be established"

ソリューション

エラー: "Certificate Validation Failure"

ソリューション

エラー: "VPN Agent Service has encountered a problem and needs to close.We are sorry for the inconvenience"

ソリューション

エラー: "This installation package could not be opened.Verify that the package exists"

ソリューション

エラー: "Error applying transforms.Verify that the specified transform paths are valid."

ソリューション

エラー: "A VPN reconnect resulted in different configuration setting.The VPN network setting is being re-initialized.Applications utilizing the private network may need to be restored."

ソリューション

ログイン時のCisco Secure Clientエラー

ソリューション

エラー: AnyConnect Essentials can not be enabled until all these sessions are closed.

ソリューション

エラー: Few users getting Login Failed Error message when others are able to connect successfully through AnyConnect VPN

ソリューション

エラー: The certificate you are viewing does not match with the name of the site you are trying to view.

ソリューション

フェールオーバー後に AnyConnect プロファイルがスタンバイ側へ複製されない

ソリューション

エラーメッセージ: TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER

ソリューション

エラーメッセージ: "Connection attempt has failed due to invalid host entry"

ソリューション

エラー: "Ensure your server certificates can pass strict mode if you configure always-on VPN"

ソリューション

ダウンロードオプション

バックアップサーバリストの設定

エラーメッセージ

シスコエンジニア提供