お問い合わせ内容
Windows DellラップトップでCisco Secure Client - Umbrella SWG Agentサービスを実行すると、ユーザはどのWebサイトにもアクセスできません。Umbrella SWG Agentサービスが停止すると、通常のWebアクセスが復元されます。この問題は、AnyConnect VPNモジュールとUmbrellaモジュールの両方が含まれているCisco Secure Clientバージョン5.1.14.145で発生します。OrgInfo.jsonファイルが予期されるディレクトリにあり、Cisco Secure AccessルートCA証明書が信頼できるルート証明書ストアにインストールされている。
環境
- 製品:Cisco Secure Client(AnyConnect VPNおよびUmbrellaモジュール)
- ソフトウェアバージョン:5.1.14.145
- OS:Windows(Dellノートパソコン)
- Umbrella SWGエージェントサービスが有効/無効
- OrgInfo.jsonは
%ProgramData%\Cisco\Cisco Secure Client\Umbrella\OrgInfo.jsonにあります。
- Trusted Root Certification AuthoritiesストアにインストールされたCisco Secure Access Root CA
- セキュアアクセスダッシュボードでDNS/Webセキュリティを有効にする
- 復号化が有効な割り当て済みセキュリティプロファイル
解決策
この問題は、クライアントデバイスのネットワークタイムプロトコル(NTP)同期障害を特定して修正することで解決されました。 時間を同期できないため、WebトラフィックをプロキシするためにUmbrella SWGエージェントが必要とするセキュアな通信ができず、TCPリセット(RST)パケットが発生し、Webアクセスが失われました。 NTP同期が復元されると、WebアクセスはSWGエージェントがアクティブな状態で正常に機能しました。
次の包括的なトラブルシューティングワークフローに従います。
ステップ1:設定と前提条件の確認
OrgInfo.jsonが%ProgramData%\Cisco\Cisco Secure Client\Umbrella\OrgInfo.jsonにあることを確認します。- Cisco Secure Access Root CAがTrusted Root Certification Authoritiesストアに存在することを確認します。
- セキュアアクセスダッシュボードでDNS/Webセキュリティが有効になっていることを確認します。
- 割り当てられているセキュリティプロファイルで復号化が有効になっていることを確認します。
ステップ2:ネットワークトラフィックのキャプチャと分析
SWGプロキシ宛のクライアントトラフィックのパケットキャプチャを取得し、予期しないTCPリセットパケットなどの異常な動作を特定します。
問題を示すパケットキャプチャの説明:
The packet capture revealed that TCP reset (RST) packets were being sent to the client, disrupting the connection to the SWG proxy.
手順4:境界ファイアウォール規則を検証する
- 境界ファイアウォールルールを検査して、SWGサーバとの間のトラフィックが入力インターフェイスで許可されていることを確認します。
ステップ5:システムとプロトコルのDiagnosticsを実行します。
NTP同期エラーを確認するには、クライアントで次のコマンドを実行します。
curl ipinfo.io
診断結果の説明:
The output indicated NTP timing was out of sync on the client device.
原因
根本的な原因は、クライアントデバイスでのNTP(Network Time Protocol)同期の失敗です。このタイミングの問題により、クライアントとUmbrella SWGプロキシサービスの間のセキュアな通信が妨げられ、SWGエージェントサービスがアクティブな場合にTCPのリセットパケットが発生し、Webアクセスが失われました。NTP同期の問題を解決すると、Umbrella SWGエージェントが正常に動作するようになり、Webトラフィックを安全にプロキシできるようになりました。
関連コンテンツ
フィードバック