一般的なProtected Roaming Clientエラーのトラブルシューティング

ダウンロード オプション

  • PDF     (352.0 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
Updated: 2025 年 9 月 10 日
Document ID:224847

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、ローミングクライアントが保護されているが、期待どおりに動作しない一般的な問題をトラブルシューティングする方法について説明します。

    概要

    ナレッジベース記事「my roaming client」シリーズへようこそ。このシリーズでは、一般的なローミングクライアントの課題に対する一連のインタラクティブな質問を提供します。

    このドキュメントは、ローミングクライアントが緑色で保護されているが、期待どおりに動作しないシナリオを対象としています。このドキュメントでは、ローミングクライアントを展開した後によく見られるこのシナリオに関するFAQを提供します。クライアントはインストールされますが、動作が期待どおりではありません。

    「My Roaming Client Series」インデックス:

    1. ローミングクライアントがアクティブ化されず、....の状態になる。
    2. ローミングクライアントに「Protected」と表示されますが....

    一般的な問題

    各サブセクションの可能性を探るには、「My roaming client says “Protected” but... _________”」の空白を埋めます。

    不明、保護なし

    これが現在の状態である場合、この記事はこのシナリオの対象ではありません。これは、クライアントがまだ登録されていない保護されていない状態を表します。プロキシがローミングクライアントの登録を阻止する方法については、この記事を参照するか、サポートチームに問い合わせてください。

    ブロックされているサイトはありません

    UDP 53または443経由でDNSに到達できる場合、または既知のポリシーによりクライアントがディセーブルに設定されている場合、ローミングクライアントは208.67.220.220と208.67.222.222に到達できると、「Protected」を報告します。クライアントが保護モードを報告したが、ブロックが発生していない場合は、次の手順を実行します。

    1. プロキシを確認します。透過的または明示的なプロキシの場合、コンピュータで解決されたDNSはプロキシサーバによって再度要求され、上書きされます。Umbrellaをプロキシで使用する
    2. サードパーティ製のソフトウェアDNSプロキシがローミングクライアントのDNS応答を上書きしています
    3. 予想とは異なるポリシーを適用しています。ここでは、期待されるポリシーが適用されていることを確認する方法を参照してください。

    誤ったポリシーが適用されている

    ローミングクライアントは、「Protected and Encrypted」または「Protected and Transparent」と報告しますが、ローミングクライアントポリシーが適用されません。

    1. ローミングクライアントベースのポリシーが最適なポリシーであることを検証します。ネットワーク上にあり、ネットワークがローミングクライアントよりもポリシーの順序が高い場合、そのポリシーが適用されます。適用されるポリシーの決定については、この記事を参照するか、policy-debug.opendns.comを参照してください。
    2. プロキシを確認します。透過的または明示的なプロキシの場合、コンピュータで解決されたDNSはプロキシサーバによって再度要求され、上書きされます。Umbrellaを使用するプロキシサーバは、出力ベースのネットワークレベルカバレッジのみを適用します。Umbrellaをプロキシで使用する
    3. AnyConnect Roamingセキュリティモジュールを使用していますか。スタンドアロンのローミングクライアントも同時にインストールしないでください。ERCService.exeとacumbrellaagent.exeの両方が同時に実行されている場合は、両方がインストールされていることを示します。スタンドアロンのUmbrellaローミングクライアントをアンインストールし、ソフトウェア管理ツールが再インストールされていないことを確認します。

    パブリックDNSまたはすべてのDNSに障害がある

    このシナリオでは、すべてのDNSが応答の受信に失敗します。コマンドプロンプトまたはターミナルのnslookupによってDNSの問題が報告され、ページがロードされない、またはが失敗する、およびブラウザが次のように表示されます。

    1. サードパーティソフトウェアのDNSプロキシがローミングクライアントのDNS応答を上書きしています。多くのソフトウェアは、「Webサイトの宛先」Aレコードを上書きするだけであり、TXTレコードを自由に渡すことができます。ローミングクライアントはTXTレコードでDNSの可用性を確認するため、すべてのAレコードがUmbrellaに到達しない場合でも、ローミングクライアントがアクティブになります。暗号化された包括DNSとバックグラウンドソフトウェアを組み合わせると、DNS Aレコードの送信に失敗することがよくあります。
    2. ファイアウォールには、Umbrellaに干渉する可能性があるDNS保護または「Web保護」サービスが組み込まれています。
    3. これが断続的に発生する場合は、PAT/NATの枯渇である可能性があります。ローミングクライアントが追加されたことにより、ワークステーションの出力ネットワークからの直接UDP接続の数が増加しました。これが原因で、DNSのみまたはすべてのWebトラフィックが失敗することがあります。詳細については、このポート枯渇に関する記事を参照してください。また、UDPタイムアウトの変更またはUDP接続制限の検証がどのように役立つかについても説明しています。
    4. AnyConnect Roamingセキュリティモジュールを使用していますか。スタンドアロンのローミングクライアントも同時にインストールしないでください。ERCService.exeとacumbrellaagent.exeの両方が同時に実行されている場合は、両方がインストールされていることを示します。スタンドアロンのUmbrellaローミングクライアントをアンインストールし、ソフトウェア管理ツールが再インストールされていないことを確認します。

    ローカルDNSの失敗

    このシナリオでは、すべてのパブリックレコードが失敗しますが、内部ドメインリストのドメインは解決されません。ローカルDNSサーバに対して直接クエリーを実行すると、クエリーは成功します。

    1. ドメインが内部ドメインリストに追加されませんか。検索サフィックスは自動的にローカル(クラウド側ではなく)のリストに追加されます。このリストにないローカルのみのドメインは、正しく解決されません。リストにないローカルドメインは、ダッシュボードレポートに表示されます。リストに含まれるドメインは存在しません。ローカルDNSの仕組みについては、こちらを参照してください。
    2. ローカルDNSサーバは正しいですか。ローミングクライアント内に保存されている値が期待どおりであることを確認します。リストされている各サーバ(このドキュメントのロケーションを参照)が応答を返せることを検証します。各ローカルDNS要求の送信先を1つ選択します。これらは、DHCPリースまたは静的割り当てに一致します。そうでない場合は、サポートケースをオープンして知らせてください。
      • Macアドレス:/var/lib/data/opendns/resolv_orig.conf
      • PC:C:\ProgramData\OpenDNS\ERC\Resolver#-Name-of-NetworkAdaptor.conf
    3. ソフトウェアまたはVPNの互換性。この問題が発生するのは、VPN上の場合だけですか。その場合は、VPNによってDNSのフローが制限されていないこと、またはVPNがサポートされていないリストに含まれていないことを確認します。詳細については、VPN互換性に関する記事を参照してください。

    クライアントがダッシュボード上でオフラインと表示される

    ローミングクライアントの同期プロセスは、ダッシュボードに示されているように、クライアントの状態にとって重要です。ローミングクライアントは、次の場合にのみアクティブになります。

    • クライアントが起動してから、同期サーバー(現在はsync.hydra.opendns.com)への同期が少なくとも1つ完了しました
    • Umbrella DNSサーバの1つは、ポート443または53 UDPで使用できます。 

    クライアントのダッシュボードの状態は同期ごとに更新されます(現在は最大60分)。 これらの状態が最新でない理由として、次のことが考えられます。

    1. クライアントの状態は、前回の同期以降に変更されています。ブート時の初期同期は、クライアントが「オフライン」の間、または同期を保護する必要があるため保護されていない間に行われます。
    2. ネットワークの制約により、クライアントで同期の断続的な障害が発生します。初回の同期は実行されたが、その後の同期の更新が失敗し、クライアントがオフラインと表示される可能性がある。
    3. コンピュータは、クライアントが最後に起動されてからネットワークを切り替えました。たとえば、コンピューターが同期アクセスのあるパン屋のカフェでオンにされ、その後、同期アクセスなしで企業ネットワークに持ち込まれたとします。DNSが使用可能な場合、クライアントは保護/暗号化されたままですが、ダッシュボードにはクライアントがオフラインであると表示されます。

    コンピュータで「No Connectivity」警告が表示される

    ローミングクライアントを使用する場合、特定のネットワーク環境のコンピュータではネットワーク接続の「黄色の三角形」のインジケータが表示されますが、ネットワークアクセスは完全に動作しています。これは、インジケータが切り離された場合に同期されないため、OutlookなどのMicrosoftアプリケーションに影響を与える可能性があります。

    1. この問題は、Windowsの既知の設計上の制限です。永続的に解決するには、次の手順を実行します。
      • Windows 7/8:このドキュメントに記載されているhostsファイルの手順に従ってください。
      • Windows 10:バージョン1709以降に更新し、次の手順に従ってグループポリシーまたはレジストリを変更し、Microsoftの修正を実装します。

    コンピュータのローカルDNSエントリが表示されない

    ローミングクライアントは、DNSクエリを内部ドメインリスト内の任意のドメインに透過的に転送します。ローミングクライアントを使用する場合、マシンのDNSを変更するため、ほとんどの場合1つではなく2つのアップデートが表示されます。レコードが消失した場合:

    1. この記事を読んで、クライアントが保護モードに入った瞬間にレコードが削除されないように、Windows 7のMicrosoftホットフィックスを導入してください。

    更新履歴

    改定 発行日 コメント
    1.0
    10-Sep-2025
    初版
    TAC Authored

    シスコ エンジニア提供

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています