ASDM ブック 3：Cisco ASA シリーズ VPN ASDM 7.4 コンフィギュレーションガイド

Application Access 使用時の hosts ファイルエラーからの回復

Application Access の実行の妨げになる hosts ファイルエラーを回避するために、Application Access を使用し終えたら、Application Access ウィンドウを必ず閉じるようにします。ウィンドウを閉じるには、[Close] アイコンをクリックします。

Application Access が正しく終了しなかった場合は、hosts ファイルは、クライアントレス SSL VPN 用にカスタマイズされた状態のままになっています。ユーザが次に Application Access を起動するときに、クライアントレス SSL VPN は hosts.webvpn ファイルを検索することで、Application Access の状態をチェックします。hosts.webvpn ファイルが検出されると、「Backup HOSTS File Found」というエラーメッセージが表示され、Application Access が一時的にオフに切り替わります。

Application Access が異常終了した場合は、リモートアクセスクライアント/サーバアプリケーションが不安定な状態になります。クライアントレス SSL VPN を使用せずにこれらのアプリケーションを起動しようとすると、正しく動作しない場合があります。通常の接続先のホストが使用できなくなる場合があります。一般にこのような状況は、自宅からリモートでアプリケーションを実行し、Application Access ウィンドウを終了せずにコンピュータをシャットダウンし、その後職場でそのアプリケーションを実行しようとした場合に発生します。

Application Access ウィンドウを正しく閉じないと、次のエラーが発生する可能性があります。

次に Application Access を起動しようとしたときに、Application Access がオフに切り替わっている可能性があり、「Backup HOSTS File Found」エラーメッセージが表示される。
アプリケーションをローカルで実行している場合でも、アプリケーション自体がオフに切り替わっているか、または動作しない。

このようなエラーは、Application Access ウィンドウを不適切な方法で終了したことが原因です。次に例を示します。

Application Access の使用中に、ブラウザがクラッシュした。
Application Access の使用中に、停電またはシステムシャットダウンが発生した。
作業中に Application Access ウィンドウを最小化し、このウィンドウがアクティブな状態（ただし最小化されている）でコンピュータをシャットダウンした。

Hosts ファイルの概要

ローカルシステム上の hosts ファイルには、IP アドレスとホスト名がマッピングされています。Application Access を起動すると、クライアントレス SSL VPN は hosts ファイルを修正し、クライアントレス SSL VPN 固有のエントリを追加します。Application Access ウィンドウを正しく閉じて Application Access を終了すると、hosts ファイルは元の状態に戻ります。


Application Access の起動前	hosts ファイルは元の状態です。
Application Access の起動時	クライアントレス SSL VPN は hosts ファイルを hosts.webvpn にコピーして、バックアップを作成します。次に、クライアントレス SSL VPN は hosts ファイルを編集し、クライアントレス SSL VPN 固有の情報を挿入します。
Application Access の終了時	クライアントレス SSL VPN はバックアップファイルを `hosts` ファイルにコピーして、hosts ファイルを元の状態に戻します。クライアントレス SSL VPN は、hosts.webvpn を削除します。
Application Access の終了後	hosts ファイルは元の状態です。

（注）

Microsoft 社のアンチスパイウェアソフトウェアは、ポート転送 Java アプレットによる hosts ファイルの変更をブロックします。アンチスパイウェアソフトウェアの使用時に hosts ファイルの変更を許可する方法の詳細については、www.microsoft.com を参照してください。

クライアントレス SSL VPN による hosts ファイルの自動再設定

リモートアクセスサーバに接続できる場合は、hosts ファイルを再設定し、Application Access やアプリケーションを再度イネーブルにするために、次の手順を実行します。

手順

ステップ 1

クライアントレス SSL VPN を起動してログインします。

[Applications Access] リンクをクリックします。

ステップ 2

次のいずれかのオプションを選択します。

[Restore from backup]：クライアントレス SSL VPN は強制的に正しくシャットダウンされます。クライアントレス SSL VPN は hosts.webvpn backup ファイルを hosts ファイルにコピーし、hosts ファイルを元の状態に戻してから、hosts.webvpn を削除します。その後、Application Access を再起動する必要があります。
[Do nothing]：Application Access は起動しません。リモートアクセスのホームページが再び表示されます。
[Delete backup]：クライアントレス SSL VPN は hosts.webvpn ファイルを削除し、hosts ファイルをクライアントレス SSL VPN 用にカスタマイズされた状態にしておきます。元の hosts ファイル設定は失われます。Application Access は、クライアントレス SSL VPN 用にカスタマイズされた hosts ファイルを新しいオリジナルとして使用して起動します。このオプションは、hosts ファイル設定が失われても問題がない場合にだけ選択してください。Application Access が不適切にシャットダウンされた後に、ユーザまたはユーザが使用するプログラムによって hosts ファイルが編集された可能性がある場合は、他の 2 つのオプションのどちらかを選択するか、または hosts ファイルを手動で編集します

手動による hosts ファイルの再設定

現在の場所からリモートアクセスサーバに接続できない場合や、カスタマイズした hosts ファイルの編集内容を失いたくない場合は、次の手順に従って、hosts ファイルを再設定し、Application Access とアプリケーションを再度イネーブルにします。

手順

ステップ 1	hosts ファイルを見つけて編集します。最も一般的な場所は、c:\windows\sysem32\drivers\etc\hosts です。
ステップ 2	`# added by WebVpnPortForward` という文字列が含まれている行があるかどうかをチェックします。この文字列を含む行がある場合、hosts ファイルはクライアントレス SSL VPN 用にカスタマイズされています。hosts ファイルがクライアントレス SSL VPN 用にカスタマイズされている場合、次の例のようになっています。 server1 # added by WebVpnPortForward server1.example.com invalid.cisco.com # added by WebVpnPortForward server2 # added by WebVpnPortForward server2.example.com invalid.cisco.com # added by WebVpnPortForward server3 # added by WebVpnPortForward server3.example.com invalid.cisco.com # added by WebVpnPortForward # Copyright (c) 1993-1999 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to hostnames. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding hostname. # The IP address and the hostname should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a '#' symbol. # # For example: # # 102.54.94.97 cisco.example.com # source server # 38.25.63.10 x.example.com # x client host 123.0.0.1 localhost
ステップ 3	`# added by WebVpnPortForward` という文字列が含まれている行を削除します
ステップ 4	ファイルを保存して、閉じます。
ステップ 5	クライアントレス SSL VPN を起動してログインします。
ステップ 6	[Application Access] リンクをクリックします。

管理者によるクライアントレス SSL VPN ユーザへのアラートの送信

手順

ステップ 1	メイン ASDM アプリケーションウィンドウで、[Tools] > [Administrator’s Alert Message to Clientless SSL VPN Users] を選択します。
ステップ 2	送信する新規または編集済みのアラート内容を入力して、[Post Alert] をクリックします。
ステップ 3	現在のアラート内容を削除して新しいアラート内容を入力するには、[Cancel Alert] をクリックします。

クライアントレス SSL VPN セッションクッキーの保護

Flash アプリケーションや Java アプレットなどの組み込みオブジェクト、および外部アプリケーションは、通常は既存のセッションのクッキーに依存してサーバと連携しています。これらの組み込みオブジェクトは、初期化時にいくつかの Javascript を使用してブラウザからクッキーを取得します。クライアントレス SSL VPN セッションクッキーに httponly フラグを追加すると、セッションクッキーがブラウザのみで認識され、クライアント側のスクリプトでは認識されなくなり、セッションの共有は不可能になります。

始める前に

VPN セッションのクッキー設定は、アクティブなクライアントレス SSL VPN セッションがない場合にだけ変更してください。
クライアントレス SSL VPN セッションのステータスを確認するには、show vpn-sessiondb webvpn コマンドを使用します。
vpn-sessiondb logoff webvpn コマンドを使用して、すべてのクライアントレス SSL VPN セッションからログアウトします。
次のクライアントレス SSL VPN 機能は、http-only-cookie コマンドがイネーブルの場合に動作しません。
- Java プラグイン
- Java リライタ
- ポートフォワーディング。
- ファイルブラウザ
- デスクトップアプリケーション（Microsoft Office アプリケーションなど）を必要とする Sharepoint 機能
- AnyConnect Web 起動
- Citrix Receiver、XenDesktop、および Xenon
- その他の非ブラウザベースアプリケーションおよびブラウザプラグインベースのアプリケーション

クライアントレス SSL VPN セッション Cookie が JavaScript などのクライアント側のスクリプトを介してサードパーティからアクセスされないようにするには、次の手順を実行します。

手順

ステップ 1

[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [HTTP Cookie] を選択します。

ステップ 2

[Enable HTTP-only VPN cookies] チェックボックスをオンにします。

（注）

この設定は、Cisco TAC から指示された場合にのみ使用してください。このコマンドをイネーブルにすると、「ガイドライン」に記載されているクライアントレス SSL VPN 機能が警告なしで動作しなくなるため、セキュリティ上のリスクが発生します。

ステップ 3

[Apply] をクリックして変更内容を保存します。

Book Title

Chapter Title

検索結果

章のタイトル：クライアントレス SSL VPN のトラブルシューティング

クライアントレス SSL VPN のトラブルシューティング