DART CLI 内では、クライアントの固有デバイス識別子（UDID) を表示できます。たとえば、Windows で、dartcli.exe（C:\Program Files\Cisco\Cisco Secure Client）が含まれているフォルダに移動し、 dartcli.exe -u または dartclie.exe udid を入力します。

Cisco Secure Client のインストールまたはアンインストールに失敗した場合は、DART コレクションはこの状況を診断しないため、ログを収集する必要があります。

Cisco Secure Client ファイルを解凍したのと同じディレクトリで、msiexec コマンドを実行します。

• インストールに失敗した場合は、次のように入力します。

  C:\temp>msiexec \i cisco-secure-client-win-version-predeploy-k9.msi \lvx c:\Temp\ac-install.log?

  ここで c:/temp/ac-install.log? は、任意のファイル名にすることができます。
• アンインストールに失敗した場合は、次のように入力します。

  c:\temp>msiexec \x cisco-secure-client-win-version-predeploy-k9.msi /lvx c:\Temp\ac-uninstall.log?

  ここで c:/temp/ac-uninstall.log? は、任意のファイル名にすることができます。

（注）	アンインストールに失敗した場合は、現在インストールされているバージョン固有の MSI を使用する必要があります。

上記と同じコマンドを変更して、正しくインストールまたはアンインストールされなかった Windows のすべてのモジュールに関する情報をキャプチャすることもできます。

ログは、次のファイル内に保持されます。

• Windows：\Windows\Inf\setupapi.app.log または \Windows\Inf\setupapi.dev.log

  （注）	Windows では、隠しファイルを表示する必要があります。

  展開は手動であるため、Web ポータルでインストーラーファイルをダウンロードし、独自のログファイル名を割り当てることを選択できます。

  。

  アップグレードがゲートウェイからプッシュされた場合、ログファイルは次の場所にあります。

  %WINDIR%\TEMP\cisco-secure-client-win-<version>-core-vpn-webdeploy-k9-install-yyyyyyyyyyyyyy.log

  インストールするクライアントのバージョンの最新ファイルを取得します。xxx はバージョンによって異なり、yyyyyyyyyyyyyy はインストールの日時を示します。

• macOS（10.12 以降）：ロギングデータベース。「コンソール」アプリまたはログコマンドを使用して、VPN、DART、または Umbrella のログを照会します。

• macOS（レガシーファイルベースのログ）：/var/log/system.log（他のすべてのモジュール）

• Linux Ubuntu：/var/log/syslog

• Linux Red Hat：/var/log/messages

問題：Cisco Secure Client が初期接続を確立しないか、または Cisco Secure Client ウィンドウで [接続解除（Disconnect）] をクリックすると予期しない結果が得られます。

解決策：次の点をチェックします。

• ネットワークまたは WiFi アダプタのドライバが古いため、断続的な接続の問題が発生する可能性があります。ドライバをアップグレードして、再試行してください。

• Citrix Advanced Gateway Client Version 2.2.1 を使用している場合は、CtxLsp.dll の問題が Citrix によって解決されるまで Citrix Advanced Gateway Client を削除してください。

• AT&T Sierra Wireless 875 カードと AT&T Communication Manager Version 6.2 または 6.7 を使用している場合は、次の手順に従って問題を修正してください。

  1. Aircard でアクセラレーションを無効にします。
  2. [ツール（Tools）] > [設定（Settings）] > [アクセラレーション（Acceleration）] > [スタートアップ（Startup）] から AT&T Communications Manager を起動します。
  3. manual と入力します。
  4. [停止（Stop）] をクリックします。

• Cisco Secure Firewall ASA からコンフィギュレーション ファイルを取得し、次のようにして接続失敗の兆候を探します。

  • Cisco Secure Firewall ASA コンソールから write net x.x.x.x:ASA-Config.txt と入力します。この x.x.x.x はネットワーク上の TFTP サーバーの IP アドレスです。

  • Cisco Secure Firewall ASA コンソールから、show running-config と入力します。設定を切り取ってテキスト エディタに貼り付け、これを保存します。

• Cisco Secure Firewall ASA イベントログを表示します。

  1. Cisco Secure Firewall ASA コンソールで、次の行を追加し、ssl、webvpn、anyconnect、および auth のイベントを調べます。

     
     config terminal
     logging enable
     logging timestamp
     logging class auth console debugging
     logging class webvpn console debugging
     logging class ssl console debugging
     logging class anyconnect console debugging
     

  2. Cisco Secure Client の接続を試行し、接続エラーが発生した場合は、そのコンソールのログ情報を切り取ってテキストエディタに貼り付け、保存します。

  3. no logging enable と入力し、ロギングを無効にします。

• Windows イベントビューアを使用してクライアントコンピュータから Cisco Secure Client ログを取得します。

  1. [スタート（Start）] > [ファイル名を指定して実行（Run）] の順に選択し、eventvwr.msc /s と入力します。
  2. [アプリケーションとサービスログ（Applications and Services Logs ）]（Windows 7）で、Cisco Secure Client を見つけ、[ログファイルの名前を付けて保存...（Save Log File As...）] を選択します。。
  3. ファイル名（たとえば、 CiscoSecureClientLog.evt）を割り当てます。.evt ファイル形式を使用する必要があります。

• Windows 診断デバッグ ユーティリティを変更します。

  1. WinDbg のマニュアルに記載されているとおりに vpnagent.exe プロセスを接続します。
  2. IPv6/IPv4 IP アドレス割り当てで競合が存在するかどうかを確認します。特定済みの競合がないか、イベント ログで確認します。

  3. 競合が特定されていた場合は、使用するクライアント コンピュータのレジストリにルーティングのデバッグを追加します。このような競合は、Cisco Secure Client イベントログで次のように表示されます。

     
     Function: CRouteMgr:modifyRoutingTable Return code: 0xFE06000E File: .\VpnMgr.cpp Line:1122
     Description: ROUTEMGR_ERROR_ROUTE_TABLE_VERIFICATION_FAILED.
     Termination reason code 27: Unable to successfully verify all routing table modifications are correct.
     
     Function: CChangeRouteTable::VerifyRouteTable Return code: 0xFE070007
     File: .\RouteMgr.cpp Line: 615 Description: ROUTETABLE_ERROR_NOT_INITIALIZED
     gr.cpp Line: 615 Description: ROUTETABLE_ERROR_NOT_INITIALIZED
     

  4. 特定のレジストリ エントリ（Windows）またはファイル（Linux および macOS）を追加して、接続用にワンタイム単位でルートのデバッグを有効にします。

     • 32 ビット Windows の場合、DWORD レジストリ値は HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\Cisco Secure Client\DebugRoutesEnabled である必要があります。

     • 64 ビット Windows の場合、DWORD レジストリ値は HKEY_LOCAL_MACHINE\Software\WOW6432node\Cisco\Cisco Secure Client\DebugRoutesEnabled である必要があります。

     • Linux または macOS の場合、sudo touch コマンドを使用してパス /opt/cisco/secureclient/vpn/debugroutes にファイルを作成します。

     （注）

     トンネル接続が開始されると、キーまたはファイルは削除されます。デバッグを有効にするには、ファイルまたはキーが存在するだけで十分であり、キーの値またはファイルの内容は重要ではありません。 VPN 接続を開始します。このキーまたはファイルが見つかった場合、2つのルート デバッグ テキスト ファイルがシステムの一時ディレクトリに作成されます（通常、Windows では C:\Windows\Temp、macOS または Linux では /opt/cisco/secureclient/vpn）。2 つのファイル（debug_routechangesv4.txt4 と debug_routechangesv6.txt）がすでに存在する場合、これらのファイルは上書きされます。

問題：Cisco Secure Client クライアントは、接続後、プライベートネットワークにデータを送信できません。

解決策：次の点をチェックします。

• AT&T Sierra Wireless 875 カードと AT&T Communication Manager Version 6.2 または 6.7 を使用している場合は、次の手順に従って問題を修正してください。

  1. Aircard でアクセラレーションを無効にします。
  2. [ツール（Tools）] > [設定（Settings）] > [アクセラレーション（Acceleration）] > [スタートアップ（Startup）] から AT&T Communications Manager を起動します。
  3. manual と入力します。
  4. [停止（Stop）] をクリックします。

• show vpn-sessiondb detail anyconnect filter name <username> コマンドの出力を取得します。出力にフィルタ名 XXXXX が指定されている場合は、show access-list XXXXX コマンドの出力も取得してください。ACL によってトラフィック フローがブロックされていないか確認してください。

• [Cisco Secure Client] > [統計情報（Statistics）] > [詳細（Details）] > [エクスポート（Export）] の順に選択し、DART のファイルまたは出力（AnyConnect-ExportedStats.txt）を取得します。統計情報、インターフェイス、およびルーティング テーブルを調べます。

• Cisco Secure Firewall ASA コンフィギュレーション ファイルの NAT 文を確認します。NAT が有効になっている場合は、クライアントに返されるデータをネットワーク アドレス変換から除外する必要があります。たとえば、Cisco Secure Client プールから IP アドレスを NAT 除外するには、次のコードが使用されます。

  
  access-list in_nat0_out extended permit ip any 10.136.246.0 255.255.255.0
  ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
  nat (inside) 0 access-list in_nat0_out
  

• トンネリングされたデフォルト ゲートウェイがその設定に対して有効になっているかどうかを確認してください。従来型のデフォルト ゲートウェイは、次のように非復号化トラフィックのラスト リゾート ゲートウェイです。

  
  route outside 0.0.209.165.200.225
  route inside 0 0 10.0.4.2 tunneled
  

  VPN クライアントが、VPN ゲートウェイのルーティング テーブルに存在しないリソースにアクセスする必要がある場合、パケットは標準デフォルト ゲートウェイによってルーティングされます。VPN ゲートウェイは、完全な内部ルーティング テーブルを必要としません。トンネリングされたキーワードを使用する場合、IPsec/SSL VPN 接続から受信した復号化トラフィックはルーティングによって処理されます。VPN ルートから受信したトラフィックは 10.0.4.2 にルーティングされて復号化されますが、標準トラフィックは最終的に 209.165.200.225 にルーティングされます。

• Cisco Secure Client でトンネルを確立する前後の、ipconfig /all のテキストダンプおよび route print の出力を収集します。

• クライアントでネットワーク パケット キャプチャを実行するか、Cisco Secure Firewall ASA のキャプチャを有効にします。

  （注）

  一部のアプリケーション（Microsoft Outlook など）がトンネルで動作しない場合、受け入れられるサイズを確認するために、一定の基準に従って大きくした ping（たとえば、ping -| 500, ping -| 1000, ping -| 1500, and ping -| 2000）を使用して、ネットワーク内の既知のデバイスに ping します。ping の結果から、ネットワークにフラグメンテーションの問題が発生しているかがわかります。その後、フラグメンテーションが発生していると思われるユーザの特別なグループを設定して、このグループの anyconnect mtu を 1200 に設定できます。また、古い IPsec クライアントから Set MTU.exe ユーティリティをコピーして、物理アダプタの MTU を強制的に 1300 に設定できます。リブート時に、違いがあるかどうか確認してください。

問題：「処理を進めることができません。VPN サービスに接続できません（Unable to Proceed, Cannot Connect to the VPN Service）」というメッセージが表示されます。Cisco Secure Client の VPN サービスが実行されていません。

解決策：別のアプリケーションがサービスと競合していないかを確認してください。11-7 ページの「何がサービスと競合しているかの特定」を参照してください。

問題：最近 Microsoft certclass.inf ファイルを更新し、その後、VPN 接続を確立しようとすると、次のメッセージが表示されます。

The VPN client driver has encountered an error.

C:\WINDOWS\setupapi.log を確認すると、次のエラーが表示される場合があります。

#W239 The driver signing class list “C:\WINDOWS\INF\certclass.inf” was missing or invalid. Error 0xfffffbf8: Unknown Error. Assuming all device classes are subject to driver signing policy.

解決策：コマンドプロンプトで C:\>systeminfo と入力するか、C:\WINDOWS\WindowsUpdate.log を確認して、最近インストールされた更新プログラムを確認してください。VPN ドライバを修正する手順に従ってください。

問題：VPNVA.sys ドライバがクラッシュします。

解決策：Cisco Secure Client 仮想アダプタにバインドされている中間ドライバを検索し、オフにしてください。

Network Access Managerが有線接続のアダプタの認識に失敗した場合は、ネットワーク ケーブルのプラグを抜き、もう一度差し込んでみてください。これでうまくいかない場合は、リンクに問題がある可能性があります。Network Access Managerがアダプタの適切なリンク ステートを判別できない可能性があります。NIC ドライバの接続プロパティを確認してください。[詳細（Advanced）] パネルに [リンクを待機（Wait for Link）] オプションが表示される場合があります。この設定がオンになっている場合、有線接続の NIC ドライバの初期化コードは、自動ネゴシエーションが完了するまで待機してから、リンクが存在するかどうかを判別します。

問題：リブート後に「システムは重大なエラーから回復しました（the system has recovered from a serious error）」というメッセージを受け取りました。

解決策：%temp% ディレクトリ（C:\DOCUME~1\jsmith\LOCALS~1\Temp など）から .log および .dmp の生成済みファイルを収集します。ファイルをコピーするか、またはバックアップします。「.log ファイルまたは .dmp ファイルのバックアップ方法」を参照してください。

問題：LSP または NOD32 AV を使用している場合、Cisco Secure Client は、接続を確立しようとした際、認証に成功し、SSL セッションを構築するものの、その後 vpndownloader でクラッシュします。

解決策：ESET NOD32 AV のバージョン 2.7 で Internet Monitor コンポーネントを削除し、バージョン 3.0 にアップグレードしてください。

問題：AT&T Dialer を使用している場合に、クライアント オペレーティング システムでブルースクリーンが発生して、ミニ ダンプファイルが作成されることがあります。

解決策：AT&T Global Network Client を最新の 7.6.2 にアップグレードしてください。

問題：Microsoft Internet Explorer で、[セキュリティアラート（security alert ）] ウィンドウが表示され、次のテキストが示されます。

Information you exchange with this site cannot be viewed or changed by others. However, there is a problem with the site's security certificate. The security certificate was issued by a company you have not chosen to trust. View the certificate to determine whether you want to trust the certifying authority.

解決策：このアラートは、信頼済みサイトとして認識されていない Cisco Secure Firewall ASA に接続すると表示されることがあります。このアラートを回避するには、クライアントに信頼できるルート証明書をインストールします。「クライアントでの信頼できるルート証明書のインストール」を参照してください。

問題：「不明な機関による Web サイト認証」アラート ウィンドウがブラウザに表示されることがあります。[セキュリティの警告（Security Alert ）] ウィンドウの上半分に、次のテキストが表示されます。

Unable to verify the identity of <Hostname_or_IP_address> as a trusted site.

解決策：このセキュリティアラートは、信頼済みサイトとして認識されていない Cisco Secure Firewall ASA に接続すると表示されることがあります。このアラートを回避するには、クライアントに信頼できるルート証明書をインストールします。「クライアントでの信頼できるルート証明書のインストール」を参照してください。

問題：Odyssey クライアントでワイヤレスサプレッションが有効である場合、有線接続が導入されると、ワイヤレス接続がドロップします。ワイヤレス サプレッションが無効である場合、ワイヤレス機能は期待どおりに動作する。

解決策：11 ～ 11 ページで Odyssey クライアントを設定します。

問題：Kaspersky 6.0.3 がインストールされると（無効であっても）、CSTP state = CONNECTED の直後に Cisco Secure Firewall ASA への Cisco Secure Client 接続が失敗します。次のメッセージが表示されます。

SVC message: t/s=3/16: Failed to fully establish a connection to the secure gateway (proxy authentication, handshake, bad cert, etc.).

解決策：Kaspersky をアンインストールし、Kaspersky のフォーラムを参照して追加のアップデートがないか確認してください。

問題：McAfee Firewall 5 を使用しているときに、UDP DTLS 接続を確立できません。

解決策：McAfee Firewall のセンターコンソールで、[高度なタスク（Advanced Tasks）] > [高度なオプションとロギング（Advanced options and Logging）] を選択し、McAfee Firewall の [着信フラグメントを自動的にブロック（Block incoming fragments automatically）] チェックボックスをオフにします。

問題：RRAS を使用している場合に、Cisco Secure Client がホストデバイスへの接続を確立しようとすると、イベントログに次の終了エラーが返されます。

Termination reason code 29 [Routing and Remote Access service is running]
The Windows service “Routing and Remote Access” is incompatible with the Cisco Secure Client.

解決策：RRAS サービスを無効にします。

問題：ログイン情報がないために、接続が失敗します。

解決策：サードパーティ製ロードバランサでは、Cisco Secure Firewall ASA デバイスにかかる負荷を把握できません。一方、ASA のロードバランス機能は非常にインテリジェントで、VPN の負荷をデバイス全体で均等に分散できるため、Cisco Secure Firewall ASA 内蔵のロードバランシングを使用することをお勧めします。

Cisco Secure Client のインストール、アンインストール、またはアップグレード中にエラーが発生した場合は、Windows インストーラのレジストリキーを直接変更することはお勧めしません。変更すると、望ましくない結果が生じる可能性があります。Microsoft が提供するツールにより、根本原因の特定後、インストーラの問題をトラブルシューティングできます。

問題：Cisco Secure Client がダウンロードに失敗し、次のエラーメッセージが表示されます。

“Cisco AnyConnect VPN Client Downloader has encountered a problem and needs to close.”

ソリューション：dll の問題をすべて解決するために、パッチアップデートをバージョン 1.2.1.38 に更新してください。

問題：Bonjour Print Service を使用している場合に、Cisco Secure Client イベント ログに IP 転送テーブルの識別に失敗したことが示されます。

解決策：コマンドプロンプトで net stop "bonjour service" と入力し、Bonjour Print Service を無効にします。mDNSResponder の新しいバージョン（1.0.5.11）が Apple から提供されています。この問題を解決するために、Bonjour の新しいバージョンが iTunes にバンドルされ、個別のダウンロードとして Apple の Web サイトで配布されています。

問題：このバージョンの TUN がこのシステムにすでにインストールされていて、Cisco Secure Client と互換性がないことを示すエラーが表示されます。

解決策：Viscosity OpenVPN Client をアンインストールします。

問題：クライアント上に LSP モジュールが存在する場合、Winsock カタログが競合することがあります。

解決策：LSP モジュールをアンインストールしてください。

問題：Windows で NOD32 Antivirus V4.0.468 x64 を使用すると、データスループットが低下する場合があります。

解決策：SSL プロトコルスキャンを無効にします。「SSL プロトコル スキャンの無効化」を参照してください。

問題：クライアントの接続解除中に、EVDO ワイヤレスカードおよび Venturi ドライバを使用すると、イベントログに次のことが報告されます。

%ASA-5-722037: Group <Group-Name> User <User-Name> IP <IP-Address> SVC closing connection: DPD failure.

ソリューション：

• アプリケーション、システム、および Cisco Secure Client の各イベントログに関係する接続解除イベントがないか確認すると同時に、NIC カードのリセットが適用されたかどうか判別してください。

• Venturi ドライバが最新のものであるか確認してください。AT&T Communications Manager バージョン 6.7 の [ルール エンジンの使用（Use Rules Engine）] を無効にします。

問題：DSL ルータに接続している場合、正常にネゴシエーションされても、DTLS トラフィックが失敗することがあります。

解決策：工場出荷時の設定を使用して Linksys ルータに接続してください。この設定により、DTLS セッションが安定し、ping で中断が発生しません。DTLS リターン トラフィックを許可するルールを追加してください。

問題：SSL 接続に使用されるコンピュータ ネットワークのオペレーティング システム情報を取得しようとしたときに、セキュア ゲートウェイへの接続を完全には確立できなかったことが Cisco Secure Client ログに示されることがあります。

ソリューション：

• 整合性エージェントをアンインストールしてから Cisco Secure Client をインストールする場合は、TCP/IP を有効にしてください。

• 整合性エージェントのインストール時に SmartDefense を無効にすると、TCP/IP がチェックされます。

• サードパーティ製のソフトウェアがネットワーク インターフェイス情報の取得中に、オペレーティング システムの API コールを代行受信またはブロックしている場合は、疑わしい AV、FW、AS などがないか確認してください。

• デバイスマネージャに Cisco Secure Client アダプタのインスタンスが 1 つだけ表示されていることを確認してください。インスタンスが 1 つだけの場合は、Cisco Secure Client で認証し、5 秒後にデバイスマネージャからアダプタを手動で有効にしてください。

• 疑わしいドライバが Cisco Secure Client アダプタ内で有効にされている場合は、これらのドライバを [Cisco Secure Client 接続（Cisco AnyConnect VPN Client Connection）] ウィンドウでオフにして無効にしてください。

問題：一部の Virtual Machine Network Service デバイスで Cisco Secure Client を使用しているときに、パフォーマンスの問題が発生しました。

解決策：Cisco Secure Client 仮想アダプタ内のすべての IM デバイスに対するバインドをオフにしてください。アプリケーション dsagent.exe は、C:\Windows\System\dgagent にあります。これはプロセス リストに表示されませんが、TCPview（sysinternals）でソケットを開くと表示できます。このプロセスを終了すると、Cisco Secure Client が正常の動作に戻ります。