Cisco Secure Client VPN의 일반적인 문제 해결

다운로드 옵션

  • PDF     (381.7 KB)
    다양한 디바이스에서 Adobe Reader로 보기
업데이트:2026년 6월 23일
문서 ID:212972

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

목차

소개
사전 요구 사항
요구 사항
사용되는 구성 요소
문제 해결 프로세스
문제 해결을 위한 정보 수집
클라이언트 — 통계 및 DART
헤드엔드 - ASA
헤드엔드 - FTD
설치 및 가상 어댑터 문제
연결 해제 또는 초기 연결 설정 불가
트래픽 통과 관련 문제
AnyConnect 충돌 문제
프래그먼트화/트래픽 통과 문제
자동 제거
클러스터 FQDN 채우기 문제
백업 서버 목록 설정
Cisco Secure Client: 손상된 드라이버 데이터베이스 문제
수리
복구 실패
데이터베이스 분석
오류 메시지
오류: 세션 관리 데이터베이스 업데이트 불가
해결 방법 1
해결 방법 2
오류: Cisco Secure Client 설치 중 "모듈이 등록되지 않음"
솔루션
오류: "An error was received from the secure gateway in response to the VPN negotiation request. Please contact your network administrator"
솔루션
오류: Anyconnect not enabled on VPN server while trying to connect anyconnect to ASA
솔루션
Error:- %ASA-6-722036: Group client-group User xxxx IP x.x.x.x Transmitting large packet 1220 (threshold 1206)
솔루션
오류: The secure gateway has rejected the agent's vpn connect or reconnect request.
솔루션
오류: "The VPN client driver has encountered an error"
솔루션
오류: "Unable to process response from xxx.xxx.xxx.xxx"
솔루션
오류: "Login Denied , unauthorized connection mechanism , contact your administrator"
솔루션
오류: "Anyconnect package unavailable or corrupted. Contact your system administrator"
솔루션
오류: "The AnyConnect package on the secure gateway could not be located"
솔루션
오류: "Secure VPN via remote desktop is not supported"
솔루션
오류: "The server certificate received or its chain does not comply with FIPS. A VPN connection will not be established"
솔루션
오류: "Certificate Validation Failure"
솔루션
오류: "VPN Agent Service has encountered a problem and needs to close. We are sorry for the inconvenience"
솔루션
오류: "This installation package could not be opened. Verify that the package exists"
솔루션
오류: "Error applying transforms. Verify that the specified transform paths are valid."
솔루션
오류: "A VPN reconnect resulted in different configuration setting. The VPN network setting is being re-initialized. Applications utilizing the private network may need to be restored."
솔루션
로그인하는 동안 Cisco Secure Client 오류 발생
솔루션
오류: AnyConnect Essentials can not be enabled until all these sessions are closed.
솔루션
오류: Few users getting Login Failed Error message when others are able to connect successfully through AnyConnect VPN
솔루션
오류: The certificate you are viewing does not match with the name of the site you are trying to view.
솔루션
페일오버 후 AnyConnect 프로파일이 대기에 복제되지 않음
솔루션
오류 메시지: TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER
솔루션
오류 메시지: "Connection attempt has failed due to invalid host entry"
솔루션
오류: "Ensure your server certificates can pass strict mode if you configure always-on VPN"
솔루션
오류: "An internal error occurred in the Microsoft Windows HTTP Services"
솔루션
오류: "The SSL transport received a Secure Channel Failure.  May be a result of a unsupported crypto configuration on the Secure Gateway."
솔루션
관련 정보

소개

이 문서에서는 Windows, macOS 및 Linux에서 앱 장애 및 연결 끊기와 관련된 Cisco Secure Client 문제에 대해 설명합니다.

사전 요구 사항

요구 사항

이 문서를 사용하기 전에 다음 사항이 있는지 확인하십시오.

  • 엔드포인트(또는 헤드엔드가 지원하는 버전)의 Cisco Secure Client 5.x
  • DART 번들 또는 클라이언트 로그 수집 기능
  • VPN 헤드엔드(ASA 또는 FTD)에 대한 관리 액세스.

사용되는 구성 요소

이 문서의 정보는 다음을 기반으로 합니다.

  • 클라이언트: Cisco Secure Client 5.x(AnyConnect VPN 모듈).
  • 헤드엔드: Cisco ASA 9.x 또는 Cisco FTD(Secure Firewall Threat Defense) with Remote Access VPN

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

제품 관리자 가이드에서 Cisco Secure Client 문제 해결을 검토합니다.

문제 해결 프로세스

이 문서에서는 Windows, macOS, Linux 및 Cisco ASA/FTD 헤드엔드 컨피그레이션에서 애플리케이션 오류, 예기치 않은 연결 끊기, 일반적인 오류를 비롯한 Cisco Secure Client VPN 문제(AnyConnect 포함)에 대해 자세히 설명합니다.

  • VPN 터널을 통해 작동하지 않는 애플리케이션.
  • 클라이언트가 예기치 않게 연결되거나 연결이 끊깁니다.
  • 클라이언트 또는 헤드엔드에 나타나는 일반적인 오류 메시지입니다.

Cisco ASA 및 Cisco FTD(Secure Firewall Threat Defense) Remote Access의 헤드엔드 컨피그레이션을 포함하여 Windows, macOS 및 Linux의 VPN 클라이언트에 대해 설명합니다. VPN.

tip-icon

팁: 트러블슈팅 전에 Cisco Secure Client DART 번들을 수집하십시오. DART 분석기 BDB 작업을 사용하여 DART 출력을 분석할 수 있습니다.

다음 섹션을 검토하여 일반적인 문제 및 해결 방법을 해결하십시오.

문제 해결을 위한 정보 수집

컨피그레이션을 변경하기 전에 클라이언트 및 헤드엔드 데이터를 수집합니다. 일반적으로 TAC에서 DART 번들을 요청합니다.

클라이언트 — 통계 및 DART

  1. 연결 통계 내보내기
    • 창: 기어 아이콘 > 고급 창 > 통계 > AnyConnect VPN > 통계 내보내기
    • macOS: 통계 아이콘 > 통계 내보내기
    • Linux: 클라이언트 GUI 세부 정보
  2. DART 실행
    • Windows / Linux: 기어 아이콘 > 고급 창 > 진단
    • macOS: Application(애플리케이션) 메뉴 > Generate Diagnostic Report(진단 보고서 생성)
    번들을 TAC 케이스에 첨부하거나 SR 번호 및 토큰이 포함된 TAC에 업로드를 사용합니다.
  3. 포함된 브라우저 문제: 고급 창 > 일반 > 웹 브라우저 > 데이터 지우기.

헤드엔드 - ASA

  • show running-config
  • show vpn-sessiondb detail anyconnect filter name <username>
  • 디버그 예:
    configure terminal
logging enable
logging timestamp
logging class auth console debugging
logging class webvpn console debugging
logging class ssl console debugging
logging class anyconnect console debugging
    실패를 재현하고 출력을 캡처한 다음 로깅을 활성화하지 않습니다.

헤드엔드 - FTD

FMC/CDO에서 원격 액세스 VPN 정책 및 연결 프로파일 설정을 내보냅니다. 오류 창에 대한 FTD SSL VPN/연결 로그를 수집합니다.

설치 및 가상 어댑터 문제

설치 또는 가상 어댑터 설정이 실패할 경우 다음을 수집합니다.

  1. Windows 설치 로그:
    %SystemRoot%\Inf\setupapi.dev.log
%SystemRoot%\Inf\setupapi.setup.log
  2. MSI 설치 관리자 로그: %LOCALAPPDATA%\Temp\ 또%SystemRoot%\Temp\ — 파일 이름 cisco-secure-client-win-*-install-*.log(해당 버전에 대한 최신 버전)입니다.
  3. 자세한 MSI(필요한 경우):
    msiexec /i cisco-secure-client-win-<version>-predeploy-k9.msi /lvx %TEMP%\ac-install.log
  4. 시스템 정보: msinfo32 /nfo %TEMP%\msinfo.nfo 및 systeminfo > %TEMP%\sysinfo.txt

드라이버 데이터베이스 오류에 대해서는 Cisco Secure Client를 참조하십시오. 손상된 드라이버 데이터베이스 문제 및 관리자 안내서 섹션 VPN 클라이언트 드라이버에서 오류 발생(Microsoft Windows 업데이트 후).

연결 해제 또는 초기 연결 설정 불가

Cisco Secure Client에 연결 문제가 발생할 경우 컨피그레이션을 변경하기 전에 문제 해결을 위한 정보 수집에 따라 데이터를 수집하십시오.

  • 헤드엔드 구성: show running-config 또는 FTD용 FMC/CDO에서 정책을 내보냅니다.
  • 클라이언트 로그: DART 번들 수집(정보 수집 참조) 레거시 이벤트 뷰어 .evt 내보내기를 사용하지 마십시오.
  • ASA 디버그(필요한 경우): 디버깅에서 로깅 클래스 인증, webvpn, sslanyconnect를 활성화합니다. 실패를 재현합니다. 캡처 콘솔 출력; 로깅을 활성화하지 않습니다.

사용자가 연결할 수 없는 경우 RDP(Remote Desktop Protocol) 또는 빠른 사용자 전환과 관련된 문제일 수 있습니다. 사용자는 다음을 볼 수 있습니다. AnyConnect 프로파일 설정에는 단일 로컬 사용자가 필요하지만 현재 여러 로컬 사용자가 컴퓨터에 로그인되어 있습니다. VPN 연결을 설정할 수 없습니다.

RDP 세션의 연결을 끊고 빠른 사용자 전환을 비활성화합니다. VPN 설정을 위해 동일한 시스템에서 여러 동시 로컬 사용자가 지원되지 않습니다.

참고: 클라이언트가 헤드엔드에 연결할 수 있도록 포트 443(및 DTLS용 UDP 443)이 차단되지 않았는지 확인합니다.

사용자가 연결할 수 없는 경우, Cisco Secure Client 버전 및 헤드엔드 소프트웨어 간의 비호환성 때문에 문제가 발생할 수 있습니다. 사용자는 다음을 수신할 수 있습니다. Cisco VPN 클라이언트를 시작할 수 없습니다. 클라이언트리스 액세스를 사용할 수 없습니다. ASA 또는 FTD 원격 액세스 VPN 배포에서 지원하는 버전으로 클라이언트를 업그레이드하십시오.

Cisco Secure Client에 처음 로그인할 때 로그인 스크립트에 문제가 있을 수 있습니다. 연결을 끊고 다시 로그인하면 로그인 스크립트가 예상대로 실행되는 경우가 많습니다. 이는 프로필 및 스크립트 타이밍에 따라 예상되는 동작일 수 있습니다.

연결할 때 다음을 받을 수 있습니다. User not authorized for AnyConnect Client access, contact your administrator. 이는 Secure Client 이미지가 헤드엔드에 없을 때 자주 나타납니다. 올바른 클라이언트 이미지를 업로드하고 RA VPN/WebVPN 컨피그레이션에서 참조합니다.

DART는 DPD(Dead Peer Detection) 실패로 인해 DTLS 채널이 끊어진 경우 TUNNELPROTOCOLDPDMGR_ERROR_NO_DPD_RESPONSE를 표시할 수 있습니다. ASA에서 킵얼라이브 조정:

webvpn
 anyconnect ssl keepalive 15
 anyconnect dpd-interval client 5
 anyconnect dpd-interval gateway 5

DTLS를 임시 테스트로만 비활성화합니다(ASDM: Configuration(컨피그레이션) > Remote Access VPN(원격 액세스 VPN) > Network (Client) Access(네트워크(클라이언트) 액세스) > AnyConnect Connection Profiles(AnyConnect 연결 프로파일)에서 Enable DTLS(DTLS 활성화) 또는 FMC equivalent(FMC에 해당)의 선택을 취소합니다. DPD 타이밍을 고정하고 UDP 443을 허용하는 것이 좋습니다.

트래픽 통과 관련 문제

ASA를 통해 Cisco Secure Client 세션을 사용하여 트래픽을 사설 네트워크로 전달하는 데 문제가 감지되면 다음 데이터 수집 단계를 완료합니다.

  1. ASA 콘솔에서 show vpn-sessiondb detail anyconnect 필터 이름 <username>의 출력을 가져옵니다. 출력에 Filter Name: XXXXX, show access-list XXXXX를 모아보십시오. 액세스 목록이 의도한 트래픽을 차단하지 않는지 확인합니다.

  2. 연결 통계 내보내기: Cisco Secure Client(Cisco Secure Client) > Gear(기어) > Advanced Window(고급 창) > Statistics(통계) > AnyConnect VPN > Export Stats(통계 내보내기).

  3. ASA 컨피그레이션에서 nat 문 확인합니다. NAT(Network Address Translation)가 활성화된 경우 클라이언트로 반환되는 트래픽을 제외합니다. AnyConnect 풀을 NAT-exempt하는 예:

    access-list in_nat0_out extended permit ip any 10.136.246.0 255.255.255.0
ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
nat (inside) 0 access-list in_nat0_out
  4. 터널링 기본 게이트웨이를 활성화해야 하는지 확인합니다. 예:

    route outside 0 0 10.145.50.1
route inside 0 0 10.0.4.2 tunneled

    클라이언트가 VPN 게이트웨이 라우팅 테이블에 없는 리소스에 도달해야 하는 경우 tunneled 키워드 해당 트래픽을 VPN 터널을 통해 라우팅합니다.

  5. 검사 정책이 애플리케이션 트래픽을 삭제하는지 확인합니다. Modular Policy Framework에서 프로토콜을 제외할 수 있습니다. skinny의 예:

    ASA(config)# policy-map global_policy
ASA(config-pmap)#  class inspection_default
ASA(config-pmap-c)# no inspect skinny

AnyConnect 충돌 문제

데이터 수집 단계를 완료하십시오.

  1. 충돌 직후 DART를 수집합니다.
  2. 참고 vpnagent.exe / acvpnui.exe에 대한 Windows 오류 보고 항목입니다.
  3. 클라이언트 로그: %LOCALAPPDATA%\Cisco\Cisco Secure Client\Logs(사용 중인 버전의 경로 확인).

프래그먼트화/트래픽 통과 문제

Microsoft Outlook과 같은 일부 애플리케이션은 터널이 작은 ping과 같은 작은 트래픽을 전달하는 동안에는 작동하지 않습니다. 이는 경로의 단편화를 나타낼 수 있습니다. 소비자 라우터는 조각화 및 리어셈블이 잘 이루어지지 않는 경우가 많습니다.

Ping의 크기 조정 세트를 테스트합니다. ping -l 500, ping -l 1000, ping -l 1500, ping -l 2000.

영향을 받는 사용자에 대한 전용 그룹 정책을 구성하고 더 낮은 MTU를 설정합니다.

group-policy <name> attributes
 webvpn
  anyconnect mtu 1200

자동 제거

문제

Cisco Secure Client는 ASDM/FMC에서 설치 유지 선택된 것처럼 표시되더라도 연결이 종료되면 자동으로 제거됩니다.

솔루션

group-policy <name> attributes
 webvpn
  anyconnect keep-installer installed

클러스터 FQDN 채우기 문제

문제/장애: AnyConnect 클라이언트에는 클러스터 FQDN(Fully Qualified Domain Name) 대신 호스트 이름이 미리 입력되어 있습니다.

SSL VPN에 대한 부하 균형 클러스터가 있고 클라이언트가 연결되면 요청이 클러스터 노드로 리디렉션되고 로그인이 성공할 수 있습니다. 나중에 연결을 시도할 때 클러스터 FQDN이 연결 대상 나타나지 않습니다. 마지막 노드 호스트 이름이 대신 나타날 수 있습니다.

솔루션

클라이언트가 마지막으로 성공한 호스트 이름을 캐시합니다. 캐시된 항목을 지우거나 프로필 서버 목록에서 클러스터 FQDN을 설정합니다. Cisco Secure Client 5.x에서 확인합니다. 플랫폼별 메모는 Cisco 버그 ID CSCsz39019를 참조하십시오.

백업 서버 목록 설정

백업 서버 목록은 기본 서버에 연결할 수 없을 때 구성됩니다. 클라이언트 프로파일의 Backup Server 창에서 정의합니다. 다음 단계를 완료하십시오.

  1. 헤드엔드 보안 클라이언트 패키지에서 또는 Secure Client 5.1 프로파일 컨피그레이션 가이드에 따라 프로파일 편집기로 프로파일을 편집합니다. ASDM 또는 FMC에서 프로파일을 할당합니다.

  2. XML 프로필을 만들거나 수정합니다.
    1. 서버 목록 탭으로 이동합니다.
    2. Add(추가)를 클릭합니다.
    3. 기본 서버 호스트 이름을 입력합니다.
    4. 백업 서버 목록 아래에 백업 서버를 추가한 다음 Add를 클릭합니다.
  3. ASA의 연결에 프로파일을 할당합니다.
    1. ASDM에서: Configuration(구성) > Remote Access VPN(원격 액세스 VPN) > Network (Client) Access(네트워크(클라이언트) 액세스) > AnyConnect Connection Profiles(AnyConnect 연결 프로파일).
    2. 프로파일을 선택하고 Edit(편집)를 클릭합니다.
    3. Default Group Policy(기본 그룹 정책) 섹션에서 Manage(관리)를 클릭합니다.
    4. 그룹 정책을 선택하고 Edit(편집)를 클릭합니다.
    5. Advanced(고급), SSL VPN Client(SSL VPN 클라이언트) 순으로 선택합니다.
    6. 새로 만들기를 클릭하고 프로파일의 이름을 지정한 다음 XML 파일을 할당합니다.
  4. 클라이언트를 연결하여 프로파일을 다운로드합니다.

Cisco Secure Client: 손상된 드라이버 데이터베이스 문제

SetupAPI.log 파일의 이 항목은 카탈로그 시스템이 손상되었음을 나타냅니다.

W239 드라이버 서명 클래스 목록 "C:\WINDOWS\INF\certclas.inf"가 누락되었거나 잘못되었습니다. 오류 0xfffffde5: 알 수 없는 오류. 모든 장치 클래스가 드라이버 서명 정책의 적용을 받는다고 가정합니다. 또한 다음과 같은 혜택을 받을 수 있습니다. Error(3/17): Unable to start VA, setup shared queue, or VA gave up shared queue.

또한 클라이언트에서 다음 로그를 수신할 수 있습니다. "The VPN client driver has encountered an error".

수리

이 문제는 Cisco 버그 ID CSCsm54689와 관련이 있습니다. Cisco Secure Client를 시작하기 전에 RRAS(Routing and Remote Access Service)를 비활성화하십시오. 문제가 지속되는 경우:

  1. Windows에서 관리자로 명령 프롬프트를 엽니다.

  2. net stop CryptSvc를 실행합니다.

  3. 실행:

    esentutl /p%systemroot%\System32\catroot2\
{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
  4. 프롬프트가 표시되면 OK(확인)를 선택하여 복구를 시도합니다.
  5. 명령 프롬프트를 종료합니다.

  6. 재부팅합니다.

복구 실패

복구에 실패할 경우:

  1. Windows에서 관리자로 명령 프롬프트를 엽니다.

  2. net stop CryptSvc를 실행합니다.

  3. %WINDIR%\system32\catroot2의 이름을 catroot2_old로 바꿉니다.

  4. 명령 프롬프트를 종료합니다.

  5. 재부팅합니다.

데이터베이스 분석

언제든지 데이터베이스를 분석하여 유효한지 확인할 수 있습니다.

  1. Windows에서 관리자로 명령 프롬프트를 엽니다.

  2. 실행:

    esentutl /g%systemroot%\System32\catroot2\
{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb

    자세한 내용은 시스템 카탈로그 데이터베이스 무결성을 참조하십시오.

오류 메시지

오류: 세션 관리 데이터베이스 업데이트 불가

이 오류는 브라우저 기반 SSL VPN 또는 웹 포털 인증 중에 나타날 수 있습니다. 클라이언트 또는 포털에 Unable to Update the Session Management Database(세션 관리 데이터베이스를 업데이트할 수 없음)가 표시됩니다. ASA는 %ASA-3-211001을(를) 로깅할 수 있습니다. Memory allocation Error. The adaptive security appliance failed to allocate RAM system memory.

해결 방법 1

Cisco 버그 ID CSCsm51093 관련됩니다. ASA를 다시 로드하거나 버그에 따라 고정 릴리스로 업그레이드하십시오. FTD에서 플랫폼 메모리 및 RA VPN 세션 제한을 확인합니다.

해결 방법 2

사용 가능한 헤드엔드 메모리:

  1. 활성화된 경우 위협 감지를 비활성화합니다.
  2. AnyConnect 압축을 비활성화합니다. group-policy webvpn 섹션의 anyconnect compression none클릭합니다.
  3. ASA를 다시 로드합니다.
  4. 256MB RAM의 이전 ASA 플랫폼에서 메모리 소진이 지속되면 512MB로 업그레이드합니다.

오류: Cisco Secure Client 설치 중 "모듈이 등록되지 않음"

Windows에서 설치하는 동안 설치 프로그램에서 모듈(예: vpnapi.dll)이 등록되지 못했다고 보고하고 롤백합니다.

솔루션

  • 충돌하는 VMware 가상 네트워크 어댑터를 임시로 제거합니다. Secure Client 재설치; vmware를 다시 추가합니다.
  • 웹 배포를 사용하는 경우 헤드엔드 FQDN을 신뢰할 수 있는 사이트에 추가합니다.
  • C:\Program Files\Cisco\Cisco Secure Client\에서 관리자 권한으로 실행합니다. regsvr32 vpnapi.dll(및 vpncommon.dll, vpncommoncrypt.dll(있는 경우))
  • 설치가 여전히 실패할 경우 MSI 세부 정보 로그(설치 섹션 참조) 및 DART를 수집합니다.
  • 마지막 방법으로 Windows를 복구하거나 안전한 보안 클라이언트 제거에서 다시 배포합니다.

오류: "An error was received from the secure gateway in response to the VPN negotiation request. Please contact your network administrator"

클라이언트가 Cisco Secure Client에 연결되면 게이트웨이는 "잘못된 주소 클래스", "호스트 또는 네트워크 0", 또는 "기타 오류"와 같은 오류를 반환합니다.

솔루션

ASA 또는 FTD 로컬 IP 풀이 소진되었거나 잘못 구성되었습니다. VPN 주소 풀을 확장하고 적절한 마스크(예: /32 전용 풀 대신 /24)를 사용합니다. Cisco 버그 ID CSCsl82188을 참조하십시오.

오류: Anyconnect not enabled on VPN server while trying to connect anyconnect to ASA

클라이언트에서 AnyConnect/Secure Client가 VPN 서버에서 활성화되지 않았다고 보고합니다.

솔루션

원격 액세스 VPN을 활성화하고 헤드엔드에 보안 클라이언트 이미지를 구축합니다. ASA의 경우: Configuration(구성) > Remote Access VPN(원격 액세스 VPN) > Network (Client) Access(네트워크(클라이언트) 액세스) > AnyConnect Connection Profiles(AnyConnect 연결 프로파일). FTD의 경우: fmc에서 RA VPN 및 클라이언트 이미지를 구성합니다. 클라이언트리스 WebVPN 전용 컨피그레이션이 아닌 원격 액세스 VPN 가이드를 사용합니다.

Error:- %ASA-6-722036: Group client-group User xxxx IP x.x.x.x Transmitting large packet 1220 (threshold 1206)

%ASA-6-722036: Group < client-group > User < xxxx > IP < x.x.x.x> Transmitting large packet 1220 (threshold 1206)(대규모 패킷 전송) 메시지가 ASA 로그에 나타납니다.

솔루션

대용량 패킷이 클라이언트로 전송되었습니다(MTU 또는 비압축 데이터). 그룹 정책에 대한 압축을 비활성화합니다.

group-policy <name> attributes
 webvpn
  anyconnect compression none

오류: The secure gateway has rejected the agent's vpn connect or reconnect request.

예를 들면 할당된 주소 없거나, 호스트 또는 네트워크가 0이거나, 게이트웨이 메시지에 라이센스가 없습니다.

솔루션

다시 로드 또는 장애 조치 후 헤드엔드에 구성된 IP 로컬 풀 및 그룹 정책 주소 할당이 있는지 확인합니다.

show running-config | include pool
ip local pool SSLPOOL 192.168.30.2 192.168.30.254
 anyconnect address-pool SSLPOOL

No License(라이센스 없음)의 경우 헤드엔드에 필요한 Secure Client mobility 라이센스를 설치하거나 활성화합니다.

오류: "The VPN client driver has encountered an error"

일반적으로 가상 어댑터 오류, RRAS 충돌 또는 Windows Update 후 드라이버 문제입니다.

솔루션

  1. 보안 클라이언트를 시작하기 전에 RRAS(라우팅 및 원격 액세스 서비스)를 비활성화하십시오.
  2. Cisco Secure Client를 완료합니다. setupapi에 카탈로그 오류가 표시되는 경우 손상된 드라이버 데이터베이스 문제 단계.
  3. Windows 업데이트 후 Secure Client 5.1 Administrator Guide에서 Repair VPN Client Driver Error(VPN 클라이언트 드라이버 오류 복구)를 사용합니다.
  4. DART를 수집하고 필요한 경우 TAC에 문의하십시오. Cisco 버그 ID CSCsm54689를 참조하십시오.

오류: "Unable to process response from xxx.xxx.xxx.xxx"

Cisco Secure Client가 <gateway>의 응답을 처리할 수 없음과의 연결에 실패했습니다.

솔루션

  • 영향을 받는 인터페이스에서 Remote Access VPN/WebVPN을 비활성화했다가 다시 활성화합니다.
  • 일시적으로 SSL VPN을 다른 포트(예: 444)로 이동한 다음 443을 복원합니다.

ASA의 SSL VPN 클라이언트 컨피그레이션을 참조하십시오. 오류가 지속되면 DART를 수집합니다.

오류: "Login Denied , unauthorized connection mechanism , contact your administrator"

Cisco Secure Client에 Login Denied(로그인 거부됨), unauthorized connection mechanism(무단 연결 메커니즘)이 표시됩니다.

솔루션

헤드엔드(ASA 또는 FTD)에서 연결 프로파일 및 인증을 검토합니다. 클라이언트 인증 방법(RADIUS, SAML, 인증서 등)이 프로파일과 일치하는지 확인합니다. 그룹 정책 및 터널 그룹 할당을 확인합니다.

오류: "Anyconnect package unavailable or corrupted. Contact your system administrator"

이 오류는 Macintosh 클라이언트에서 Cisco Secure Client를 시작할 때 나타날 수 있습니다.

솔루션

  1. macOS Secure Client 패키지를 헤드엔드 플래시에 업로드합니다.
  2. WebVPN 컨피그레이션에서 이를 참조합니다.
    webvpn
 anyconnect image disk0:/cisco-secure-client-macos-<version>-predeploy-k9.pkg 2

오류: "The AnyConnect package on the secure gateway could not be located"

Linux(또는 기타 플랫폼)에서는 클라이언트가 헤드엔드에서 패키지를 다운로드할 수 없습니다.

"The AnyConnect package on the secure gateway could not be located. You may
be experiencing network connectivity issues. Please try connecting again."

솔루션

클라이언트 OS가 지원되고 헤드엔드에 올바른 이미지가 구성되었는지 확인합니다.

webvpn
 anyconnect image disk0:/cisco-secure-client-win-<version>-predeploy-k9.pkg 1
 anyconnect image disk0:/cisco-secure-client-macos-<version>-predeploy-k9.pkg 2

관련 단계에 대한 AnyConnect 패키지 사용할 수 없거나 손상되었습니다.

오류: "Secure VPN via remote desktop is not supported"

사용자에게 원격 데스크톱을 통한 보안 VPN은 지원되지 않습니다.

솔루션

지원되는 Cisco Secure Client 5.x 릴리스로 업그레이드합니다. Cisco 버그 ID CSCsu22088 및 Cisco 버그 ID CSCso42825를 참조하십시오.

오류: "The server certificate received or its chain does not comply with FIPS. A VPN connection will not be established"

클라이언트가 서버 인증서 또는 체인이 FIPS를 준수하지 않는다고 보고합니다.

솔루션

엔드포인트에 FIPS가 필요한 경우 헤드엔드에서 FIPS 규격 인증서를 사용합니다. 필요하지 않은 경우 C:\ProgramData\Cisco\Cisco Secure Client\AnyConnectLocalPolicy.xml을 편집하고 <FipsMode>false</FipsMode>를 설정한 다음(관리자 권한 필요) 재부팅합니다.

오류: "Certificate Validation Failure"

사용자는 Cisco Secure Client를 시작하고 인증서 검증 실패를 수신할 수 없습니다.

솔루션

인증서 인증의 경우 클라이언트 인증서를 가져오고 인증서 인증을 위한 프로파일을 구성하며 ASA에서 다음을 활성화합니다.

ssl certificate-authentication interface outside port 443

서버 인증서가 프로파일 서버 목록의 FQDN과 일치하는지 확인합니다.

오류: "VPN Agent Service has encountered a problem and needs to close. We are sorry for the inconvenience"

vpnagent.exe 서비스가 설치, 업그레이드 또는 연결 중에 실패합니다.

솔루션

  1. Windows 서비스에서 Cisco Secure Client - AnyConnect VPN Agent를 다시 시작합니다.
  2. 헤드엔드 웹 배포에서 복구하거나 다시 설치합니다.
  3. 서비스가 반복적으로 실패할 경우 DART를 수집합니다. Citrix 충돌의 경우 Cisco 버그 ID CSCsq49102를 참조하십시오.

오류: "This installation package could not be opened. Verify that the package exists"

패키지를 열 수 없다는 Windows Installer 오류가 발생하여 웹 배포가 실패했습니다.

솔루션

  1. MSI가 완전히 다운로드되었는지 확인합니다. 헤드엔드 포털에서 다시 시도하십시오.
  2. 다운로드 폴더에서 공격적인 AV를 일시적으로 비활성화합니다. 자세한 MSI 로그를 수집합니다.
  3. Windows Installer 서비스가 실행 중인지 확인하십시오.
  4. 문제가 지속되면 DART/MSI 로그를 수집하고 TAC 케이스를 엽니다.

오류: "Error applying transforms. Verify that the specified transform paths are valid."

손상된 MST 변환 때문에 헤드엔드에서 자동 다운로드가 실패하는 경우가 있습니다.

솔루션

  1. 헤드엔드 AnyConnect 사용자 지정 설치 정의에서 사용자 지정 MST 변환을 제거합니다.
  2. 헤드엔드에 올바른 Secure Client 이미지를 다시 업로드합니다.
  3. ASDM에서: 네트워크(클라이언트) 액세스 > AnyConnect 사용자 지정 > 설치 — 중복 항목 제거; 활성 이미지를 client settings(클라이언트 설정) 아래에 유지합니다.

오류: "A VPN reconnect resulted in different configuration setting. The VPN network setting is being re-initialized. Applications utilizing the private network may need to be restored."

이 메시지는 headend Pushed 설정이 변경될 때 다시 연결한 후에 나타날 수 있습니다.

솔루션

group-policy <Name> attributes
 webvpn
  anyconnect mtu 1200

로그인하는 동안 Cisco Secure Client 오류 발생

문제/장애: 로컬 프록시를 통해 VPN 연결이 허용되지 않습니다. 이는 AnyConnect 프로파일 설정을 통해 변경할 수 있습니다.

솔루션

<ProxySettings>IgnoreProxy</ProxySettings>
<AllowLocalProxyConnections>false</AllowLocalProxyConnections>

오류: AnyConnect Essentials can not be enabled until all these sessions are closed.

ASDM은 AnyConnect Essentials를 활성화할 때 진행 중인 클라이언트리스 SSL VPN 세션을 표시합니다.

솔루션

AnyConnect Essentials는 프리미엄 공유 SSL VPN 라이센스와 동시에 실행할 수 없습니다. Essentials를 활성화하기 전에 클라이언트리스 SSL VPN 세션을 종료합니다. 필수 요소에는 클라이언트리스 SSL VPN이 포함되지 않습니다.

오류: Few users getting Login Failed Error message when others are able to connect successfully through AnyConnect VPN

일부 사용자는 로그인 실패 수신하지만 다른 사용자는 연결할 수 있습니다.

솔루션

영향을 받는 사용자에 대해 사전 인증(또는 동등)이 올바르게 설정되어 있지 않은지 확인합니다. 그룹 정책 및 연결 프로파일 매핑을 비교합니다.

오류: The certificate you are viewing does not match with the name of the site you are trying to view.

Windows에서 프로필을 업데이트하는 동안 연결 URL에 대한 인증서 검증이 실패합니다.

솔루션

<ServerList>
 <HostEntry>
    <HostName>vpn1.example.com</HostName>
 </HostEntry>
</ServerList>
note-icon

참고: 인증서가 FQDN 전용인 경우 공용 IP를 사용하는 <HostAddress> 항목을 제거하십시오.

페일오버 후 AnyConnect 프로파일이 대기에 복제되지 않음

ASA 장애 조치 후 Secure Client 프로파일 관련 파일이 스탠바이 유닛에 없습니다.

솔루션

Cisco 버그 ID CSCtn71662를 참조하십시오. 해결 방법: 수동으로 프로파일 파일을 스탠바이에 복사합니다. RA VPN 프로필에 대한 상태 저장 장애 조치 컨피그레이션 동기화를 확인합니다.

오류 메시지: TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER

Cisco Secure Client가 Unable to establish a connection(연결할 수 없음) 연결하지 못했습니다. 이벤트 로그에 TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER가 표시됩니다.

솔루션

이는 매우 큰 스플릿 터널 목록(약 180-200개 항목)과 기타 그룹 정책 특성(예: dns-server)에서 발생합니다.

  1. 스플릿 터널 목록 항목을 줄입니다.
  2. DTLS를 일시적으로 비활성화합니다.
    group-policy groupName attributes
 webvpn
  anyconnect ssl dtls none

Cisco 버그 ID CSCtc41770을 참조하십시오.

오류 메시지: "Connection attempt has failed due to invalid host entry"

인증서 인증 중 호스트 항목이 잘못되어 연결 시도가 실패했습니다.

솔루션

  • 프로필 서버 목록에서 유효한 FQDN(HostName)을 사용합니다.
  • 지원되는 Cisco Secure Client 5.x를 사용합니다.
  • 더 이상 사용되지 않는 CSD(Cisco Secure Desktop) 정책이 있는 경우 제거합니다.

Cisco 버그 ID CSCti73316을 참조하십시오.

오류: "Ensure your server certificates can pass strict mode if you configure always-on VPN"

Always-On이 활성화된 경우 클라이언트는 서버 인증서가 엄격한 모드를 통과해야 함을 보고할 수 있습니다.

솔루션

Always-On에는 연결 URL과 일치하는 유효한 헤드엔드 인증서가 필요합니다. 로컬 정책 Strict Certificate Mode(엄격한 인증서 모드)는 인증서를 신뢰할 수 없거나 일치하지 않을 경우 오류를 발생시킵니다.

Secure Client 5.1 Administrator Guide Certified by an Unknown Authority를 참조하십시오.

오류: "An internal error occurred in the Microsoft Windows HTTP Services"

DART는 HttpSendRequest 실패 및 Microsoft Windows HTTP Services에서 내부 오류가 발생했으며 CTransportWinHttp 오류도 표시할 수 있습니다.

솔루션

Winsock 상태가 손상되었기 때문일 수 있습니다. 관리자 권한 명령 프롬프트에서: netsh winsock reset

Windows를 다시 시작하고 Winsock 재설정에 대한 Microsoft 지침을 참조하십시오.

오류: "The SSL transport received a Secure Channel Failure.  May be a result of a unsupported crypto configuration on the Secure Gateway."

Cisco Secure Client DART는 클라이언트와 헤드엔드 간의 TLS 또는 암호 협상이 실패할 경우 CTransportWinHttp 오류 및 CTransPORT_ERROR_SECURE_CHANNEL_FAILURE를 표시할 수 있습니다.

솔루션

  1. 헤드엔드에서 TLS 1.2+ 및 최신 암호 그룹만 사용합니다. DES, 3DES 또는 RC4를 활성화하지 마십시오.
  2. ASA 예:
    ssl cipher tlsv1.2 custom "AES256-GCM-SHA384:AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256"
  3. 서버 인증서 유효성 및 FQDN 일치를 확인합니다.
  4. 클라이언트와 헤드엔드를 지원되는 릴리스로 업그레이드합니다.
  5. Windows에서는 Schannel을 TLS 1.2+로 유지합니다. 사용하지 않는 헤드엔드에 대한 클라이언트 암호화를 약화시키지 마십시오.

관련 정보

개정 이력

개정 게시 날짜 의견
3.0
23-Jun-2026
맞춤법, 문법, 문장 구조, 소개, 간격 및 CCW 알림 업데이트
1.0
04-Apr-2018
최초 릴리스
TAC Authored

Cisco 엔지니어가 작성

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의

이 문서가 적용되는 제품