Cisco Secure Client SAML Authenticatie Navigatie Time-out Fouten tijdens RAVPN-verbinding

uitgeven

Gebruikers ervaren intermitterende Remote Access VPN (RAVPN) verbindingsfouten op Windows met behulp van Cisco Secure Client tijdens SAML-verificatie. De fouten treden op onmiddellijk na de installatie van Cisco Secure Client en worden weergegeven als specifieke foutmeldingen die worden weergegeven in pop-updialoogvensters:

• "Verificatie mislukt vanwege time-out van navigatie."

• "Verificatie mislukt vanwege probleem bij het navigeren naar de URL voor eenmalige aanmelding."

De fout treedt op na verificatie van de Identity Provider (IdP) wanneer de ingesloten WebView2-browser probeert de SAML-reactie om te leiden of te plaatsen naar de Cisco SSE SAML ACS-URL. Dit resulteert in een time-out-conditie die VPN-toegang voor getroffen gebruikers voorkomt. Het probleem is waargenomen bij meerdere gebruikers in dezelfde organisatie, waarbij het verificatieproces ongeveer 30 seconden na een poging om naar het SAML ACS-eindpunt te navigeren, is verlopen.

Gebruikers melden dat wanneer u op de RAVPN-verbindingsknop drukt om de VPN-verbinding tot stand te brengen, de time-outfout pop-up wordt weergegeven en de RAVPN-vestiging mislukt. Het probleem blijft bestaan, zelfs na het opnieuw opstarten van het besturingssysteem.

milieu

• Cisco Secure Client versie 5.1.13.177 op Windows

• SAML-verificatie geconfigureerd met Cisco SSE

• Remote Access VPN (RAVPN)-implementatie

Onmiddellijke tijdelijke oplossing

De volgende tijdelijke tijdelijke tijdelijke tijdelijke oplossingen zijn bevestigd om het probleem met de time-out voor navigatie op te lossen:

1: Netwerkconnectiviteit opnieuw instellen

Verbreek de Wi-Fi-verbinding en maak opnieuw verbinding en probeer vervolgens de RAVPN-verbinding meerdere keren. Als het eenmaal is gelukt, keert het probleem meestal niet terug, zelfs niet nadat het besturingssysteem opnieuw is opgestart.

2: RAVPN-service opnieuw opstarten

Handmatig stoppen en opnieuw starten van de RAVPN-service om latere succesvolle verbindingen mogelijk te maken.

3: Systeem opnieuw opstarten

Start het getroffen systeem opnieuw op om de verificatiestatus opnieuw in te stellen.

verzameling van diagnostische informatie

Voor uitgebreide probleemoplossing moet de volgende diagnostische informatie worden verzameld tijdens een actieve storing:

• DART-bundels vastgelegd tijdens verificatiefout

• Netwerkpakketopnames (vastleggen van verkeer met Wireshark op alle actieve adapters (open Wireshark - klik op capture - opties en gebruik Shift om meerdere interfaces te selecteren) tijdens het verificatieproces

• Netsh ETL-sporen

Procedure voor het verzamelen van Netsh-sporen

• Open een verhoogd opdrachtpromptvenster (Run as Administrator) op de test-pc.

• Voer de opdracht uit: "netsh trace start scenario=InternetClient traceFile=C:\file_NetTrace.etl maxSize=1000 provider=Microsoft-Windows-TCPIP provider=Microsoft-Windows-WinHttp capture=yes level=5 overwrite=yes"

• Het probleem reproduceren

• Zodra het probleem is gereproduceerd, stopt u de logboekregistratie met behulp van de opdracht: "netsh trace stop"

Verzamel de logs C:\file_NetTrace.etl

Fiddler sporen van webverkeer

1. Download Fiddler-opname via deze link https://www.telerik.com/download/fiddler-everywhere (gebruik de Intel-chip (x86-64)

2. Installeer het op een machine waar het probleem reproduceerbaar is.

3. Open de toepassing en schakel HTTPS-decodering in

1. Klik op Extra à Options à HTTPS.

2. Klik op het vak HTTPS-verkeer decoderen.

inline_image_0.png

4. Als u de cert te vertrouwen, pls vertrouwen op de CA van fiddler en verwijder het later zodra het probleem is gereproduceerd en

Ten tweede, als u problemen ondervindt met SSL-connectiviteit tijdens het starten, omzeilt u VPN-gatewayverkeer (connect.ilemgroup.com) of start u op IPsec gebaseerde SAML-connectiviteit (meest voorkeur), zodat u geen gatewayverkeer hoeft te omzeilen.

• Sluit alle onnodige toepassingen en achtergrondprocessen.

• Sluit en open de tool opnieuw, de gegevensverzameling begint automatisch en u ziet nieuwe records toevoegen aan het hoofdformulier.

• Het probleem reproduceren.

• Druk op F12 om de tracering te stoppen.

Ga naar Bestand à Alle sessies opslaan en sla de trace vervolgens op in een .saz-bestand.

Logboeken Procesmonitor - https://download.sysinternals.com/files/ProcessMonitor.zip

Specifieke logs voor WebView2

Variabele/waarde instellen voor gebruikers- en systeemomgeving, zoals hieronder beschreven

Screenshot_2026-05-12_at_9.43.19_AM.png

Tijdens het starten van een VPN, zou onder de terminal

inline_image_1.png

C > Gebruikers > gebruikersnaam > Appdata > Lokaal > Temp

inline_image_2.png

SAML-foutopsporingslogboeken van de identiteitsprovider

resolutie

Oorzaak

De hoofdoorzaak is een time-out voor navigatie die optreedt in de ingesloten WebView2-browsercomponent tijdens de SAML-verificatiestroom. In het bijzonder treedt de time-out op wanneer de WebView2-browser probeert de SAML-reactie van de Identity Provider te posten op het Cisco SSE SAML ACS (Assertion Consumer Service) -eindpunt. De time-outvoorwaarde wordt geactiveerd na ongeveer 30 seconden na het voltooien van deze navigatiestap.

Het probleem lijkt verband te houden met timing of netwerklatentieomstandigheden die de verwerking van de SAML-respons vertragen, waardoor de WebView2-component de interne time-outdrempel overschrijdt. Het probleem manifesteert zich onmiddellijk na de installatie van Cisco Secure Client en heeft specifiek invloed op de SAML-verificatieworkflow, terwijl andere VPN-functionaliteit intact blijft zodra de verificatie met succes is voltooid via de workaround-methoden.

Verwante inhoud

• Cisco Technical Support en downloads

Revisiegeschiedenis

Revisie	Publicatiedatum	Opmerkingen
2.0	12-May-2026	Eerste vrijgave
1.0	12-May-2026	Eerste vrijgave