Solucionar Problemas Comuns do Cisco Secure Client VPN

Introdução

Este documento descreve os problemas do Cisco Secure Client com falhas de aplicativos e desconexões no Windows, macOS e Linux.

Pré-requisitos

Requisitos

Antes de usar este documento, verifique se você tem:

• Cisco Secure Client 5.x no endpoint (ou na versão suportada pelo seu headend).
• Capacidade de coletar um pacote DART ou logs de cliente.
• Acesso administrativo ao headend da VPN (ASA ou FTD).

Componentes Utilizados

As informações neste documento são baseadas em:

• Cliente: Cisco Secure Client 5.x (módulo AnyConnect VPN).
• Headend: Cisco ASA 9.x ou Cisco Secure Firewall Threat Defense (FTD) com VPN de acesso remoto.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Consulte Troubleshoot Cisco Secure Client no guia do administrador do produto.

Processo de solução de problemas

Este documento detalha os problemas do Cisco Secure Client VPN (incluindo o AnyConnect), incluindo falhas de aplicativos, desconexões inesperadas e erros comuns em configurações de headend do Windows, macOS, Linux e Cisco ASA/FTD.

• Aplicativos que não funcionam através do túnel VPN.
• Os clientes se conectam/desconectam inesperadamente.
• Mensagens de erro comuns que aparecem no cliente ou no headend.

Isso abrange o cliente VPN no Windows, macOS e Linux, incluindo a configuração de headend no Cisco ASA e o acesso remoto do Cisco Secure Firewall Threat Defense (FTD). VPN.

Revise estas seções para resolver problemas e soluções comuns:

• Coletar informações para solução de problemas
• Problemas de Instalação e do Adaptador Virtual
• Desconexão ou Incapacidade de Estabelecer a Conexão Inicial
• Problemas com a Passagem de Tráfego
• Problemas de Quedas do AnyConnect
• Problemas de Fragmentação/Passagem de Tráfego
• Desinstalar Automaticamente
• Problema ao preencher o cluster FQDN
• Configuração de lista do servidor de backup

Coletar informações para solução de problemas

Colete dados do cliente e do headend antes de alterar a configuração. O TAC normalmente solicita um pacote DART.

Cliente — Estatísticas e DART

1. Exportar estatísticas de conexão
   
   • Windows: Gear Icon > Janela avançada > Estatísticas > AnyConnect VPN > Estatísticas de exportação
   • MacOS: Ícone Estatísticas > Exportar estatísticas
   • Linux: Detalhes na GUI do cliente
2. Executar DART
   
   • Windows/Linux: Ícone de engrenagem > Janela avançada > Diagnóstico
   • MacOS: Menu Application (Aplicativo) > Generate Diagnostic Report (Gerar relatório de diagnóstico)
   Anexe o pacote ao seu caso TAC ou use Upload to TAC com o número SR e o token.
3. Problemas do navegador incorporado: Janela Avançada > Geral > Navegador da Web > Limpar Dados.

Headend — ASA

• show running-config
• show vpn-sessiondb detail anyconnect filter name <username>
• Exemplo de depuração:
  

  configure terminal
  logging enable
  logging timestamp
  logging class auth console debugging
  logging class webvpn console debugging
  logging class ssl console debugging
  logging class anyconnect console debugging

  Reproduza a falha, capture a saída e no logging enable.

Headend - FTD

No FMC/CDO, exporte a política de VPN de acesso remoto e as configurações do perfil de conexão. Coletar registros de conexão/VPN SSL FTD para a janela de falha.

Problemas de Instalação e do Adaptador Virtual

Se a instalação ou a configuração do adaptador virtual falhar, colete:

1. Logs de instalação do Windows:
   

   %SystemRoot%\Inf\setupapi.dev.log
   %SystemRoot%\Inf\setupapi.setup.log

2. Log do instalador MSI: %LOCALAPPDATA%\Temp\ ou %SystemRoot%\Temp\ — filename cisco-secure-client-win-*-install-*.log (mais recente para sua versão).
3. MSI detalhado (se necessário):
   

   msiexec /i cisco-secure-client-win-<version>-predeploy-k9.msi /lvx %TEMP%\ac-install.log

4. Informações do sistema: msinfo32 /nfo %TEMP%\msinfo.nfo e systeminfo > %TEMP%\sysinfo.txt

Para erros de banco de dados de driver, consulte Cisco Secure Client: Corrupt Driver Database Issue e a seção do guia do administrador VPN Client Driver Encounters Error (após uma atualização do Microsoft Windows).

Desconexão ou Incapacidade de Estabelecer a Conexão Inicial

Se você tiver problemas de conexão com o Cisco Secure Client, colete dados por Coletar Informações para Solução de Problemas antes de alterar a configuração.

• Configuração do Headend: show running-config ou export policy from FMC/CDO for FTD.
• Registros de Cliente: Colete um pacote DART (consulte Coletar informações). Não confie nas exportações legadas do Visualizador de Eventos .evt.
• Depuração ASA (se necessário): Habilite logging class auth, webvpn, ssl e anyconnect na depuração; Reproduzir a falha; saída do console de captura; então no logging enable.

Se o usuário não conseguir se conectar, o problema pode estar relacionado ao Remote Desktop Protocol (RDP) ou ao Fast User Switching. O usuário pode ver: As configurações de perfil do AnyConnect exigem um único usuário local, mas vários usuários locais estão atualmente conectados ao computador. Não é possível estabelecer uma conexão VPN.

Desconecte a(s) sessão(ões) RDP e desative a Troca Rápida de Usuários. Não há suporte para vários usuários locais simultâneos na mesma máquina para o estabelecimento de VPN.

Note: Verifique se a porta 443 (e UDP 443 para DTLS) não está bloqueada para que o cliente possa acessar o headend.

Quando um usuário não consegue se conectar, o problema pode ser causado pela incompatibilidade entre a versão do Cisco Secure Client e o software headend. O usuário pode receber: O instalador não pôde iniciar o cliente VPN Cisco, o acesso sem cliente não está disponível. Atualize o cliente para uma versão compatível com a sua implantação de VPN de acesso remoto do ASA ou do FTD.

Quando você faz login pela primeira vez no Cisco Secure Client, o script de login pode ter problemas. Se você se desconectar e fizer logon novamente, o script de logon geralmente será executado conforme o esperado. Esse comportamento pode ser esperado dependendo do perfil e da temporização do script.

Ao conectar-se, você pode receber: Usuário não autorizado para acessar o AnyConnect Client. Entre em contato com o administrador. Isso é visto com frequência quando a imagem do Secure Client está ausente no headend. Carregue a imagem correta do cliente e faça referência a ela na configuração de VPN/WebVPN do RA.

O DART pode mostrar TUNNELPROTOCOLDPDMGR_ERROR_NO_DPD_RESPONSE quando o canal DTLS é interrompido devido a uma falha de Dead Peer Detection (DPD). Ajustar keepalives no ASA:

webvpn
 anyconnect ssl keepalive 15
 anyconnect dpd-interval client 5
 anyconnect dpd-interval gateway 5

Desativar DTLS apenas como um teste temporário (ASDM: Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles, desmarque Enable DTLS ou FMC equivalent). Prefira corrigir o tempo DPD e permitir UDP 443.

Problemas com a Passagem de Tráfego

Quando forem detectados problemas com a passagem de tráfego para a rede privada com uma sessão do Cisco Secure Client através do ASA, conclua estas etapas de coleta de dados:

1. Obtenha a saída de show vpn-sessiondb detail anyconnect filter name <username> no console do ASA. Se a saída mostrar o Nome do filtro: XXXXX, reúna show access-list XXXXX. Verifique se a lista de acesso não bloqueia o tráfego pretendido.
   
   
2. Exportar estatísticas de conexão: Cisco Secure Client > Gear > Advanced Window > Statistics > AnyConnect VPN > Export Stats.
   
   
3. Verifique a configuração do ASA para obter instruções de nat. Se a conversão de endereço de rede (NAT) estiver habilitada, isente o tráfego que retorna ao cliente. Exemplo de um pool do AnyConnect isento de NAT:
   
   

   access-list in_nat0_out extended permit ip any 10.136.246.0 255.255.255.0
   ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
   nat (inside) 0 access-list in_nat0_out

4. Determine se o gateway padrão encapsulado deve ser ativado. Exemplo:
   
   

   route outside 0 0 10.145.50.1
   route inside 0 0 10.0.4.2 tunneled

   
   Se o cliente precisa acessar recursos que não estão na tabela de roteamento do gateway VPN, a palavra-chave tunneled encaminha esse tráfego através do túnel VPN.
   
   
5. Verifique se a política de inspeção elimina o tráfego de aplicativos. Você pode isentar um protocolo sob a Estrutura de política modular. Exemplo para skinny:
   
   

   ASA(config)# policy-map global_policy
   ASA(config-pmap)#  class inspection_default
   ASA(config-pmap-c)# no inspect skinny

Problemas de Quedas do AnyConnect

Conclua estas etapas de coleta de dados:

1. Colete o DART imediatamente após o travamento.
2. Observação Entradas do Relatório de Erros do Windows para vpnagent.exe / acvpnui.exe.
3. Registros de Cliente: %LOCALAPPDATA%\Cisco\Cisco Secure Client\Logs (verifique o caminho da sua versão).

Problemas de Fragmentação/Passagem de Tráfego

Alguns aplicativos, como o Microsoft Outlook, não funcionam enquanto o túnel passa tráfego menor, como pequenos pings. Isso pode indicar a fragmentação no caminho. Os roteadores de consumo geralmente são ineficientes em termos de fragmentação e remontagem.

Tente um conjunto de pings escalável: ping -l 500, ping -l 1000, ping -l 1500, ping -l 2000.

Configure uma política de grupo dedicada para usuários afetados e defina uma MTU mais baixa:

group-policy <name> attributes
 webvpn
  anyconnect mtu 1200

Desinstalar Automaticamente

Problema

O Cisco Secure Client desinstala-se após o término da conexão, mesmo que keep installed apareça selecionado no ASDM/FMC.

Solução

group-policy <name> attributes
 webvpn
  anyconnect keep-installer installed

Problema ao preencher o cluster FQDN

Problema: O AnyConnect Client será previamente preenchido com o nome do host em vez do Fully Qualified Domain Name (FQDN) do cluster.

Quando você tem um cluster de balanceamento de carga para VPN SSL e o cliente se conecta, a solicitação pode ser redirecionada para um nó de cluster e o login é bem-sucedido. Em uma tentativa de conexão posterior, o FQDN do cluster não aparece em Conectar a; o nome de host do último nó pode ser exibido.

Solução

O cliente armazena em cache o último nome de host bem-sucedido. Limpe as entradas em cache ou defina o FQDN do cluster na lista do servidor de perfil. Verifique no Cisco Secure Client 5.x. Consulte o bug da Cisco ID CSCsz39019 para obter notas específicas da plataforma.

Configuração de lista do servidor de backup

Uma lista de servidores de backup é configurada quando o servidor primário está inacessível. Defina-o no painel Servidor de backup do perfil do cliente. Conclua estes passos:

1. Edite o perfil com o Editor de perfis a partir do pacote do cliente seguro headend ou de acordo com o Guia de configuração de perfis do Secure Client 5.1. Atribua o perfil no ASDM ou FMC.
   
   
2. Crie ou edite o perfil XML:
   
   1. Acesse a guia de lista de servidores.
   2. Clique em Add.
   3. Digite o nome de host do servidor primário.
   4. Adicione servidores de backup na lista de servidores de backup e clique em Add.
3. Atribua o perfil à conexão no ASA:
   
   1. No ASDM: Configuração > VPN de acesso remoto > Acesso à rede (cliente) > Perfis de conexão do AnyConnect.
   2. Selecione o perfil e clique em Editar.
   3. Clique em Gerenciar na seção de Política de grupo padrão.
   4. Selecione a diretiva de grupo e clique em Editar.
   5. Selecione Advanced e, em seguida, SSL VPN Client.
   6. Clique em New, nomeie o perfil e atribua o arquivo XML.
4. Conecte o cliente para baixar o perfil.

Cisco Secure Client: Problema de Banco de Dados de Drivers Corrompido

Esta entrada no arquivo SetupAPI.log sugere que o sistema de catálogo está corrompido:

W239 driver signing class list " C:\WINDOWS\INF\certclas.inf" was missing or invalid. Error 0xfffffde5: Erro desconhecido., supondo que todas as classes de dispositivo estão sujeitas à política de assinatura do driver. Você também pode receber: Erro(3/17): Não é possível iniciar a VA, a configuração compartilhou a fila ou desistiu da fila compartilhada .

E você pode receber este registro no cliente: "O driver do VPN Client encontrou um erro".

Reparo

Este problema está relacionado à ID de bug da Cisco CSCsm54689. Desabilite o Routing and Remote Access Service (RRAS) antes de iniciar o Cisco Secure Client. Se o problema persistir:

1. Abra um prompt de comando como Administrador no Windows.
   
   
2. Execute net stop CryptSvc.
   
   
3. Executar:
   
   

   esentutl /p%systemroot%\System32\catroot2\
   {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb

4. Quando avisado, escolha OK para tentar a reparação.
5. Saia do prompt de comando.
   
   
6. Reinicialização.

Falha no reparo

Se o reparo falhar:

1. Abra um prompt de comando como Administrador no Windows.
   
   
2. Execute net stop CryptSvc.
   
   
3. Renomeie %WINDIR%\system32\catroot2 como catroot2_old.
   
   
4. Saia do prompt de comando.
   
   
5. Reinicialização.

Analise o Banco de Dados

Você pode analisar o banco de dados a qualquer momento para determinar se ele é válido.

1. Abra um prompt de comando como Administrador no Windows.
   
   
2. Executar:
   
   

   esentutl /g%systemroot%\System32\catroot2\
   {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb

   
   Consulte Integridade do Banco de Dados de Catálogo do Sistema para obter mais informações.

Mensagens de erro

Erro: Unable to Update the Session Management Database

Esse erro pode ser exibido durante a autenticação da VPN SSL ou do portal da Web com base no navegador. O cliente ou portal mostra Não é possível atualizar o banco de dados de gerenciamento de sessão. O ASA pode registrar %ASA-3-211001: Memory allocation Error. O dispositivo de segurança adaptativa falhou ao alocar memória do sistema RAM.

Solução 1

Relacionado ao bug da Cisco ID CSCsm51093. Recarregue o ASA ou atualize para uma versão fixa de acordo com o bug. No FTD, verifique os limites de memória da plataforma e da sessão VPN do RA.

Solução 2

Memória livre do fim do cabeçalho:

1. Desative a detecção de ameaças, se estiver ativada.
2. Desativar a compactação do AnyConnect: anyconnect compression none na seção group-policy webvpn.
3. Recarregue o ASA.
4. Em plataformas ASA mais antigas com 256 MB de RAM, atualize para 512 MB se o esgotamento da memória persistir.

Erro: "Module failed to register" (O módulo falhou ao registrar) durante a instalação do Cisco Secure Client

Durante a instalação no Windows, o instalador relata que um módulo (por exemplo, vpnapi.dll) não foi registrado e foi revertido.

Solução

• Remover temporariamente adaptadores de rede virtual VMware conflitantes; reinstalar o Secure Client; adicione o VMware de volta.
• Adicione o FQDN do headend a sites confiáveis se estiver usando a implantação na Web.
• Em C:\Program Files\Cisco\Cisco Secure Client\, execute elevated: regsvr32 vpnapi.dll (e vpncommon.dll, vpncommoncrypt.dll, se presente).
• Colete o log detalhado do MSI (consulte a seção Instalação) e o DART se a instalação ainda falhar.
• Como último recurso, repare o Windows ou reimplante a partir de uma desinstalação limpa do Secure Client.

Erro: "Um erro foi recebido do gateway seguro em resposta à solicitação de negociação de VPN. Entre em contato com o administrador da rede"

Quando os clientes se conectam com o Cisco Secure Client, o gateway retorna um erro como "Classe de endereço ilegal", "Host ou rede é 0" ou "Outro erro".

Solução

O pool IP local do ASA ou do FTD está esgotado ou configurado incorretamente. Expanda o pool de endereços VPN e use uma máscara apropriada (por exemplo, /24 em vez de um pool somente de /32). Consulte o bug da Cisco ID CSCsl82188.

Erro: O AnyConnect não está habilitado no servidor VPN ao tentar conectar o anyconnect ao ASA

O cliente relata que o AnyConnect / Secure Client não está habilitado no servidor VPN.

Solução

Ative a VPN de acesso remoto e implante uma imagem de cliente seguro no headend. No ASA: Configuração > VPN de acesso remoto > Acesso à rede (cliente) > Perfis de conexão do AnyConnect. No FTD: configurar a VPN do RA e a imagem do cliente no FMC. Use um guia de VPN de acesso remoto — não uma configuração apenas de WebVPN sem cliente.

Erro:- %ASA-6-722036: Group client-group User xxxx IP x.x.x.x que transmitem o pacotes maiores 1220 (ponto inicial 1206)

O %ASA-6-722036: A mensagem Group < client-group > User < xxxx > IP < x.x.x.x> Transmitting large packet 1220 (threshold 1206) aparece nos logs do ASA.

Solução

Um pacote grande foi enviado ao cliente (MTU ou dados não compactáveis). Desabilite a compactação para a política de grupo:

group-policy <name> attributes
 webvpn
  anyconnect compression none

Erro: O gateway seguro rejeitou a solicitação de conexão ou reconexão à vpn do agente.

Os exemplos incluem no assigned address, Host or network is 0 ou No License na mensagem de gateway.

Solução

Verifique se o headend tem um pool local IP configurado e uma atribuição de endereço de política de grupo após o recarregamento ou failover:

show running-config | include pool
ip local pool SSLPOOL 192.168.30.2 192.168.30.254
 anyconnect address-pool SSLPOOL

Para Sem licença, instale ou habilite a licença necessária do Secure Client Mobility no headend.

Erro: "O driver de cliente VPN encontrou um erro"

Geralmente, a falha do adaptador virtual, o conflito de RRAS ou o problema de driver pós-Windows Update.

Solução

1. Desabilite o Routing and Remote Access Service (RRAS) antes de iniciar o Secure Client.
2. Conclua o Cisco Secure Client: Etapas de Emissão de Banco de Dados de Driver Corrompidas se a setupapi mostrar erros de catálogo.
3. Após a atualização do Windows, use Repair VPN Client Driver Error no Guia do administrador do Secure Client 5.1.
4. Colete o DART e entre em contato com o TAC, se necessário. Consulte o bug da Cisco ID CSCsm54689.

Erro: "Não foi possível processar a resposta de xxx.xxx.xxx.xxx"

O Cisco Secure Client falha ao se conectar com Não é possível processar a resposta do <gateway>.

Solução

• Desabilite e habilite novamente a VPN/WebVPN de Acesso Remoto na interface afetada.
• Mova temporariamente a VPN SSL para outra porta (por exemplo, 444) e restaure 443.

Consulte configuração de cliente VPN SSL no ASA. Colete o DART se o erro persistir.

Erro: "Login negado, mecanismo de conexão não autorizado; entre em contato com o administrador"

O Cisco Secure Client mostra Login Denied (Logon negado), authorized connection mechanism (mecanismo de conexão não autorizado), contact your administrator.

Solução

Revise o perfil de conexão e a autenticação no headend (ASA ou FTD). Verifique se o método de autenticação do cliente (RADIUS, SAML, certificado, etc.) corresponde ao perfil. Verifique a diretiva de grupo e a atribuição do grupo de túneis.

Erro: "Pacote do Anyconnect indisponível ou corrompido. Entre em contato com o administrador do sistema"

Este erro pode aparecer ao iniciar o Cisco Secure Client de um cliente Macintosh.

Solução

1. Carregue o pacote do Secure Client do macOS para o flash do headend.
2. Faça referência a ele na configuração do WebVPN:
   

   webvpn
    anyconnect image disk0:/cisco-secure-client-macos-<version>-predeploy-k9.pkg 2

Erro: "O pacote do AnyConnect no gateway seguro não pode ser localizado"

No Linux (ou em outras plataformas), o cliente não pode fazer o download do pacote do headend.

"The AnyConnect package on the secure gateway could not be located. You may
be experiencing network connectivity issues. Please try connecting again."

Solução

Verifique se o SO do cliente é suportado e se a imagem correta está configurada no headend:

webvpn
 anyconnect image disk0:/cisco-secure-client-win-<version>-predeploy-k9.pkg 1
 anyconnect image disk0:/cisco-secure-client-macos-<version>-predeploy-k9.pkg 2

Consulte Pacote do AnyConnect indisponível ou corrompido para obter as etapas relacionadas.

Erro: "A VPN segura via desktop remoto não é compatível"

Os usuários veem que a VPN segura via desktop remoto não é suportada.

Solução

Atualize para uma versão compatível do Cisco Secure Client 5.x. Consulte o bug da Cisco ID CSCsu22088 e o bug da Cisco ID CSCso42825.

Erro: "O certificado do servidor recebido ou sua cadeia não está em conformidade com o FIPS. Não será estabelecida uma conexão de VPN"

O cliente relata que o certificado ou a cadeia do servidor não está em conformidade com o FIPS.

Solução

Se o FIPS for necessário no endpoint, use os certificados compatíveis com FIPS no headend. Se não for necessário, edite o C:\ProgramData\Cisco\Cisco Secure Client\AnyConnectLocalPolicy.xml e defina <FipsMode>false</FipsMode> e reinicialize (são necessários direitos de administrador).

Erro: "Falha na validação do certificado"

Os usuários não podem iniciar o Cisco Secure Client e receber a Falha na Validação do Certificado.

Solução

Para autenticação de certificado, importe o certificado do cliente, configure o perfil para autenticação de certificado e ative o ASA:

ssl certificate-authentication interface outside port 443

Verifique se o certificado do servidor corresponde ao FQDN na lista de servidores de perfil.

Erro: "O serviço do agente da VPN encontrou um problema e precisa ser fechado. Lamentamos o inconveniente"

O serviço vpnagent.exe falha durante a instalação, a atualização ou a conexão.

Solução

1. Reinicie o Cisco Secure Client - AnyConnect VPN Agent nos Serviços do Windows.
2. Reparar ou reinstalar a partir da implantação na Web do headend.
3. Colete o DART se o serviço falhar repetidamente. Para conflitos de Citrix, consulte o bug da Cisco ID CSCsq49102.

Erro: "Este pacote de instalação não pode ser aberto. Verifique se o pacote existe"

Falha na implantação da Web com um erro do Windows Installer em que o pacote não pôde ser aberto.

Solução

1. Verifique se o MSI foi completamente descarregado; tente novamente no portal headend.
2. Desative temporariamente o AV agressivo na pasta de download; coletar log MSI detalhado.
3. Verifique se o serviço Windows Installer está em execução.
4. Se o problema persistir, colete os registros DART/MSI e abra um caso TAC.

Erro: "Erro ao aplicar transformações. Verifique se os caminhos de transformação especificados são válidos."

O download automático do headend falha, às vezes devido a uma transformação MST corrompida.

Solução

1. Remova a transformação MST personalizada da definição de instalação personalizada do AnyConnect do headend.
2. Carregue novamente a imagem correta do Secure Client no headend.
3. No ASDM: Acesso à rede (cliente) > AnyConnect Custom > Instalações — Remova entradas duplicadas; mantenha a imagem ativa sob as configurações do cliente.

Erro: "Uma reconexão de VPN resultou na definição de configuração diferente. A configuração de rede VPN está sendo reinicializada. Aplicações que utilizam a rede privada podem precisar ser restauradas."

Esta mensagem pode ser exibida após a reconexão quando as configurações do headend Enviado mudarem.

Solução

group-policy <Name> attributes
 webvpn
  anyconnect mtu 1200

Erro do Cisco Secure Client durante o login

Problema: A conexão VPN não é permitida através de um proxy local. Isso pode ser alterado por meio das configurações de perfil do AnyConnect.

Solução

<ProxySettings>IgnoreProxy</ProxySettings>
<AllowLocalProxyConnections>false</AllowLocalProxyConnections>

Erro: O AnyConnect Essentials não pode ser habilitado até que todas essas sessões sejam encerradas.

O ASDM mostra sessões de VPN SSL sem cliente em andamento ao habilitar o AnyConnect Essentials.

Solução

O AnyConnect Essentials não pode ser executado simultaneamente com a licença de VPN SSL compartilhada premium. Encerre as sessões de VPN SSL sem cliente antes de habilitar o Essentials. O Essentials não inclui VPN SSL sem cliente.

Erro: Alguns usuários estão recebendo mensagem de erro de falha de login enquanto outros são capazes de se conectar através da VPN do AnyConnect

Alguns usuários recebem Falha de login, enquanto outros podem se conectar.

Solução

Certifique-se de não exigir pré-autenticação (ou equivalente) esteja definida corretamente para os usuários afetados. Compare a política de grupo e o mapeamento do perfil de conexão.

Erro: O certificado que você está visualizando não coincide com o nome do site que você está tentando visualizar.

Durante a atualização do perfil no Windows, a validação do certificado falha na URL da conexão.

Solução

<ServerList>
 <HostEntry>
    <HostName>vpn1.example.com</HostName>
 </HostEntry>
</ServerList>

O perfil do AnyConnect não é replicado para o modo de espera após o failover

Após o failover do ASA, os arquivos relacionados ao perfil do Secure Client estão ausentes na unidade de standby.

Solução

Consulte o bug da Cisco ID CSCtn7162. Para contornar esse problema: copiar manualmente arquivos de perfil para o stand-by. Verifique a sincronização da configuração de failover stateful para perfis de VPN do RA.

Mensagem de Erro: TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER

O Cisco Secure Client falha ao se conectar com Não é possível estabelecer uma conexão. O registro de eventos mostra TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER.

Solução

Isso ocorre com uma lista de túneis divididos muito grande (aproximadamente 180 a 200 entradas) e outros atributos de política de grupo (por exemplo, dns-server).

1. Reduza as entradas da lista de túnel dividido.
2. Desabilitar temporariamente DTLS:
   

   group-policy groupName attributes
    webvpn
     anyconnect ssl dtls none

Consulte o bug da Cisco ID CSCtc41770.

Mensagem de Erro: "A tentativa de conexão falhou devido à entrada de host inválido"

Falha na tentativa de conexão devido a uma entrada de host inválida durante a autenticação do certificado.

Solução

• Use um HostName (FQDN) válido na lista de servidores de perfil.
• Use o Cisco Secure Client 5.x suportado.
• Remova a política preterida do Cisco Secure Desktop (CSD), se ainda estiver presente.

Consulte o bug da Cisco ID CSCti73316.

Erro: "Verifique se os certificados do servidor podem passar o modo rigoroso se você configurar a VPN sempre ativa"

Quando Always-On está habilitado, o cliente pode relatar que os certificados do servidor devem passar no modo estrito.

Solução

Always-On requer um certificado de headend válido correspondente à URL de conexão. O Modo de Certificado Estrito na política local causará falha se o certificado não for confiável ou não corresponder.

Consulte Certificado por uma autoridade desconhecida no Guia do Administrador do Secure Client 5.1.

Erro: "Ocorreu um erro interno nos serviços HTTP do Microsoft Windows"

O DART pode mostrar falhas de HttpSendRequest e Ocorreu um erro interno no Microsoft Windows HTTP Services com erros de CTransportWinHttp.

Solução

Isso pode ser causado pelo estado Winsock corrompido. A partir de um prompt de comando elevado: netsh winsock reset

Reinicie o Windows e consulte as Diretrizes da Microsoft para Redefinir o Winsock.

Erro: "O transporte SSL recebeu uma falha de canal seguro.   Pode ser o resultado de uma configuração de criptografia incompatível no gateway seguro."

O Cisco Secure Client DART pode mostrar erros CTransportWinHttp e CTransPORT_ERROR_SECURE_CHANNEL_FAILURE quando a negociação TLS ou cifra falhar entre o cliente e o headend.

Solução

1. No headend, use TLS 1.2+ e pacotes de cifra modernos apenas. Não ative DES, 3DES ou RC4.
2. Exemplo de ASA:
   

   ssl cipher tlsv1.2 custom "AES256-GCM-SHA384:AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256"

3. Verifique a validade do certificado do servidor e a correspondência do FQDN.
4. Atualize o cliente e o headend para versões compatíveis.
5. No Windows, mantenha o Schannel no TLS 1.2+; não enfraqueça a criptografia do cliente para headends obsoletos.

Informações Relacionadas

• Solução de problemas do Cisco Secure Client (Guia do Administrador 5.1)
• Guia de solução de problemas do AnyConnect VPN Client - Problemas comuns externos
• Perguntas frequentes do Cisco Secure Client / AnyConnect

Histórico de revisões

Revisão	Data de publicação	Comentários
3.0	23-Jun-2026	Ortografia, gramática, estrutura de frases, introdução, espaçamento e alertas do CCW atualizados.
1.0	04-Apr-2018	Versão inicial