Java与AnyConnect、CSD/Hostscan和WebVPN的7个问题-故障排除指南

简介

本文描述如何排除故障与Java 7的问题在Cisco AnyConnect安全移动客户端， Cisco Secure Desktop (CSD) /Cisco Hostscan和无客户端SSL VPN (WebVPN)。

注意：作为调查被标记的Cisco Bug ID没有限制对描述的症状。如果面对与Java 7的问题，请保证您升级AnyConnect客户端版本对最新的客户端版本或对在Cisco在线连接(CCO)的至少3.1维护版3版本联机。

一般故障排除

运行Java检验器为了检查是否浏览器支持Java在使用中。如果Java适当地启用，请查看JAVA控制台登录顺序分析问题。

Windows

此步骤描述如何启用控制台登录Windows ：

1. 打开Windows控制面板和搜索Java的。
   
   
2. 双击Java (咖啡杯图标)。Java控制面板出现。
3. 单击 Advanced 选项卡。
   
   
   1. 展开调试，并且选择Enable (event)跟踪和启用日志。
   2. 展开JAVA控制台，并且单击显示控制台。
      
      

Mac

此步骤描述如何启用控制台注册Mac ：

1. 开放式系统首选，和双击Java图标(咖啡杯)。Java控制面板出现。
   
   
   
   
2. 单击 Advanced 选项卡。
   
   
   1. 在JAVA控制台下，请单击显示控制台。
   2. 在调试下，请点击Enable (event)跟踪和启用日志。
      
      

特定故障排除

AnyConnect

对于AnyConnect相关问题，请收集报告(箭)日志以及JAVA控制台日志的诊断AnyConnect。

Windows

Cisco Bug ID CSCuc55720， “IE失败与Java 7，当3.1.1包在ASA时启用”，是已知问题， Internet Explorer失败，当WebLaunch执行，并且AnyConnect 3.1在头端启用。此bug修复。

当您以Java apps时，使用一些版本AnyConnect和Java 7您也许遇到问题。欲知详情，当曾经AnyConnect 3.1.00495或3.1.02026 & Java v7."时，请参阅Cisco Bug ID CSCue48916， “Java App工间休息时间

与Java 7和IPv6 Socket呼叫的问题

如果AnyConnect不连接，在您升级Java运行时环境(JRE)对Java 7以后，或者，如果Java应用程序无法在VPN通道连接，请检查JAVA控制台日志并且寻找这些消息：

java.net.SocketException: Permission denied: connect
 at java.net.DualStackPlainSocketImpl.waitForConnect(Native Method)
 at java.net.DualStackPlainSocketImpl.socketConnect(Unknown Source)

这些日志条目表明客户端/应用程序做IPv6呼叫。

此问题的一解决方案将禁用IPv6 (如果不是在使用中的)在以太网适配器和AnyConnect虚拟适配器(VA) ：

第二解决方案将配置Java更喜欢在IPv6的IPv4。如这些示例所显示，设置系统属性'java.net.preferIPv4Stack对‘真’ ：

• 添加系统属性的代码到Java代码(客户写入的Java应用程序) ：
  
  

  System.setProperty("java.net.preferIPv4Stack" , "true");

• 从line命令添加系统属性的代码：
  
  

  -Djava.net.preferIPv4Stack=true

• 设置环境变量_JPI_VM_OPTIONS和_JAVA_OPTIONS为了包括系统属性：
  
  

  -Djava.net.preferIPv4Stack=true

有关其他信息，请参阅：

• 如何设置在Java代码的java.net.preferIPv4Stack=true ？
• 如何强制Java使用ipv4 IPv6 ？

第三解决方案将禁用IPv6完全在Windows机器;编辑此注册表条目：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\TCPIP6\Parameters

关于其他信息，请参阅如何禁用IP版本6 (IPv6)或其特定组件在Windows。

与AnyConnect WebLaunch的问题在Java 7升级以后

思科Javascript代码以前寻找Sun作为Java供应商的值。然而， Oracle更改该值正如JDK7所描述：Java供应商属性更改。此问题由Cisco Bug ID CSCub46241修复， “AnyConnect weblaunch从有Java的7." Internet Explorer失效

Mac

问题未报告。与AnyConnect 3.1的试验(与WebLaunch/Safari/Mac 10.7.4/Java 7.10配置)不证明错误。

其他

与Java 7 Apps的问题在思科AnyConnect

Cisco Bug ID CSCue48916， “Java App中断，当曾经AnyConnect 3.1.00495或3.1.02026 &归档了Java v7,"。最初的调查表明问题不是在客户端的一bug，但是也许与Java虚拟机(VM)配置涉及。

以前，为了使用Java在AnyConnect 3.1(2026)客户端的7 apps，您不了选定IPv6虚拟适配器设置。然而，完成所有在此步骤的步骤当前是必要的：

1. 安装AnyConnect版本3.1(2026)。
2. 卸载Java 7。
3. 重新启动。
4. 安装Java SE 6，更新38，在Oracle网站的联机。
5. 导航对Java 6控制面板设置，然后点击Update选项升级到新版本Java 7。
6. 打开prompt命令并且输入：
   
   

   setx _JAVA_OPTIONS -Djava.net.preferIPv4Stack=true

7. 登陆与AnyConnect，并且Java apps应该工作。

注意：此步骤用Java测试7次更新9， 10和11。

CSD/Hostscan

对于CSD/Hostscan相关问题，请收集箭日志以及JAVA控制台日志。

为了获取箭日志，必须启用CSD日志级别到调试在ASA ：

1. 导航对ASDM > Configuration>远程访问VPN >安全桌面Manager>全局设置。
2. 转向记录的CSD调试在Cisco Adaptive Security Device Manager (ASDM)。
3. 请使用箭为了收集CSD/Hostscan日志。
   
   

Windows

Hostscan是易受失败类似于为在Windows (Cisco Bug ID CSCuc55720)的AnyConnect以前描述的那些。Cisco Bug ID解决了hostscan问题CSCuc48299， “与Java的IE在HostScan Weblaunch的7失败”。

Mac

与CSD版本3.5.x和Java 7的问题

在CSD 3.5.x，所有WebVPN连接发生故障;这包括AnyConnect Web启动。JAVA控制台日志不暴露任何问题：

Java Plug-in 10.10.2.12
Using JRE version 1.7.0_10-ea-b12 Java HotSpot(TM) 64-Bit Server VM
User home directory = /Users/rtpvpn
----------------------------------------------------
c:   clear console window
f:   finalize objects on finalization queue
g:   garbage collect
h:   display this help message
l:   dump classloader list
m:   print memory usage
o:   trigger logging
q:   hide console
r:   reload policy configuration
s:   dump system and deployment properties
t:   dump thread list
v:   dump thread stack
x:   clear classloader cache
0-5: set trace level to <n>
----------------------------------------------------

如果降级对JRE 6或升级CSD到3.6.6020或以后， JAVA控制台日志暴露问题：

Java Plug-in 10.10.2.12
Using JRE version 1.7.0_10-ea-b12 Java HotSpot(TM) 64-Bit Server VM
User home directory = /Users/rtpvpn
----------------------------------------------------
c:   clear console window
f:   finalize objects on finalization queue
g:   garbage collect
h:   display this help message
l:   dump classloader list
m:   print memory usage
o:   trigger logging
q:   hide console
r:   reload policy configuration
s:   dump system and deployment properties
t:   dump thread list
v:   dump thread stack
x:   clear classloader cache
0-5: set trace level to <n>
----------------------------------------------------
CacheEntry[ https://rtpvpnoutbound6.cisco.com/CACHE/sdesktop/install/binaries/
   instjava.jar ]: updateAvailable=false,lastModified=Wed Dec 31 19:00:00 EST 
   1969,length=105313
Fri Oct 19 18:12:20 EDT 2012 Downloaded
  https://rtpvpnoutbound6.cisco.com/CACHE/sdesktop/hostscan/darwin_i386/cstub
  to /var/folders/zq/w7l9gxks7512fsl4vk07v9nc0000gn/T/848638312.tmp/cstub
Fri Oct 19 18:12:20 EDT 2012 file signature verification
  PASS: /var/folders/zq/w7l9gxks7512fsl4vk07v9nc0000gn/T/848638312.tmp/cstub
Fri Oct 19 18:12:20 EDT 2012 Spawned CSD stub.

解决方法是升级CSD或降级Java。由于思科建议您运行CSD新版本，您应该升级CSD，而不是降级Java，特别是从Java降级可以是困难在Mac。

与镀铬物的与WebLaunch的问题和Safari在Mac 10.8

与镀铬物的问题和Safari是预料之中的行为：

• 镀铬物是32位浏览器，并且不支持Java 7。
• 镀铬物从未正式是WebLaunch的一个支持的浏览器。
• Mac 10.8禁用使用在Safari的Java 7，默认情况下，并且更旧的JAVA版本没有启用。

如果已经安排Java 7安装，解决方法是：

• 请使用Firefox。
• 启用在Safari的Java 7 ：
  
  
  1. 验证Java 7在Mac安装，并且Mac重新启动。打开Firefox，并且去Java检验器。
  2. 打开Safari，并且再去Java检验器。您应该当前看到此屏幕：
     
     
• 禁用Java 7，并且启用苹果公司6提供的Java SE。

提示：如果不安排Java安装或有Java早版本，您可能发现错误消息‘为此网站阻塞的Java’ java.com的。请参阅Java更新可用为在奥古斯特28的OS x， 2013在苹果公司支持论坛关于Java更新的安装的信息。

与Safari的问题与在Mac 10.9的WebLaunch

如果您是在Mac 10.9和已经有Java插件已启用(正如与镀铬物的与WebLaunch的问题和Safari所描述在Mac 10.8部分)， WebLaunch也许继续发生故障。所有Java程序启动，但是浏览器继续空转。如果Java日志启用正如General Troubleshooting部分所描述，日志迅速填满如显示此处：

at java.lang.Thread.run(Thread.java:744)
Mon Dec 16 16:00:17 EST 2013 Failed to download cstub
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45

寻找此种条目前在日志：

Mon Dec 16 16:00:17 EST 2013 Downloaded https://rave.na.sage.com/CACHE/
   sdesktop/hostscan/darwin_i386/manifest java.io.FileNotFoundException: 
   /Users/user1/.cisco/hostscan/bin/cstub (Operation not permitted) at 
   java.io.FileInputStream.open(Native Method)

这指示您遇到Cisco Bug ID CSCuj02425， “在OSX 10.9的WebLaunch发生故障，如果Java不安全模式禁用”。为了应急方案此问题，修改Java首选，因此Java在Safari的不安全模式能运行：

1. 点击首选。
   
   
   
   
2. 单击管理网站设置。
   
   
   
   
3. 在安全选项卡，请选择Java，并且注意默认情况下Allow选择。
   
   
   
   
4. 崔凡吉莱在不安全模式准许运作。
   
   

WebVPN

对于与Java涉及的WebVPN问题，请收集此数据为了实现故障排除目的：

• 来自 show tech-support 命令的输出。
• 有和没有可适应安全工具(ASA)的JAVA控制台日志按照General Troubleshooting部分说明。
• WebVPN捕获。
• HTTP在本地设备的观察捕获有和没有ASA。
• 标准的信息包获取在ASA和在本地设备。
  • 在本地设备上，这些捕获可以完成与Wireshark。
  • 关于如何捕获在ASA的流量的信息，请参阅配置数据包捕获。
• 所有JAR文件下载对Java缓存，当通过ASA。这是从JAVA控制台的一示例：
  
  

  Reading Signers from 8412 
   https://rtpvpnoutbound6.cisco.com/+CSCO+00756767633A2F2F7A2D73767972662E6
      E7067727A76687A2E6179++/mffta.jar
  C:\Users\wvoosteren\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41\
     6a0665e9-1f510559.idx

  在本例中， 6a0665e9-1f510559.idx是被缓存的版本mffta.jar 7。如果不访问这些文件，您能从Java缓存收集他们，当曾经直接连接时。

测试设置能加快解决方法。

在Java的安全功能7个U51，并且该如何影响WebVPN用户

最近定于Java 7更新宣布的更改51 (一月2014)设立默认安全滑块要求代码签名和权限表明属性。总之，所有Java程序要求：

• 将签字(Applet和Web启动程序)。
• 设置在明显内的“权限”属性。

如果它使用通过Web浏览器，开始的Java应用程序受影响。应用程序从其中任一运行其中Web浏览器的外部优良是。此的什么为WevVPN含义是思科分配可能被影响的所有客户端插件。因为没有维护也思科不支持这些插件，思科不能做对代码签署的证书的变动或对applet为了保证它符合这些限制。此的适当的解决方案将使用在ASA的临时代码签署的证书。 ASA提供一临时代码符号证书签署Java程序(Java改写者和插件)。临时证书让Java程序执行他们的打算的功能，不用警告消息。在超时与委托Certificate Authority (CA)前，发出的他们的固有码签署的证书ASA管理员应该替换临时证书。如果这不是可行选择，应急方案是完成这些步骤：

1. 您能使用在末端客户端机器的Java设置的例外站点列表功能为了运行安全设置阻塞的应用程序。要执行此的步骤在与Safari的问题描述与在Mac 10.9的WebLaunch。
2. 您能也降低Java安全设置。此设置在客户端机器的Java设置也设如显示此处：
   

警告：使用这些应急方案仍然给您一些错误，但是Java不阻塞应用程序，因为将执行如果不到位应急方案。

Windows

启动Java程序的应用程序报告在升级以后故障切换WebVPN到Java 7。此问题由缺乏安全散列算法引起(SHA)-256 Java改写者的支持。Cisco Bug ID CSCud54080， "SHA-256 WebVPN Java改写者的支持”，为此问题被归档了。

通过门户开始Java程序用巧妙的通道的应用程序也许发生故障，当使用时JRE7;这用64位系统是最普通。在捕获，请注意Java VM发送在明文的数据包，不通过对ASA的聪明的隧道连接。这由Cisco Bug ID CSCue17876寻址， “一些Java程序不会通过在windows的巧妙的通道连接与jre1.7."