RAVPN连接期间的Cisco安全客户端SAML身份验证导航超时错误

下载选项

  • PDF     (700.3 KB)
    在各种设备上使用 Adobe Reader 查看
已更新: 2026 年 5 月 12 日
文档 ID:225893

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

目录

问题

在SAML身份验证期间,用户在Windows上使用Cisco安全客户端时遇到间歇性远程访问VPN(RAVPN)连接故障。在安装Cisco Secure Client后立即发生故障,这些故障显示为弹出对话框中显示的特定错误消息:

  • "由于导航超时,身份验证失败。"

  • "由于导航到单点登录URL时出现问题,身份验证失败。"

当嵌入式WebView2浏览器尝试将SAML响应重定向或发布到Cisco SSE SAML ACS URL时,在身份提供程序(IdP)身份验证后发生故障。这会导致超时情况,从而阻止受影响用户进行VPN访问。发现该问题影响同一组织中的多个用户,身份验证过程在尝试导航到SAML ACS终端后超时约30秒。

用户报告当按RAVPN连接按钮建立VPN连接时,将显示超时错误弹出窗口,并且RAVPN建立失败。即使在重新启动操作系统后,问题仍继续存在。

环境

  • Windows上的Cisco安全客户端5.1.13.177版

  • 使用Cisco SSE配置的SAML身份验证

  • 远程访问VPN(RAVPN)部署

即时解决方法

已确认以下临时解决方法来解决导航超时问题:

1:网络连接重置

断开Wi-Fi连接并重新连接,然后多次尝试RAVPN连接。成功后,即使操作系统重新启动,问题通常也不会复发。

2:RAVPN服务重新启动

手动停止并重新启动RAVPN服务以允许后续的成功连接。

3:系统重启

重新启动受影响的系统以重置身份验证状态。

诊断信息收集

要进行全面的故障排除,应在活动故障期间收集以下诊断信息:

  • 在身份验证失败期间捕获的DART捆绑包

  • 在身份验证过程中,网络数据包捕获(使用Wireshark捕获所有活动适配器上的流量(打开Wireshark — 点击capture - options并使用Shift选择多个接口)

  • Netsh ETL跟踪

收集Netsh跟踪的过程

  • 在测试PC上打开提升的(以管理员身份运行)命令提示符窗口。

  • 运行以下命令:"netsh trace start scenario=InternetClient traceFile=C:\file_NetTrace.etl maxSize=1000 provider=Microsoft-Windows-TCPIP provider=Microsoft-Windows-WinHttp capture=yes level=5 overwrite=yes"

  • 重现问题

  • 重现问题后,使用命令停止日志记录:"netsh trace stop"

收集日志C:\file_NetTrace.etl

Web流量的Fiddler跟踪

  1. 从此链接https://www.telerik.com/download/fiddler-everywhere下载Fiddler捕获(使用英特尔芯片(x86-64)

  2. 将其安装在问题可以重现的计算机上。

  3. 打开应用程序并启用HTTPS解密

  1. 单击Tools à Options à HTTPS

  2. 单击Decrypt HTTPS Traffic框。

inline_image_0.pnginline_image_0.png

  1. 如果您获得信任证书,请信任来自篡改程序的CA,并在问题再次出现之后将其删除,然后

其次,如果您在启动时遇到SSL连接的任何问题,请绕过VPN网关流量(connect.ilemgroup.com)或启动基于IPsec的SAML连接(最可取),以便无需绕过任何网关流量。

  • 关闭所有不必要的应用程序和后台进程。

  • 关闭并重新打开该工具,数据收集将自动启动,您将看到新记录添加到主窗体中。

  • 重现问题.

  • 按F12停止跟踪。

转到File à Save à All Sessions,然后将跟踪保存到.saz文件中。

进程监控器日志 — https://download.sysinternals.com/files/ProcessMonitor.zip

WebView2特定日志

在用户和系统环境中设置变量/值,如下所示

Screenshot_2026-05-12_at_9.43.19_AM.png屏幕截图_2026-05-12_at_9.43.19_AM.png

启动VPN时,以下终端将触发

inline_image_1.pnginline_image_1.png

C > Users > Userid > Appdata > Local > Temp

inline_image_2.pnginline_image_2.png

来自身份提供程序的SAML调试日志

分辨率

原因

根本原因是在SAML身份验证流程期间,嵌入式WebView2浏览器组件中发生了导航超时。具体而言,当WebView2浏览器尝试将来自身份提供程序的SAML响应发布到Cisco SSE SAML ACS(断言消费者服务)终端时,就会发生超时。在尝试完成此导航步骤的大约30秒后触发超时条件。

此问题似乎与延迟了SAML响应处理、导致WebView2组件超出其内部超时阈值的计时或网络延迟条件有关。该问题在安装Cisco安全客户端后立即显现,具体会影响SAML身份验证工作流程,而其他VPN功能在通过解决方法成功完成身份验证后保持不变。

相关内容

修订历史记录

版本 发布日期 备注
2.0
12-May-2026
首次公开发布
1.0
12-May-2026
初始版本
TAC Authored

由思科工程师提供

  • 阿米特·阿罗拉

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品