解决常见受保护的漫游客户端错误

下载选项

  • PDF     (369.7 KB)
    在各种设备上使用 Adobe Reader 查看
已更新: 2025 年 9 月 10 日
文档 ID:224847

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何解决漫游客户端受到保护但不按预期运行的常见问题。

    概述

    欢迎阅读“我的漫游客户端”系列知识库文章。此系列提供一系列交互式问题,可响应常见的漫游客户端挑战。

    本文档针对的是漫游客户端为绿色且受到保护,但不按预期工作的场景。本文档提供部署漫游客户端后经常出现的此场景常见问题。客户端会进行安装,但行为与预期不同。

    “我的漫游客户端系列”索引:

    1. 我的漫游客户端未激活,并且…….
    2. 我的漫游客户端显示“受保护”,但是…….

    常见问题

    通过填写“My roaming client says “Protected” but... but...”(我的漫游客户端说“Protected”但……)的空白,探索每个子部分的可_________性:

    未知,未受保护

    如果这是当前状态,则本文不针对此场景!这表示客户端尚未注册的无保护状态。请参阅本文有关代理如何阻止漫游客户端注册或联系我们的支持团队以获取帮助。

    未阻止任何站点

    如果通过UDP 53或443的DNS能够到达208.67.220.220和208.67.222.222,或者客户端由于已知策略设置为禁用,漫游客户端会报告“Protected”。如果客户端报告为“保护”模式,但阻止未发生,请执行以下步骤:

    1. 检查代理。在透明或显式代理的情况下,代理服务器会重新请求并覆盖计算机上解析的DNS。使用Umbrella和代理?
    2. 第三方软件DNS代理正在覆盖漫游客户端的DNS响应
    3. 正在应用与预期不同的策略。在此处了解如何确认预期策略是否适用。

    应用了错误的策略

    漫游客户端报告“受保护且加密”或“受保护且透明”,但漫游客户端策略未应用:

    1. 验证基于漫游客户端的策略是否是获胜策略。如果在网络上,并且网络在策略顺序上高于漫游客户端,则其策略适用。有关详情,请参阅本文,了解如何确定应用哪个策略,或访问policy-debug.opendns.com。
    2. 检查代理。在透明或显式代理的情况下,代理服务器会重新请求并覆盖计算机上解析的DNS。使用Umbrella的代理服务器将仅应用其基于出口的网络级别覆盖。使用Umbrella和代理?
    3. 是否使用AnyConnect漫游安全模块?不能同时安装独立漫游客户端!如果ERCService.exe和acumbrellaagent.exe同时运行,则表明两者均已安装。卸载独立的Umbrella漫游客户端,并确保没有软件管理工具重新安装。

    公共或所有DNS发生故障

    在这种情况下,所有DNS均无法收到响应。命令提示符或终端中的nslookup超时或失败,并且浏览器报告DNS问题并无法加载页面:

    1. 第三方软件DNS代理正在覆盖漫游客户端的DNS响应。许多软件仅覆盖“网站目标”A记录,允许TXT记录自由通过。由于漫游客户端使用TXT记录检查DNS可用性,因此即使所有A记录未到达Umbrella,漫游客户端也会激活。加密的Umbrella DNS与后台软件结合使用通常会导致发送DNS A记录失败。
    2. 防火墙具有内置的DNS保护或“Web保护”服务,可能会干扰Umbrella。
    3. 如果这种情况间歇性发生,则可能是PAT/NAT耗尽。添加漫游客户端增加了工作站出口网络外的直接UDP连接的数量。这间歇性地导致DNS或所有Web流量发生故障。有关详细信息,请参阅有关此端口耗尽的文章,以及更改UDP超时或验证UDP连接限制如何提供帮助。
    4. 是否使用AnyConnect漫游安全模块?不能同时安装独立漫游客户端!如果ERCService.exe和acumbrellaagent.exe同时运行,则表明两者均已安装。卸载独立的Umbrella漫游客户端,并确保没有软件管理工具重新安装。

    本地DNS失败

    在这种情况下,任何公共记录都会失败;但是,内部域列表中的域无法解析。如果直接查询本地DNS服务器,则查询成功。

    1. 域是否未能添加到您的内部域列表?请注意,任何搜索后缀都会自动动态添加到本地(而非云端)列表。此列表中未列出的任何仅本地的域均无法正确解析。不在列表上的任何本地域都会出现在您的控制面板报告中。列表中的所有域都不是。在此处了解本地DNS的工作原理。
    2. 本地DNS服务器是否正确?验证漫游客户端中存储的值是否符合您的预期。验证列出的每个服务器(请参阅本文档中的位置)是否能够返回响应。让我们选择一个将每个本地DNS请求发送到。它们与您的DHCP租用或静态分配匹配。如果不是,请通过提交支持案例告知我们。
      • MAC :/var/lib/data/opendns/resolv_orig.conf
      • PC:C:\ProgramData\OpenDNS\ERC\Resolver#-Name-of-NetworkAdaptor.conf
    3. 软件或VPN兼容性。问题是否只发生在VPN上?如果是,请确保VPN不会限制DNS的流向,或者您的VPN不在我们不受支持的列表中。有关详细信息,请参阅我们的VPN兼容性文章。

    客户端在控制面板上显示为脱机

    漫游客户端同步进程对控制面板上显示的客户端状态非常有用。漫游客户端仅在以下情况下激活:

    • 自客户端启动以来,至少完成了与我们的同步服务器(当前为sync.hydra.opendns.com)的一次同步
    • 其中一个Umbrella DNS服务器在端口443或53 UDP上可用。 

    每次同步时,都会更新客户端的控制面板状态(当前最多需要60分钟)。 这些状态没有更新的可能原因如下:

    1. 客户端的状态自上次同步以来已更改。请注意,启动时的初始同步是当客户端“脱机”或不受到保护时,因为需要保护同步。
    2. 由于网络限制,客户端间歇性无法同步。可能已发生初始同步,但后续同步更新失败,导致客户端显示为脱机。
    3. 自客户端上次启动后,计算机已交换网络。例如,计算机在一个具有同步访问的面包店咖啡馆中打开,然后进入企业网络,但没有同步访问。如果DNS可用,客户端将保持受保护/已加密,但控制面板报告客户端处于脱机状态。

    计算机报告“No Connectivity(无连接)”警告

    使用漫游客户端时,某些网络环境中的计算机可以显示网络连接“黄色三角”指示器,但网络访问完全正常。这可能会影响Microsoft应用程序(例如Outlook),因为指示器被触发时它们不会同步。

    1. 此问题是Windows中已知的设计限制。要永久解决此问题,请执行以下操作:
      • Windows 7/8:按照本文档中的hosts文件说明进行操作。
      • Windows 10:更新到版本1709或更高版本,然后按照这些说明修改组策略或注册表以实施Microsoft的修补程序。

    计算机的本地DNS条目消失

    漫游客户端透明地将任何DNS查询转发到内部域列表中的任何域。使用漫游客户端时,您通常看到两个更新,而不是一个更新,因为我们在更改计算机上的DNS。如果记录消失:

    1. 请阅读本文以部署适用于Windows 7的Microsoft修补程序,以防止在客户端进入保护模式时删除记录。

    修订历史记录

    版本 发布日期 备注
    1.0
    10-Sep-2025
    初始版本
    TAC Authored

    由思科工程师提供

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品