在 DART CLI 中，您可以显示客户端的唯一设备标识符 (UDID)。例如，对于 Windows，转到包含 dartcli.exe (C:\Program Files\Cisco\Cisco Secure Client)，然后输入 dartcli.exe -u 或 dartclie.exe -udid。

如果您遇到 Cisco Secure Client 安装或卸载故障，需要收集日志，因为 DART 收集对此没有诊断能力。

在您解压 Cisco Secure Client 文件的同一文件夹中运行 msiexec 命令：

• 对于安装故障，请输入

  C:\temp>msiexec \i cisco-secure-client-win-version-predeploy-k9.msi \lvx c:\Temp\ac-install.log?

  其中 c:\temp\ac-install.log? 可以是您选择的文件名。
• 对于卸载故障，请输入

  c:\temp>msiexec \x cisco-secure-client-win-version-predeploy-k9.msi /lvx c:\Temp\ac-uninstall.log?

  其中 c:\temp\ac-uninstall.log? 可以是您选择的文件名。

注	对于卸载故障，应该使用特定于当前已安装版本的 MSI。

您可以改变上述相同命令，以采集关于无法在 Windows 上正确安装或卸载的任何模块的信息。

日志保留在以下文件中：

• Windows- \Windows\Inf\setupapi.app.log or \Windows\Inf\setupapi.dev.log

  注	在 Windows 中，您必须使隐藏的文件可见。

  由于部署是手动的，您可以选择在 Web 门户上下载安装程序文件并分配您自己的日志文件名。

  。

  如果升级来自于网关推送，则日志文件位于以下位置：

  %WINDIR%\TEMP\cisco-secure-client-win-<版本>-core-vpn-webdeploy-k9-install-yyyyyyyyyyyyyy.log.

  获取适用于您要安装的客户端版本的最新文件。xxx 因版本而异，yyyyyyyyyyyyyy 指定安装的日期和时间。

• MacOS （10.12 及更高版本）- 日志记录数据库；使用控制台应用或 log 命令查询 VPN、DART 或 Umbrella 的日志

• MacOS （基于旧版文件的日志）- /var/log/system.log（用于所有其他模块）

• Linux Ubuntu-/var/log/syslog

• Linux Red Hat-/var/log/messages

问题：Cisco Secure Client 不会建立初始连接，或者当您点击 Cisco Secure Client 窗口中的断开连接 (Disconnect) 时出现意外结果。

解决方案：进行以下检查：

• 您可能会遇到间歇性连接问题，因为网络或 WiFi 适配器驱动程序已过时。升级这些驱动程序，然后重试。

• 如果使用 Citrix 高级网关客户端版本 2.2.1，请删除 Citrix 高级网关客户端，直到 Citrix 解决 CtxLsp.dll 问题。

• 如果您使用具有 AT&T Sierra 无线 875 网卡的 AT&T 通信管理器 6.2 版或 6.7 版，请执行以下步骤解决此问题：

  1. 禁用 Aircard 加速。
  2. 启动 AT&T Communication Manager > 工具 (Tools) > 设置 (Settings) > 加速 (Acceleration) > 启动 (Startup)。
  3. 键入 manual。
  4. 点击停止 (Stop)。

• 从 Cisco Secure Firewall ASA 获取配置文件，查找连接失败的标志：

  • 从 Cisco Secure Firewall ASA 控制台键入 write net x.x.x.x:ASA-Config.txt，其中 x.x.x.x 是 TFTP 服务器在网络中的 IP 地址。

  • 从 Cisco Secure Firewall ASA 的控制台，键入 show running-config。剪切并粘贴配置文件到文本编辑器并保存。

• 查看 Cisco Secure Firewall ASA 事件日志：

  1. 在 Cisco Secure Firewall ASA 控制台上，添加以下命令行以查看 ssl、webvpn、anyconnect 和 auth 事件：

     
     config terminal
     logging enable
     logging timestamp
     logging class auth console debugging
     logging class webvpn console debugging
     logging class ssl console debugging
     logging class anyconnect console debugging
     

  2. 尝试连接 Cisco Secure Client 客户端，发生连接错误时，则将日志信息从控制台上剪切并粘贴至文本编辑器并保存。

  3. 键入 no logging enable 禁用日志记录。

• 使用 Windows 事件查看器从客户端计算机获取思科 Cisco Secure Client日志。

  1. 选择开始 (Start) > 运行 (Run) 并键入 eventvwr.msc /s。
  2. 在（Windows 7 的）应用和服务日志中找到 Cisco Secure Client，并选择将日志文件另存为... (Save Log File As...)。。
  3. 指定文件名，例如 CiscoSecureClientLog.evt。您必须使用 .evt 文件格式。

• 修改 Windows 诊断调试实用程序。

  1. 如 WinDbg 文档所示，附加 vpnagent.exe 进程。
  2. 确定 IPv6/IPv4 IP 地址分配是否存在冲突。在事件日志中查找是否有已识别的冲突。

  3. 如果发现冲突，则向要使用的客户端计算机注册表添加额外的路由调试。这些冲突在 Cisco Secure Client 事件日志中可能会如下所示：

     
     Function: CRouteMgr:modifyRoutingTable Return code: 0xFE06000E File: .\VpnMgr.cpp Line:1122
     Description: ROUTEMGR_ERROR_ROUTE_TABLE_VERIFICATION_FAILED.
     Termination reason code 27: Unable to successfully verify all routing table modifications are correct.
     
     Function: CChangeRouteTable::VerifyRouteTable Return code: 0xFE070007
     File: .\RouteMgr.cpp Line: 615 Description: ROUTETABLE_ERROR_NOT_INITIALIZED
     gr.cpp Line: 615 Description: ROUTETABLE_ERROR_NOT_INITIALIZED
     

  4. 通过添加特定的注册表项 (Windows) 或文件（Linux 和 macOS）为连接启用一次性的路由调试。

     • 在 32 位 Windows 中，DWORD 注册表值必须是 HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\Cisco Secure Client\DebugRoutesEnabled


     • 在 64 位 Windows 中，DWORD 注册表值必须是 HKEY_LOCAL_MACHINE\Software\WOW6432node\Cisco\Cisco Secure Client\DebugRoutesEnabled 


     • 在 Linux 或 macOS 中，使用 sudo touch 命令在以下路径中创建文件： /opt/cisco/secureclient/vpn/debugroutes

     注	密钥或文件将在启动隧道连接时删除。文件的密钥或内容的值不是重要的密钥时或文件足以启用调试。 启动 VPN 连接。找到此密钥或文件时，系统临时目录（在 Windows 中通常是 C:\Windows\Temp，在 macOS 或 Linux 中通常是 /opt/cisco/secureclient/vpn）中将创建两个路由调试文本文件。如果已经存在这两个文件（debug_routechangesv4.txt4 和 debug_routechangesv6.txt），它们将会被覆盖。

问题：Cisco Secure Client在连接后无法将数据发送到专用网络。

解决方案：进行以下检查

• 如果您使用具有 AT&T Sierra 无线 875 网卡的 AT&T 通信管理器 6.2 版或 6.7 版，请执行以下步骤解决此问题：

  1. 禁用 Aircard 加速。
  2. 启动 AT&T Communication Manager > 工具 (Tools) > 设置 (Settings) > 加速 (Acceleration) > 启动 (Startup)。
  3. 键入 manual。
  4. 点击停止 (Stop)。

• 获取 show vpn-sessiondb detail anyconnect filter name <username> 命令的输出。如果输出指定 Filter Name: XXXXX，则还要获取 show access-list XXXXX 命令的输出。验证 ACL 未阻止需要的流量。

• 从“Cisco Secure Client VPN 客户端”(AnyConnect VPN Client) >“统计数据”(Statistics) >“详细信息”(Details) >“导出”(Export) 获取 DART 文件或输出 (AnyConnect-ExportedStats.txt)。观察统计、界面和路由表。

• 检查 Cisco Secure Firewall ASA 配置文件中的 NAT 语句。如果已启用 NAT，则您必须排除从网络地址转换返回到客户端的数据。例如，要使 NAT 从 Cisco Secure Client 池中排除 IP 地址，需要使用以下代码：

  
  access-list in_nat0_out extended permit ip any 10.136.246.0 255.255.255.0
  ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
  nat (inside) 0 access-list in_nat0_out
  

• 验证是否为设置启用了隧道化默认网关。传统默认网关是最不适合非解密流量的网关。

  
  route outside 0.0.209.165.200.225
  route inside 0 0 10.0.4.2 tunneled
  

  如果 VPN 客户端需要访问 VPN 网关路由表中未列出的资源，数据包将由标准默认网关传送。VPN 网关不需要完整的内部路由表。如果您使用隧道化关键字，则路由将处理来自 IPsec/SSL VPN 连接的解密流量。标准流量通常不会路由到 209.165.200.225，而来自 VPN 的流量将路由到 10.0.4.2 且已进行解密。

• 在使用 Cisco Secure Client 建立隧道前后，收集 ipconfig /all 的文本转储和路由打印输出。

• 在客户端上执行网络数据包捕获，或在 Cisco Secure Firewall ASA 上启用捕获。

  注	如果某些应用（例如 Microsoft Outlook）无法使用隧道，则在具有 ping 扩展集的网络中 ping 已知设备，可查看接受的大小（例如，ping -| 500，ping -| 1000，ping -| 1500，以及 ping -| 2000）。从 ping 结果中可对网络中的分段问题略知一二。然后，您可以为存在分段问题的用户配置一个特殊组，并将该组的 anyconnect mtu 设置为 1200。您也可从旧 IPsec 客户端复制 Set MTU.exe 实用程序，并强制将物理适配器 MTU 设置为 1300。重启后，查看是否有区别。

问题：您收到“Unable to Proceed, Cannot Connect to the VPN Service”消息。Cisco Secure Client 的 VPN 服务未运行。

解决方案：确定是否有另一个应用与该服务冲突。请参阅第 11-7 页上的“确定与服务相冲突”。

问题：如果您最近更新了 Microsoft certclass.inf 文件，在尝试建立 VPN 连接时会出现以下消息：

The VPN client driver has encountered an error.

如果检查 C:\WINDOWS\setupapi.log，会看到以下错误：

#W239 The driver signing class list “C:\WINDOWS\INF\certclass.inf” was missing or invalid. Error 0xfffffbf8: Unknown Error. Assuming all device classes are subject to driver signing policy.

解决方案：在命令提示符下输入 C:\>systeminfo 或查看 C:\WINDOWS\WindowsUpdate.log，可查看最近安装了哪些更新。按照说明修复 VPN 驱动程序。

问题：VPNVA.sys 驱动程序故障。

解决方案：找到被绑定到 Cisco Secure Client 虚拟适配器的中间驱动程序，并取消选择它们。

如果网络访问管理器无法识别有线适配器，请尝试将网线拔出并重新插入。如果这无法解决问题，则链路可能有问题。网络访问管理器可能无法确定适配器的正确链路状态。请检查 NIC 驱动程序的连接属性。您可能在高级面板中看到“等待链路”(Wait for Link) 选项。设置为“开”(On) 时，有线 NIC 驱动程序初始化代码等待自动协商完成，再确定连接是否有效。

问题：在系统重启后，您收到 the system has recovered from a serious error 消息。

解决方案：从 %temp% 目录（例如 C:\DOCUME~1\jsmith\LOCALS~1\Temp）中收集生成的 .log 和 .dmp 文件。复制文件或备份文件。请参阅第 11-9 页上的“如何备份 .log 或 .dmp 文件”。

问题：Cisco Secure Client 在尝试建立连接时成功进行身份验证并建立了 SSL 会话，但随后在使用 LSP 或 NOD32 AV 时，它在 vpndownloader 中发生故障。

解决方案：删除 2.7 版中的 Internet Monitor 组件，并升级到 ESET NOD32 AV 3.0 版。

问题：如果您使用 AT&T 拨号器，则客户端操作系统有时会出现蓝屏，导致创建微型转储文件。

解决方案：升级到最新的 7.6.2 AT&T 全球网络客户端。

问题：Microsoft Internet Explorer 中出现安全告警窗口，其中包含以下文字：

Information you exchange with this site cannot be viewed or changed by others. However, there is a problem with the site's security certificate. The security certificate was issued by a company you have not chosen to trust. View the certificate to determine whether you want to trust the certifying authority.

解决方案：连接到未识别为受信任网站的 Cisco Secure Firewall ASA 时可能出现此告警。为防止出现此告警，请在客户端上安装一个受信任根证书。请参阅第 11-10 页上的“在客户端上安装受信任的根证书”。

问题：在浏览器中可能出现“由未知认证机构认证的网站”(Web Site Certified by an Unknown Authority) 警告窗口。Security Alert 窗口的上半部分显示以下文本：

Unable to verify the identity of <Hostname_or_IP_address> as a trusted site.

解决方案：在连接到不被识别为受信任站点的 Cisco Secure Firewall ASA 时可能出现此安全警告。为防止出现此告警，请在客户端上安装一个受信任根证书。请参阅第 11-10 页上的“在客户端上安装受信任的根证书”。

问题：在 Odyssey 客户端上启用无线抑制后，如果引入有线连接，那么无线连接就会掉线。禁用无线抑制后，无线连接如预期的那样运行正常。

解决方案：第 11-11 页上的“配置 Odyssey 客户端”。

问题：安装 Kaspersky 6.0.3 后（即使已禁用），到 Cisco Secure Firewall ASA 的 Cisco Secure Client 连接会在 CSTP state = CONNECTED 之后立即失败。系统会显示以下消息：

SVC message: t/s=3/16: Failed to fully establish a connection to the secure gateway (proxy authentication, handshake, bad cert, etc.).

解决方案：卸载 Kaspersky 并访问其论坛获得其他更新。

问题：使用 McAfee Firewall 5 时，UDP DTLS 连接无法建立。

解决方案：在 McAfee Firewall 中央控制台中，选择高级任务 (Advanced Tasks) > 高级选项和日志记录 (Advanced options and Logging)，然后取消选中 McAfee Firewall 中的自动阻止传入的片段 (Block incoming fragments automatically) 复选框。

问题：如果使用 RRAS，则当 Cisco Secure Client 尝试建立到主机设备的连接时，事件日志中会记录以下终止错误：

Termination reason code 29 [Routing and Remote Access service is running]
The Windows service “Routing and Remote Access” is incompatible with the Cisco Secure Client.

解决方案：禁用 RRAS 服务。

问题：由于缺少凭证而连接失败。

解决方案：第三方负载均衡器无法洞悉 Cisco Secure Firewall ASA 设备上的负载。因为 ASA 中的负载均衡功能足够智能，能够在设备之间均衡地分配 VPN 负载，所以我们建议使用内部 Cisco Secure Firewall ASA 负载均衡。

如果您在安装、卸载或升级 Cisco Secure Client 时收到故障消息，我们不建议直接修改 Windows 安装程序注册表项，否则可能会导致意外后果。确定正确的根本原因后，Microsoft 提供的工具可以对安装程序问题进行故障排除。

问题：Cisco Secure Client 客户端无法下载，并出现以下错误消息：

“Cisco AnyConnect VPN Client Downloader has encountered a problem and needs to close.”

解决方案：将补丁更新上传到 1.2.1.38 版以解决所有 dll 问题。

随着 IE11 的弃用，只要安装了运行时，安全客户端嵌入式浏览器就会默认使用 WebView2。如果您需要恢复为旧版嵌入式浏览器控件，请将 DWORD 注册表值 UseLegacyEmbeddedBrowser 添加到以下 Windows 注册表项并设为 1：

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Cisco\Cisco Secure Client

问题：如果您使用的是 Bonjour 打印服务，Cisco Secure Client 事件日志会指出识别 IP 转发表失败。

解决方案：通过在命令提示符下键入 net stop “bonjour service” 禁用 BonJour 打印服务。Apple 公司已经推出了新版 mDNSResponder (1.0.5.11)。要解决此问题，请将新版 Bonjour 捆绑至 iTunes，且作为单独程序从 Apple 网站下载。

问题：错误表示此系统上已安装 TUN 版本，但该版本与 Cisco Secure Client不兼容。

解决方案：卸载 Viscosity OpenVPN 客户端。

问题：如果客户端上有 LSP 模块，可能会发生 Winsock 目录冲突。

解决方案：卸载 LSP 模块。

问题：在 Windows 系统中使用 NOD32 Antivirus V4.0.468 x64 时可能出现数据吞吐慢。

解决方案：禁用 SSL 协议扫描。请参阅禁用 SSL 协议扫描。

问题：如果客户端断开连接时您使用的是 EVDO 无线网卡和 Venturi 驱动程序，则事件日志会报告如下内容：

%ASA-5-722037: Group <Group-Name> User <User-Name> IP <IP-Address> SVC closing connection: DPD failure.

解决方案：

• 检查应用、系统和 Cisco Secure Client 事件日志中的相关断开连接事件，同时确定是否应用了 NIC 卡重置。

• 确保 Venturi 驱动程序为最新版本。在 6.7 版本的 AT&T 通信管理器中禁用 Use Rules Engine。

问题：如果您与 DSL 路由器连接，则即使成功协商，DTLS 流量也可能会失败。

解决方案：连接到采用出厂设置的 Linksys 路由器。此设置支持稳定的 DTLS 会话且 ping 过程中无中断。添加规则以允许 DTLS 返回流量。

问题：尝试在用于建立 SSL 连接的计算机网络上检索操作系统信息时，Cisco Secure Client 日志可能指示未能完全建立到安全网关的连接。

解决方案：

• 如果是卸载完整性代理，然后安装 Cisco Secure Client，请启用 TCP/IP。

• 确保如果在完整性代理安装上禁用 SmartDefense，则选中 TCP/IP。

• 如果在检索网络接口信息时第三方软件拦截或以其他方式阻止操作系统 API 调用，请检查是否有可疑的 AV、FW、AS 等。

• 确认设备管理器中只出现一个 Cisco Secure Client 适配器实例。如果只有一个实例，则使用 Cisco Secure Client 进行身份验证，并在 5 秒后手动从设备管理器启用适配器。

• 如果在 Cisco Secure Client 适配器中启用了任何可疑的驱动程序，在 Cisco Secure Client 的连接窗口中取消选中它们即可禁用。

问题：在某些虚拟机网络服务设备上使用 Cisco Secure Client 时，会导致性能问题。

解决方案：取消选中 Cisco Secure Client 虚拟适配器中所有即时消息设备的绑定。应用 dsagent.exe 驻留在 C:\Windows\System\dgagent 中。虽然其未出现在进程列表中，您可以用 TCPview (sysinternals) 打开套接字进行查看。当您终止此进程时，Cisco Secure Client 将恢复正常运行。