AnyConnect VPN客戶端故障排除指南 — 常見問題
目錄
簡介
本文件說明適用於無法透過 Cisco AnyConnect VPN 用戶端使用之應用程式的疑難排解案例。
必要條件
需求
本文件沒有特定需求。
採用元件
本檔案中的資訊是根據執行8.x版的Cisco調適型安全裝置(ASA)。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
故障排除過程
此典型的故障排除方案適用於不通過Cisco AnyConnect VPN客戶端為使用Microsoft Windows電腦的終端使用者運行的應用程式。以下各節針對這些問題提供解決方案:
安裝和虛擬介面卡問題
請完成以下步驟:
- 獲取裝置日誌檔案:
- Windows XP / Windows 2000:
\Windows\setupapi.log
- Windows Vista:
\Windows\Inf\setupapi.app.log
\Windows\Inf\setupapi.dev.log
如果您在 setupapi 記錄檔中發現錯誤,可以將詳細資訊調整為 0x2000FFFF。 - Windows XP / Windows 2000:
- 獲取MSI安裝程式日誌檔案:
如果這是初始Web部署安裝,則此日誌位於每使用者臨時目錄中。
- Windows XP / Windows 2000:
\Documents and Settings\\Local Settings\Temp\ - Windows Vista:
\Users\\AppData\Local\Temp\
如果是自動升級,則此日誌位於系統的臨時目錄中:
\Windows\Temp
檔名的格式為:anyconnect-win-x.x.xxxx-k9-install-yyyyyyyyyy.log。獲取要安裝的客戶端版本的最新檔案。x.xxxx根據版本進行更改,例如2.0.0343,yyyyyyyyyyyy是安裝的日期和時間。 - Windows XP / Windows 2000:
- 獲取PC系統資訊檔案:
- 在Command Prompt/DOS(命令提示符/DOS)框中,鍵入以下內容:
- Windows XP / Windows 2000:
winmsd /nfo c:\msinfo.nfo
- Windows Vista:
msinfo32 /nfo c:\msinfo.nfo
- Windows XP / Windows 2000:
- 從命令提示符獲取systeminfo檔案轉儲:
Windows XP和Windows Vista:
systeminfo c:\sysinfo.txt
- 在Command Prompt/DOS(命令提示符/DOS)框中,鍵入以下內容:
請參閱AnyConnect:損壞的驅動程式資料庫問題,以調試驅動程式問題。
斷開連線或無法建立初始連線
如果AnyConnect客戶端出現連線問題,例如斷開連線或無法建立初始連線,請獲取以下檔案:
- 來自ASA的配置檔案,以確定配置中的任何內容是否導致連線故障:
在 ASA 的主控台中,輸入write net x.x.x.x:ASA-Config.txt,其中x.x.x.x是 TFTP 伺服器在網路上的 IP 位址。
或
在ASA的控制檯中,鍵入show running-config。在螢幕上完成配置,然後剪下並貼上到文本編輯器並儲存。 - ASA事件日誌:
- 要在ASA上啟用身份驗證、WebVPN、安全套接字層(SSL)和SSL VPN客戶端(SVC)事件的日誌記錄,請發出以下CLI命令:
config terminal
logging enable
logging timestamp
logging class auth console debugging
logging class webvpn console debugging
logging class ssl console debugging
logging class svc console debugging - 發起AnyConnect會話並確保可以再現故障。捕獲從控制檯到文本編輯器的日誌記錄輸出並儲存。
- 要禁用日誌記錄,請發出
no logging enable。
- 要在ASA上啟用身份驗證、WebVPN、安全套接字層(SSL)和SSL VPN客戶端(SVC)事件的日誌記錄,請發出以下CLI命令:
- 客戶端PC的Windows事件檢視器中的Cisco AnyConnect VPN客戶端日誌:
- 選擇開始>運行。
- 輸入:
eventvwr.msc /s
- 按一下右鍵Cisco AnyConnect VPN Client日誌,然後選擇Save Log File as AnyConnect.evt。
- 選擇開始>運行。
如果使用者無法與AnyConnect VPN客戶端連線,則問題可能與客戶端PC上啟用的已建立的遠端案頭協定(RDP)會話或快速使用者交換有關。使用者可以看到AnyConnect配置檔案設定要求單個本地使用者,但多個本地使用者當前已登入到您的電腦。客戶端PC上出現VPN連線無法建立錯誤消息錯誤。為了解決此問題,請斷開所有已建立的RDP會話並禁用快速使用者交換。此行為會受到用戶端設定檔中的 Windows 登入強制執行屬性所控制,但目前沒有任何設定確實允許單一使用者在多名使用者於相同電腦上同時登入時建立 VPN 連線。增強功能要求CSCsx15061 
未能解決此功能。
當使用者無法將AnyConnect VPN客戶端連線到ASA時,問題可能是由於AnyConnect客戶端版本與ASA軟體映像版本之間的不相容引起的。在這種情況下,使用者收到以下錯誤消息:The installer was not able to start the Cisco VPN client, clientless access is not available(安裝程式無法啟動Cisco VPN客戶端,無客戶端訪問不可用)。
為了解決此問題,請升級AnyConnect客戶端版本以與ASA軟體映像相容。
首次登入 AnyConnect 時,登入指令檔不會執行。如果您中斷連接並再次登入,登入指令檔會正常執行。這是預期行為。
將AnyConnect VPN客戶端連線到ASA時,您可能會收到以下錯誤: User not authorized for AnyConnect Client access, contact your administrator。
當ASA中缺少AnyConnect映像時,會出現此錯誤。映像載入到ASA後,AnyConnect可以連線到ASA而不會出現任何問題。
通過禁用資料包傳輸層安全(DTLS)可以解決此錯誤。轉至Configuration > Remote Access VPN > Network(Client)Access > AnyConnect Connection Profiles,並取消選中Enable DTLS覈取方塊。這將禁用DTLS。
在使用者斷開連線時,該目標包檔案會顯示以下錯誤消息: TUNNELPROTOCOLDPDMGR_ERROR_NO_DPD_RESPONSE:安全網關無法響應失效對等體檢測資料包。此錯誤表示由於失效對等體檢測(DPD)故障,DTLS通道被斷開。如果調整DPD keepalive並發出以下命令,則會解決此錯誤:
webvpn
svc keepalive 30
svc dpd-interval client 80
svc dpd-interval gateway 80
svc keepalive和svc dpd-interval命令在ASA 8.4(1)版及更高版本中分別由anyconnect keepalive和anyconnect dpd-interval命令替換,如下所示:
webvpn
anyconnect ssl keepalive 15
anyconnect dpd-interval client 5
anyconnect dpd-interval gateway 5
通過流量問題
當檢測到通過ASA通過AnyConnect會話將流量傳送到專用網路時出現問題時,請完成以下資料收集步驟:
- 從控制檯獲取show vpn-sessiondb detail svc filter name <username> ASA命令的輸出。如果輸出顯示
Filter Name: XXXXX,則收集show access-list XXXXX的輸出。驗證訪問清單XXXXX不會阻止預期流量。 - 從AnyConnect VPN Client > Statistics > Details > Export(AnyConnect-ExportedStats.txt)匯出AnyConnect統計資訊。
- 檢查ASA配置檔案中的nat語句。如果啟用網路位址轉譯(NAT),就必須排除由於NAT而傳回使用者端的資料。例如,要對AnyConnect池中的IP地址進行NAT免除(nat 0),請在CLI上使用以下命令:
access-list in_nat0_out extended permit ip any 10.136.246.0 255.255.255.0
ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
nat (inside) 0 access-list in_nat0_out - 確定是否需要為設定啟用隧道預設網關。傳統的預設網關是未解密流量的最後選用網關。
範例:
!--- Route outside 0 0 is an incorrect statement.
route outside 0 0 10.145.50.1
route inside 0 0 10.0.4.2 tunneled
例如,如果VPN客戶端需要訪問不在VPN網關路由表中的資源,則資料包將通過標準預設網關路由。VPN網關不需要完整的內部路由表即可解決此問題。可以在此例項中使用tunneled關鍵字。 - 驗證ASA的檢查策略是否丟棄了AnyConnect流量。如果實施Cisco ASA的模組化策略框架,可以免除AnyConnect客戶端使用的特定應用。舉例而言,您可使用這些指令排除精簡型通訊協定。
ASA(config)# policy-map global_policy
ASA(config-pmap)# class inspection_default
ASA(config-pmap-c)# no inspect skinny
AnyConnect崩潰問題
完成以下資料收集步驟:
- 確保啟用Microsoft Utility Dr. Watson。為此,請選擇「開始」>「運行」,然後運行Drwtsn32.exe。設定此專案,然後按一下OK:
Number of Instructions : 25
Number of Errors To Save : 25
Crash Dump Type : Mini
Dump Symbol Table : Checked
Dump All Thread Contexts : Checked
Append To Existing Log File : Checked
Visual Notification : Checked
Create Crash Dump File : Checked
當發生崩潰時,從C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson收集.log和.dmp檔案。如果這些檔案似乎正在使用中,則使用ntbackup.exe。 - 從客戶端PC的Windows事件檢視器獲取Cisco AnyConnect VPN客戶端日誌:
- 選擇開始>運行。
- 輸入:
eventvwr.msc /s
- 按一下右鍵Cisco AnyConnect VPN Client日誌,然後選擇Save Log File As AnyConnect.evt。
- 選擇開始>運行。
分段/傳遞流量問題
某些應用程式(如Microsoft Outlook)無法正常工作。但是,通道可以傳遞其他流量,例如小量ping。
這麼做可提供有關網路中分段問題的線索。使用者路由器在封包分段和重組方面尤其糟糕。
嘗試一組ping的縮放功能,以確定它是否以特定大小失敗。例如, ping -l 500 、 ping -l 1000 、 ping -l 1500 、 ping -l 2000。
建議您為遇到分段的使用者配置一個特殊組,並將該組的SVC最大轉換單元(MTU)設定為1200。這樣,您就能夠補救遇到此問題的使用者,但不會影響更廣泛的使用者群。
問題
一旦使用AnyConnect連線,TCP連線將掛起。
解決方案
若要驗證您的使用者是否有分段問題,請調整ASA上AnyConnect使用者端的MTU。
ASA(config)#group-policy <name> attributes
webvpn
svc mtu 1200
自動解除安裝
問題
一旦連線終止,AnyConnect VPN客戶端就會自行解除安裝。客戶端日誌顯示keep installed設定為disabled。
解決方案
AnyConnect會自行解除安裝,儘管在自適應安全裝置管理器(ASDM)上選擇了keep installed選項。為了解決此問題,請在group-policy下配置svc keep-installer installed命令。
填充群集FQDN時出現問題
問題:AnyConnect客戶端已預填充主機名,而不是群集完全限定域名(FQDN)。
當您為SSL VPN設定了負載平衡集群並且客戶端嘗試連線到集群時,請求將被重定向到節點ASA並且客戶端成功登入。一段時間後,當客戶端再次嘗試連線到群集時,在連線到條目中看不到群集FQDN。相反,會看到客戶端重定向到的節點ASA條目。
解決方案
發生這種情況的原因是AnyConnect客戶端保留其上次連線的主機名。已觀察到此行為,且錯誤已歸檔。有關錯誤的完整詳細資訊,請參閱Cisco錯誤ID CSCsz39019。建議的解決方法是將Cisco AnyConnect升級到版本2.5。
備份伺服器清單配置
如果使用者選擇的主伺服器無法訪問,則會配置備份伺服器清單。這在AnyConnect配置檔案的Backup Server窗格中定義。請完成以下步驟:
- 下載AnyConnect Profile Editor(僅限註冊客戶)。檔名為AnyConnectProfileEditor2_4_1.jar。
- 使用AnyConnect配置檔案編輯器建立XML檔案。
- 轉到伺服器清單頁籤。
- 按一下「Add」。
- 在Hostname欄位中鍵入主伺服器。
- 在Host address(主機地址)欄位的備份伺服器清單下方新增備份伺服器。然後按一下「Add」。
- 轉到伺服器清單頁籤。
- 一旦您擁有了XML檔案,則需要將其分配給ASA上使用的連線。
- 在ASDM中,選擇Configuration > Remote Access VPN > Network(Client)Access > AnyConnect Connection Profiles。
- 選擇您的配置檔案,然後按一下Edit。
- 在Default Group Policy部分中按一下Manage。
- 選擇您的組策略,然後按一下Edit。
- 選擇Advanced,然後按一下SSL VPN Client。
- 按一下「New」。然後,您需要為配置檔案鍵入名稱並分配XML檔案。
- 在ASDM中,選擇Configuration > Remote Access VPN > Network(Client)Access > AnyConnect Connection Profiles。
- 將客戶端連線到會話,以便下載XML檔案。
AnyConnect:驅動程式資料庫損壞問題
SetupAPI.log檔案中的此條目表明目錄系統已損壞:
W239 驅動程式簽署類別清單「C:\WINDOWS\INF\certclas.inf」遺失或無效。錯誤0xfffde5:未知錯誤。假設所有裝置類都受驅動程式簽名策略約束。
您還可以收到以下錯誤消息: Error(3/17):無法啟動VA、設定共用隊列或VA放棄共用隊列。
您可以在客戶端上接收此日誌:「VPN客戶端驅動程式遇到錯誤」。
修復
此問題是由思科錯誤ID CSCsm54689導致的。為了解決此問題,請確保在啟動AnyConnect之前禁用路由和遠端訪問服務。如果這不能解決問題,請完成以下步驟:
- 在PC上以管理員身份開啟命令提示符(在Vista上已提升提示)。
- 運行
net stop CryptSvc。 - 運行:
esentutl /p%systemroot%\System32\catroot2\
{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb - 出現提示時,選擇OK以嘗試修復。
- 退出命令提示符。
- 重新啟動。
修復失敗
如果修復失敗,請完成以下步驟:
- 在PC上以管理員身份開啟命令提示符(在Vista上已提升提示)。
- 運行
net stop CryptSvc。 - 將%WINDIR%\system32\catroot2重新命名為catroot2_old目錄。
- 退出命令提示符。
- 重新啟動。
分析資料庫
您可以隨時分析資料庫以確定其是否有效。
- 在PC上以管理員身份開啟命令提示符。
- 運行:
esentutl /g%systemroot%\System32\catroot2\
{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
有關詳細資訊,請參閱系統目錄資料庫完整性。
錯誤消息
錯誤:無法更新會話管理資料庫
通過Web瀏覽器連線SSL VPN時,會出現Unable to Update the Session Management Database.錯誤消息,並且ASA日誌顯示%ASA-3-211001: Memory allocation Error。自適應安全裝置無法分配RAM系統記憶體。
解決方案1
此問題是由思科錯誤ID CSCsm51093導致的。為了解決此問題,請重新載入ASA或將ASA軟體升級至錯誤中提到的過渡版本。請參閱Cisco錯誤ID CSCsm51093 更多資訊.
解決方案2
如果使用威脅檢測,如果在ASA上禁用威脅檢測,也可以解決此問題。
錯誤:「模組c:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnapi.dll註冊失敗」
在筆記型電腦或PC上使用AnyConnect客戶端時,安裝過程中會出現以下錯誤:
"Module C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnapi.dll failed
to register..."
遇到此錯誤時,安裝程式無法向前移動,客戶端被刪除。
解決方案
以下是解決此錯誤的可能解決方法:
- Microsoft Windows 2000不再正式支援最新的AnyConnect客戶端。這是2000電腦的登錄檔問題。
- 刪除VMware應用程式。安裝AnyConnect後,即可將VMware應用程式新增回PC。
- 將ASA新增到其受信任的站點。
- 將這些檔案從\ProgramFiles\Cisco\CiscoAnyconnect資料夾複製到新資料夾,然後運行regsvr32 vpnapi.dll命令提示符:
- vpnapi.dll
- vpncommon.dll
- vpncommoncrypt.dll
- 重新映像筆記型電腦/PC上的作業系統。
AnyConnect客戶端上與此錯誤相關的日誌消息類似於以下內容:
DEBUG: Error 2911: Could not remove the folderC:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, ,
DEBUG: Error 2911: Could not remove the folder C:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, ,
Info 1721. There is a problem with this Windows Installer package. A program required for
this install to complete could not be run. Contact your support personnel or package
vendor. Action: InstallHelper.exe, location: C:\Program Files\Cisco\Cisco AnyConnect VPN
Client\InstallHelper.exe, command: -acl "C:\Documents and Settings\All Users\Application
Data\Cisco\Cisco AnyConnect VPN Client\\" -r
錯誤:「收到來自安全網關的響應VPN協商請求的錯誤。請聯絡您的網路管理員」
當客戶端嘗試使用Cisco AnyConnect VPN客戶端連線到VPN時,會收到此錯誤。
從安全網關收到此消息:
「非法地址類」或「主機或網路為0」或「其他錯誤」
解決方案
發生此問題的原因是ASA本地IP池耗盡。當VPN池資源耗盡時,必須擴大IP池範圍。
思科錯誤ID是CSCsl82188,已針對此問題提交了申請。當用於地址分配的本地池已用盡,或地址池使用了32位子網掩碼時,通常會發生此錯誤。解決方法是擴展地址池並為地址池使用24位子網掩碼。
錯誤:無法建立會話。已達到會話限制2。
當您嘗試將兩個以上的客戶端與AnyConnect VPN客戶端連線時,會在客戶端上收到Login Failed錯誤消息,並在ASA日誌中收到Session cannot be established警告消息。已達到會話限制2。我在ASA上擁有AnyConnect基本許可證,該許可證運行8.0.4版。
解決方案1
發生此錯誤的原因是ASA 8.0.4版不支援AnyConnect基本許可證。您需要將ASA升級到版本8.2.2。此指令可解決錯誤。
解決方案2
如果使用vpn-sessiondb max-anyconnect-premium-or-essentials-limit session-limit命令設定允許建立的VPN會話限制,也會發生此錯誤。如果將會話限制設定為兩個,則使用者即使安裝的許可證支援多個會話,也無法建立兩個以上的會話。將session-limit設定為所需的VPN會話數,以避免出現此錯誤消息。
錯誤:嘗試將anyconnect連線到ASA時,VPN伺服器上未啟用Anyconnect
當您嘗試將AnyConnect連線到ASA時,會收到Anyconnect not enabled on VPN server錯誤消息。
解決方案
如果使用ASDM在ASA的外部介面上啟用AnyConnect,則會解決此錯誤。如需有關如何在外部介面上啟用 AnyConnect 的詳細資訊,請參閱在 ASA 上設定無用戶端 SSL VPN (WebVPN)。
錯誤:- %ASA-6-722036:組客戶端組使用者xxxx IP x.x.x.x傳輸大型資料包1220(閾值1206)
ASA的日誌中顯示%ASA-6-722036: Group < client-group > User < xxxx > IP < x.x.x.x> Transmitting large packet 1220(threshold 1206)錯誤消息。此日誌意味著什麼?如何解決此問題?
解決方案
此日誌消息表明已將大型資料包傳送到客戶端。封包的來源不知道使用者端的MTU。這也可能是由於壓縮了不可壓縮的資料。解決方法是使用svc compression none 命令關閉SVC壓縮。這解決了問題。
錯誤:安全網關已拒絕代理的vpn連線或重新連線請求。
當您連線到AnyConnect客戶端時,會收到以下錯誤:「安全網關已拒絕代理的vpn連線或重新連線請求。新連線需要重新身份驗證,並且必須手動啟動。如果此問題仍然存在,請與網路管理員聯絡。從安全網關收到以下消息:沒有分配地址」。
當您連線到AnyConnect客戶端時,也會收到此錯誤: "安全網關已拒絕連線嘗試。需要嘗試到相同或另一個安全網關的新連線,這需要重新進行身份驗證。 從安全閘道收到下列訊息:主機或網路為 0」。
當您連線到AnyConnect客戶端時,也會收到此錯誤: "安全網關已拒絕代理的vpn連線或重新連線請求。新連線需要重新身份驗證,並且必須手動啟動。如果問題仍然存在,請與網路管理員聯絡。從安全網關收到以下消息:「No License」。
解決方案
重新載入後,路由器缺少池配置。您需要將相關的配置重新新增到路由器中。
Router#show run | in pool
ip local pool SSLPOOL 192.168.30.2 192.168.30.254
svc address-pool SSLPOO
「安全網關已拒絕代理的vpn連線或重新連線請求。新連線需要重新身份驗證,並且必須手動啟動。如果問題仍然存在,請與網路管理員聯絡。從安全網關收到以下消息:No License"錯誤,當AnyConnect移動許可證缺失時。安裝許可證後,問題得到解決。
錯誤:「無法更新會話管理資料庫」
當您嘗試在WebPortal中進行身份驗證時,收到以下錯誤消息:「無法更新會話管理資料庫」。
解決方案
此問題與ASA上的記憶體分配有關。當ASA版本為8.2.1時,最常遇到此問題。最初,這需要512MB RAM才能完成全部功能。
作為永久的解決方法,請將記憶體升級到512MB。
作為臨時解決方法,請嘗試使用以下步驟釋放記憶體:
- 禁用威脅檢測。
- 禁用SVC壓縮。
- 重新載入ASA。
錯誤:「VPN客戶端驅動程式遇到錯誤」
這是當您嘗試連線到AnyConnect時在客戶端電腦上獲取的錯誤消息。
解決方案
為了解決此錯誤,請完成以下過程以手動將AnyConnect VPN代理設定為Interactive:
- 按一下右鍵My Computer > Manage > Services and Applications > Services,然後選擇Cisco AnyConnect VPN代理。
- 按一下右鍵Properties,然後登入,然後選擇Allow service to interact with the desktop。
這會將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vpnagent的登錄檔型別值DWORD設定為110(預設值為010)。
當Windows PC上啟用路由和遠端訪問服務(RRAS)時,AnyConnect將失敗,並顯示The VPN client driver has encountered an error.error message。為了解決此問題,確保在啟動AnyConnect之前禁用路由和RRAS。如需詳細資訊,請參閱Cisco錯誤ID CSCsm54689。
錯誤:「無法處理來自xxx.xxx.xxx.xxx的響應」
AnyConnect客戶端無法連線到Cisco ASA。AnyConnect視窗中的錯誤是「Unable to process response from xxx.xxx.xxx」。
解決方案
若要解決此錯誤,請嘗試以下解決方法:
- 從 ASA 移除 WebVPN,然後重新啟用。
- 將埠號從現有的443更改為444,然後在443上重新啟用該埠。
有關如何啟用WebVPN並更改WebVPN埠的詳細資訊,請參閱此解決方案。
錯誤:「Login Denied, unauthorized connection mechanism, contact your administrator(登入被拒絕,未授權連線機制,請與管理員聯絡)」
AnyConnect客戶端無法連線到Cisco ASA。AnyConnect視窗中的錯誤是「Login Denied, unauthorized connection mechanism, contact your administrator」。
解決方案
出現此錯誤消息的主要原因是配置不正確或不完整。檢查設定,並確保視需要解決問題。
<
錯誤:「Anyconnect軟體包不可用或已損壞。請與您的系統管理員聯絡」
當您嘗試從Macintosh客戶端啟動AnyConnect軟體以連線到ASA時,會發生此錯誤。
解決方案
為了解決此問題,請完成以下步驟:
- 將Macintosh AnyConnect軟體包上傳到ASA的快閃記憶體中。
- 修改WebVPN配置以指定使用的AnyConnect軟體包。
webvpn
svc image disk0:/anyconnect-macosx-i386-2.3.2016-k9.pkg 2
svc image disk0:/anyconnect-macosx-powerpc-2.3.2016-k9.pkg 3
在ASA 8.4(1)及更高版本中,svc image命令替換為anyconnect image命令,如下所示:
hostname(config)#webvpn
hostname(config-webvpn)#anyconnect image disk0:/
anyconnect-win-3.0.0527-k9.pkg 1
hostname(config-webvpn)#anyconnect image disk0:/
anyconnect-macosx-i386-3.0.0414-k9.pkg 2
錯誤:「找不到安全網關上的AnyConnect軟體包」
當使用者的Linux電腦嘗試通過啟動AnyConnect連線到ASA時,會引發此錯誤。以下是完整的錯誤:
"The AnyConnect package on the secure gateway could not be located. You may
be experiencing network connectivity issues. Please try connecting again."
解決方案
要解決此錯誤消息,請驗證AnyConnect客戶端是否支援客戶端電腦上使用的作業系統(OS)。
如果作業系統受支援,則驗證是否在WebVPN配置中指定了AnyConnect軟體包。有關詳細資訊,請參閱本文檔的Anyconnect軟體包不可用或損壞部分。
錯誤:「不支援通過遠端案頭安全VPN」
使用者無法執行遠端案頭訪問。出現Secure VPN via remote desktop is not supported錯誤消息。
解決方案
此問題是由以下思科錯誤ID導致的:CSCsu2208和CSCso42825。如果升級AnyConnect VPN客戶端,它可解決此問題。如需詳細資訊,請參閱這些錯誤。
錯誤:「收到的伺服器證書或其鏈不符合FIPS。將不會建立VPN連線」
當您嘗試通過VPN連線ASA 5505時,The server certificate received or its chain does not consistent FIPS。出現「VPN connection will not be established(VPN連線無法建立)」錯誤消息。
解決方案
為了解決此錯誤,您必須在AnyConnect本地策略檔案中禁用聯邦資訊處理標準(FIPS)。此檔案通常位於C:\ProgramData\Cisco\Cisco AnyConnect VPN Client\AnyConnectLocalPolicy.xml。如果在此路徑中找不到此檔案,則請在路徑為 C:\Documents and Settings\All Users\Application Data\Cisco AnyConnectVPNClient\AnyConnectLocalPolicy.xml 之類的其他目錄中尋找檔案。找到xml檔案後,按如下所示對此檔案進行更改:
更改短語:
<FipsMode>true</FipsMode>
收件人:
<FipsMode>false</FipsMode>
然後,重新啟動電腦。使用者必須具有管理許可權才能修改此檔案。
錯誤:「證書驗證失敗」
使用者無法啟動AnyConnect並收到Certificate Validation Failure錯誤。
解決方案
與IPSec客戶端相比,證書身份驗證在AnyConnect中的工作方式不同。若要使用憑證驗證,您必須將使用者端憑證匯入瀏覽器並變更連線設定檔,才能使用憑證驗證。您還需要在ASA上啟用此命令,以允許外部介面上使用SSL客戶端證書:
ssl certificate-authentication interface outside port 443
錯誤:「VPN代理服務遇到問題,需要關閉。我們對由此造成的不便深表歉意」
在Windows XP PC上安裝AnyConnect版本2.4.0202時,它會停止更新本地化檔案,並顯示一條錯誤消息,顯示vpnagent.exe失敗。
解決方案
此行為已記錄在思科錯誤ID CSCsq49102中。建議的解決方法是禁用Citrix客戶端。
錯誤:「無法開啟此安裝包。驗證軟體包是否存在"
下載AnyConnect時,收到以下錯誤消息:
「請與您的系統管理員聯絡。安裝程式失敗,出現以下錯誤:無法開啟此安裝包。請驗證該程式包是否存在以及您是否可以訪問該程式包,或者與應用程式供應商聯絡以驗證它是否為有效的Windows Installer程式包。
解決方案
完成以下步驟即可解決此問題:
- 刪除任何防病毒軟體。
- 禁用Windows防火牆。
- 如果步驟1或步驟2均無幫助,則格式化電腦,然後安裝。
- 如果問題仍然存在,請建立TAC案例。
錯誤:「應用轉換時出錯。驗證指定的轉換路徑是否有效。"
從ASA自動下載AnyConnect時收到以下錯誤消息:
"Contact your system administrator. The installer failed with the following error:
Error applying transforms. Verify that the specified transform paths are valid."
以下是連線用於MacOS的AnyConnect時收到的錯誤消息:
"The AnyConnect package on the secure gateway could not be located. You may be
experiencing network connectivity issues. Please try connecting again."
解決方案
完成以下解決方法之一即可解決此問題:
- 此錯誤的根本原因可能是MST轉換檔案損壞(例如,已匯入)。請執行以下步驟解決此問題:
- 刪除MST轉換表。
- 在ASA中為MacOS配置AnyConnect映像。
- 刪除MST轉換表。
- 在ASDM中,按照Network(Client)Access > AnyConnect Custom > Installs路徑執行,然後刪除AnyConnect軟體包檔案。確保軟體包保留在Network(Client)Access > Advanced > SSL VPN > Client Setting中。
如果這兩種解決方法都無法解決問題,請聯絡思科技術支援。
錯誤:「VPN客戶端驅動程式遇到錯誤」
收到此錯誤:
The VPN client driver has encountered an error when connecting through Cisco
AnyConnect Client.
解決方案
解除安裝AnyConnect客戶端,然後刪除防病毒軟體時,可以解決此問題。在此之後,重新安裝AnyConnect客戶端。如果此解決方案不起作用,請重新格式化PC以解決此問題。
錯誤:「VPN重新連線導致配置設定不同。正在重新初始化VPN網路設定。利用專用網路的應用程式可能需要恢復。」
當您嘗試啟動AnyConnect時收到此錯誤:
"A VPN reconnect resulted in different configuration setting. The VPN network
setting is being re-initialized. Applications utilizing the private network may
need to be restarted."
解決方案
若要解決此錯誤,請使用以下命令:
group-policy <Name> attributes
webvpn
svc mtu 1200
在ASA 8.4(1)及更高版本中,svc mtu命令替換為anyconnect mtu命令,如下所示:
hostname(config)#group-policy
attributes
hostname(config-group-policy)#webvpn
hostname(config-group-webvpn)#anyconnect mtu 500
登入時出現AnyConnect錯誤
問題
AnyConnect連線到客戶端時收到此錯誤:
The VPN connection is not allowed via a local proxy. This can be changed
through AnyConnect profile settings.
解決方案
如果對AnyConnect配置檔案進行以下更改,則問題可以解決:
將此行新增到AnyConnect配置檔案:
<ProxySettings>IgnoreProxy</ProxySettings><
AllowLocalProxyConnections>
false</AllowLocalProxyConnections>
Windows 7上的AnyConnect斷開連線後,IE代理設定未恢復
問題
在Windows 7中,如果IE代理設定配置為Automatically detect settings,並且AnyConnect向下推送新的代理設定,則使用者結束AnyConnect會話後,IE代理設定不會恢復為Automatically detect settings。這會導致需要為「自動檢測」設定配置其代理設定的用戶出現LAN問題。
解決方案
此行為已記錄在思科錯誤ID CSCtj51376中。建議的解決方法是升級到AnyConnect 3.0。
錯誤:在所有這些會話關閉之前,無法啟用AnyConnect基礎版。
當您嘗試啟用AnyConnect Essentials許可證時,Cisco ASDM上會收到以下錯誤消息:
There are currently 2 clientless SSL VPN sessions in progress. AnyConnect
Essentials can not be enabled until all these sessions are closed.
解決方案
這是ASA的正常行為。AnyConnect Essentials是單獨許可的SSL VPN客戶端。它完全配置在ASA上,並提供完整的AnyConnect功能,但以下情況除外:
- 無Cisco Secure Desktop(CSD)(包括HostScan/Vault/Cache Cleaner)
- 無客戶端SSL VPN
- 可選的Windows Mobile支援
此許可證不能與共用SSL VPN高級許可證同時使用。當您需要使用一個許可證時,需要禁用另一個許可證。
錯誤: Internet Explorer的Internet選項上的「連線」頁籤在連線到AnyConnect客戶端後隱藏。
連線到AnyConnect客戶端後,Internet Explorer的Internet選項上的connection頁籤會隱藏。
解決方案
這是因為使用msie-proxy封鎖功能。如果啟用此功能,在AnyConnect VPN會話期間,它會隱藏Microsoft Internet Explorer中的「連線」頁籤。如果禁用該功能,則不會更改「連線」頁籤的顯示。
錯誤:當其他使用者能夠通過AnyConnect VPN成功連線時,少數使用者收到「登入失敗」錯誤消息
當其他使用者可以通過AnyConnect VPN成功連線時,少數使用者會收到Login Failed Error(登入失敗錯誤)消息。
解決方案
如果確保為使用者選中不要求預先身份驗證覈取方塊,則此問題可以解決。
錯誤:您正在檢視的證書與您正在嘗試檢視的站點名稱不匹配。
在AnyConnect配置檔案更新期間,將顯示一個錯誤,說明證書無效。這僅在使用Windows時發生,並且發生在配置檔案更新階段。錯誤訊息如下所示:
The certificate you are viewing does not match with the name of the site
you are trying to view.
解決方案
如果要修改AnyConnect配置檔案的伺服器清單以使用證書的FQDN,則可以解決此問題。
以下是XML配置檔案的一個示例:
<ServerList>
<HostEntry>
<HostName>vpn1.ccsd.net</HostName>
</HostEntry>
</ServerList>
無法從Windows 7電腦的CSD保管庫啟動AnyConnect
從CSD保管庫啟動AnyConnect時,它不起作用。在Windows 7電腦上嘗試此操作。
解決方案
目前,這是不可能的,因為它不受支援。
故障切換後,AnyConnect配置檔案不會複製到備用裝置
採用ASA 8.4.1版軟體的AnyConnect 3.0 VPN客戶端工作正常。但是,故障切換後,沒有與AnyConnect配置檔案相關的配置的複製。
解決方案
已觀察此問題並將其記錄在Cisco錯誤ID CSCtn71662中。臨時解決方法是手動將檔案複製到備用裝置。
如果Internet Explorer離線,AnyConnect客戶端崩潰
發生這種情況時,AnyConnect事件日誌包含類似以下內容的條目:
Description : Function:
CAdapterNetworkStateIfc::SetConnectedStateToConnected
File: .\AdapterNetworkStateIfc.cpp
Line: 147
Invoked Function: InternetSetOption
Return Code: 12010 (0x00002EEA)
Description: The length is incorrect for the option type
Description : Function: CTransportWinHttp::InitTransport
File: .\CTransportWinHttp.cpp
Line: 252
Invoked Function: CConnectedStateIfc::SetConnectedStateToConnected
Return Code: -25362420 (0xFE7D000C)
Description: CADAPTERNETWORKSTATEIFC_ERROR_SET_OPTION
解決方案
觀察到此行為並記錄在Cisco錯誤ID CSCtx28970中。為了解決此問題,請退出AnyConnect應用程式並重新啟動。重新啟動後,連線條目會重新顯示。
錯誤消息: TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER
AnyConnect客戶端無法連線,並收到Unable to establish a connection錯誤消息。在AnyConnect事件日誌中發現TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER錯誤。
解決方案
當頭端設定為具有非常大的分割通道清單(約180-200個專案)的分割通道,且在group-policy中設定一個或多個其他使用者端屬性(例如dns-server)時,會發生這種情況。
若要解決此問題,請完成以下步驟:
- 減少拆分隧道清單中的條目數。
- 使用以下配置禁用DTLS:
group-policy groupName attributes
webvpn
svc dtls none
如需更多資訊,請參閱Cisco錯誤ID CSCtc41770。
錯誤消息:「由於主機條目無效,連線嘗試失敗」
Connection attempt has failed due to invalid host entry error message is received while AnyConnect using a certificate.(使用證書驗證AnyConnect時,由於收到無效主機條目錯誤消息,連線嘗試失敗。)
解決方案
若要解決此問題,請嘗試下列任一可能的解決方案:
- 將AnyConnect升級到3.0版。
- 在您的電腦上禁用Cisco Secure Desktop。
如需更多資訊,請參閱Cisco錯誤ID CSCti73316。
錯誤:「如果配置永遠線上VPN,請確保您的伺服器證書可以通過嚴格模式」
當您在AnyConnect上啟用Always-On功能時,會收到Ensure your server certificates can pass strict mode if you configure always-on VPN錯誤消息。
解決方案
此錯誤訊息表示,如果要使用「永遠線上」功能,則需要在頭端上設定有效的伺服器憑證。如果沒有有效的伺服器證書,此功能將無法工作。Strict Cert Mode是在AnyConnect本地策略檔案中設定的選項,以確保連線使用有效證書。如果在策略檔案中啟用此選項並使用偽造證書進行連線,則連線將失敗。
錯誤:「Microsoft Windows HTTP Services中發生內部錯誤」
此診斷AnyConnect報告工具(DART)顯示一個失敗的嘗試:
******************************************
Date : 03/25/2014
Time : 09:52:21
Type : Error
Source : acvpnui
Description : Function: CTransportWinHttp::SendRequest
File: .\CTransportWinHttp.cpp
Line: 1170
Invoked Function: HttpSendRequest
Return Code: 12004 (0x00002EE4)
Description: An internal error occurred in the Microsoft
Windows HTTP Services
*****************************************
Date : 03/25/2014
Time : 09:52:21
Type : Error
Source : acvpnui
Description : Function: ConnectIfc::connect
File: .\ConnectIfc.cpp
Line: 472
Invoked Function: ConnectIfc::sendRequest
Return Code: -30015443 (0xFE36002D)
Description: CTRANSPORT_ERROR_CONN_UNKNOWN
******************************************
Date : 03/25/2014
Time : 09:52:21
Type : Error
Source : acvpnui
Description : Function: ConnectIfc::TranslateStatusCode
File: .\ConnectIfc.cpp
Line: 2999
Invoked Function: ConnectIfc::TranslateStatusCode
Return Code: -30015443 (0xFE36002D)
Description: CTRANSPORT_ERROR_CONN_UNKNOWN
Connection attempt failed. Please try again.
******************************************
此外,請參閱Windows電腦上的事件檢視器日誌。
解決方案
這可能是由於Winsock連線損壞造成的。使用以下命令從命令提示符重置連線並重新啟動Windows電腦:
netsh winsock reset
如需詳細資訊,請參閱在Windows Server 2003、Windows XP和Windows Vista知識庫中,如何判斷和恢復Winsock2損壞。
錯誤:「SSL傳輸收到了安全通道故障。 可能是安全閘道未支援密碼編譯組態導致。」
此診斷AnyConnect報告工具(DART)顯示一個失敗的嘗試:
******************************************
Date : 10/27/2014
Time : 16:29:09
Type : Error
Source : acvpnui
Description : Function: CTransportWinHttp::handleRequestError
File: .\CTransportWinHttp.cpp
Line: 854
The SSL transport received a Secure Channel Failure. May be a result of a unsupported crypto configuration on the Secure Gateway.
******************************************
Date : 10/27/2014
Time : 16:29:09
Type : Error
Source : acvpnui
Description : Function: CTransportWinHttp::SendRequest
File: .\CTransportWinHttp.cpp
Line: 1199
Invoked Function: CTransportWinHttp::handleRequestError
Return Code: -30015418 (0xFE360046)
Description: CTRANSPORT_ERROR_SECURE_CHANNEL_FAILURE
******************************************
Date : 10/27/2014
Time : 16:29:09
Type : Error
Source : acvpnui
Description : Function: ConnectIfc::TranslateStatusCode
File: .\ConnectIfc.cpp
Line: 3026
Invoked Function: ConnectIfc::TranslateStatusCode
Return Code: -30015418 (0xFE360046)
Description: CTRANSPORT_ERROR_SECURE_CHANNEL_FAILURE
Connection attempt failed. Please try again.
******************************************
解決方案
根據下列知識庫更新,Windows 8.1 不支援 RC4:
http://support2.microsoft.com/kb/2868725
使用指令「ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 des-sha1」設定 ASA 上之 SSL VPN 的 DES/3DES 密碼,或編輯用戶端電腦上的 Windows 登錄檔,如下所述:
https://technet.microsoft.com/en-us/library/dn303404.aspx
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
04-Apr-2018 |
初始版本 |
意見