本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。
思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。
本文件說明適用於無法透過 Cisco AnyConnect VPN 用戶端使用之應用程式的疑難排解案例。
本文件沒有特定需求。
本檔案中的資訊是根據執行8.x版的Cisco調適型安全裝置(ASA)。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
此典型的故障排除方案適用於不通過Cisco AnyConnect VPN客戶端為使用Microsoft Windows電腦的終端使用者運行的應用程式。以下各節針對這些問題提供解決方案:
請完成以下步驟:
\Windows\setupapi.log
注意:必須使隱藏資料夾可見,才能檢視這些檔案。
\Windows\Inf\setupapi.app.log
\Windows\Inf\setupapi.dev.log
\Documents and Settings\\Local Settings\Temp\
\Users\\AppData\Local\Temp\
\Windows\Temp
winmsd /nfo c:\msinfo.nfo
msinfo32 /nfo c:\msinfo.nfo
注意:鍵入此提示後,請等待。可能需要兩到五分鐘才能完成檔案。
systeminfo c:\sysinfo.txt
請參閱AnyConnect:損壞的驅動程式資料庫問題,以調試驅動程式問題。
如果AnyConnect客戶端出現連線問題,例如斷開連線或無法建立初始連線,請獲取以下檔案:
write net x.x.x.x:ASA-Config.txt
,其中 x.x.x.x
是 TFTP 伺服器在網路上的 IP 位址。show running-config
。在螢幕上完成配置,然後剪下並貼上到文本編輯器並儲存。config terminal
logging enable
logging timestamp
logging class auth console debugging
logging class webvpn console debugging
logging class ssl console debugging
logging class svc console debugging
no logging enable
。eventvwr.msc /s
注意:始終將其另存為.evt檔案格式。
如果使用者無法與AnyConnect VPN客戶端連線,則問題可能與客戶端PC上啟用的已建立的遠端案頭協定(RDP)會話或快速使用者交換有關。使用者可以看到AnyConnect配置檔案設定要求單個本地使用者,但多個本地使用者當前已登入到您的電腦。
客戶端PC上出現VPN連線無法建
立錯誤消息錯誤。為了解決此問題,請斷開所有已建立的RDP會話並禁用快速使用者交換。此行為會受到用戶端設定檔中的 Windows 登入強制執行屬性所控制,但目前沒有任何設定確實允許單一使用者在多名使用者於相同電腦上同時登入時建立 VPN 連線。增強功能要求CSCsx15061 未能解決此功能。
註:確保埠443未被阻止,以便AnyConnect客戶端可以連線到ASA。
當使用者無法將AnyConnect VPN客戶端連線到ASA時,問題可能是由於AnyConnect客戶端版本與ASA軟體映像版本之間的不相容引起的。在這種情況下,使用者收到以下錯誤消息:The installer was not able to start the Cisco VPN client, clientless access is not available(安裝程式無法啟動Cisco VPN客戶端,無客戶端訪問不可用)
。
為了解決此問題,請升級AnyConnect客戶端版本以與ASA軟體映像相容。
首次登入 AnyConnect 時,登入指令檔不會執行。如果您中斷連接並再次登入,登入指令檔會正常執行。這是預期行為。
將AnyConnect VPN客戶端連線到ASA時,您可能會收到以下錯誤: User not authorized for AnyConnect Client access, contact your administrator
。
當ASA中缺少AnyConnect映像時,會出現此錯誤。映像載入到ASA後,AnyConnect可以連線到ASA而不會出現任何問題。
通過禁用資料包傳輸層安全(DTLS)可以解決此錯誤。轉至Configuration > Remote Access VPN > Network(Client)Access > AnyConnect Connection Profiles,並取消選中Enable DTLS覈取方塊。這將禁用DTLS。
在使用者斷開連線時,該目標包檔案會顯示以下錯誤消息: TUNNELPROTOCOLDPDMGR_ERROR_NO_DPD_RESPONSE:安全網關無法響應失效對等體檢測資料包
。此錯誤表示由於失效對等體檢測(DPD)故障,DTLS通道被斷開。如果調整DPD keepalive並發出以下命令,則會解決此錯誤:
webvpn
svc keepalive 30
svc dpd-interval client 80
svc dpd-interval gateway 80
svc keepalive和svc dpd-interval命令在ASA 8.4(1)版及更高版本中分別由anyconnect keepalive和anyconnect dpd-interval命令替換,如下所示:
webvpn
anyconnect ssl keepalive 15
anyconnect dpd-interval client 5
anyconnect dpd-interval gateway 5
當檢測到通過ASA通過AnyConnect會話將流量傳送到專用網路時出現問題時,請完成以下資料收集步驟:
Filter Name: XXXXX
,則收集show access-list XXXXX的輸出。驗證訪問清單XXXXX不會阻止預期流量。access-list in_nat0_out extended permit ip any 10.136.246.0 255.255.255.0
ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
nat (inside) 0 access-list in_nat0_out
!--- Route outside 0 0 is an incorrect statement.
route outside 0 0 10.145.50.1
route inside 0 0 10.0.4.2 tunneled
ASA(config)# policy-map global_policy
ASA(config-pmap)# class inspection_default
ASA(config-pmap-c)# no inspect skinny
完成以下資料收集步驟:
Number of Instructions : 25
Number of Errors To Save : 25
Crash Dump Type : Mini
Dump Symbol Table : Checked
Dump All Thread Contexts : Checked
Append To Existing Log File : Checked
Visual Notification : Checked
Create Crash Dump File : Checked
eventvwr.msc /s
注意:始終將其另存為.evt檔案格式。
某些應用程式(如Microsoft Outlook)無法正常工作。但是,通道可以傳遞其他流量,例如小量ping。
這麼做可提供有關網路中分段問題的線索。使用者路由器在封包分段和重組方面尤其糟糕。
嘗試一組ping的縮放功能,以確定它是否以特定大小失敗。例如, ping -l 500 、 ping -l 1000 、 ping -l 1500 、 ping -l 2000。
建議您為遇到分段的使用者配置一個特殊組,並將該組的SVC最大轉換單元(MTU)設定為1200。這樣,您就能夠補救遇到此問題的使用者,但不會影響更廣泛的使用者群。
問題
一旦使用AnyConnect連線,TCP連線將掛起。
解決方案
若要驗證您的使用者是否有分段問題,請調整ASA上AnyConnect使用者端的MTU。
ASA(config)#group-policy <name> attributes
webvpn
svc mtu 1200
問題
一旦連線終止,AnyConnect VPN客戶端就會自行解除安裝。客戶端日誌顯示keep installed設定為disabled。
解決方案
AnyConnect會自行解除安裝,儘管在自適應安全裝置管理器(ASDM)上選擇了keep installed選項。為了解決此問題,請在group-policy下配置svc keep-installer installed命令。
問題:AnyConnect客戶端已預填充主機名,而不是群集完全限定域名(FQDN)。
當您為SSL VPN設定了負載平衡集群並且客戶端嘗試連線到集群時,請求將被重定向到節點ASA並且客戶端成功登入。一段時間後,當客戶端再次嘗試連線到群集時,在連線到條目中看不到群集FQDN。相反,會看到客戶端重定向到的節點ASA條目。
解決方案
發生這種情況的原因是AnyConnect客戶端保留其上次連線的主機名。已觀察到此行為,且錯誤已歸檔。有關錯誤的完整詳細資訊,請參閱Cisco錯誤ID CSCsz39019。建議的解決方法是將Cisco AnyConnect升級到版本2.5。
如果使用者選擇的主伺服器無法訪問,則會配置備份伺服器清單。這在AnyConnect配置檔案的Backup Server窗格中定義。請完成以下步驟:
SetupAPI.log檔案中的此條目表明目錄系統已損壞:
W239 驅動程式簽署類別清單「C:\WINDOWS\INF\certclas.inf」遺失或無效。
錯誤0xfffde5:未知錯誤。假
設所有裝置類都受驅動程式簽名策略約束。
您還可以收到以下錯誤消息: Error(3/17):無法啟動VA、設定共用隊列或VA放棄共用隊列
。
您可以在客戶端上接收此日誌:「VPN客戶端驅動程式遇到錯誤」
。
此問題是由思科錯誤ID CSCsm54689導致的。為了解決此問題,請確保在啟動AnyConnect之前禁用路由和遠端訪問服務。如果這不能解決問題,請完成以下步驟:
net stop CryptSvc
。esentutl /p%systemroot%\System32\catroot2\
{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
如果修復失敗,請完成以下步驟:
net stop CryptSvc
。您可以隨時分析資料庫以確定其是否有效。
esentutl /g%systemroot%\System32\catroot2\
{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
通過Web瀏覽器連線SSL VPN時,會出現Unable to Update the Session Management Database.
錯誤消息,並且ASA日誌顯示%ASA-3-211001: Memory allocation Error。
自適應安全裝置無法分配RAM系統記憶體
。
此問題是由思科錯誤ID CSCsm51093導致的。為了解決此問題,請重新載入ASA或將ASA軟體升級至錯誤中提到的過渡版本。請參閱Cisco錯誤ID CSCsm51093 更多資訊.
如果使用威脅檢測,如果在ASA上禁用威脅檢測,也可以解決此問題。
在筆記型電腦或PC上使用AnyConnect客戶端時,安裝過程中會出現以下錯誤:
"Module C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnapi.dll failed
to register..."
遇到此錯誤時,安裝程式無法向前移動,客戶端被刪除。
以下是解決此錯誤的可能解決方法:
AnyConnect客戶端上與此錯誤相關的日誌消息類似於以下內容:
DEBUG: Error 2911: Could not remove the folderC:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, ,
DEBUG: Error 2911: Could not remove the folder C:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, ,
Info 1721. There is a problem with this Windows Installer package. A program required for
this install to complete could not be run. Contact your support personnel or package
vendor. Action: InstallHelper.exe, location: C:\Program Files\Cisco\Cisco AnyConnect VPN
Client\InstallHelper.exe, command: -acl "C:\Documents and Settings\All Users\Application
Data\Cisco\Cisco AnyConnect VPN Client\\" -r
當客戶端嘗試使用Cisco AnyConnect VPN客戶端連線到VPN時,會收到此錯誤。
從安全網關收到此消息:
「非法地址類」或「主機或網路為0」或「其他錯誤」
發生此問題的原因是ASA本地IP池耗盡。當VPN池資源耗盡時,必須擴大IP池範圍。
思科錯誤ID是CSCsl82188,已針對此問題提交了申請。當用於地址分配的本地池已用盡,或地址池使用了32位子網掩碼時,通常會發生此錯誤。解決方法是擴展地址池並為地址池使用24位子網掩碼。
當您嘗試將兩個以上的客戶端與AnyConnect VPN客戶端連線時,會在客戶端上收到Login Failed
錯誤消息,並在ASA日誌中收到Session cannot be established
警告消息。已達到會話限制2
。我在ASA上擁有AnyConnect基本許可證,該許可證運行8.0.4版。
發生此錯誤的原因是ASA 8.0.4版不支援AnyConnect基本許可證。您需要將ASA升級到版本8.2.2。此指令可解決錯誤。
注意:無論使用哪種許可證,如果達到會話限制,使用者都將收到登錄失敗
錯誤消息。
如果使用vpn-sessiondb max-anyconnect-premium-or-essentials-limit session-limit命令設定允許建立的VPN會話限制,也會發生此錯誤。如果將會話限制設定為兩個,則使用者即使安裝的許可證支援多個會話,也無法建立兩個以上的會話。將session-limit設定為所需的VPN會話數,以避免出現此錯誤消息。
當您嘗試將AnyConnect連線到ASA時,會收到Anyconnect not enabled on VPN server
錯誤消息。
如果使用ASDM在ASA的外部介面上啟用AnyConnect,則會解決此錯誤。如需有關如何在外部介面上啟用 AnyConnect 的詳細資訊,請參閱在 ASA 上設定無用戶端 SSL VPN (WebVPN)。
ASA的日誌中顯示%ASA-6-722036: Group < client-group > User < xxxx > IP < x.x.x.x> Transmitting large packet 1220(threshold 1206)錯誤消
息。此日誌意味著什麼?如何解決此問題?
此日誌消息表明已將大型資料包傳送到客戶端。封包的來源不知道使用者端的MTU。這也可能是由於壓縮了不可壓縮的資料。解決方法是使用svc compression none 命令關閉SVC壓縮。這解決了問題。
當您連線到AnyConnect客戶端時,會收到以下錯誤:「安全網關已拒絕代理的vpn連線或重新連線請求。
新連線需要重新身份驗證,並且必須手動啟動。
如果此問題仍然存在,請與網路管理員聯絡。
從安全網關收到以下消息:沒有分配地址」
。
當您連線到AnyConnect客戶端時,也會收到此錯誤: "安全網關已拒絕連線嘗試。
需要嘗試到相同或另一個安全網關的新連線,這需要重新進行身份驗證。
從安全閘道收到下列訊息:主機或網路為 0」。
當您連線到AnyConnect客戶端時,也會收到此錯誤: "安全網關已拒絕代理的vpn連線或重新連線請求。
新連線需要重新身份驗證,並且必須手動啟動。
如果問題仍然存在,請與網路管理員聯絡。
從安全網關收到以下消息:「No License」
。
重新載入後,路由器缺少池配置。您需要將相關的配置重新新增到路由器中。
Router#show run | in pool
ip local pool SSLPOOL 192.168.30.2 192.168.30.254
svc address-pool SSLPOO
「安全網關已拒絕代理的vpn連線或重新連線請求。
新連線需要重新身份驗證,並且必須手動啟動。
如果問題仍然存在,請與網路管理員聯絡。
從安全網關收到以下消息:No License"
錯誤,當AnyConnect移動許可證缺失時。安裝許可證後,問題得到解決。
當您嘗試在WebPortal中進行身份驗證時,收到以下錯誤消息:「無法更新會話管理資料庫」
。
此問題與ASA上的記憶體分配有關。當ASA版本為8.2.1時,最常遇到此問題。最初,這需要512MB RAM才能完成全部功能。
作為永久的解決方法,請將記憶體升級到512MB。
作為臨時解決方法,請嘗試使用以下步驟釋放記憶體:
這是當您嘗試連線到AnyConnect時在客戶端電腦上獲取的錯誤消息。
為了解決此錯誤,請完成以下過程以手動將AnyConnect VPN代理設定為Interactive:
註:如果要使用此項,則首選在此例項中使用.MST轉換。這是因為如果使用這些方法手動設定此值,則需要在每次安裝/升級程式後進行設定。這就是需要確定導致此問題的應用程式的原因。
The VPN client driver has encountered an error.
error message。為了解決此問題,確保在啟動AnyConnect之前禁用路由和RRAS。如需詳細資訊,請參閱Cisco錯誤ID CSCsm54689。AnyConnect客戶端無法連線到Cisco ASA。AnyConnect視窗中的錯誤是「Unable to process response from xxx.xxx.xxx」
。
若要解決此錯誤,請嘗試以下解決方法:
有關如何啟用WebVPN並更改WebVPN埠的詳細資訊,請參閱此解決方案。
AnyConnect客戶端無法連線到Cisco ASA。AnyConnect視窗中的錯誤是「Login Denied, unauthorized connection mechanism, contact your administrator」
。
出現此錯誤消息的主要原因是配置不正確或不完整。檢查設定,並確保視需要解決問題。
<
當您嘗試從Macintosh客戶端啟動AnyConnect軟體以連線到ASA時,會發生此錯誤。
為了解決此問題,請完成以下步驟:
webvpn
svc image disk0:/anyconnect-macosx-i386-2.3.2016-k9.pkg 2
svc image disk0:/anyconnect-macosx-powerpc-2.3.2016-k9.pkg 3
hostname(config)#webvpn
hostname(config-webvpn)#anyconnect image disk0:/
anyconnect-win-3.0.0527-k9.pkg 1
hostname(config-webvpn)#anyconnect image disk0:/
anyconnect-macosx-i386-3.0.0414-k9.pkg 2
當使用者的Linux電腦嘗試通過啟動AnyConnect連線到ASA時,會引發此錯誤。以下是完整的錯誤:
"The AnyConnect package on the secure gateway could not be located. You may
be experiencing network connectivity issues. Please try connecting again."
要解決此錯誤消息,請驗證AnyConnect客戶端是否支援客戶端電腦上使用的作業系統(OS)。
如果作業系統受支援,則驗證是否在WebVPN配置中指定了AnyConnect軟體包。有關詳細資訊,請參閱本文檔的Anyconnect軟體包不可用或損壞部分。
使用者無法執行遠端案頭訪問。出現Secure VPN via remote desktop is not supported
錯誤消息。
此問題是由以下思科錯誤ID導致的:CSCsu2208和CSCso42825。如果升級AnyConnect VPN客戶端,它可解決此問題。如需詳細資訊,請參閱這些錯誤。
當您嘗試通過VPN連線ASA 5505時,The server certificate received or its chain does not consistent FIPS。
出現「VPN connection will not be established(VPN連線無法建立)」
錯誤消息。
為了解決此錯誤,您必須在AnyConnect本地策略檔案中禁用聯邦資訊處理標準(FIPS)。此檔案通常位於C:\ProgramData\Cisco\Cisco AnyConnect VPN Client\AnyConnectLocalPolicy.xml
。如果在此路徑中找不到此檔案,則請在路徑為 C:\Documents and Settings\All Users\Application Data\Cisco AnyConnectVPNClient\AnyConnectLocalPolicy.xml
之類的其他目錄中尋找檔案。找到xml檔案後,按如下所示對此檔案進行更改:
更改短語:
<FipsMode>true</FipsMode>
收件人:
<FipsMode>false</FipsMode>
然後,重新啟動電腦。使用者必須具有管理許可權才能修改此檔案。
使用者無法啟動AnyConnect並收到Certificate Validation Failure
錯誤。
與IPSec客戶端相比,證書身份驗證在AnyConnect中的工作方式不同。若要使用憑證驗證,您必須將使用者端憑證匯入瀏覽器並變更連線設定檔,才能使用憑證驗證。您還需要在ASA上啟用此命令,以允許外部介面上使用SSL客戶端證書:
ssl certificate-authentication interface outside port 443
在Windows XP PC上安裝AnyConnect版本2.4.0202時,它會停止更新本地化檔案,並顯示一條錯誤消息,顯示vpnagent.exe失敗。
此行為已記錄在思科錯誤ID CSCsq49102中。建議的解決方法是禁用Citrix客戶端。
下載AnyConnect時,收到以下錯誤消息:
「請與您的系統管理員聯絡。安裝程式失敗,出現以下錯誤:無法開啟此安裝包。請驗證該程式包是否存在以及您是否可以訪問該程式包,或者與應用程式供應商聯絡以驗證它是否為有效的Windows Installer程式包。
完成以下步驟即可解決此問題:
從ASA自動下載AnyConnect時收到以下錯誤消息:
"Contact your system administrator. The installer failed with the following error:
Error applying transforms. Verify that the specified transform paths are valid."
以下是連線用於MacOS的AnyConnect時收到的錯誤消息:
"The AnyConnect package on the secure gateway could not be located. You may be
experiencing network connectivity issues. Please try connecting again."
完成以下解決方法之一即可解決此問題:
如果這兩種解決方法都無法解決問題,請聯絡思科技術支援。
收到此錯誤:
The VPN client driver has encountered an error when connecting through Cisco
AnyConnect Client.
解除安裝AnyConnect客戶端,然後刪除防病毒軟體時,可以解決此問題。在此之後,重新安裝AnyConnect客戶端。如果此解決方案不起作用,請重新格式化PC以解決此問題。
當您嘗試啟動AnyConnect時收到此錯誤:
"A VPN reconnect resulted in different configuration setting. The VPN network
setting is being re-initialized. Applications utilizing the private network may
need to be restarted."
若要解決此錯誤,請使用以下命令:
group-policy <Name> attributes
webvpn
svc mtu 1200
在ASA 8.4(1)及更高版本中,svc mtu命令替換為anyconnect mtu命令,如下所示:
hostname(config)#group-policyattributes
hostname(config-group-policy)#webvpn
hostname(config-group-webvpn)#anyconnect mtu 500
問題
AnyConnect連線到客戶端時收到此錯誤:
The VPN connection is not allowed via a local proxy. This can be changed
through AnyConnect profile settings.
如果對AnyConnect配置檔案進行以下更改,則問題可以解決:
將此行新增到AnyConnect配置檔案:
<ProxySettings>IgnoreProxy</ProxySettings><
AllowLocalProxyConnections>
false</AllowLocalProxyConnections>
問題
在Windows 7中,如果IE代理設定配置為Automatically detect settings,並且AnyConnect向下推送新的代理設定,則使用者結束AnyConnect會話後,IE代理設定不會恢復為Automatically detect settings。這會導致需要為「自動檢測」設定配置其代理設定的用戶出現LAN問題。
此行為已記錄在思科錯誤ID CSCtj51376中。建議的解決方法是升級到AnyConnect 3.0。
當您嘗試啟用AnyConnect Essentials許可證時,Cisco ASDM上會收到以下錯誤消息:
There are currently 2 clientless SSL VPN sessions in progress. AnyConnect
Essentials can not be enabled until all these sessions are closed.
這是ASA的正常行為。AnyConnect Essentials是單獨許可的SSL VPN客戶端。它完全配置在ASA上,並提供完整的AnyConnect功能,但以下情況除外:
此許可證不能與共用SSL VPN高級許可證同時使用。當您需要使用一個許可證時,需要禁用另一個許可證。
連線到AnyConnect客戶端後,Internet Explorer的Internet選項上的connection頁籤會隱藏。
這是因為使用msie-proxy封鎖功能。如果啟用此功能,在AnyConnect VPN會話期間,它會隱藏Microsoft Internet Explorer中的「連線」頁籤。如果禁用該功能,則不會更改「連線」頁籤的顯示。
當其他使用者可以通過AnyConnect VPN成功連線時,少數使用者會收到Login Failed Error(登入失敗錯誤)消息。
如果確保為使用者選中不要求預先身份驗證覈取方塊,則此問題可以解決。
在AnyConnect配置檔案更新期間,將顯示一個錯誤,說明證書無效。這僅在使用Windows時發生,並且發生在配置檔案更新階段。錯誤訊息如下所示:
The certificate you are viewing does not match with the name of the site
you are trying to view.
如果要修改AnyConnect配置檔案的伺服器清單以使用證書的FQDN,則可以解決此問題。
以下是XML配置檔案的一個示例:
<ServerList>
<HostEntry>
<HostName>vpn1.ccsd.net</HostName>
</HostEntry>
</ServerList>
註:如果伺服器的公用IP地址存在條目,如<HostAddress>
,則將其刪除並僅保留伺服器的FQDN(例如,<HostName>,而不是<Host Address>)。
從CSD保管庫啟動AnyConnect時,它不起作用。在Windows 7電腦上嘗試此操作。
目前,這是不可能的,因為它不受支援。
採用ASA 8.4.1版軟體的AnyConnect 3.0 VPN客戶端工作正常。但是,故障切換後,沒有與AnyConnect配置檔案相關的配置的複製。
已觀察此問題並將其記錄在Cisco錯誤ID CSCtn71662中。臨時解決方法是手動將檔案複製到備用裝置。
發生這種情況時,AnyConnect事件日誌包含類似以下內容的條目:
Description : Function:
CAdapterNetworkStateIfc::SetConnectedStateToConnected
File: .\AdapterNetworkStateIfc.cpp
Line: 147
Invoked Function: InternetSetOption
Return Code: 12010 (0x00002EEA)
Description: The length is incorrect for the option type
Description : Function: CTransportWinHttp::InitTransport
File: .\CTransportWinHttp.cpp
Line: 252
Invoked Function: CConnectedStateIfc::SetConnectedStateToConnected
Return Code: -25362420 (0xFE7D000C)
Description: CADAPTERNETWORKSTATEIFC_ERROR_SET_OPTION
觀察到此行為並記錄在Cisco錯誤ID CSCtx28970中。為了解決此問題,請退出AnyConnect應用程式並重新啟動。重新啟動後,連線條目會重新顯示。
AnyConnect客戶端無法連線,並收到Unable to establish a connection
錯誤消息。在AnyConnect事件日誌中發現TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER
錯誤。
當頭端設定為具有非常大的分割通道清單(約180-200個專案)的分割通道,且在group-policy中設定一個或多個其他使用者端屬性(例如dns-server)時,會發生這種情況。
若要解決此問題,請完成以下步驟:
group-policy groupName attributes
webvpn
svc dtls none
如需更多資訊,請參閱Cisco錯誤ID CSCtc41770。
Connection attempt has failed due to invalid host entry
error message is received while AnyConnect using a certificate.(使用證書驗證AnyConnect時,由於收到無效主機條目錯誤消息,連線嘗試失敗。)
若要解決此問題,請嘗試下列任一可能的解決方案:
如需更多資訊,請參閱Cisco錯誤ID CSCti73316。
當您在AnyConnect上啟用Always-On功能時,會收到Ensure your server certificates can pass strict mode if you configure always-on VPN
錯誤消息。
此錯誤訊息表示,如果要使用「永遠線上」功能,則需要在頭端上設定有效的伺服器憑證。如果沒有有效的伺服器證書,此功能將無法工作。Strict Cert Mode是在AnyConnect本地策略檔案中設定的選項,以確保連線使用有效證書。如果在策略檔案中啟用此選項並使用偽造證書進行連線,則連線將失敗。
此診斷AnyConnect報告工具(DART)顯示一個失敗的嘗試:
******************************************
Date : 03/25/2014
Time : 09:52:21
Type : Error
Source : acvpnui
Description : Function: CTransportWinHttp::SendRequest
File: .\CTransportWinHttp.cpp
Line: 1170
Invoked Function: HttpSendRequest
Return Code: 12004 (0x00002EE4)
Description: An internal error occurred in the Microsoft
Windows HTTP Services
*****************************************
Date : 03/25/2014
Time : 09:52:21
Type : Error
Source : acvpnui
Description : Function: ConnectIfc::connect
File: .\ConnectIfc.cpp
Line: 472
Invoked Function: ConnectIfc::sendRequest
Return Code: -30015443 (0xFE36002D)
Description: CTRANSPORT_ERROR_CONN_UNKNOWN
******************************************
Date : 03/25/2014
Time : 09:52:21
Type : Error
Source : acvpnui
Description : Function: ConnectIfc::TranslateStatusCode
File: .\ConnectIfc.cpp
Line: 2999
Invoked Function: ConnectIfc::TranslateStatusCode
Return Code: -30015443 (0xFE36002D)
Description: CTRANSPORT_ERROR_CONN_UNKNOWN
Connection attempt failed. Please try again.
******************************************
此外,請參閱Windows電腦上的事件檢視器日誌。
這可能是由於Winsock連線損壞造成的。使用以下命令從命令提示符重置連線並重新啟動Windows電腦:
netsh winsock reset
如需詳細資訊,請參閱在Windows Server 2003、Windows XP和Windows Vista知識庫中,如何判斷和恢復Winsock2損壞。
此診斷AnyConnect報告工具(DART)顯示一個失敗的嘗試:
******************************************
Date : 10/27/2014
Time : 16:29:09
Type : Error
Source : acvpnui
Description : Function: CTransportWinHttp::handleRequestError
File: .\CTransportWinHttp.cpp
Line: 854
The SSL transport received a Secure Channel Failure. May be a result of a unsupported crypto configuration on the Secure Gateway.
******************************************
Date : 10/27/2014
Time : 16:29:09
Type : Error
Source : acvpnui
Description : Function: CTransportWinHttp::SendRequest
File: .\CTransportWinHttp.cpp
Line: 1199
Invoked Function: CTransportWinHttp::handleRequestError
Return Code: -30015418 (0xFE360046)
Description: CTRANSPORT_ERROR_SECURE_CHANNEL_FAILURE
******************************************
Date : 10/27/2014
Time : 16:29:09
Type : Error
Source : acvpnui
Description : Function: ConnectIfc::TranslateStatusCode
File: .\ConnectIfc.cpp
Line: 3026
Invoked Function: ConnectIfc::TranslateStatusCode
Return Code: -30015418 (0xFE360046)
Description: CTRANSPORT_ERROR_SECURE_CHANNEL_FAILURE
Connection attempt failed. Please try again.
******************************************
根據下列知識庫更新,Windows 8.1 不支援 RC4:
http://support2.microsoft.com/kb/2868725
使用指令「ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 des-sha1」設定 ASA 上之 SSL VPN 的 DES/3DES 密碼,或編輯用戶端電腦上的 Windows 登錄檔,如下所述:
https://technet.microsoft.com/en-us/library/dn303404.aspx
修訂 | 發佈日期 | 意見 |
---|---|---|
1.0 |
04-Apr-2018 |
初始版本 |