RAVPN連線期間出現Cisco安全客戶端SAML身份驗證導航超時錯誤

下載選項

  • PDF     (716.0 KB)
    在多種裝置上使用 Adobe Reader 檢視
已更新: 2026 年 5 月 12 日
文件 ID:225893

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

目錄

問題

在SAML身份驗證期間,使用者在Windows上使用Cisco Secure Client遇到間歇性遠端訪問VPN(RAVPN)連線故障。安裝Cisco Secure Client後,故障立即發生,並顯示為彈出對話方塊中顯示的特定錯誤消息:

  • "由於導航超時,身份驗證失敗。"

  • "由於導航到單一登入URL時出現問題,身份驗證失敗。"

當嵌入式WebView2瀏覽器嘗試將SAML響應重定向或發佈到Cisco SSE SAML ACS URL時,在身份提供程式(IdP)身份驗證之後發生故障。這會導致出現超時情況,阻止受影響的使用者訪問VPN。已觀察到該問題影響同一組織中的多個使用者,身份驗證過程在嘗試導航到SAML ACS端點後超時約30秒。

使用者報告在按RAVPN連線按鈕建立VPN連線時,將顯示超時錯誤彈出視窗,並且RAVPN建立失敗。即使在重新啟動作業系統之後,問題依然存在。

環境

  • Windows上的Cisco Secure Client 5.1.13.177版

  • 使用Cisco SSE配置的SAML身份驗證

  • 遠端訪問VPN(RAVPN)部署

即時解決方法

已確認以下臨時解決方法來解決導航超時問題:

1:網路連線重置

斷開Wi-Fi連線並重新連線,然後多次嘗試RAVPN連線。一旦成功,即使重新啟動作業系統,問題通常也不會再出現。

2:RAVPN服務重新啟動

手動停止並重新啟動RAVPN服務以允許後續的成功連線。

3:系統重新啟動

重新啟動受影響的系統以重置身份驗證狀態。

診斷資訊收集

要進行全面故障排除,應在活動故障期間收集以下診斷資訊:

  • 身份驗證失敗期間捕獲的DART捆綁包

  • 在身份驗證過程中,網路資料包捕獲(在所有活動介面卡上使用Wireshark捕獲流量(開啟Wireshark — 點選capture - options並使用Shift選擇多個介面)

  • Netsh ETL跟蹤

收集Netsh跟蹤的過程

  • 在測試PC上開啟提升的(以管理員身份運行)命令提示符視窗。

  • 執行命令:"netsh trace start scenario=InternetClient traceFile=C:\file_NetTrace.etl maxSize=1000 provider=Microsoft-Windows-TCPIP provider=Microsoft-Windows-WinHttp capture=yes level=5 overwrite=yes"

  • 重現問題

  • 一旦問題再次出現,請使用以下命令停止日誌記錄:"netsh trace stop"

收集日誌C:\file_NetTrace.etl

Web流量的Fiddler跟蹤

  1. 從此連結https://www.telerik.com/download/fiddler-everywhere下載Fiddler捕獲(使用英特爾晶片(x86-64)

  2. 將其安裝在問題可以再現的電腦上。

  3. 開啟應用程式並啟用HTTPS解密

  1. 按一下「Tools à Options à HTTPS」。

  2. 按一下Decrypt HTTPS Traffic框。

inline_image_0.pnginline_image_0.png

  1. 如果您獲得信任證書,請從fiddler信任CA,並在問題再次出現後將其刪除,然後

其次,如果您在啟動時遇到SSL連線的任何問題,請繞過VPN網關流量(connect.ilemgroup.com)或啟動基於IPsec的SAML連線(最好如此),以便無需繞開任何網關流量。

  • 關閉所有不必要的應用程式和後台進程。

  • 關閉並重新開啟該工具,資料收集將自動啟動,您將看到新記錄新增到主窗體中。

  • 重現問題。

  • 按F12停止跟蹤。

轉至File à Save à All Sessions,然後將跟蹤儲存到.saz檔案中。

進程監控器日志 — https://download.sysinternals.com/files/ProcessMonitor.zip

WebView2特定日誌

將使用者和系統環境上的變數/值設定為如下所示的快照

Screenshot_2026-05-12_at_9.43.19_AM.png螢幕截圖_2026-05-12_at_9.43.19_AM.png

啟動VPN時,以下終端將觸發

inline_image_1.pnginline_image_1.png

C > Users > userid > Appdata > Local > Temp

inline_image_2.pnginline_image_2.png

來自身份提供程式的SAML調試日誌

解析

原因

根本原因是在SAML身份驗證流程期間,嵌入式WebView2瀏覽器元件中發生了導航超時。具體而言,當WebView2瀏覽器嘗試將SAML響應從身份提供程式發佈到Cisco SSE SAML ACS(斷言消費者服務)端點時,就會發生超時。在嘗試完成此導航步驟的大約30秒後觸發超時條件。

此問題似乎與延遲SAML響應處理、導致WebView2元件超出其內部超時閾值的時間或網路延遲條件有關。該問題會在安裝Cisco安全客戶端後立即顯現,具體會影響SAML身份驗證工作流程,而通過變通方法成功完成身份驗證後,其他VPN功能將保持不變。

相關內容

修訂記錄

修訂 發佈日期 意見
2.0
12-May-2026
初始版本
1.0
12-May-2026
初始版本
TAC Authored

由思科工程師貢獻

  • 阿米特·阿羅拉

這份文件是否有所幫助?

Feedback意見

讓思科協助您

本文件適用於這些產品