問題
由於裝置註冊指紋不匹配,應用Umbrella配置檔案後,Cisco安全客戶端(AnyConnect VPN代理)中的Umbrella DNS安全模組仍處於「禁用」狀態。此問題在各種網路環境中持續存在,包括公司辦公室和個人熱點連線。
診斷專案(如螢幕截圖、DART捆綁捕獲和資料包捕獲檔案)已指示裝置註冊失敗,這些失敗與OrgInfo.json檔案中的指紋不匹配有關:
- Umbrella模組顯示「禁用」狀態。
- 應用Umbrella配置檔案後出現問題。
- 在多個網路上發現問題。
- 診斷日誌和資料包捕獲顯示裝置註冊失敗。
環境
- 產品:含Umbrella模組的Cisco安全使用者端(AnyConnect VPN代理)
- 平台:Windows作業系統
- Umbrella DNS安全功能
- 涉及Umbrella配置檔案和OrgInfo.json
- 網路環境:公司辦公室、個人熱點
- 診斷對象:DART捆綁包、資料包捕獲、螢幕截圖
- 軟體版本:All
解析
此詳細工作流程通過更正OrgInfo.json檔案中的指紋不匹配並將裝置重新註冊到Umbrella雲服務來解決Umbrella模組的「禁用」狀態。
從SSE儀表板下載新的OrgInfo.json檔案
要確保裝置註冊使用正確的指紋:
- 獲取新的OrgInfo.json檔案。
- 直接從Cisco Secure Service Edge(SSE)儀表板下載更新的OrgInfo.json檔案。
停止Cisco Secure Client - AnyConnect VPN代理服務
要停止該服務,必須安全地修改與Umbrella模組關聯的檔案:
開啟Windows服務並停止名為Cisco Secure Client - AnyConnect VPN Agent的服務。
從Umbrella模組資料夾中刪除所有內容
- 從此位置清除任何可能損壞或過時的資料。
- 刪除內部的所有檔案和資料夾:
C:/ProgramData/Cisco/Cisco Secure Client/Umbrella/
注意:可能。此處提到的詳細資訊似乎包含執行後可能會產生重大影響的過程或命令。請確保上述過程或命令已由SME或業務部門評估,然後再執行或建議。
上載新的OrgInfo.json檔案
- 將新下載的OrgInfo.json放入指定的Umbrella資料夾。
- 將新的OrgInfo.json檔案複製到:
C:/ProgramData/Cisco/Cisco Secure Client/Umbrella/
重新啟動Cisco Secure Client服務
重新初始化Cisco安全客戶端以使更改生效。從Windows服務啟動Cisco安全客戶端 — AnyConnect VPN代理服務。
(如果問題仍然存在)收集診斷資料以進行進一步分析
如果裝置仍無法註冊,請收集新的DART捆綁包以幫助進行更深入的故障排除。使用Cisco安全客戶端中的DART工具收集新的診斷捆綁包。
執行這些步驟後,Umbrella模組必須從「已禁用」狀態轉換到運行狀態,從而根據需要啟用DNS安全功能。
原因
問題的根本原因是包含錯誤裝置指紋值的OrgInfo.json檔案無效或過時。這種不匹配導致向Umbrella API提出的裝置註冊請求失敗,導致模組保持禁用狀態。在註冊嘗試期間,日誌條目顯示「指紋不匹配」和「無法建立裝置ID」,從而確認了該錯誤。
DART日誌中的日誌摘錄示例:
{"error":"invalid_request","message":"fingerprint does not match","code":400,"code_text":"Bad Request"}
Device Registration: failed to create device id
相關內容
意見