Nessun risultato trovato
Non abbiamo trovato nulla con questo termine, provi a cercare qualcos'altro.
2024-11-13 Introduzione Questo documento descrive uno scenario di risoluzione dei problemi delle applicazioni che non funzionano tramite il client VPN di Cisco
Questo documento descrive uno scenario di risoluzione dei problemi delle applicazioni che non funzionano tramite il client VPN di Cisco AnyConnect.
requisito specifico previsto documento .
Le informazioni contenute in questo documento si basano su una Cisco Adaptive Security Appliance (ASA) che esegue la versione 8.x.
informazioni is fanno discusse documento riferimento dispositivi usati specifico ambiente emulazione . i dispositivi menzionati documento configurazione ripristinata valori predefiniti . rete is operativa operativa , valutare attentamente eventuali conseguenze derivanti uso comandi .
Questo scenario di risoluzione dei problemi è dedicato alle applicazioni che non funzionano con il client VPN di Cisco AnyConnect per utenti finali con computer Microsoft Windows. In queste sezioni spiegheremo come risolvere i seguenti problemi:
Attenersi alla seguente procedura:
\Windows\setupapi.log
Nota: per visualizzare questi file, è necessario rendere visibili le cartelle nascoste.
\Windows\Inf\setupapi.app.log
\Windows\Inf\setupapi.dev.log
Se vengono visualizzati errori nel file di log setupapi, è possibile portare il livello di dettaglio a 0x2000FFFF.
Se si tratta di un’installazione di implementazione web iniziale, questo registro si trova nella directory temporanea dell’utente.
Se si tratta di un aggiornamento automatico, questo registro si trova nella directory temporanea del sistema:
\Windows\Temp
Il nome del file è nel formato: anyconnect-win-x.x.xxxx-k9-install-yyyyyyyyyyyy.log. Acquisire il file più recente della versione del client che si desidera installare. x.xxxx cambia in base alla versione, ad esempio 2.0.0343, mentre yyyyyyyyyyyyyy corrisponde alla data ora dell’installazione.
Nota: dopo aver digitato il prompt, attendere. Il completamento del file può richiedere da due a cinque minuti.
Windows XP Windows Vista:
systeminfo c:\sysinfo.txt
Per eseguire il debug del driver, consultare il documento sul problema del database dei driver AnyConnect.
Se si verificano problemi di connessione con il client AnyConnect, ad esempio disconnessioni o impossibilità di stabilire una connessione iniziale, acquisire i seguenti file:
Dalla console dell’ASA, immettere write net x.x.x.x:ASA-Config.txt
x.x.x.x
è l’indirizzo IP di un server TFTP sulla rete.
O
Dalla console dell’ASA, immettere show running - config
. Lasciare che la configurazione sulla schermata venga completata, quindi tagliarla incollarla in un editor di testo salvarla.
config terminal
logging enable
logging timestamp
logging class auth console debugging
logging class webvpn console debugging
logging class ssl console debugging
logging class svc console debugging
no logging enable
.
eventvwr.msc /s
Nota: salvare sempre il file nel formato .evt.
Se l’utente non riesce a connettersi con il client VPN di AnyConnect, il problema potrebbe essere correlato a una sessione di RDP (Remote Desktop Protocol) o all’abilitazione del Cambio rapido utente sul PC client. Sul PC client potrebbe comparire questo messaggio AnyConnect profile settings mandate a single local user, but multiple local users are currently logged into your computer. A VPN connection will not be established.
risolvere problema , disconnettere sessioni RDP stabilite disabilitare funzionalità Cambio rapido utente . condizione controllata attributo Windows Logon Enforcement profilo client , attualmente esiste impostazione consenta utente stabilire connessione VPN utenti connessi contemporaneamente computer . avviata richiesta miglioramento CSCsx15061 risolvere problema .
Nota: verificare che la porta 443 non sia bloccata in modo che il client AnyConnect possa connettersi all’appliance ASA.
Quando un utente non riesce a connettere il client VPN AnyConnect all’ASA, il problema potrebbe dipendere da un’incompatibilità tra la versione del client di AnyConnect la versione dell’immagine del software ASA. In questo caso, viene visualizzato il seguente messaggio di errore: Il programma di installazione non è in grado di avviare il client VPN Cisco, l'accesso senza client non è disponibile
.
Per risolvere il problema, aggiornare la versione del client di AnyConnect per renderla compatibile con l’immagine del software ASA.
Quando si accede per la prima volta a AnyConnect, lo script di accesso non viene eseguito. Se ci si disconnette si esegue di nuovo l’accesso, lo script di accesso viene eseguito correttamente. Si tratta di un comportamento previsto.
Quando si connette il client VPN AnyConnect all’appliance ASA, è possibile che venga visualizzato questo messaggio: utente autorizzato accedere client AnyConnect , contattare amministratore
.
Questo errore viene visualizzato quando l’immagine di AnyConnect non è presente nell’ASA. Una volta caricata l’immagine, AnyConnect può connettersi all’ASA senza problemi.
Questo errore può essere risolto disabilitando il DTLS (Datagram Transport Layer Security). Selezionare Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles deselezionare la casella di controllo Enable DTLS. Il DTLS viene disabilitato.
I file dartbundle mostrano questo messaggio di errore quando l’utente si disconnette: TUNNELPROTOCOLDPDMGR_ERROR_NO_DPD_RESPONSE : gateway is riuscito sicuro riuscito rispondere pacchetti Dead Peer Detection
. Questo errore indica che il canale DTLS è stato disattivato a causa di un errore DPD (Dead Peer Detection). L’errore viene risolto se si modificano i keepalive DPD si immettono i seguenti comandi:
webvpn
svc keepalive 30
svc dpd-interval client 80
svc dpd - interval gateway 80
ASA versione 8.4 ( 1 ) successive , i comandikeepalive svc svc dpd-interval vengono sostituiti rispettivamente dai comandi anyconnect keepalive anyconnect dpd-interval, come mostrato di seguito:
webvpn
anyconnect ssl keepalive 15
anyconnect dpd-interval client 5
anyconnect dpd-interval gateway 5
Quando vengono rilevati problemi relativi al transito del traffico verso la rete privata con una sessione AnyConnect tramite ASA, completare questi passaggi di acquisizione dei dati:
Nome filtro: XXXXX
, raccogliere l’output per show access-list XXXXX. Verificare che access-list XXXXX non blocchi il flusso di traffico interessato.
access-list in_nat0_out extended permit ip any 10.136.246.0 255.255.255.0
ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
nat (inside) 0 access-list in_nat0_out
:
!--- Route outside 0 0 is an incorrect statement.
route outside 0 0 10.145.50.1
route inside 0 0 10.0.4.2 tunneled
Ad esempio, se il client VPN deve accedere a una risorsa che non è presente nella tabella di routing del gateway VPN, il pacchetto viene instradato attraverso il gateway predefinito standard. Per questa condizione, il gateway VPN non ha bisogno della tabella di routing interna completa. In questo caso è possibile utilizzare la parola chiave tunneled.
ASA(config)# policy-map global_policy
ASA(config - pmap ) # class inspection_default
ASA(config-pmap-c)# inspect skinny
Procedere segue raccolta dati :
Number of Instructions : 25
Number of Errors To Save : 25
Crash Dump Type : Mini
Dump Symbol Table : Checked
Dump All Thread Contexts : Checked
Append To Existing Log File : Checked
Visual Notification : Checked
Create Crash Dump File : Checked
verifica arresto anomalo , prelevare i file.log .dmp da C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Dr Watson. file is sembrano sembrano uso , utilizzarentbackup.exe.
eventvwr.msc /s
Nota: salvare sempre il file nel formato .evt.
Alcune applicazioni, come Microsoft Outlook, non funzionano. Tuttavia, il tunnel è in grado di far transitare altro traffico, ad esempio piccoli ping.
Questo può essere indicativo di un problema di frammentazione nella rete. I router consumer sono particolarmente carenti in termini di frammentazione riassemblaggio dei pacchetti.
Provare serie ping dimensioni progressive determinare verifica errore determinato livello . , ping -l 500 , ping -l 1000 , ping -l 1500 , ping -l 2000 .
Si consiglia di configurare un gruppo speciale per utenti con problemi di frammentazione di impostare l’MTU (Maximum Transition Unit) SVC per questo gruppo su 1200. In questo modo è possibile fornire un rimedio ai soli utenti che riscontrano questo problema, senza interferire con tutti gli altri.
Problema
Le connessioni TCP si bloccano una volta connesse a AnyConnect.
Soluzione
Per verificare se l’utente ha un problema di frammentazione, regolare l’MTU per i client AnyConnect sull’ASA.
ASA(config)#group-policy <name> attributes
webvpn
svc mtu 1200
Problema
Il client VPN AnyConnect si disinstalla automaticamente al termine della connessione. I log del client mostrano che la funzione di mantenimento dell’installazione è disabilitata.
Soluzione
AnyConnect si disinstalla nonostante in ASDM (Adaptive Security Device Manager) sia selezionata l’opzione keep installed. Per risolvere il problema, configurare il comando svc keep-installer installed policy .
Problema: il client AnyConnect è precompilato con il nome host anziché con il nome di dominio completo (FQDN) del cluster.
Quando per la rete VPN SSL è impostato un cluster a bilanciamento del carico il client tenta di connettersi al cluster, la richiesta viene reindirizzata all’ASA del nodo il client accede correttamente. In seguito, quando il client tenta di connettersi nuovamente al cluster, il nome di dominio completo (FQDN) del cluster non viene visualizzato tra le voci Connect to. Invece, viene visualizzata la voce ASA del nodo a cui è stato reindirizzato il client.
Soluzione
Questo accade perché il client AnyConnect conserva il nome host a cui si è connesso l’ultima volta. Questo comportamento viene rilevato viene registrato un bug. Per ulteriori informazioni sul bug, consultare l’ID bug Cisco CSCsz39019. Per ovviare al problema, si consiglia di aggiornare Cisco AnyConnect alla versione 2.5.
L’elenco di server di backup viene configurato per fornire una soluzione nel caso in cui il server principale selezionato dall’utente non sia raggiungibile. L’elenco viene definito nel riquadro Backup Server profilo AnyConnect . Attenersi procedura :
Questa voce nel file SetupAPI.log suggerisce che il sistema del catalogo è danneggiato:
L’elenco della classe di firma del driver W239 genera il messaggio di errore "C:\WINDOWS\INF\certclas.inf" was missing or invalid. Errore 0xfffde5: errore sconosciuto.
, presupponendo che tutte le classi di dispositivo siano soggette ai criteri di firma del driver.
È inoltre possibile ricevere il seguente messaggio di errore: Errore(3/17): Impossibile avviare VA, configurare la coda condivisa o VA ha abbandonato la coda condivisa
.
È possibile ricevere questo registro sul client: "Il driver del client VPN ha rilevato un errore"
.
il problema è dovuto all’ID bug Cisco CSCsm54689. Per risolvere il problema, verificare che il servizio Routing Accesso remoto sia disabilitato prima di avviare AnyConnect. Se il problema persiste, procedere come segue:
net stop CryptSvc
.
esentutl /p%systemroot%\System32\catroot2\
{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
riparazione riesce , attenersi procedura :
net stop CryptSvc
.
possibile analizzare database qualsiasi determinare valido .
esentutl /g%systemroot%\System32\catroot2\
{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
Per ulteriori informazioni consultare Integrità del database del catalogo di sistema.
Mentre la VPN SSL è connessa tramite un browser Web, viene visualizzato il messaggio di errore Unable to Update the Session Management Database
(Impossibile aggiornare il database di gestione delle sessioni) nei log ASA viene visualizzato %ASA-3-211001: errore di allocazione della memoria. The adaptive security appliance failed to allocate RAM system memory.
problema dovuto all’ ID bug Cisco is dovuto CSCsm51093 . risolvere problema , ricaricare ASA o aggiornare software ASA versione provvisoria menzionata bug . ulteriori informazioni , consultare bug Cisco ID CSCsm51093 .
Questo problema può essere risolto anche disabilitando la funzione di rilevamento delle minacce sull’ASA, se utilizzata.
Quando si utilizza il client AnyConnect su laptop o PC, si verifica un errore durante l’installazione:
" Module C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnapi.dll failed
to register..."
Quando si verifica questo errore, il programma di installazione non può procedere il client viene rimosso.
Le possibili soluzioni per aggirare questo errore sono:
Il messaggio di registro relativo a questo errore sul client AnyConnect è simile al seguente:
DEBUG: Error 2911: Could not remove the folderC:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package . This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\ , ,
DEBUG: Error 2911: Could not remove the folder C:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package . This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\ , ,
Info 1721. There is a problem with this Windows Installer package. A program required for
this install to complete could not be run. Contact your support personnel or package
vendor. Action: InstallHelper.exe, location: C:\Program Files\Cisco\Cisco AnyConnect VPN
Client\InstallHelper.exe, command: -acl "C:\Documents and Settings\All Users\Application
Data\Cisco\Cisco AnyConnect VPN Client\\ " -r
errore viene visualizzato i client tentano connettersi VPN client VPN Cisco AnyConnect .
Il gateway di sicurezza ha ricevuto questo messaggio:
“Classe di indirizzo non valida” o “Host o rete 0” o “Altro errore”
Il problema è dovuto all’esaurimento del pool IP locale dell’ASA. Poiché la risorsa del pool VPN è esaurita, è necessario aumentare l’intervallo del pool IP.
Per questo problema consultare il bug Cisco ID CSCsl82188. Questo errore si verifica in genere quando il pool locale per l’assegnazione degli indirizzi è esaurito o se viene utilizzata una subnet mask a 32 bit per il pool di indirizzi. Per risolvere il problema espandere il pool di indirizzi utilizzare una subnet mask a 24 bit.
Quando si cerca di connettere più di due client con AnyConnect VPN Client, viene visualizzato il messaggio di errore Login Failed
sul Client il messaggio di avviso Session could not be established. È stato raggiunto il limite di 2 sessioni.
Uso della licenza AnyConnect essential sull’ASA versione 8.0.4.
errore is verifica verifica licenza is verificaAnyConnect Essentials non è supportata da ASA versione 8.0.4. Aggiornare l’ASA alla versione 8.2.2. In questo modo l’errore viene risolto.
Nota: indipendentemente dalla licenza utilizzata, se viene raggiunto il limite di sessioni, l’utente riceverà il messaggio di errore login failed
.
Questo errore può verificarsi anche se si utilizza il comando vpn-sessiondb max-anyconnect-premium-or-essentials-limit session-limit per impostare il limite di sessioni VPN da stabilire. Se il limite di sessioni è impostato a due, l’utente non può stabilire più di due sessioni anche se la licenza installata ne supporta di più. Per evitare il messaggio di errore, impostare il limite di sessioni sul numero di sessioni VPN necessarie.
Quando si cerca di connettere AnyConnect all’ASA, viene visualizzato il messaggio di errore Anyconnect not enabled on VPN server
.
errore is risolve risolve abilitando AnyConnect sull’ interfaccia esterna ASA ASDM . ulteriori informazioni abilitare AnyConnect sull’ interfaccia esterna , riferimento Configurazione VPN SSL clientless ( WebVPN ) sull’ ASA .
Nei log dell’ASA viene visualizzato il messaggio di errore %ASA-6-72036: Group < gruppo client > Utente < xxxx > IP < x.x.x> Transmitting large packet 1220 (soglia 1206)
. Che cosa significa questo messaggio come si risolve l’errore?
Questo messaggio di registro indica al client è stato inviato un pacchetto grande. L’origine del pacchetto non conosce il valore MTU del client. L’errore potrebbe anche dipendere dalla compressione di dati non comprimibili. Per risolvere il problema, disattivare la compressione SVC con il comando svc compression none. In questo modo il problema viene risolto.
connette client AnyConnect , viene visualizzato errore :" gateway is rifiutato sicuro rifiutato richiesta connessione o riconnessione vpn agente . new connection requires re - authentication and must be started manually . Please contact your network administrator if this problem persists . gateway is inviato sicuro inviato messaggio : " indirizzo assegnato "
.
Questo errore si verifica anche quando ci si connette al client AnyConnect: "Il gateway sicuro ha rifiutato il tentativo di connessione. A new connection attempt to the same or another secure gateway is needed, which requires re-authentication. The following message was received from the secure gateway:Host or network is 0".
Questo errore si verifica anche quando ci si connette al client AnyConnect: "Il gateway sicuro ha rifiutato la richiesta di connessione o riconnessione vpn dell'agente. A new connection requires a re-authentication and must be started manually. Please contact the network administrator if the problem persists. Dal gateway sicuro è stato ricevuto il seguente messaggio: No License"
.
Sul router mancava la configurazione del pool dopo il reload. È necessario aggiungere nuovamente la configurazione interessata sul router.
Router#show run | in pool
ip local pool SSLPOOL 192.168.30.2 192.168.30.254
svc address - pool SSLPOO
Quando la licenza di AnyConnect Mobility manca, viene visualizzato il seguente messaggio "The secure gateway has rejected the agent's vpn connect or reconnect request. A new connection requires a re-authentication and must be started manually. Please contact the network administrator if the problem persists. Il gateway sicuro ha inviato il seguente messaggio: No License"
(Nessuna licenza) quando la licenza AnyConnect Mobility non è disponibile. Una volta installata la licenza, il problema viene risolto.
Quando si tenta di eseguire l’autenticazione in WebPortal, viene visualizzato il seguente messaggio di errore: "Unable to update the session management database"
.
Questo problema è correlato all’allocazione della memoria sull’ASA. Questo problema si verifica principalmente quando la versione ASA è 8.2.1. In origine, questo richiedeva una RAM da 512 MB per le sue funzionalità complete.
Come soluzione permanente, aggiornare la memoria a 512 MB.
Come soluzione temporanea, provare a liberare la memoria con questi passaggi:
Questo messaggio di errore viene visualizzato sul computer client quando si cerca di connettersi a AnyConnect.
risolvere errore completare procedura impostare manualmente agente VPN AnyConnect Interactive :
In questo modo il valore del tipo di registro DWORD viene impostato su 110 (l’impostazione predefinita è 010) per HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vpnagent.
Nota: desidera utilizzare opzione , preferibile utilizzare trasformazione.MST in questa istanza. Questo perché, se la si imposta manualmente con questi metodi, è necessario impostarla dopo ogni processo di installazione/aggiornamento. Ecco perché è necessario identificare l’applicazione che causa il problema.
Quando il servizio di Routing Accesso remoto (RRAS) è abilitato sul PC Windows, AnyConnect ha esito negativo il driver del client VPN ha rilevato un errore.
Messaggio di errore. Per risolvere il problema, assicurarsi che il RRAS sia disabilitato prima di avviare AnyConnect. Per ulteriori informazioni, consultare il bug Cisco ID CSCsm54689.
I client AnyConnect non riescono a connettersi a un’ASA di Cisco. Nella finestra AnyConnect, viene visualizzato il messaggio di errore " Unable to process response from xxx.xxx.xxx.xxx "
.
Per risolvere questo problema, provare le soluzioni indicate:
Per ulteriori informazioni su come abilitare WebVPN modificare la porta, fare riferimento a questa soluzione.
I client AnyConnect non riescono a connettersi a un’ASA di Cisco. Nella finestra AnyConnect, viene visualizzato il messaggio di errore "Login Denied, unauthorized connection mechanism, contact your administrator"
.
Questo messaggio di errore si verifica principalmente per problemi di configurazione inadeguata o incompleta. Per risolvere il problema, controllare la configurazione verificare che sia quella richiesta.
<
Questo errore si verifica quando si tenta di avviare il software AnyConnect da un client Macintosh per connettersi a un’ASA.
Per risolvere questo problema eseguire questi passaggi:
webvpn
svc image disk0:/anyconnect-macosx-i386-2.3.2016-k9.pkg 2
svc image disk0:/anyconnect - macosx - powerpc-2.3.2016-k9.pkg 3
Il comando svc image viene sostituito dal comando anyconnect image nelle ASA versione 8.4 (1) successive, come mostrato di seguito:
hostname(config)#webvpn
hostname(config-webvpn)#anyconnect image disk0:/
anyconnect-win-3.0.0527-k9.pkg 1
hostname(config-webvpn)#anyconnect image disk0:/
anyconnect-macosx-i386-3.0.0414-k9.pkg 2
Questo errore si verifica su macchine Linux quando tentano di connettersi all’ASA avviando AnyConnect. Questo è l’errore completo:
"The AnyConnect package on the secure gateway could not be located. You may
be experiencing network connectivity issues . Please try connecting again . "
Per risolvere questo messaggio di errore, verificare se il sistema operativo (SO) utilizzato sul computer client è supportato dal client AnyConnect.
Se il sistema operativo è supportato, verificare se il pacchetto AnyConnect è specificato nella configurazione WebVPN o meno. Per ulteriori informazioni, consultare la sezione Pacchetto AnyConnect non disponibile o danneggiato in questo documento.
Gli utenti non sono in grado di eseguire un accesso al desktop remoto. Viene visualizzato il messaggio di errore Secure VPN via remote desktop is not supported
.
Il problema è dovuto ai seguenti ID bug Cisco: CSCsu2088 CSCso42825. Se si aggiorna il client VPN AnyConnect, il problema può essere risolto. Per ulteriori informazioni, fare riferimento a questi bug.
Quando si tenta di connettersi tramite VPN all’ASA 5505, viene visualizzato il messaggio di errore The server certificate received or its chain does not comply with FIPS. A VPN connection will not be established.
risolvere errore necessario disabilitare standard FIPS ( Federal Information Processing Standards ) filepolicy locale di AnyConnect. file is genere genere disponibileC:\ProgramData\Cisco\Cisco AnyConnect VPN Client\AnyConnectLocalPolicy.xml
. trova file percorso , cercarlo directory diversa provando :C:\Documents and Settings\All Users\Application Data\Cisco AnyConnectVPNClient\AnyConnectLocalPolicy.xml
. Una volta individuato il file xml, modificarlo come mostrato di seguito:
Modificare la frase:
<FipsMode>true</FipsMode>
:
<FipsMode>false</FipsMode>
Riavviare il computer. Per modificare questo file occorrono permessi di amministratore.
Gli utenti non possono avviare AnyConnect ricevono il messaggio di errore Certificate Validation Failure
.
L’autenticazione del certificato funziona in modo diverso con AnyConnect rispetto al client IPSec. Affinché l’autenticazione del certificato funzioni, è necessario importare il certificato del client nel browser modificare il profilo di connessione per utilizzare l’autenticazione del certificato. È inoltre necessario abilitare questo comando nell’ASA per consentire l’utilizzo dei certificati client SSL sull’interfaccia esterna:
ssl certificate-authentication interface outside port 443
Quando AnyConnect versione 2.4.0202 è installato su un PC con Windows XP, si interrompe durante l’aggiornamento dei file di localizzazione un messaggio di errore indica che vpnagent.exe non funziona.
Questo comportamento è registrato nell’ID bug Cisco CSCsq49102. Per ovviare al problema, si consiglia di disabilitare il client Citrix.
Quando viene scaricato AnyConnect, viene visualizzato questo messaggio di errore:
"Contact your system administrator. Errore durante l'installazione. Impossibile aprire il pacchetto di installazione. Verify that the package exists and that you can access it, or contact the application vendor to verify that this is a valid Windows Installer package."
Per risolvere il problema procedere come segue:
Questo messaggio di errore viene visualizzato durante il download automatico di AnyConnect dall’AS:
"Contact your system administrator. The installer failed with the following error:
Error applying transforms. Verify that the specified transform paths are valid."
Questo è il messaggio di errore visualizzato durante la connessione a AnyConnect per MacOS:
"The AnyConnect package on the secure gateway could not be located. You may be
experiencing network connectivity issues . Please try connecting again . "
risolvere problema provare soluzioni alternative :
Se nessuna di queste soluzioni risolve il problema contattare il supporto tecnico Cisco.
Viene visualizzato questo errore:
The VPN client driver has encountered an error when connecting through Cisco
AnyConnect Client.
Questo problema può essere risolto disinstallando il client AnyConnect rimuovendo il software antivirus. Successivamente, reinstallare il client AnyConnect. Se la risoluzione non funziona, riformattare il PC.
Questo errore viene visualizzato quando si avvia AnyConnect:
"A VPN reconnect resulted in different configuration setting. The VPN network
setting is being re-initialized. Applications utilizing the private network may
need to be restarted."
Per risolvere questo errore, procedere come segue:
group-policy <Name> attributes
webvpn
svc mtu 1200
Sostituire il comando svc mtu con il comando anyconnect mtu nelle ASA versione 8.4 (1) successive, come mostrato qui:
hostname(config)#group-policy <Name> attributes
hostname(config-group-policy)#webvpn
hostname(config - group - webvpn ) #anyconnect mtu 500
Problema
AnyConnect riceve questo errore quando si connette al client:
The VPN connection is not allowed via a local proxy. This can be changed
through AnyConnect profile settings.
Il problema può essere risolto apportando queste modifiche al profilo di AnyConnect:
Aggiungere questa riga al profilo di AnyConnect:
<ProxySettings>IgnoreProxy</ProxySettings><
AllowLocalProxyConnections>
false</AllowLocalProxyConnections>
Problema
In Windows 7, se il proxy IE è impostato su Rileva automaticamente impostazioni is Rileva ed AnyConnect invia una nuova impostazione proxy, il proxy IE non viene ripristinato su Rileva automaticamente impostazioni is Rileva utente is terminato terminato sessione AnyConnect . Ciò causa problemi LAN utenti richiedono proxy impostatoRileva automaticamente impostazioni is Rileva.
Questo comportamento è registrato nell’ID bug Cisco CSCtj51376. Per ovviare al problema, si consiglia di eseguire l’aggiornamento a AnyConnect 3.0.
Quando si cerca di abilitare la licenza AnyConnect Essentials, su Cisco ASDM viene visualizzato questo messaggio di errore:
There are currently 2 clientless SSL VPN sessions in progress. AnyConnect
Essentials is until can not be enabled until these sessions are closed .
Si tratta di un normale comportamento dell’ASA. AnyConnect Essentials è un client VPN SSL con licenza separata. È interamente configurato sull’ASA offre la piena funzionalità AnyConnect, con le seguenti eccezioni:
licenza utilizzata contemporaneamente licenza premium VPN SSL condivisa . utilizzare licenza , necessario disabilitare altra .
Dopo la connessione al client AnyConnect, la scheda Connessioni di Opzioni Internet in Internet Explorer viene nascosta.
Questo errore è dovuto alla funzione msie-proxy lockdown. Se si abilita questa funzione, la scheda Connessioni in Microsoft Internet Explorer viene nascosta per la durata della sessione VPN AnyConnect. Se si disabilita la funzione, la scheda Connessioni rimane visibile.
Qualche utente riceve il messaggio di errore Login Failed, mentre altri riescono a connettersi correttamente tramite la VPN AnyConnect.
Questo problema può essere risolto selezionando la casella di controllo do not require pre – authentication per gli utenti.
Durante l’aggiornamento del profilo di AnyConnect, un errore indica che il certificato non è valido. Questo si verifica solo con Windows nella fase di aggiornamento del profilo. Questo il messaggio di errore visualizzato:
The certificate you are viewing does not match with the name of the site
you are trying to view.
Questo errore può essere risolto modificando l’elenco dei server del profilo AnyConnect al fine di utilizzare il nome FQDN del certificato.
Questo è un esempio di profilo XML:
<ServerList>
<HostEntry>
<HostName>vpn1.ccsd.net</HostName>
</HostEntry>
</ServerList>
Nota: se esiste già una voce per l’indirizzo IP pubblico del server, ad esempio <IndirizzoHost>
, rimuoverla mantenere solo il nome di dominio completo (FQDN) del server (ad esempio, <NomeHost>
ma non <Indirizzo Host>
).
Quando AnyConnect viene avviato dal vault CSD, non funziona. Questo accade sui computer con Windows 7.
Attualmente non è possibile risolvere il problema perché la funzione non è supportata.
Il client VPN AnyConnect 3.0 funziona correttamente con il software ASA versione 8.4.1. Tuttavia, dopo il failover, non avviene alcuna replica per la configurazione relativa al profilo AnyConnect.
Il problema è stato rilevato registrato con l’ID bug Cisco CSCtn71662. La soluzione temporanea è copiare manualmente i file sull’unità in standby.
In questi casi il registro eventi di AnyConnect contiene voci simili alle seguenti:
Description : Function :
CAdapterNetworkStateIfc::SetConnectedStateToConnected
File: .\AdapterNetworkStateIfc.cpp
Line: 147
Invoked Function: InternetSetOption
Return Code: 12010 (0x00002EEA)
Description: The length is incorrect for the option type
Description : Function : CTransportWinHttp::InitTransport
File: .\CTransportWinHttp.cpp
Line: 252
Invoked Function: CConnectedStateIfc::SetConnectedStateToConnected
Return Code: -25362420 (0xFE7D000C)
Description: CADAPTERNETWORKSTATEIFC_ERROR_SET_OPTION
Questo comportamento viene osservato registrato con l’ID bug Cisco CSCtx28970. Per risolvere questo problema, chiudere l’applicazione AnyConnect riavviare. Le voci di connessione vengono visualizzate nuovamente dopo il riavvio.
Il client AnyConnect non riesce a connettersi viene visualizzato il messaggio di errore Unable to establish a connection
. log eventi AnyConnect , presente messaggio is presente erroreTLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER
.
Questo si verifica quando l’headend è configurato per il tunneling ripartito con un elenco di tunnel ripartiti molto esteso (circa 180-200 voci) uno o più altri attributi client sono configurati nella policy di gruppo, come i server DNS.
Per risolvere il problema procedere come segue:
group - policy groupName attributes
webvpn
svc dtls none
ulteriori informazioni consultare bug Cisco ID CSCtc41770 .
Il messaggio di errore Connection attempt has failed due to invalid host entry
viene visualizzato mentre AnyConnect viene autenticato con l’uso di un certificato.
Per risolvere il problema, provare una delle seguenti soluzioni:
Per ulteriori informazioni consultare il bug Cisco ID CSCti73316.
attiva funzionalità Always-On AnyConnect , viene visualizzato messaggio erroreEnsure your server certificates can pass strict mode if you configure always-on VPN
.
Questo messaggio di errore implica che, se si desidera utilizzare la funzione Always-On, è necessario un certificato server valido configurato sull’headend. Senza un certificato server valido, questa funzione non è possibile. La modalità Strict Cert è un’opzione impostata nel file della policy locale AnyConnect per garantire che le connessioni utilizzino un certificato valido. Se si abilita questa opzione nel file della policy ci si connette con un certificato falso, la connessione non viene stabilita.
DART is mostra ( Diagnostic AnyConnect Reporting Tool ) mostra tentativo riuscito :
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
Date : 03/25/2014
Time : 09:52:21
Type : Error
Source : acvpnui
Description : Function : CTransportWinHttp::SendRequest
File: .\CTransportWinHttp.cpp
Line: 1170
Invoked Function: HttpSendRequest
Return Code: 12004 (0x00002EE4)
Description: An internal error occurred in the Microsoft
Windows HTTP Services
*****************************************
Date : 03/25/2014
Time : 09:52:21
Type : Error
Source : acvpnui
Description : Function : ConnectIfc::connect
File: .\ConnectIfc.cpp
Line: 472
Invoked Function: ConnectIfc::sendRequest
Return Code: -30015443 (0xFE36002D)
Description: CTRANSPORT_ERROR_CONN_UNKNOWN
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
Date : 03/25/2014
Time : 09:52:21
Type : Error
Source : acvpnui
Description : Function : ConnectIfc::TranslateStatusCode
File: .\ConnectIfc.cpp
Line : 2999
Invoked Function: ConnectIfc::TranslateStatusCode
Return Code: -30015443 (0xFE36002D)
Description: CTRANSPORT_ERROR_CONN_UNKNOWN
Connection attempt failed . Please try again .
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
Inoltre, sui PC con Windows, consultare i registri del visualizzatore eventi.
L’errore potrebbe dipendere da una connessione Winsock danneggiata. Reimpostare la connessione dal prompt dei comandi con questo comando riavviare il computer Windows:
netsh winsock reset
Per ulteriori informazioni consultare l’articolo How to determine and to recover from Winsock2 corruption in Windows Server 2003, in Windows XP, and in Windows Vista nella knowledge base.
DART is mostra ( Diagnostic AnyConnect Reporting Tool ) mostra tentativo riuscito :
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
Date : 10/27/2014
Time : 16:29:09
Type : Error
Source : acvpnui
Description : Function : CTransportWinHttp::handleRequestError
File: .\CTransportWinHttp.cpp
Line: 854
The SSL transport received a Secure Channel Failure. May be a result of a unsupported crypto configuration on the Secure Gateway.
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
Date : 10/27/2014
Time : 16:29:09
Type : Error
Source : acvpnui
Description : Function : CTransportWinHttp::SendRequest
File: .\CTransportWinHttp.cpp
Line : 1199
Invoked Function: CTransportWinHttp::handleRequestError
Return Code: -30015418 (0xFE360046)
Description : CTRANSPORT_ERROR_SECURE_CHANNEL_FAILURE
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
Date : 10/27/2014
Time : 16:29:09
Type : Error
Source : acvpnui
Description : Function : ConnectIfc::TranslateStatusCode
File: .\ConnectIfc.cpp
Line: 3026
Invoked Function: ConnectIfc::TranslateStatusCode
Return Code: -30015418 (0xFE360046)
Description : CTRANSPORT_ERROR_SECURE_CHANNEL_FAILURE
Connection attempt failed. Please try again.
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
Secondo il seguente aggiornamento della KB, Windows 8.1 non supporta RC4:
http://support2.microsoft.com/kb/2868725
Configurare le crittografie DES/3DES per la VPN SSL sull’ASA utilizzando il comando “ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 des-sha1” OPPURE modificare il file del registro di Windows sul computer client come indicato di seguito:
https://technet.microsoft.com/en-us/library/dn303404.aspx