مشكلات Java 7 المتعلقة بـ AnyConnect وCSD/Hostscan وWebVPN - دليل استكشاف الأخطاء وإصلاحها

المقدمة

يصف هذا المستند كيفية أستكشاف أخطاء Java 7 وإصلاحها على Cisco AnyConnect Secure Mobility Client، و Cisco Secure Desktop (CSD)/Cisco Hostscan، و SSL VPN عديم العملاء (WebVPN).

ملاحظة: لا تقتصر معرفات أخطاء Cisco التي يتم وضع علامة عليها كتحقيق على الأعراض الموضحة. إذا واجهت مشاكل مع Java 7، فتأكد من ترقية إصدار عميل AnyConnect إلى أحدث إصدار عميل أو على الأقل إلى الإصدار 3.1 للصيانة 3 المتوفر على Cisco Connection Online (CCO).

أستكشاف الأخطاء وإصلاحها بشكل عام

قم بتشغيل مدقق Java للتحقق مما إذا كانت Java مدعومة على المستعرضات قيد الاستخدام. إذا تم تمكين Java بشكل صحيح، راجع سجلات وحدة تحكم Java لتحليل المشكلة.

Windows

يوضح هذا الإجراء كيفية تمكين سجلات وحدة التحكم في Windows:

1. افتح "لوحة تحكم Windows" وابحث عن Java.
   
   
2. انقر نقرا مزدوجا على Java (رمز فنجان القهوة). تظهر لوحة تحكم Java.
3. انقر فوق علامة التبويب خيارات متقدمة.
   
   
   1. قم بتوسيع تصحيح الأخطاء، وحدد تمكين التتبع وتمكين التسجيل.
   2. قم بتوسيع وحدة تحكم Java، وانقر إظهار وحدة التحكم.
      
      

ماك

يوضح هذا الإجراء كيفية تمكين سجلات وحدة التحكم على Mac:

1. افتح تفضيلات النظام، وانقر نقرا مزدوجا على أيقونة Java (كوب القهوة). تظهر لوحة تحكم Java.
   
   
   
   
2. انقر فوق علامة التبويب خيارات متقدمة.
   
   
   1. تحت وحدة تحكم Java، انقر على إظهار وحدة التحكم.
   2. تحت تصحيح الأخطاء، انقر تمكين التتبع وتمكين التسجيل.
      
      

أستكشاف الأخطاء وإصلاحها بشكل محدد

AnyConnect

بالنسبة للمشكلات المتعلقة ب AnyConnect، قم بجمع سجلات تقارير AnyConnect (DART) التشخيصية بالإضافة إلى سجلات وحدة تحكم Java.

Windows

كان معرف تصحيح الأخطاء من Cisco CSCuc55720، "يتعطل IE مع Java 7 عند تمكين حزمة 3.1.1 على ASA،" مشكلة معروفة، حيث تعطل Internet Explorer عند تنفيذ WebLaunch وتمكين AnyConnect 3.1 على وحدة الاستقبال والبث. تم إصلاح هذا الخطأ.

قد تواجه مشكلات عند إستخدام بعض إصدارات AnyConnect و Java 7 مع تطبيقات Java. لمزيد من المعلومات، راجع معرف تصحيح الأخطاء من Cisco CSCue48916، "فاصل تطبيق (تطبيقات) Java عند إستخدام AnyConnect 3.1.00495 أو 3.1.02026 & Java v7."

مشكلات مع مكالمات مقبس Java 7 و IPv6

إذا لم يتصل AnyConnect حتى بعد ترقية بيئة وقت تشغيل Java (JRE) إلى Java 7، أو إذا لم يتمكن تطبيق Java من الاتصال عبر نفق VPN، فراجع سجلات وحدة تحكم Java وابحث عن الرسائل التالية:

java.net.SocketException: Permission denied: connect
 at java.net.DualStackPlainSocketImpl.waitForConnect(Native Method)
 at java.net.DualStackPlainSocketImpl.socketConnect(Unknown Source)

تشير إدخالات السجل هذه إلى أن العميل/التطبيق يقوم بإجراء مكالمات IPv6.

أحد الحلول لهذه المشكلة هو تعطيل IPv6 (إذا لم يكن قيد الاستخدام) على مهايئ الإيثرنت ومهايئ AnyConnect الظاهري (VA):

الحل الثاني هو تكوين Java لتفضيل IPv4 على IPv6. قم بتعيين خاصية النظام 'java.net.preferIPv4Stack' إلى 'true' كما هو موضح في هذه الأمثلة:

• إضافة رمز لخاصية النظام إلى رمز Java (لتطبيقات Java المكتوبة بواسطة العميل):
  
  

  System.setProperty("java.net.preferIPv4Stack" , "true");

• إضافة رمز لخاصية النظام من سطر الأوامر:
  
  

  -Djava.net.preferIPv4Stack=true

• اضبط متغيرات البيئة _JPI_VM_OPTIONS و _JAVA_OPTIONS لتضمين خاصية النظام:
  
  

  -Djava.net.preferIPv4Stack=true

للحصول على معلومات إضافية، راجع:

• كيف يتم تعيين java.net.preferIPv4Stack=true في رمز جافا؟
• كيف يتم إجبار Java على إستخدام IPv4 بدلا من IPv6؟

الحل الثالث هو تعطيل IPv6 بالكامل على أجهزة Windows؛ تحرير إدخال السجل هذا:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\TCPIP6\Parameters

للحصول على معلومات إضافية، راجع كيفية تعطيل IP الإصدار 6 أو مكوناته المحددة في Windows.

مشكلات مع AnyConnect WebLaunch بعد ترقية Java 7

كان كود Cisco JavaScript يبحث عن Sun كقيمة لمورد Java. ومع ذلك، قامت Oracle بتغيير هذه القيمة كما هو موضح في JDK7: تغييرات خصائص مورد Java. تم إصلاح هذه المشكلة بواسطة معرف تصحيح الأخطاء من Cisco CSCub46241، "يفشل إطلاق ويب AnyConnect من Internet Explorer مع Java 7."

ماك

لم يتم الإبلاغ عن أي مشاكل. لا تظهر الاختبارات مع تكوين AnyConnect 3.1 (مع WebLaunch / Safari / Mac 10.7.4 / Java 7.10) أي أخطاء.

منوعات

مشكلات تطبيقات Java 7 على Cisco AnyConnect

تم تصنيف معرف تصحيح الأخطاء من Cisco CSCue48916، "فاصل تطبيق (تطبيقات) Java عند إستخدام AnyConnect 3.1.00495 أو 3.1.02026 & Java v7". يشير التحقيق الأولي إلى أن المشكلات ليست خطأ في جانب العميل، ولكنها قد تكون مرتبطة بتكوين الجهاز الظاهري (VM) لجافا بدلا من ذلك.

سابقا، لاستخدام تطبيقات Java 7 على عميل AnyConnect 3.1(2026)، قمت بإلغاء تحديد إعدادات المهايئ الظاهري IPv6. غير أنه من الضروري الآن استكمال جميع الخطوات الواردة في هذا الإجراء:

1. تثبيت AnyConnect الإصدار 3.1(2026).
2. إزالة تثبيت Java 7.
3. إعادة التمهيد
4. تثبيت Java SE 6، تحديث 38، متوفر على موقع Oracle على الويب.
5. انتقل إلى إعدادات لوحة تحكم Java 6، ثم انقر على علامة التبويب تحديث للترقية إلى أحدث إصدار من Java 7.
6. افتح موجه الأوامر وأدخل:
   
   

   setx _JAVA_OPTIONS -Djava.net.preferIPv4Stack=true

7. سجل الدخول باستخدام AnyConnect، ويجب أن تعمل تطبيقات Java.

ملاحظة: تم إختبار هذا الإجراء مع تحديثات Java 7 9 و 10 و 11.

CSD/Hostscan

بالنسبة للمشكلات المتعلقة ب CSD/Hostscan، قم بتجميع سجلات DART بالإضافة إلى سجلات وحدة تحكم Java.

للحصول على سجلات DART، يجب تشغيل مستوى تسجيل CSD لتصحيح أخطاء ASA:

1. انتقل إلى ASDM > التكوين>Remote Access VPN>Secure Desktop Manager > الإعدادات العامة.
2. قم بتشغيل تسجيل CSD لإجراء تصحيح الأخطاء على مدير أجهزة الأمان المعدلة (ASDM) من Cisco.
3. أستخدم DART لتجميع سجلات CSD/Hostscan.
   
   

Windows

يكون Hostscan عرضة لتعطل مماثل لتلك الموضحة مسبقا ل AnyConnect في Windows (معرف تصحيح الأخطاء من Cisco CSCuc55720). تم حل مشكلة Hostscan بواسطة معرف تصحيح الأخطاء من Cisco CSCuc48299، "IE مع أعطال Java 7 على HostScan Weblaunch."

ماك

المشاكل مع CSD الإصدارات 3.5.x و Java 7

في CSD 3.5.x، تفشل جميع إتصالات WebVPN، ويتضمن ذلك عمليات إطلاق الويب من AnyConnect. لا تكشف سجلات وحدة تحكم Java عن أي مشاكل:

Java Plug-in 10.10.2.12
Using JRE version 1.7.0_10-ea-b12 Java HotSpot(TM) 64-Bit Server VM
User home directory = /Users/rtpvpn
----------------------------------------------------
c:   clear console window
f:   finalize objects on finalization queue
g:   garbage collect
h:   display this help message
l:   dump classloader list
m:   print memory usage
o:   trigger logging
q:   hide console
r:   reload policy configuration
s:   dump system and deployment properties
t:   dump thread list
v:   dump thread stack
x:   clear classloader cache
0-5: set trace level to <n>
----------------------------------------------------

إذا قمت بالتراجع إلى JRE 6 أو ترقية CSD إلى 3.6.6020 أو إصدار أحدث، فإن سجلات وحدة تحكم Java تكشف عن المشاكل:

Java Plug-in 10.10.2.12
Using JRE version 1.7.0_10-ea-b12 Java HotSpot(TM) 64-Bit Server VM
User home directory = /Users/rtpvpn
----------------------------------------------------
c:   clear console window
f:   finalize objects on finalization queue
g:   garbage collect
h:   display this help message
l:   dump classloader list
m:   print memory usage
o:   trigger logging
q:   hide console
r:   reload policy configuration
s:   dump system and deployment properties
t:   dump thread list
v:   dump thread stack
x:   clear classloader cache
0-5: set trace level to <n>
----------------------------------------------------
CacheEntry[ https://rtpvpnoutbound6.cisco.com/CACHE/sdesktop/install/binaries/
   instjava.jar ]: updateAvailable=false,lastModified=Wed Dec 31 19:00:00 EST 
   1969,length=105313
Fri Oct 19 18:12:20 EDT 2012 Downloaded
  https://rtpvpnoutbound6.cisco.com/CACHE/sdesktop/hostscan/darwin_i386/cstub
  to /var/folders/zq/w7l9gxks7512fsl4vk07v9nc0000gn/T/848638312.tmp/cstub
Fri Oct 19 18:12:20 EDT 2012 file signature verification
  PASS: /var/folders/zq/w7l9gxks7512fsl4vk07v9nc0000gn/T/848638312.tmp/cstub
Fri Oct 19 18:12:20 EDT 2012 Spawned CSD stub.

إن دقة الوضوح هي ترقية CSD أو تقليل Java. لأن Cisco يوصي أن يركض أنت الإصدار الأحدث من CSD، أنت ينبغي حسنت CSD، بدلا من خفض Java، خاصة أن Java انخفاض يستطيع كنت يصعب على Mac.

مشكلات مع Chrome و Safari مع WebLaunch في Mac 10.8

القضايا المتعلقة بالكروم والسفاري هي سلوك متوقع:

• Chrome متصفح 32 بت ولا يدعم Java 7.
• لم تكن Chrome أبدا متصفح مدعوم رسميا ل WebLaunch.
• قام Mac 10.8 بتعطيل إستخدام Java 7 على Safari، والإصدارات الأقدم من Java لا يتم تمكينها بشكل افتراضي.

إذا كان لديك بالفعل Java 7 مثبت، فإن دقة الوضوح هي:

• إستخدام Firefox.
• تمكين Java 7 على Safari:
  
  
  1. تحقق من تثبيت Java 7 على Mac ومن إعادة تشغيل Mac. افتح فايرفوكس، وأذهب إلى Java Verify.
  2. افتح "سفاري"، واذهب إلى Java Verify مرة أخرى. يجب أن ترى الآن هذه الشاشة:
     
     
• قم بتعطيل Java 7 وتمكين Java SE 6 المزود من قبل Apple.

تلميح: إذا لم يكن لديك تطبيق Java مثبت أو كان لديك إصدار أقدم من Java، فمن المحتمل أن ترى رسالة الخطأ 'Java Blocked for هذا موقع ويب' على Java.com . انظر تحديثات Java المتاحة لنظام التشغيل OS X في 28 أغسطس 2013 في منتدى دعم Apple للحصول على معلومات حول تثبيت تحديثات Java.

مشاكل مع Safari مع الويب إطلاق في Mac 10.9

إذا كنت في Mac 10.9 ولديك بالفعل الوظيفة الإضافية جافا ممكنة (كما هو موضح في المشاكل مع Chrome و Safari مع WebLaunch في Mac 10.8 قسم)، فإن WebLaunch قد يستمر في الفشل. تم بدء تشغيل كافة تطبيقات جافا، ولكن المستعرض يستمر في الدوران ببساطة. إذا تم تمكين سجلات Java كما هو موضح في قسم أستكشاف الأخطاء وإصلاحها العام، فسيتم ملء السجلات بسرعة كما هو موضح هنا:

at java.lang.Thread.run(Thread.java:744)
Mon Dec 16 16:00:17 EST 2013 Failed to download cstub
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45

ابحث عن هذا النوع من الإدخال في وقت سابق من السجل:

Mon Dec 16 16:00:17 EST 2013 Downloaded https://rave.na.sage.com/CACHE/
   sdesktop/hostscan/darwin_i386/manifest java.io.FileNotFoundException: 
   /Users/user1/.cisco/hostscan/bin/cstub (Operation not permitted) at 
   java.io.FileInputStream.open(Native Method)

هذا يشير إلى أنك تواجه معرف تصحيح الأخطاء من Cisco CSCuj02425، "يفشل WebLaunch على OSX 10.9 إذا كان وضع Java غير الآمن معطلا." لحل هذه المشكلة، قم بتعديل تفضيلات Java حتى يمكن تشغيل Java في الوضع غير الآمن ل Safari:

1. انقر تفضيلات.
   
   
   
   
2. انقر فوق إدارة إعدادات موقع الويب.
   
   
   
   
3. في صفحة التأمين، حدد جافا، ولاحظ أن السماح محدد بشكل افتراضي.
   
   
   
   
4. تغيير السماح بالتشغيل في الوضع غير الآمن.
   
   

WebVPN

لمعالجة مشاكل WebVPN المتعلقة بجافا، قم بتجميع هذه البيانات لأغراض أستكشاف الأخطاء وإصلاحها:

• مخرجات من الأمر show tech-support.
• يتم تسجيل وحدة تحكم Java باستخدام جهاز الأمان القابل للتكيف (ASA) أو بدونه كما هو موضح في قسم أستكشاف الأخطاء وإصلاحها العام.
• التقاط WebVPN.
• التقاط ساعة HTTP على الجهاز المحلي مع ASA وبدونه.
• تلتقط الحزم القياسية على ASA وعلى الجهاز المحلي.
  • على الجهاز المحلي، يمكن عمل هذه الالتقاط مع Wireshark.
  • للحصول على معلومات حول كيفية التقاط حركة المرور على ASA، راجع تكوين التقاط الحزمة.
• كل ملفات الجرة التي تم تنزيلها إلى ذاكرة Java المؤقتة عند الانتقال عبر ال ASA. هذا مثال من وحدة تحكم Java:
  
  

  Reading Signers from 8412 
   https://rtpvpnoutbound6.cisco.com/+CSCO+00756767633A2F2F7A2D73767972662E6
      E7067727A76687A2E6179++/mffta.jar
  C:\Users\wvoosteren\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41\
     6a0665e9-1f510559.idx

  في هذا المثال، 6a0665e9-1f510559.idx هو الإصدار المخزن مؤقتا من mffta.jar 7. إذا لم يكن لديك حق الوصول إلى هذه الملفات، يمكنك تجميعهم من ذاكرة التخزين المؤقت في Java عند إستخدام التوصيل المباشر.

يمكن أن يقوم إعداد الاختبار بتسريع الدقة.

ميزات الأمان في Java 7 U51 ومدى تأثير ذلك على مستخدمي WebVPN

أثبتت التغييرات التي تم الإعلان عنها مؤخرا والتي تمت جدولتها ل Java 7 Update 51 (يناير 2014) أن مؤشر تحكم الأمان الافتراضي يتطلب توقيعات تعليمات برمجية وسمة بيان الأذونات. باختصار، تتطلب كل تطبيقات Java الصغيرة:

• (تطبيقات Apple وتطبيقات Web Start) المطلوب توقيعها.
• لتعيين السمة "أذونات" داخل البيان.

تتأثر التطبيقات إذا كانت تستخدم Java التي تم بدؤها من خلال متصفح الويب. يتم تشغيل التطبيقات من أي مكان خارج مستعرض ويب. ما يعنيه هذا ل WevVPN هو أن كل ملحقات العميل التي يتم توزيعها بواسطة Cisco يمكن أن تتأثر. بما أن هذه الملحقات غير مصونة أو مدعومة من قبل Cisco، فلا يمكن Cisco إجراء تغييرات على شهادة توقيع الرمز أو على التطبيق الصغير لضمان امتثاله لهذه القيود. الحل المناسب لذلك هو إستخدام شهادة توقيع الرمز المؤقت على ASA. توفر ASAs شهادة توقيع رمز مؤقت لتوقيع تطبيقات Java (لمنقح Java والمكونات الإضافية). تسمح الشهادة المؤقتة لتطبيقات Java الصغيرة بتنفيذ الوظائف التي تريدها بدون رسالة تحذير. يجب على مسؤولي ASA إستبدال الشهادة المؤقتة قبل انتهاء صلاحيتها بشهادة توقيع التعليمات البرمجية الخاصة بهم والصادرة عن مرجع مصدق ثقة. وإذا لم يكن هذا خيارا قابلا للتطبيق، فإن الحل البديل يتلخص في إتمام هذه الخطوات:

1. يمكنك إستخدام ميزة "قائمة مواقع الاستثناء" في إعدادات جافا الخاصة بجهاز العميل الطرفي لتشغيل التطبيقات التي تم حظرها بواسطة إعدادات الأمان. والخطوات للقيام بذلك موصوفة في قضايا مع سفاري مع إطلاق ويب على ماك 10.9.
2. يمكنك أيضا تقليل إعدادات تأمين Java. تم تعيين هذا الإعداد أيضا في إعدادات جافا الخاصة بجهاز العميل كما هو موضح هنا:
   

تحذير: لا يزال إستخدام هذه الحلول البديلة يمنحك بعض الأخطاء، ولكن Java لا يقوم بحظر التطبيق كما كان ليفعل بدون وجود الحلول في مكانها.

Windows

تم الإبلاغ عن فشل التطبيقات التي تقوم بتشغيل تطبيقات Java الصغيرة عبر WebVPN بعد إجراء ترقية إلى Java 7. يرجع سبب هذه المشكلة إلى عدم دعم خوارزمية التجزئة الآمنة (SHA)-256 لمعرف Java. تم تصنيف معرف تصحيح الأخطاء من Cisco CSCud54080، "دعم SHA-256 لمسجل WebVPN Java،" لهذه المشكلة.

قد تفشل التطبيقات التي تبدأ تشغيل تطبيقات Java الصغيرة من خلال البوابة باستخدام "النفق الذكي" عند إستخدام JRE7، وهو الأمر الأكثر شيوعا مع أنظمة 64 بت. في الالتقاط، لاحظ أن Java VM يرسل الحزم في نص واضح، وليس من خلال اتصال النفق الذكي ب ASA. تمت معالجة هذا الأمر بواسطة معرف تصحيح الأخطاء من Cisco CSCue17876، "لن تتصل بعض تطبيقات Java عبر نفق ذكي على Windows باستخدام JRE1.7."