أستكشاف أخطاء تشغيل ASDM وإصلاحها

المقدمة

يصف هذا المستند عملية أستكشاف أخطاء تشغيل "إدارة أجهزة Adaptive Security Appliance" (ASDM) وإصلاحها.

الخلفية

يعد المستند جزءا من سلسلة أستكشاف أخطاء ASDM وإصلاحها مع هذه المستندات:

Link1<>

Link2<>

Link3<>

أستكشاف أخطاء تشغيل ASDM وإصلاحها

المشكلة 1.  تظهر رسالة "غير قادر على تشغيل إدارة الأجهزة من" على ASDM

تمت ملاحظة واحد أو أكثر من هذه الأعراض عند محاولة الاتصال بجدار الحماية باستخدام ASDM:

• تظهر رسالة الخطأ "غير قادر على تشغيل إدارة الأجهزة من" على ASDM:

• تظهر سجلات تصحيح أخطاء جافا أحد الاستثناءات التالية:

java.net.ConnectException: Connection timed out: connect
     at java.net.DualStackPlainSocketImpl.waitForConnect(Native Method)

java.net.ConnectException: Connection refused: connect
              at java.net.DualStackPlainSocketImpl.waitForConnect(Native Method)

Trying for ASDM Version file; url = https://192.0.2.1/admin/
java.io.FileNotFoundException: https://192.0.2.1/admin/version.prop

java.net.SocketException: Connection reset
     at java.net.SocketInputStream.read(Unknown Source)
     at java.net.SocketInputStream.read(Unknown Source)
     at sun.security.ssl.SSLSocketInputRecord.read(Unknown Source)

للتحقق من هذا العرض، قم بتمكين سجلات وحدة تحكم Java:

أستكشاف الأخطاء وإصلاحها - الإجراءات الموصى بها

1. تأكد من أن إصدارات ASA و ASDM ونظام التشغيل متوافقة.  ارجع إلى ملاحظات إصدار ASA لجدار الحماية الآمن من Cisco، ملاحظات إصدار ASDM لجدار الحماية الآمن من Cisco، توافق Cisco Secure Firewall ASA.
2. على نظام التشغيل الذي يستضيفه ASDM (OS)، تأكد من أن جدار حماية نظام التشغيل وبرامج الأمان الأخرى تسمح بالحزم الخاصة باتصالات ASDM في كلا الاتجاهين (الدخول والخروج).

3. في نظام التشغيل الذي يستضيفه ASDM (OS)، تأكد من أن برنامج الأمان (على سبيل المثال، مكافحة الفيروسات) وسياسات الأمان، تسمح بتشغيل برنامج ASDM وبرنامج Java.
   

4. تأكد من تمكين خادم HTTP، وتم تكوين البيئات المضيفة/الواجهات الصحيحة:

# show run http                           
http server enable
http 192.0.2.0 255.255.255.0 management

يمكن أن يختفي الأمر http server enable من التكوين الجاري تشغيله بسبب معرف تصحيح الأخطاء من Cisco CSCwc67687 "يقوم تجاوز فشل ASA HA بتشغيل فشل إعادة تشغيل خادم HTTP وانقطاع ASDM".

5. تأكد من توفر صورة ASDM على الذاكرة المؤقتة المحلية وتكوينها:

# dir flash:
Directory of disk0:/
150    drwx  4096         05:55:01 Nov 14 2024  log
1074037795  -rw-  123665740    23:30:37 Oct 17 2024  asdm.bin

# show run asdm 
asdm image disk0:/asdm.bin
no asdm history enable

6. تأكد من توفر تراخيص 3DES/AES، إذا كنت تقوم بالاتصال ب ASA عبر واجهة البيانات:

# show ver | grep Encryption
Encryption hardware device : Cisco ASA Crypto on-board accelerator (revision 0x1)
Encryption-DES                    : Enabled       
Encryption-3DES-AES               : Enabled

7. إذا تم تمكين WebVPN على نفس الواجهة، فتأكد من تكوين منافذ مختلفة ل WebVPN و ASDM. قم بتغيير منفذ WebVPN أو قم بتغيير منفذ خادم HTTPS.
   في هذا المثال، تم تكوين كل من وصول WebVPN و ASDM. يتم تشغيل خدمة WebVPN على منفذ HTTPS الافتراضي 443، ويتم تكوين منفذ HTTPS ل ASDM على هيئة 8443:

# show run webvpn 
webvpn
 enable outside <-- default HTTPS port 443

# show run http                           
http server enable 8443 <-- custom HTTPS port 8443
http 192.0.2.0 255.255.255.0 outside

8. تأكد من السماح بالاتصالات من المضيف مع ASDM وجدار الحماية بواسطة الأجهزة الوسيطة في الشبكة.

المشاكل المحتملة:

• توجيه غير صحيح
• nat/port forwarding غير صحيح
• تم حظر حركة المرور في مسار النقل

من منظور جدار الحماية، لتأكيد الاتصال، يمكنك تكوين التقاط الحزم على واجهات معينة:

# show run http                           
http server enable
http 192.0.2.0 255.255.255.0 management

# cap capm interface management match tcp any any eq https
# show capture  capm

138 packets captured
   1: 14:20:44.355526       192.0.2.35.50590 > 198.51.100.141.443: S 3649403547:3649403547(0) win 64240 
    
     
    
   2: 14:20:44.356152       198.51.100.141.443 > 192.0.2.35.50590: S 0:0(0) ack 3649403548 win 32768 
    
     
    
   3: 14:20:44.357388       192.0.2.35.50590 > 198.51.100.141.443: . ack 1 win 64240 
   4: 14:20:44.384715       192.0.2.35.50590 > 198.51.100.141.443: P 3649403548:3649403918(370) ack 1 win 32768
   5: 14:20:44.384806       198.51.100.141.443 > 192.0.2.35.50590: . ack 3649403918 win 32398
   6: 14:20:44.385829       198.51.100.141.443 > 192.0.2.35.50590: P 1:760(759) ack 3649403918 win 32768

9. تأكد من أن إستخدام موارد ASDM الحالية لا يتجاوز الحد:

# show resource usage resource ASDM
Resource                 Current        Peak      Limit        Denied Context
ASDM                           1           1          5             0 admin

أستخدم الأمر show conn all protocol tcp port <port>للتحقق من قائمة إتصالات ASDM النشطة. تأكد من توفير المنفذ الصحيح الذي تقوم خوادم HTTP بتشغيله (show run http).

# show conn all protocol tcp port 443  
2 in use, 8 most used

TCP management  192.0.2.35:50620 NP Identity Ifc  198.51.100.141:443, idle 0:00:08, bytes 119188, flags UOB

بدلا من ذلك، يمكن إستخدام الأمر show asp table socket للتحقق من إتصالات ASDM النشطة. تأكد من التحقق من الاتصالات بالمنفذ الذي يعمل عليه خادم HTTP فقط (show run http).

# show asp table socket
Protocol   Socket    State      Local Address             Foreign Address
SSL        0027eb28  LISTEN     198.51.100.141:443         0.0.0.0:*                                   
SSL        00305798  ESTAB      198.51.100.141:443         192.0.2.35:50620   

يمكن إستخدام الأمر clear conn all protocol tcp port <port> لمسح الاتصالات.

10. إذا تم تكوين الأمر management-access <interface>واتصل ASDM ب <interface> IP عبر اتصال الشبكة الخاصة الظاهرية (VPN)، فقم بإزالة الواجهة management-access وإعادة إضافتها. هذا هو الحل البديل لمعرف تصحيح الأخطاء من Cisco CSCvu60373 "ASA - لا يعمل الوصول إلى الإدارة عبر واجهة النفق".

11. فحصت ال cisco بق id CSCwd04210 “ASA: جلسات ASDM المعلقة في CLOSE_WAIT مما يتسبب في عدم الإدارة. نظرا لهذا الخلل، يمكن إنهاء جلسة عمل ASDM باستخدام الرسالة "فقدان الاتصال بجدار الحماية" وعدم نجاح الاتصال الإضافي بجدار الحماية. الحل البديل هو إعادة تحميل جدار الحماية.
    
    
12. فحصت ال cisco بق id CSCwh32118 "تم الوصول إلى الحصة النسبية لجلسات إدارة ASDM بسبب جلسات عمل HTTP المعلقة في CLOSE_WAIT". بسبب هذا الخلل، تصل حصة ASDM Management-Sessions النسبية بسبب جلسات عمل HTTP المعلقة في حالة CLOSE_WAIT. خطوات الحل:

• تحقق من إستخدام الموارد الحالي والحد منه ل ASDM:

# show resource usage resource ASDM
Resource                 Current        Peak      Limit        Denied Context
ASDM                           1           1          5             0 admin

• إذا كانت القيمة الحالية هي نفسها الحد، فتحقق من حالة جلسات عمل HTTPS:

# debug menu npshim -w
Handle State Intf
...
720108b6 CLOSE_WAIT
57835276 CLOSE_WAIT
58068272 CLOSE_WAIT
6ae93b92 CLOSE_WAIT

• إذا كان هناك إدخالات متعددة في حالة CLOSE_WAIT، أستخدم الأمر debug list pdm 3 لمسح جميع جلسات العمل هذه.

13. تحقق من أعراض إستنزاف الكتلة في مخرجات الأمر show blocks، وخاصة القيم الأقل في أعمدة LOW و CNT:

• تم إستهلاك واسترداد أحجام كتل يبلغ حجمها 256 و 1550 بايت:

# show blocks
  SIZE    MAX    LOW    CNT
     0   5700   5608   5700
     4    900    899    899
    80   5000   4575   5000
   256  13568      0  13563  
  1550  50000      0  49974  

• تم استنفاد أحجام المجموعات التي يبلغ حجمها 256 و 1550 بايت ولم يتم إستردادها:

# show blocks
  SIZE    MAX    LOW    CNT
     0   5700   5608   5700
     4    900    899    899
    80   5000   4575   5000
   256  13568      0      0
  1550  50000      0      0  

ارجع إلى معرف تصحيح الأخطاء من Cisco CSCvv71435 "ASA 256 و/أو 1550 قالب إستنزاف يسبب تخصيص ذاكرة DMA غير الصادر".

خيارات الحل البديل:

1. رسائل syslog للحد من المعدل التي يتم إنشاؤها بمعدل مرتفع. معظم معرفات الرسائل الشائعة التي من شأنها إنشاء معدل عالي من الرسائل هي الرسائل الخاصة بإنشاء الاتصال وإنهائه، مثل:

%ASA-6-302013: Built {inbound|outbound} TCP connection_id for interface:real-address/real-port (mapped-address/mapped-port) [(idfw_user)] to interface:real-address/real-port (mapped-address/mapped-port) [(idfw_user)] [(user)]
 %ASA-6-302014: Teardown TCP connection id for interface :real-address /real-port [(idfw_user )] to interface :real-address /real-port [(idfw_user )] duration hh:mm:ss bytes bytes [reason [from teardown-initiator]] [(user )]

في هذه الحالة، سيبدو تكوين حد المعدل المحتمل كما يلي:

logging rate-limit 1 10000 message 302013 
logging rate-limit 1 10000 message 302014

أما الرسائل الأخرى المحتملة فهي: 302015 / 302016 / 302017 / 302018 / 302020 / 302036 / 302303 / 302304 / 302305 / 302306 . المرجع: مرجع الأمر logging rate-limit.

2.  تعطيل رسائل السجل التي يتم إنشاؤها بمعدل مرتفع:

no logging message 302013 
no logging message 302014 

3. يتمثل الخيار التفاعلي في إعادة تحميل الجهاز لإصدار ذاكرة DMA المخصصة. النظر في إستخدام أحد التدابير الوقائية لتجنب تكرار هذه المسألة. 

14. تحقق مما إذا تم عرض سجلات مثل هذه الخطوط في وحدة تحكم ASA. في هذه الحالة، تفشل إتصالات ASDM أو SSH في إنشاء:

ERROR: FAIL to ALLOC the stack page 0xffffffffffffffff[size 36864] to 0x00007fa3b0c29000 errno (mmap:umap) 12:0Message #10 :
First MMAP Req/Updated 36864/45056 Front 0x00007fa3b0c28000 rtn 0x00007fa3b0c29000 back 0x00007fa3b0c32000
Message #11 : process_create: out of stack memory for name accept/ssh_2 size 32768 prio 3
Message #12 : _listen_ssh: failed to create thread for interface 2 port 22

أحلت ال cisco بق id CSCwc23844 "ASAv high cpu و كومة ذاكرة توزيع خطأ رغم أكثر من 30٪ ذاكرة حر".  الحل المؤقت هو إعادة تشغيل جدار الحماية.

المراجع

• ملاحظات إصدار ASA لجدار الحماية الآمن من Cisco
• ملاحظات إصدار ASDM لجدار الحماية الآمن من Cisco
• توافق ASA لجدار الحماية الآمن من Cisco
• مرجع أمر معدل التسجيل-الحد

المشكلة 2. لا يمكن الوصول إلى واجهة مستخدم ASDM عبر Java Web Launch-Start

للتحقق من الأعراض، قم بتمكين سجلات وحدة تحكم Java:

تظهر سجلات وحدة تحكم Java رسائل مثل هذه السطور:

NLPException[category: Download Error : Exception: java.io.FileNotFoundException: https://192.0.2.1/admin/public/asdm.jnlp : LaunchDesc: null
        at com.sun.javaws.Main.launchApp(Unknown Source)
        at com.sun.javaws.Main.continueInSecureThread(Unknown Source)
        at com.sun.javaws.Main.access$000(Unknown Source)
        at com.sun.javaws.Main$1.run(Unknown Source)
        at java.lang.Thread.run(Unknown Source)
Caused by: java.io.FileNotFoundException: https://10.75.32.2/admin/public/asdm.jnlp
        at sun.net.www.protocol.http.HttpURLConnection.getInputStream0(Unknown Source)
        at sun.net.www.protocol.http.HttpURLConnection.access$200(Unknown Source)
        at sun.net.www.protocol.http.HttpURLConnection$9.run(Unknown Source)
        at sun.net.www.protocol.http.HttpURLConnection$9.run(Unknown Source)
        at java.security.AccessController.doPrivileged(Native Method)
        at java.security.AccessController.doPrivilegedWithCombiner(Unknown Source)
        at sun.net.www.protocol.http.HttpURLConnection.getInputStream(Unknown Source)

أستكشاف الأخطاء وإصلاحها - الإجراءات الموصى بها

ينهي ASDM 7.18 دعم Java Web Launch-Start ب ASDM 7.18، ولم يعد ASDM يدعم Java Web Start بسبب نهاية دعم Oracle لبروتوكول JRE 8 وبروتوكول إطلاق شبكة Java (JNLP). يجب تثبيت مشغل ASDM لتشغيل ASDM. ارجع إلى ملاحظات الإصدار الخاصة ب Cisco Secure Firewall ASDM، 7.18(x).

المراجع

• ملاحظات الإصدار الخاصة ب Cisco Secure Firewall ASDM، 7.18(x)

المشكلة 3. يعلق ASDM في "الرجاء الانتظار بينما يقوم ASDM بتحميل التكوين الحالي من جهازك"

الخطأ الظاهر في واجهة مستخدم ASDM هو:

أستكشاف الأخطاء وإصلاحها - الإجراءات الموصى بها

هذا عيب معروف تم تتبعه بواسطة معرف تصحيح الأخطاء من Cisco CSCvv14818 تضليل منبثق: الرجاء الانتظار بينما يقوم ASDM بتحميل التكوين الحالي من جهازك.

المشكلة 4. خطأ في تشغيل ASDM: لا يتم توقيع موارد JAR في ملف JNLP بواسطة نفس الشهادة

الخطأ الظاهر في واجهة مستخدم ASDM هو: 'غير قادر على تشغيل التطبيق.'

عرض سجلات ASDM Java: 'لا يتم توقيع موارد Jar في ملف JNLP بواسطة نفس الشهادة'

أستكشاف الأخطاء وإصلاحها - الإجراءات الموصى بها

هذا عيب معروف تم تتبعه بواسطة معرف تصحيح الأخطاء من Cisco CSCwc13294 ASA: لا يمكن الاتصال ب ASA باستخدام ASDM مع Java Web Launch

المرجع

https://www.cisco.com/c/en/us/td/docs/security/asdm/7_17/release/notes/rn717.html

المشكلة 5. يعلق ASDM عند 77٪ من تحميل تكوين الجهاز

يتم تثبيت ASDM في 77٪ أثناء تحليل التكوين الجاري تشغيله.

أستكشاف الأخطاء وإصلاحها - الإجراءات الموصى بها

هذا عيب معروف تم تتبعه بواسطة معرف تصحيح الأخطاء من Cisco CSCvh02586 يتم تعليق ASDM عند نسبة 77٪ من تحميل تكوين الجهاز

المشكلة 6. يتعذر الوصول إلى ASDM على جدار الحماية الاحتياطي

أستكشاف الأخطاء وإصلاحها - الإجراءات الموصى بها

تأكد أن لجدران الحماية ما يلي:

نفس صور برنامج ASA، على سبيل المثال:

asa# show run boot
boot system disk0:/cisco-asa-fp1k.9.22.1.1.SPA

نفس صور برامج ASDM، على سبيل المثال:

asa# show asdm image
Device Manager image file, disk0:/asdm-7221.bin

المشكلة 7. يتوقف ASDM عند "اكتمال تحديث البرامج."

يتم تثبيت واجهة مستخدم ASDM في 'تم إكمال تحديث البرنامج.' طور

في سجلات جافا ASDM، يمكنك مشاهدة:

java.lang.NullPointerException
   at vk.cz(vk.java:780)
   at vk.b(vk.java:609)
   at vk.<init>(vk.java:409)
   at com.cisco.pdm.PDMApplet.start(PDMApplet.java:170)
   at com.cisco.nm.dice.loader.Loader$1.run(Loader.java:416)
Exception in Starting Main window
Exception in thread "SGZ Loader: launchSgzApplet" java.lang.NullPointerException
   at com.cisco.pdm.PDMApplet.start(PDMApplet.java:177)
   at com.cisco.nm.dice.loader.Loader$1.run(Loader.java:416)

لاحظ أن ال vk، cz، وهكذا. يمكن أن تكون أي حروف، على سبيل المثال:

java.lang.NullPointerException
              at t6.cr(t6.java:742)
              at t6.b(t6.java:573)
              at t6.<init>(t6.java:386)
              at com.cisco.pdm.PDMApplet.start(PDMApplet.java:168)
              at com.cisco.nm.dice.loader.Loader$1.run(Unknown Source)
Exception in Starting Main window
Exception in thread "SGZ Loader: launchSgzApplet" java.lang.NullPointerException
              at com.cisco.pdm.PDMApplet.start(PDMApplet.java:175)
              at com.cisco.nm.dice.loader.Loader$1.run(Unknown Source)

أستكشاف الأخطاء وإصلاحها - الإجراءات الموصى بها

تأكد من أن مستخدم ASDM لديه مستوى الامتياز 15:

asa# show run username
username test password ***** pbkdf2 privilege 3  <- this will not work

بينما يعمل هذا:

asa# show run username                         
username test password ***** pbkdf2 privilege 15

المشكلة 8. يتدلى ASDM على سياق ASA المتعدد بنسبة 57٪ أثناء تحليل التكوين الجاري تشغيله

يتم تثبيت واجهة مستخدم ASDM عند 57٪. تظهر واجهة المستخدم: الرجاء الانتظار بينما يقوم ASDM بتحميل التكوين الحالي من جهازك.

أستكشاف الأخطاء وإصلاحها - الإجراءات الموصى بها

ويتضح هذا عادة عندما يتم تلبية كل هذه الشروط:

1. ASA في وضع سياق متعدد
2. هناك مجموعة خوادم AAA تحتوي على أكثر من 4 خوادم.

الحل

قم بتقليل عدد خوادم AAA في المجموعة، على سبيل المثال:

قبل:

aaa-server ACS protocol tacacs+
aaa-server ACS (management) host 192.0.2.1
 key *****
aaa-server ACS (management) host 192.0.2.2
 key *****
aaa-server ACS (management) host 192.0.2.3
 key *****
aaa-server ACS (management) host 192.0.2.4
 key *****
aaa-server ACS (management) host 192.0.2.5
 key *****
aaa-server ACS (management) host 192.0.2.6
 key *****

تغيير:

asa(config)# no aaa-server ACS (management) host 192.0.2.5
asa(config)# no aaa-server ACS (management) host 192.0.2.6

بعد:

aaa-server ACS protocol tacacs+
aaa-server ACS (management) host 192.0.2.1
 key *****
aaa-server ACS (management) host 192.0.2.2
 key *****
aaa-server ACS (management) host 192.0.2.3
 key *****
aaa-server ACS (management) host 192.0.2.4
 key *****

المرجع

https://www.cisco.com/c/en/us/td/docs/security/asa/asa72/configuration/guide/conf_gd/aaa.html#wp1039757

المشكلة 9. يتعذر الوصول إلى ASDM على vASA

يتم عرض العديد من الرسائل مثل هذه:

Problem Details: ERROR: FAIL to ALLOC the stack page 0xffffffffffffffff[size 36864] to 0x00007ff62429c000 errno (mmap:umap) 12:0 First MMAP Req/Updated 36864/45056 Front 0x00007ff62429b000 rtn 0x00007ff62429c000 back 0x00007ff6242a5000

الأعراض الأخرى:

1. إستخدام عال لوحدة المعالجة المركزية (CPU) في إخراج "show cpu" على الرغم من "show cpu core" الذي يظهر مقدار إستخدام منخفض
2. أخطاء تخصيص ذاكرة المكدس في وحدة التحكم
3. عدم قدرة SSH على الجهاز
4. فشل اقتراع SNMP

هذا عيب معروف تتبعت بواسطة cisco بق id CSCwc23844 أخطاء تخصيص ذاكرة المكدس ووحدة المعالجة المركزية (ASAv) الفائقة بالرغم من وجود ذاكرة خالية بنسبة تزيد عن 30٪

أستكشاف المشاكل المتعلقة ب ASDM وإصلاحها على نظام التشغيل Windows

المشكلة 1. لا تقوم ASDM بتحميل تكوين جدار الحماية عند إستخدام ASA + SFR

الخطأ الظاهر في واجهة مستخدم ASDM هو:

'تعذر على ASDM تحميل تكوين جدار الحماية. الرجاء التحقق من الاتصال بالجهاز أو المحاولة مرة أخرى لاحقا.'

أستكشاف الأخطاء وإصلاحها - الإجراءات الموصى بها

تحقق من ملاحظات إصدار ASDM. وهم يذكرون أنظمة التشغيل المدعومة:

https://www.cisco.com/c/en/us/support/security/adaptive-security-device-manager/products-release-notes-list.html

القسم المتعلق:

لقطة الشاشة من ملاحظات إصدار ASDM 7.18:

https://www.cisco.com/c/en/us/td/docs/security/asdm/7_18/release/notes/rn718.html

وكما يتضح، فإن Windows 11 و 2022 ليسا مدرجين بالقائمة.

كما أنه بدءا من ASDM 7.16 و Windows Server 2016 و Server 2019، لا يتم دعم إدارة ASDM للوحدة النمطية FirePOWER. يمكنك بدلا من ذلك إستخدام FMC لإدارة وحدة FirePOWER النمطية عند إستخدام ASDM لإدارة ASA.

تلميح أستكشاف الأخطاء وإصلاحها: تحقق من سجلات وحدة تحكم Java على ASDM:

في حالة وجود نظام تشغيل غير مدعوم، يمكنك مشاهدة شيء مثل:

Caused by: java.lang.ExceptionInInitializerError: Exception com.teamdev.jxbrowser.chromium.internal.EnvironmentException: Unsupported operating system. Supported OS: Windows XP (SP2), 7, 8, 10, Vista, 2003 (SP1), 2008, 2012, Mac OS X & Linux. Current OS: Windows 11 [in thread "AWT-EventQueue-0"]
               at com.teamdev.jxbrowser.chromium.internal.Environment.checkEnvironment(Unknown Source)
…

الحلول

لذلك، لكي تتمكن من إدارة ASA باستخدام ASDM، تكون الخيارات المتوفرة لديك كما يلي:

الخيار 1: قم بإدارة وحدة ASA و FirePOWER من مضيف آخر أقدم (على سبيل المثال، Windows 2010 و Windows Server 2012 وما إلى ذلك).

الخيار 2: قم بإدارة الوحدة النمطية FirePOWER باستخدام FMC واستمر في إدارة ASA باستخدام ASDM.

الخيار 3: إيقاف تشغيل الوحدة النمطية Firepower:

ASA5508# sw-module module sfr shutdown
Shutdown module sfr? [confirm]
Shutdown issued for module sfr.

الخيار 4: في حالة عدم التخطيط لاستخدام الوحدة النمطية FirePOWER بعد الآن، يمكنك إزالة تثبيتها:

ASA5508# sw-module module sfr uninstall

الخيار 5: العمل مع cisco TAC أن يطبق ال workaround من ال cisco بق id CSCwj51536 لاستبدال ملفات jxbrowser.jar يدويا. لاحظ أن هذا الحل البديل قد لا يحل المشكلة بعد. في هذه الحالة، تحتاج أن تضع في الاعتبار الخيارات السابقة.

المشكلة 2. يعلق ASDM أثناء تنزيل حزم FirePOWER

أستكشاف الأخطاء وإصلاحها - الإجراءات الموصى بها

وفقا لأدلة توافق FirePOWER، لا يتم دعم ASDM لإدارة الوحدة النمطية FirePOWER باستخدام ASA 9.8(4.45)+ و 9.12(4.50)+ و 9.14(4.14)+ و 9.16(3.19)+؛ يجب إستخدام FMC لإدارة الوحدة النمطية باستخدام هذه الإصدارات. تتطلب إصدارات ASA هذه وجود ASDM 7.18(1.152) أو إصدار أحدث، ولكن دعم ASDM للوحدة النمطية ASA FirePOWER انتهى ب 7.16.

الحل

لذلك، لكي تتمكن من إدارة ASA باستخدام ASDM، تكون الخيارات المتوفرة لديك كما يلي:

الخيار 1: قم بإدارة وحدة ASA و FirePOWER من مضيف آخر أقدم (على سبيل المثال، Windows 2010 و Windows Server 2012 وما إلى ذلك).

الخيار 2: قم بإدارة الوحدة النمطية FirePOWER باستخدام FMC واستمر في إدارة ASA باستخدام ASDM.

الخيار 3: إيقاف تشغيل الوحدة النمطية Firepower:

إيقاف تشغيل الوحدة النمطية ASA5508 # SW-module SFR

هل تريد إيقاف تشغيل الوحدة النمطية؟ [تأكيد]

تم إصدار إيقاف التشغيل للوحدة النمطية sfr.

الخيار 4: في حالة عدم التخطيط لاستخدام الوحدة النمطية FirePOWER بعد الآن، يمكنك إزالة تثبيتها:

إزالة تثبيت الوحدة النمطية ASA5508#SW-Module

المرجع

https://www.cisco.com/c/en/us/td/docs/security/firepower/compatibility/firepower-classic-compatibility.html#id_60529

المشكلة 3. رسالة الخطأ "يتعذر تشغيل هذا التطبيق على الكمبيوتر الشخصي" المعروضة على مضيفي Windows

أستكشاف الأخطاء وإصلاحها - الإجراءات الموصى بها

عند تثبيت مشغل ASDM، يمكن ل Windows إستبدال هدف إختصار ASDM بمسار مضيف برمجة Windows النصية، مما يؤدي إلى حدوث هذا الخطأ. لإصلاح هدف الاختصار:

1. أختر Start (البدء) > Cisco ASDM-IDM Launcher، وانقر بزر الماوس الأيمن على تطبيق مشغل ASDM-IDM من Cisco.
2. أختر المزيد > فتح مكان الملف. يفتح Windows الدليل بأيقونة الاختصار.
3. انقر بزر الماوس الأيمن على أيقونة الاختصار، واختر خصائص.
4. تغيير الهدف إلى: C:\Windows\System32\wscript.exe غير مرئي.vbs run.bat (أترك غير المرئي.vbs run.bat في النهاية حيث يتم إستخدام هذه البرامج النصية لفتح ASDM).
   

5. انقر فوق OK.

المرجع

https://www.cisco.com/c/en/us/td/docs/security/asdm/7_22/release/notes/rn722.html

المشكلة 4. يتعذر على Windows العثور على 'javaw.exe'. تأكد من كتابة الاسم بشكل صحيح، ثم حاول مرة أخرى.

أستكشاف الأخطاء وإصلاحها - الإجراءات الموصى بها

• بشكل نموذجي، يتعلق هذا الخطأ بجافا مفقود على الكمبيوتر. تأكد من تثبيت إصدار Java متوافق على مضيف Windows: https://www.java.com/en/download/help/windows_manual_download.html

https://www.cisco.com/c/en/us/td/docs/security/asdm/7_22/release/notes/rn722.html#id_25472

• تأكد من توفر المسار الصحيح لبرنامج Java في مسار متغير بيئة Windows.
• في حالة حدوث المشكلة بعد ترقية Java، تذكر إسترجاع إصدار Java.
• تأكد من أن أيقونة سطح المكتب ASDM تشير إلى مسار التثبيت المناسب. إذا لم تكن هناك مساحة، فقم بحذفها وقم بإنشاء إختصار جديد.

المشكلة 5. مشكلة في الاختصار 'C:\Windows\system32\invisible.vbs' في المربع الهدف غير صالحة

خطأ ظاهر: الاسم 'C:\Windows\system32\invisible.vbs' المحدد في المربع الهدف غير صحيح. تأكد من صحة المسار واسم الملف.

في بعض الحالات، الخطأ هو: تعذر العثور على ملف البرنامج النصي 'C:\Windows\system32\invisible.vgs'.

أستكشاف الأخطاء وإصلاحها - الإجراءات الموصى بها

• تأكد من وجود أذونات المسؤول لديك عند تثبيت ASDM على مضيف Windows. في بعض الحالات، يمكن لإعدادات Active Directory الخاصة بمستخدمي Windows تقييد الوصول إلى مواقع ملفات البرامج المطلوبة لتشغيل ASDM بنجاح على Windows. الوصول مطلوب لهذه الدلائل:
  • مجلد سطح المكتب
  • C:\Windows\System32C:\Users\<username>\.asdm
  • C:\Program Files (x86)\Cisco Systems

إذا كان Active Directory يقيد الوصول إلى الدليل، يجب طلب الوصول من مسؤول Active Directory.

• حاول تثبيت إصدار مختلف من Java على مضيف Windows.

المراجع

https://www.cisco.com/c/en/us/td/docs/security/asdm/7_18/release/notes/rn718.html#id_25476

المشكلة 6. يتعذر على Windows Script Host العثور على ملف البرنامج النصي "C:\WINDOWS\system32\invisible.vbs"

عند محاولة بدء تشغيل مشغل ASDM، يظهر هذا الخطأ:

أستكشاف الأخطاء وإصلاحها - الإجراءات الموصى بها

اتبع الخطوات التالية:

1. قم بإعادة تمهيد مضيف Windows وحذف/إزالة تثبيت كافة مثيلات مشغل ASDM.
2. قم بإعادة تثبيت إصدار أحدث من مشغل ASDM، ولكنه لا يزال متوافقا. في حالة عدم وجود إصدار أحدث، قم بتثبيت مشغل ASDM نفسه الذي كان لديك من قبل.
3. تأكد من تثبيت إصدار جافا الصحيح.

بدلا من ذلك، يمكنك محاولة إستخدام مثبت ASDM المستند إلى OpenJRE لأنه لا يحتاج إلى Oracle Java ليتم تثبيته على الكمبيوتر المحلي.

أستكشاف الأخطاء وإصلاحها - الإجراءات الموصى بها

اتبع الخطوات التالية:

1. قم بإعادة تمهيد مضيف Windows وحذف/إزالة تثبيت كافة مثيلات مشغل ASDM.
2. قم بإعادة تثبيت إصدار أحدث من مشغل ASDM، ولكنه لا يزال متوافقا. في حالة عدم وجود إصدار أحدث، قم بتثبيت مشغل ASDM نفسه الذي كان لديك من قبل.
3. تأكد من تثبيت إصدار جافا الصحيح.

بدلا من ذلك، يمكنك محاولة إستخدام مثبت ASDM المستند إلى OpenJRE لأنه لا يحتاج إلى Oracle Java ليتم تثبيته على الكمبيوتر المحلي.

المشكلة 7. لا يعمل ASDM على Windows Server 2022

أستكشاف الأخطاء وإصلاحها - الإجراءات الموصى بها

وقت كتابة هذا المقال، Windows Server 2022 غير مدعوم. تحقق من أحدث ملاحظات إصدار ASDM من https://www.cisco.com/c/en/us/support/security/adaptive-security-appliance-asa-software/products-release-notes-list.html وإذا لم يكن Windows Server 2022 مدرجا فابحث إستخدام نظام تشغيل مختلف من القائمة المدعومة.

المشكلة 8. حجم خط واجهة مستخدم ASDM صغير جدا

أستكشاف الأخطاء وإصلاحها - الإجراءات الموصى بها

جرب الخطوات التالية:

1.   ابحث عن javaw.exe الذي قمت بتثبيته (C:\ProgramData\Oracle\Java\javapath) أو عند تشغيل ASDM لإدارة المهام المفتوحة وحدد موقع الخدمة التي تعمل:
   
   
   
   2.   انقر بزر الماوس الأيمن -> خصائص
   3.   الانتقال إلى علامة التبويب التوافق
   4. انقر على "تغيير إعدادات DPI عالية"
   5. تمكين خانة الاختيار 'إستخدام هذا الإعداد لإصلاح مشاكل القياس لهذا البرنامج بدلا من تلك الموجودة في الإعدادات'
   6. قم بتمكين خانة الاختيار "تجاوز سلوك القياس عالي DPI" وحدد "النظام (المحسن)":

   قبل:

بعد:

مشكلة 9. أخطاء Java

يمكن أن تظهر واجهة مستخدم ASDM خطأ أو أكثر من أخطاء Java التالية: الخطأ: تعذر العثور على java.dll

و/أو:

الخطأ: تعذر العثور على بيئة وقت تشغيل Java SE.

و/أو:

الخطأ: يحتوي مفتاح التسجيل 'Software\JavaSoft\Java Runtime Environment'\CurrentVersion' على قيمة 'x.x'، ولكن 'x.x' مطلوب.

أستكشاف الأخطاء وإصلاحها - الإجراءات الموصى بها

1. تحقق من تثبيت إصدارات أخرى من Java.
2. في حالة تثبيت إصدارات أخرى، قم بإزالة تثبيت جميع إصدارات Java. تأكد أيضا من إزالة تثبيت Java 8.

تلميح: يمكنك مراجعة هذا المفتاح في السجل: HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft\Java Runtime Environment لتحديد الإصدارات المثبتة. 

يمكنك أيضا تأكيد إزالة تثبيت جميع الإصدارات بالكامل من خلال هذا المفتاح.

تحذير: كن حذرا عند العمل مع سجل Windows!

4. إعادة تثبيت إصدار Java متوافق.

مشكلة 10. ASDM صيغة 7.19.1.94 ملف إصدار OpenJRE في النهاية لا يزال يعرض إصدار OracleJRE

السلوك الطبيعي مع OpenJRE

عادة، عندما تقوم بتثبيت صورة ASDM المستندة إلى JRE وفتحها، فإن إصدار Java يعكسها:

وهناك مجلد 'jre' تم إنشاؤه ضمن هذا المسار: C:\Program Files (x86)\Cisco Systems\ASDM\jre

هناك، أنت يستطيع وجدت إطلاق مبرد أن يحتوي معلومة عن Azul Zulu:

IMPLEMENTOR="Azul Systems, Inc."
IMPLEMENTOR_VERSION="Zulu8.74.0.17-CA-win64"
JAVA_VERSION="1.8.0_392"
OS_NAME="Windows"
OS_VERSION="5.2"
OS_ARCH="amd64"
SOURCE=".:git:51a769a8708c"

سلوك غير صحيح باستخدام OpenJRE

الآن، المشكلة أن في بعض إصدارات ASDM (على سبيل المثال، 7.19.1.94) تظهر واجهة المستخدم:

وملف C:\Program (x86)\Cisco Systems\ASDM\jre\release يظهر شيء مثل:

JAVA_VERSION="1.8.0_351"
OS_NAME="Windows"
OS_VERSION="5.2"
OS_ARCH="amd64"
SOURCE=".:git:c72692150ec4+"
BUILD_TYPE="commercial"

أستكشاف الأخطاء وإصلاحها - الخطوات الموصى بها

هذا معروف cisco بق id CSCwf74697 لا يزال ملف الإصدار ASDM 7.19.1.94 OpenJRE في الخلفية يعرض إصدار OracleJRE

الحل:

أستخدم >= 7.18.1.161 أو >= 7.19.1.95 حاوية إصدار OpenJRE.

مشكلة 11. أخطاء ASDM Java "[خطأ] CLI-Pass-Debug Inside DoInitialProcessing"

الأعراض (يجب أن تكون كلاهما صحيحة):

• يعمل ASDM دون مشاكل.
• عرض سجلات ASDM Java

0 [SGZ Loader: launchSgzApplet] ERROR com.cisco.pdm.headless.startup - CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing:
[ERROR] CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing messenger: cqq@1a3c930 46 [SGZ Loader: launchSgzApplet] ERROR com.cisco.pdm.headless.startup –
CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing messenger: cqq@1a3c930 CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing messenger: cqq@1a3c930 Env.isAsdmInHeadlessMode()-------------->false IO Exception occurs while reading the dap file. java.io.FileNotFoundException: https://192.0.2.1 /admin/flash/dap.xml
No CSD version

أستكشاف الأخطاء وإصلاحها - الإجراءات الموصى بها

هذا عيب تجميلي معروف يتتبعه معرف تصحيح الأخطاء من Cisco CSCwe28411 أخطاء ASDM Java "[خطأ] CLI-Pass-Debug Inside DoInitialProcessing"

أستكشاف أخطاء اتصال ASDM وإصلاحها

المشكلة 1. يفشل إطلاق ASDM بسبب الوصول إلى الحد الأقصى لعدد الجلسات

"الحد الأقصى لعدد جلسة الإدارة ل http للبروتوكول أو المستخدم موجود بالفعل. يرجى المحاولة مرة أخرى لاحقا. تظهر رسالة الخطأ في ASDM:

يمكن عرض خطأ مماثل عند التحويل بين السياقات على ASDM.

أستكشاف الأخطاء وإصلاحها - الإجراءات الموصى بها

أحلت ال cisco بق id CSCwd04210: ASA: جلسات ASDM المعلقة في CLOSE_WAIT مما يتسبب في عدم الإدارة.  نظرا لهذا الخلل، يمكن إنهاء جلسة عمل ASDM باستخدام الرسالة "فقدان الاتصال بجدار الحماية" وعدم نجاح الاتصال الإضافي بجدار الحماية.

المشكلة 2. زيادة وقت الحمل/الاتصال في ASDM

يزيد التوصيل/وقت التحميل الأولي ل ASDM في الإصدارات التي تشغل الإصلاح الخاص بمعرف تصحيح الأخطاء من Cisco CSCvw79912 "قابلية تنفيذ التعليمات البرمجية عن بعد لإدارة أجهزة الأمان المعدلة من Cisco".

أستكشاف الأخطاء وإصلاحها - الإجراءات الموصى بها

ارجع إلى معرف تصحيح الأخطاء من Cisco CSCwd58653 "زيادة الاتصال/وقت التحميل الأولي ASDM".

أستكشاف المشاكل المتعلقة بذاكرة ASDM وإصلاحها 

المشكلة 1. واجهة مستخدم ASDM غير مستجيبة و/أو بطيئة أثناء تحميل التكوين

تتم ملاحظة واحد أو أكثر من هذه الأعراض عند تشغيل ASDM:

• تصبح واجهة مستخدم ASDM غير مستجيبة و/أو بطيئة أثناء تحميل التكوين.
• "تعذر على ASDM تحميل تكوين جدار الحماية. الرجاء التحقق من الاتصال بالجهاز والمحاولة مرة أخرى لاحقا. تظهر رسالة الخطأ:

• يتم عرض رسالة "إسترداد البيانات (التحقق من صحة التكوين الجاري تشغيله)" لفترة زمنية طويلة، على سبيل المثال، تستغرق عدة ساعات.
• في وحدة تحكم جافا يتم عرض هذه الأسطر:

Exception in thread "AWT-EventQueue-0" java.lang.OutOfMemoryError: Java heap space
Exception in thread "LoadConfigThread" java.lang.OutOfMemoryError: GC overhead limit exceeded

 أو

Exception in thread "AWT-EventQueue-0" java.lang.OutOfMemoryError: Java heap space
java.lang.reflect.InvocationTargetException
              at java.awt.EventQueue.invokeAndWait(Unknown Source)
              at java.awt.EventQueue.invokeAndWait(Unknown Source)
              at javax.swing.SwingUtilities.invokeAndWait(Unknown Source)
              at c1.f(c1.java:483)
              at c1.setVisible(c1.java:455)
              at ve.setVisible(ve.java:165)
              at vd.d(vd.java:873)
              at com.cisco.pdm.PDMApplet.populateLoginHistory(PDMApplet.java:268)
              at com.cisco.pdm.PDMApplet.start(PDMApplet.java:233)
              at com.cisco.nm.dice.loader.Loader$1.run(Loader.java:416)
Caused by: java.lang.OutOfMemoryError: Java heap space

للتحقق من هذا العرض، قم بتمكين سجلات وحدة تحكم Java:

أستكشاف الأخطاء وإصلاحها - الإجراءات الموصى بها

1. تأكد من أن إصدارات ASA و ASDM ونظام التشغيل متوافقة.  ارجع إلى ملاحظات إصدار ASA لجدار الحماية الآمن من Cisco، ملاحظات إصدار ASDM لجدار الحماية الآمن من Cisco، توافق Cisco Secure Firewall ASA.
2. زيادة ذاكرة تكوين ASDM على أنظمة التشغيل:

Windows

• انتقل إلى دليل تثبيت ASDM، على سبيل المثال C:\Program files (x86)\Cisco Systems\ASDM.
• قم بتحرير ملف run.bat باستخدام أي محرر نصي.
• في السطر الذي يبدأ ب بدء Java.exe"، قم بتغيير الوسيطة السابقة ب -Xmx" لتحديد حجم كومة الذاكرة المؤقتة المطلوب. على سبيل المثال، قم بتغييره إلى -XMX768M لسعة 768 ميجابايت أو -XMX1G لسعة 1 جيجابايت.
• احفظ ملف run.bat.

ماك أو إس

• انقر بزر الماوس الأيمن على أيقونة Cisco ASDM-IDM واختر إظهار محتويات الحزمة.
• في مجلد المحتويات، انقر نقرا مزدوجا على ملف Info.plist. إذا كان لديك أدوات المطور مثبتة، يتم فتحها في محرر قائمة الخصائص. وإلا، فإنه يفتح في TextEdit.
• تحت Java > VMOces، قم بتغيير السلسلة السابقة ب -XMX" لتحديد حجم كومة الذاكرة المؤقتة الذي تريده. على سبيل المثال، قم بتغييره إلى -XMX768M لسعة 768 ميجابايت أو -XMX1G لسعة 1 جيجابايت.
• إذا كان هذا الملف مؤمنا، سترى خطأ مثل هذه الرسالة:
  

• انقر فوق إلغاء التأمين ثم احفظ الملف. إذا لم ترى مربع الحوار إلغاء التأمين، قم بالخروج من المحرر، وانقر بزر الماوس الأيمن على أيقونة Cisco ASDM-IDM، واختر نسخ Cisco ASDM-IDM، وقم بلصقه في مكان حيث لديك أذونات الكتابة، مثل سطح المكتب. ثم قم بتغيير حجم كومة الذاكرة المؤقتة من هذه النسخة.

المراجع

• ملاحظات إصدار ASA لجدار الحماية الآمن من Cisco
• ملاحظات إصدار ASDM لجدار الحماية الآمن من Cisco
• توافق ASA لجدار الحماية الآمن من Cisco

المشكلة 2. يتعذر على ASDM الاتصال بجدار الحماية

حدث الخطأ "تعذر على ASDM الاتصال بجدار الحماية مؤقتا". أو يتم عرض "غير قادر على تشغيل إدارة الأجهزة" عند تشغيل ASDM:

• يتم إسقاط بعض الحزم من اتصال ASDM HTTPS باستخدام سبب إسقاط (CTM-Error) لخطأ CTM المرتجع في مسار الأمان السريع (ASP):

# capture asp type asp-drop all buffer 33554432 match ip host 192.0.2.1 host 192.0.2.1 eq https 

# show capture
capture asp type asp-drop all buffer 33554432 [Capturing - 587 bytes]
  match ip host 192.0.2.1 host 192.0.2.2 eq https

# show cap asp
1 packet captured
   1: 10:41:04.850648       192.0.2.1.56667 > 192.0.2.2.443: P 758423982:758424499(517) ack 2534033991 win 64440 Drop-reason: (ctm-error) CTM returned error

• عدد الكتل الفاشلة هو ل 256 و1550 كتل الحجم غير صفرية ويزداد العداد failed:

# show block
  SIZE    MAX    LOW    CNT  FAILED
     0   2950   2865   2950      0
     4    400    398    399      0
    80   2500   2369   2500      0
   256   6302      0   6274  50693
  1550  22147      0  22111 769896
  2048   8848   8844   8848      0
  2560   2964   2962   2964      0
  4096    100     99    100      0
  8192    100     99    100      0
  9344    100     99    100      0
 16384    154    153    154      0
 65664     16     16     16      0

• مقدار الذاكرة الحرة في تجمع ذاكرة MEMPOOL_DMA منخفض بشكل ملحوظ، وعادة ما يكون حول وحدات البايت أو الكيلوبايت:

# show memory detail | begin MEMPOOL_DMA

MEMPOOL_DMA POOL STATS:
Non-mmapped bytes allocated =    230686720
Number of free chunks       =          175
Number of mmapped regions   =            0
Mmapped bytes allocated     =            0
Max memory footprint        =    230686720
Keepcost                    =          336
Max contiguous free mem     =        21136
Allocated memory in use     =    230548640
Free memory                 =       138080

أستكشاف الأخطاء وإصلاحها - الإجراءات الموصى بها

1. تحقق من معرف تصحيح الأخطاء من Cisco CSCvv71435 "يتسبب إستنزاف كتلة ASA 256 و/أو 1550 في إلغاء تخصيص ذاكرة DMA". وتتم ملاحظة أعراض الخلل بمعدل مرتفع من رسائل syslog مثل 302013 أو 302014.

اتبع الخطوات من قسم الحل البديل.

2. تحقق من معرف تصحيح الأخطاء من Cisco CSCwd58653 "زاد الاتصال/وقت التحميل الأولي ل ASDM". زاد الاتصال/وقت التحميل الأولي ل ASDM بعد ترقية ASDM لإصلاح إصدار معرف تصحيح الأخطاء من Cisco CSCvw79912 "الثغرات الخاصة بتنفيذ التعليمات البرمجية البعيدة لإدارة أجهزة الأمان المعدلة من Cisco".