Fehlerbehebung bei ASDM-Startproblemen

Einleitung

In diesem Dokument wird die Fehlerbehebung bei Problemen beim Start des Adaptive Security Appliance Device Manager (ASDM) beschrieben.

Hintergrund

Das Dokument ist zusammen mit den folgenden Dokumenten Teil der ASDM-Serie zur Fehlerbehebung:

Link1<>

Link2<>

Link3<>

Fehlerbehebung bei ASDM-Startproblemen

Problem 1:  Die Meldung "No launch device manager from" (Gerätemanager kann nicht von gestartet werden) wird auf ASDM angezeigt.

Eines oder mehrere der folgenden Symptome werden beobachtet, wenn versucht wird, eine Verbindung zur Firewall mithilfe von ASDM herzustellen:

• Die Fehlermeldung "Cannot launch device manager from" (Gerätemanager kann nicht von gestartet werden) wird auf ASDM angezeigt:

• In den Java-Debug-Protokollen wird eine der folgenden Ausnahmen angezeigt:

java.net.ConnectException: Connection timed out: connect
     at java.net.DualStackPlainSocketImpl.waitForConnect(Native Method)

java.net.ConnectException: Connection refused: connect
              at java.net.DualStackPlainSocketImpl.waitForConnect(Native Method)

Trying for ASDM Version file; url = https://192.0.2.1/admin/
java.io.FileNotFoundException: https://192.0.2.1/admin/version.prop

java.net.SocketException: Connection reset
     at java.net.SocketInputStream.read(Unknown Source)
     at java.net.SocketInputStream.read(Unknown Source)
     at sun.security.ssl.SSLSocketInputRecord.read(Unknown Source)

Um dieses Symptom zu überprüfen, aktivieren Sie die Java-Konsolenprotokolle:

Fehlerbehebung - empfohlene Maßnahmen

1. Stellen Sie sicher, dass die ASA-, ASDM- und Betriebssystemversionen kompatibel sind.  Weitere Informationen finden Sie in den Cisco Secure Firewall ASA Versionshinweisen, Cisco Secure Firewall ASDM Versionshinweisen, Cisco Secure Firewall ASA-Kompatibilität.
2. Stellen Sie auf dem ASDM-gehosteten Betriebssystem sicher, dass die Firewall des Betriebssystems und andere Sicherheitssoftware Pakete mit ASDM-Verbindungen in beide Richtungen (Eingang und Ausgang) zulassen.

3. Stellen Sie auf dem im ASDM gehosteten Betriebssystem sicher, dass die Sicherheitssoftware (z. B. Antivirus-Software) und die Sicherheitsrichtlinien die Ausführung der ASDM- und Java-Software zulassen.
   

4. Stellen Sie sicher, dass der HTTP-Server aktiviert ist und die richtigen Hosts/Schnittstellen konfiguriert sind:

# show run http                           
http server enable
http 192.0.2.0 255.255.255.0 management

Der Befehl http server enable kann aufgrund der Cisco Bug-ID CSCwc67687 "ASA HA-Failover löst Fehler beim Neustart des HTTP-Servers und ASDM-Ausfall aus" aus der aktuellen Konfiguration entfernt werden.

5. Stellen Sie sicher, dass das ASDM-Image auf dem lokalen Flash-Speicher verfügbar ist und konfiguriert wurde:

# dir flash:
Directory of disk0:/
150    drwx  4096         05:55:01 Nov 14 2024  log
1074037795  -rw-  123665740    23:30:37 Oct 17 2024  asdm.bin

# show run asdm 
asdm image disk0:/asdm.bin
no asdm history enable

6. Stellen Sie sicher, dass die 3DES/AES-Lizenzen verfügbar sind, wenn Sie über die Datenschnittstelle eine Verbindung mit der ASA herstellen:

# show ver | grep Encryption
Encryption hardware device : Cisco ASA Crypto on-board accelerator (revision 0x1)
Encryption-DES                    : Enabled       
Encryption-3DES-AES               : Enabled

7. Wenn WebVPN auf derselben Schnittstelle aktiviert ist, stellen Sie sicher, dass für WebVPN und ASDM unterschiedliche Ports konfiguriert sind. Ändern Sie entweder den WebVPN-Port oder den HTTPS-Server-Port.
   In diesem Beispiel werden sowohl der WebVPN- als auch der ASDM-Zugriff konfiguriert. Der WebVPN-Dienst wird auf dem Standard-HTTPS-Port 443 ausgeführt, und der HTTPS-Port für ASDM ist mit 8443 konfiguriert:

# show run webvpn 
webvpn
 enable outside <-- default HTTPS port 443

# show run http                           
http server enable 8443 <-- custom HTTPS port 8443
http 192.0.2.0 255.255.255.0 outside

8. Stellen Sie sicher, dass Verbindungen vom Host mit ASDM und der Firewall von zwischengeschalteten Geräten im Netzwerk zugelassen werden.

Mögliche Probleme:

• Falsches Routing
• Falsche NAT/Port-Weiterleitung
• Der Datenverkehr wird auf dem Transportpfad blockiert.

Aus Sicht der Firewall können Sie zur Bestätigung der Verbindung die Paketerfassung an bestimmten Schnittstellen konfigurieren:

# show run http                           
http server enable
http 192.0.2.0 255.255.255.0 management

# cap capm interface management match tcp any any eq https
# show capture  capm

138 packets captured
   1: 14:20:44.355526       192.0.2.35.50590 > 198.51.100.141.443: S 3649403547:3649403547(0) win 64240 
    
     
    
   2: 14:20:44.356152       198.51.100.141.443 > 192.0.2.35.50590: S 0:0(0) ack 3649403548 win 32768 
    
     
    
   3: 14:20:44.357388       192.0.2.35.50590 > 198.51.100.141.443: . ack 1 win 64240 
   4: 14:20:44.384715       192.0.2.35.50590 > 198.51.100.141.443: P 3649403548:3649403918(370) ack 1 win 32768
   5: 14:20:44.384806       198.51.100.141.443 > 192.0.2.35.50590: . ack 3649403918 win 32398
   6: 14:20:44.385829       198.51.100.141.443 > 192.0.2.35.50590: P 1:760(759) ack 3649403918 win 32768

9. Stellen Sie sicher, dass die aktuelle ASDM-Ressourcennutzung den Grenzwert nicht überschreitet:

# show resource usage resource ASDM
Resource                 Current        Peak      Limit        Denied Context
ASDM                           1           1          5             0 admin

Verwenden Sie den Befehl show conn all protocol tcp port <port>, um die Liste der aktiven ASDM-Verbindungen zu überprüfen. Stellen Sie sicher, dass Sie den richtigen Port für die HTTP-Server angeben (show run http).

# show conn all protocol tcp port 443  
2 in use, 8 most used

TCP management  192.0.2.35:50620 NP Identity Ifc  198.51.100.141:443, idle 0:00:08, bytes 119188, flags UOB

Alternativ kann der Befehl show asp table socket zur Überprüfung aktiver ASDM-Verbindungen verwendet werden. Überprüfen Sie nur die Verbindungen mit dem Port, auf dem der HTTP-Server ausgeführt wird (show run http).

# show asp table socket
Protocol   Socket    State      Local Address             Foreign Address
SSL        0027eb28  LISTEN     198.51.100.141:443         0.0.0.0:*                                   
SSL        00305798  ESTAB      198.51.100.141:443         192.0.2.35:50620   

Der Befehl clear conn all protocol tcp port <port> kann verwendet werden, um Verbindungen zu löschen.

10. Wenn der Befehl management-access <Schnittstelle> konfiguriert ist und ASDM eine Verbindung zur <Schnittstelle> IP über eine Virtual Private Network-Verbindung (VPN) herstellt, entfernen Sie den Management-Zugriff <Schnittstelle>, und fügen Sie ihn erneut hinzu. Dies ist der Workaround für die Cisco Bug-ID CSCvu60373 "ASA - Management-Zugriff funktioniert nicht über Tunnelschnittstelle".

11. Cisco Bug-ID überprüfen CSCwd04210 “ASA: ASDM-Sitzungen, die in CLOSE_WAIT feststecken, verursachen einen Mangel an "MGMT". Aufgrund dieses Defekts kann die ASDM-Sitzung mit der Meldung "Lost connection to firewall" (Verbindung mit Firewall unterbrochen) beendet werden, und eine weitere Verbindung mit der Firewall kann nicht hergestellt werden. Die Problemumgehung besteht darin, die Firewall neu zu laden.
    
    
12. Überprüfen Sie die Cisco Bug-ID CSCwh32118 "Das Kontingent für ASDM-Verwaltungssitzungen wurde aufgrund von HTTP-Sitzungen, die in CLOSE_WAIT feststecken, erreicht." Aufgrund dieses Fehlers erreicht das Kontingent für die ASDM-Verwaltungssitzungen aufgrund von HTTP-Sitzungen, die im Status CLOSE_WAIT feststecken. Schritte zur Problemumgehung:

• Überprüfen Sie die aktuelle und die begrenzte Ressourcennutzung für ASDM:

# show resource usage resource ASDM
Resource                 Current        Peak      Limit        Denied Context
ASDM                           1           1          5             0 admin

• Wenn der aktuelle Wert mit dem Grenzwert übereinstimmt, überprüfen Sie den Status der HTTPS-Sitzungen:

# debug menu npshim -w
Handle State Intf
...
720108b6 CLOSE_WAIT
57835276 CLOSE_WAIT
58068272 CLOSE_WAIT
6ae93b92 CLOSE_WAIT

• Wenn der Status CLOSE_WAIT mehrere Einträge enthält, können Sie alle Sitzungen mit dem Befehl debug menu pdm 3 löschen.

13. Überprüfen Sie die Symptome der Blockerschöpfung in der Ausgabe des Befehls Blöcke anzeigen, insbesondere die niedrigsten Werte in den Spalten LOW und CNT:

• Blockgrößen mit 256 und 1550 Byte wurden ausgeschöpft und wiederhergestellt:

# show blocks
  SIZE    MAX    LOW    CNT
     0   5700   5608   5700
     4    900    899    899
    80   5000   4575   5000
   256  13568      0  13563  
  1550  50000      0  49974  

• Blockgrößen mit 256 und 1550 Byte wurden ausgeschöpft und nicht wiederhergestellt:

# show blocks
  SIZE    MAX    LOW    CNT
     0   5700   5608   5700
     4    900    899    899
    80   5000   4575   5000
   256  13568      0      0
  1550  50000      0      0  

Weitere Informationen finden Sie unter der Cisco Bug-ID CSCvv71435 "Die Blockverarmung der ASA 256 und/oder 1550 bewirkt, dass der DMA-Speicher nicht freigegeben wird".

Workaround-Optionen:

1. Durchsatzbegrenzer für Syslog-Meldungen, die mit hoher Rate erstellt werden. Die gängigsten Nachrichten-IDs, die eine hohe Rate an Nachrichten erzeugen würden, sind die Nachrichten für die Verbindungsherstellung und -trennung, z. B.:

%ASA-6-302013: Built {inbound|outbound} TCP connection_id for interface:real-address/real-port (mapped-address/mapped-port) [(idfw_user)] to interface:real-address/real-port (mapped-address/mapped-port) [(idfw_user)] [(user)]
 %ASA-6-302014: Teardown TCP connection id for interface :real-address /real-port [(idfw_user )] to interface :real-address /real-port [(idfw_user )] duration hh:mm:ss bytes bytes [reason [from teardown-initiator]] [(user )]

In diesem Fall würde eine mögliche Konfiguration der Ratenbegrenzung wie folgt aussehen:

logging rate-limit 1 10000 message 302013 
logging rate-limit 1 10000 message 302014

Weitere mögliche Meldungen sind: 302015 / 302016 / 302017 / 302018 / 302020 / 302036 / 302303 / 302304 / 302305 / 302306. Referenz: logging rate-limit command reference.

2.  Deaktivieren Sie die Protokollmeldungen, die mit einer hohen Rate erstellt werden:

no logging message 302013 
no logging message 302014 

3. Die reaktive Option besteht darin, das Gerät neu zu laden, um den zugewiesenen DMA-Speicher freizugeben. Erwägen Sie die Verwendung einer der vorbeugenden Maßnahmen, um ein erneutes Auftreten dieses Problems zu vermeiden. 

14. Überprüfen Sie, ob Protokolle wie diese in der ASA-Konsole angezeigt werden. In diesem Fall können ASDM- oder SSH-Verbindungen Folgendes nicht herstellen:

ERROR: FAIL to ALLOC the stack page 0xffffffffffffffff[size 36864] to 0x00007fa3b0c29000 errno (mmap:umap) 12:0Message #10 :
First MMAP Req/Updated 36864/45056 Front 0x00007fa3b0c28000 rtn 0x00007fa3b0c29000 back 0x00007fa3b0c32000
Message #11 : process_create: out of stack memory for name accept/ssh_2 size 32768 prio 3
Message #12 : _listen_ssh: failed to create thread for interface 2 port 22

Weitere Informationen finden Sie unter der Cisco Bug-ID CSCwc23844 "ASAv high CPU and stack memory allocation errors even 30% free memory" (ASAv hohe CPU- und Stack-Speicherzuweisungsfehler trotz über 30 % freiem Speicher).  Die temporäre Problemumgehung besteht darin, die Firewall neu zu starten.

Referenzen

• Cisco Secure Firewall ASA - Versionshinweise
• Cisco Secure Firewall ASDM - Versionshinweise
• Cisco Secure Firewall ASA-Kompatibilität
• Befehlsreferenz für Protokollierungsratenlimit

Problem 2: Zugriff auf die ASDM-Benutzeroberfläche ist nicht über Java Web Launch-Starting möglich.

Um die Symptome zu überprüfen, aktivieren Sie die Java-Konsolenprotokolle:

Die Java-Konsolenprotokolle zeigen Meldungen wie die folgenden:

NLPException[category: Download Error : Exception: java.io.FileNotFoundException: https://192.0.2.1/admin/public/asdm.jnlp : LaunchDesc: null
        at com.sun.javaws.Main.launchApp(Unknown Source)
        at com.sun.javaws.Main.continueInSecureThread(Unknown Source)
        at com.sun.javaws.Main.access$000(Unknown Source)
        at com.sun.javaws.Main$1.run(Unknown Source)
        at java.lang.Thread.run(Unknown Source)
Caused by: java.io.FileNotFoundException: https://10.75.32.2/admin/public/asdm.jnlp
        at sun.net.www.protocol.http.HttpURLConnection.getInputStream0(Unknown Source)
        at sun.net.www.protocol.http.HttpURLConnection.access$200(Unknown Source)
        at sun.net.www.protocol.http.HttpURLConnection$9.run(Unknown Source)
        at sun.net.www.protocol.http.HttpURLConnection$9.run(Unknown Source)
        at java.security.AccessController.doPrivileged(Native Method)
        at java.security.AccessController.doPrivilegedWithCombiner(Unknown Source)
        at sun.net.www.protocol.http.HttpURLConnection.getInputStream(Unknown Source)

Fehlerbehebung - empfohlene Maßnahmen

ASDM 7.18 beendet die Unterstützung für Java Web Launch - Ab ASDM 7.18 unterstützt ASDM Java Web Start nicht mehr, da Oracle die Unterstützung für JRE 8 und Java Network Launching Protocol (JNLP) eingestellt hat. Sie müssen den ASDM Launcher installieren, um ASDM zu starten. Weitere Informationen finden Sie in den Versionshinweisen für Cisco Secure Firewall ASDM, 7.18(x).

Referenzen

• Versionshinweise für Cisco Secure Firewall ASDM, 7.18(x)

Problem 3. ASDM steckt in "Please wait while ASDM is loading the current configuration from your device" (Bitte warten, während der ASDM die aktuelle Konfiguration von Ihrem Gerät lädt).

Der auf der ASDM-Benutzeroberfläche angezeigte Fehler ist:

Fehlerbehebung - empfohlene Maßnahmen

Dies ist ein bekannter Fehler, der von der Cisco Bug-ID CSCvv14818 verfolgt wird. Irreführendes Popup: Warten Sie, während ASDM die aktuelle Konfiguration von Ihrem Gerät lädt.

Problem 4: ASDM-Startfehler: JAR-Ressourcen in der JNLP-Datei sind nicht vom gleichen Zertifikat signiert

Der auf der ASDM-Benutzeroberfläche angezeigte Fehler ist: ‘Die Anwendung konnte nicht gestartet werden.’

Die ASDM-Java-Protokolle zeigen Folgendes an: "JAR-Ressourcen in der JNLP-Datei sind nicht mit demselben Zertifikat signiert"

Fehlerbehebung - empfohlene Maßnahmen

Dies ist ein bekannter Fehler, der von der Cisco Bug-ID CSCwc13294 verfolgt wird. ASA: Verbindung mit ASA über ASDM mit Java Web Launch nicht möglich

Referenz

https://www.cisco.com/c/en/us/td/docs/security/asdm/7_17/release/notes/rn717.html

Problem 5. ASDM hängt bei 77 % und lädt die Gerätekonfiguration

Beim Analysieren der aktuellen Konfiguration bleibt der ASDM bei 77 % stecken.

Fehlerbehebung - empfohlene Maßnahmen

Dies ist ein bekannter Fehler, der von der Cisco Bug-ID CSCvh02586 verfolgt wird. ASDM hängt beim Laden der Gerätekonfiguration um 77 %

Problem 6. Kein Zugriff auf ASDM über die Standby-Firewall möglich

Fehlerbehebung - empfohlene Maßnahmen

Stellen Sie sicher, dass beide Firewalls über Folgendes verfügen:

Dieselben ASA Software-Images, z. B.:

asa# show run boot
boot system disk0:/cisco-asa-fp1k.9.22.1.1.SPA

Dieselben ASDM-Software-Images, zum Beispiel:

asa# show asdm image
Device Manager image file, disk0:/asdm-7221.bin

Problem 7. ASDM stürzt ab bei "Softwareaktualisierung abgeschlossen".

Die ASDM-Benutzeroberfläche reagiert nicht mehr auf die "Softwareaktualisierung abgeschlossen". Phase

In den ASDM Java-Protokollen wird Folgendes angezeigt:

java.lang.NullPointerException
   at vk.cz(vk.java:780)
   at vk.b(vk.java:609)
   at vk.<init>(vk.java:409)
   at com.cisco.pdm.PDMApplet.start(PDMApplet.java:170)
   at com.cisco.nm.dice.loader.Loader$1.run(Loader.java:416)
Exception in Starting Main window
Exception in thread "SGZ Loader: launchSgzApplet" java.lang.NullPointerException
   at com.cisco.pdm.PDMApplet.start(PDMApplet.java:177)
   at com.cisco.nm.dice.loader.Loader$1.run(Loader.java:416)

Beachten Sie, dass vk,cz usw. können beliebige Zeichen sein, z. B.:

java.lang.NullPointerException
              at t6.cr(t6.java:742)
              at t6.b(t6.java:573)
              at t6.<init>(t6.java:386)
              at com.cisco.pdm.PDMApplet.start(PDMApplet.java:168)
              at com.cisco.nm.dice.loader.Loader$1.run(Unknown Source)
Exception in Starting Main window
Exception in thread "SGZ Loader: launchSgzApplet" java.lang.NullPointerException
              at com.cisco.pdm.PDMApplet.start(PDMApplet.java:175)
              at com.cisco.nm.dice.loader.Loader$1.run(Unknown Source)

Fehlerbehebung - empfohlene Maßnahmen

Vergewissern Sie sich, dass der ASDM-Benutzer über die Privilegstufe 15 verfügt:

asa# show run username
username test password ***** pbkdf2 privilege 3  <- this will not work

Solange dies funktioniert:

asa# show run username                         
username test password ***** pbkdf2 privilege 15

Problem 8. ASDM auf ASA-Geräten mit mehreren Kontexten hängt bei 57 %, während die aktuelle Konfiguration analysiert wird

Die ASDM-Benutzeroberfläche stagniert bei 57 %. Die Benutzeroberfläche zeigt Folgendes an: Warten Sie, während ASDM die aktuelle Konfiguration von Ihrem Gerät lädt.

Fehlerbehebung - empfohlene Maßnahmen

Dies zeigt sich in der Regel, wenn alle diese Bedingungen erfüllt sind:

1. ASA befindet sich im Multiple-Context-Modus
2. Es gibt eine aaa-server-Gruppe, die mehr als vier Server enthält.

Lösung

Reduzieren Sie die Anzahl der aaa-Server in der Gruppe, z. B.:

Vorher:

aaa-server ACS protocol tacacs+
aaa-server ACS (management) host 192.0.2.1
 key *****
aaa-server ACS (management) host 192.0.2.2
 key *****
aaa-server ACS (management) host 192.0.2.3
 key *****
aaa-server ACS (management) host 192.0.2.4
 key *****
aaa-server ACS (management) host 192.0.2.5
 key *****
aaa-server ACS (management) host 192.0.2.6
 key *****

Ändern:

asa(config)# no aaa-server ACS (management) host 192.0.2.5
asa(config)# no aaa-server ACS (management) host 192.0.2.6

Nachher:

aaa-server ACS protocol tacacs+
aaa-server ACS (management) host 192.0.2.1
 key *****
aaa-server ACS (management) host 192.0.2.2
 key *****
aaa-server ACS (management) host 192.0.2.3
 key *****
aaa-server ACS (management) host 192.0.2.4
 key *****

Referenz

https://www.cisco.com/c/en/us/td/docs/security/asa/asa72/configuration/guide/conf_gd/aaa.html#wp1039757

Problem 9. Kein Zugriff auf ASDM über vASA möglich

Es werden viele solcher Meldungen angezeigt:

Problem Details: ERROR: FAIL to ALLOC the stack page 0xffffffffffffffff[size 36864] to 0x00007ff62429c000 errno (mmap:umap) 12:0 First MMAP Req/Updated 36864/45056 Front 0x00007ff62429b000 rtn 0x00007ff62429c000 back 0x00007ff6242a5000

Weitere Symptome:

1. Hohe CPU-Auslastung in der Ausgabe von "show cpu" trotz "show cpu core" mit geringer Auslastung
2. Fehler bei der Speicherzuweisung in der Konsole stapeln
3. SSH zum Gerät nicht möglich
4. SNMP Polling schlägt fehl

Dies ist ein bekannter Fehler, der von der Cisco Bug-ID CSCwc23844 verfolgt wird. ASAv trotz über 30 % freiem Speicher mit hoher CPU- und Stack-Speicherzuweisung

Fehlerbehebung bei ASDM-bezogenen Problemen unter Windows

Problem 1: ASDM lädt die Firewall-Konfiguration bei Verwendung von ASA + SFR nicht

Der auf der ASDM-Benutzeroberfläche angezeigte Fehler ist:

"ASDM konnte die Firewall-Konfiguration nicht laden. Überprüfen Sie die Verbindung zum Gerät, oder versuchen Sie es später erneut."

Fehlerbehebung - empfohlene Maßnahmen

Überprüfen Sie die ASDM-Versionshinweise. Es wird angegeben, welches Betriebssystem unterstützt wird:

https://www.cisco.com/c/en/us/support/security/adaptive-security-device-manager/products-release-notes-list.html

Der zugehörige Abschnitt:

Der Screenshot stammt aus den Versionshinweisen von ASDM 7.18:

https://www.cisco.com/c/en/us/td/docs/security/asdm/7_18/release/notes/rn718.html

Wie zu sehen ist, sind Windows 11 und 2022 nicht in der Liste.

Darüber hinaus wird die ASDM-Verwaltung des FirePOWER-Moduls ab ASDM 7.16 auf Windows Server 2016 und Server 2019 nicht mehr unterstützt. Sie können das FirePOWER-Modul auch mit dem FMC verwalten, wenn Sie ASDM für das ASA-Management verwenden.

Tipp zur Fehlerbehebung: Überprüfen Sie die Java-Konsolenprotokolle auf ASDM:

Im Fall eines nicht unterstützten Betriebssystems sehen Sie z. B.:

Caused by: java.lang.ExceptionInInitializerError: Exception com.teamdev.jxbrowser.chromium.internal.EnvironmentException: Unsupported operating system. Supported OS: Windows XP (SP2), 7, 8, 10, Vista, 2003 (SP1), 2008, 2012, Mac OS X & Linux. Current OS: Windows 11 [in thread "AWT-EventQueue-0"]
               at com.teamdev.jxbrowser.chromium.internal.Environment.checkEnvironment(Unknown Source)
…

Lösungen

Um die ASA mithilfe von ASDM verwalten zu können, haben Sie daher folgende Optionen:

Option 1: Verwaltung des ASA- und FirePOWER-Moduls über einen anderen, älteren Host (z. B. Windows 2010, Windows Server 2012 usw.)

Option 2: Management des FirePOWER-Moduls mit FMC und Verwaltung der ASA mit ASDM

Option 3: FirePOWER-Modul herunterfahren:

ASA5508# sw-module module sfr shutdown
Shutdown module sfr? [confirm]
Shutdown issued for module sfr.

Option 4: Falls Sie das FirePOWER-Modul nicht mehr verwenden möchten, können Sie es deinstallieren:

ASA5508# sw-module module sfr uninstall

Option 5: Arbeiten Sie mit dem Cisco TAC zusammen, um die Problemumgehung mit der Cisco Bug-ID CSCwj51536 anzuwenden. um die jxbrowser.jar Dateien manuell zu ersetzen. Beachten Sie jedoch, dass diese Problemumgehung das Problem möglicherweise immer noch nicht löst. In diesem Fall müssen Sie die vorherigen Optionen berücksichtigen.

Problem 2. ASDM steckt beim Herunterladen von FirePOWER-Paketen fest

Fehlerbehebung - empfohlene Maßnahmen

Den Firepower-Kompatibilitätsleitfäden zufolge wird ASDM für das FirePOWER-Modulmanagement mit ASA 9.8(4.45)+, 9.12(4.50)+, 9.14(4.14)+ und 9.16(3.19)+ nicht unterstützt. müssen Sie FMC verwenden, um das Modul mit diesen Versionen zu verwalten. Für diese ASA-Versionen ist ASDM 7.18(1.152) oder höher erforderlich, die ASDM-Unterstützung für das ASA FirePOWER-Modul endete jedoch mit 7.16.

Lösung

Um die ASA mithilfe von ASDM verwalten zu können, haben Sie daher folgende Optionen:

Option 1: Verwaltung des ASA- und FirePOWER-Moduls über einen anderen, älteren Host (z. B. Windows 2010, Windows Server 2012 usw.)

Option 2: Management des FirePOWER-Moduls mit FMC und Verwaltung der ASA mit ASDM

Option 3: FirePOWER-Modul herunterfahren:

ASA5508# sw-module module sfr shutdown

Modul sfr herunterfahren? [bestätigen]

Herunterfahren erfolgt für Modul sfr.

Option 4: Falls Sie das FirePOWER-Modul nicht mehr verwenden möchten, können Sie es deinstallieren:

ASA5508# sw-module module sfr deinstallieren

Referenz

https://www.cisco.com/c/en/us/td/docs/security/firepower/compatibility/firepower-classic-compatibility.html#id_60529

Problem 3. Fehlermeldung "Diese App kann auf Ihrem PC nicht ausgeführt werden" auf Windows-Hosts angezeigt

Fehlerbehebung - empfohlene Maßnahmen

Wenn Sie den ASDM Launcher installieren, kann Windows das ASDM-Verknüpfungsziel durch den Windows Scripting Host-Pfad ersetzen, was diesen Fehler verursacht. So beheben Sie das Verknüpfungsziel:

1. Wählen Sie Start > Cisco ASDM-IDM Launcher aus, und klicken Sie mit der rechten Maustaste auf die Cisco ASDM-IDM Launcher-Anwendung.
2. Wählen Sie Mehr > Dateispeicherort öffnen aus. Windows öffnet das Verzeichnis mit dem Verknüpfungssymbol.
3. Klicken Sie mit der rechten Maustaste auf das Verknüpfungssymbol, und wählen Sie Eigenschaften aus.
4. Ändern Sie das Ziel in: C:\Windows\System32\wscript.exe invisible.vbs run.bat (lassen Sie die invisible.vbs run.bat am Ende, da diese Skripte verwendet werden, um ASDM zu öffnen).
   

5. Klicken Sie auf OK.

Referenz

https://www.cisco.com/c/en/us/td/docs/security/asdm/7_22/release/notes/rn722.html

Problem 4. "javaw.exe" wurde nicht gefunden. Vergewissern Sie sich, dass Sie den Namen richtig eingegeben haben, und versuchen Sie es dann erneut.

Fehlerbehebung - empfohlene Maßnahmen

• Normalerweise hängt dieser Fehler damit zusammen, dass Java auf dem Computer fehlt. Stellen Sie sicher, dass auf Ihrem Windows-Host eine kompatible Java-Version installiert ist: https://www.java.com/en/download/help/windows_manual_download.html

https://www.cisco.com/c/en/us/td/docs/security/asdm/7_22/release/notes/rn722.html#id_25472

• Stellen Sie sicher, dass der genaue Pfad des Java-Programms im Pfad der Windows-Umgebungsvariablen angegeben ist.
• Falls das Problem nach einem Java-Upgrade auftritt, sollten Sie ein Rollback der Java-Version in Betracht ziehen.
• Stellen Sie sicher, dass das ASDM Desktop-Symbol auf den richtigen Installationspfad zeigt. Wenn nicht, löschen Sie es, und erstellen Sie eine neue Verknüpfung.

Problem 5. Problem mit der Verknüpfung "C:\Windows\system32\invisible.vbs" im Zielfeld ist ungültig.

Fehler angezeigt: Der im Feld "Ziel" angegebene Name "C:\Windows\system32\invisible.vbs" ist ungültig. Stellen Sie sicher, dass Pfad und Dateiname richtig sind.

In einigen Fällen ist der Fehler: Die Skriptdatei "C:\Windows\system32\invisible.vgs" wurde nicht gefunden.

Fehlerbehebung - empfohlene Maßnahmen

• Vergewissern Sie sich, dass Sie Administratorrechte haben, wenn Sie ASDM auf dem Windows-Host installieren. In einigen Fällen können Active Directory-Einstellungen für Windows-Benutzer den Zugriff auf Programmdateispeicherorte beschränken, die zum erfolgreichen Starten von ASDM unter Windows erforderlich sind. Der Zugriff auf diese Verzeichnisse ist erforderlich:
  • Desktop-Ordner
  • C:\Windows\System32C:\Benutzer\<Benutzername>\.asdm
  • C:\Program Dateien (x86)\Cisco Systems

Wenn Ihr Active Directory den Verzeichniszugriff beschränkt, müssen Sie den Zugriff von Ihrem Active Directory-Administrator anfordern.

• Installieren Sie eine andere Java-Version auf dem Windows-Host.

Referenzen

https://www.cisco.com/c/en/us/td/docs/security/asdm/7_18/release/notes/rn718.html#id_25476

Problem 6. Windows Script Host konnte Skriptdatei "C:\WINDOWS\system32\invisible.vbs" nicht finden

Beim Versuch, den ASDM-Launcher zu starten, wird folgender Fehler angezeigt:

Fehlerbehebung - empfohlene Maßnahmen

Gehen Sie folgendermaßen vor:

1. Starten Sie den Windows-Host neu, und löschen/deinstallieren Sie alle Instanzen des ASDM-Launchers.
2. Installieren Sie eine neuere, aber noch kompatible Version des ASDM-Launchers neu. Wenn es keine neuere Version gibt, installieren Sie denselben ASDM-Launcher wie zuvor.
3. Stellen Sie sicher, dass die richtige Java-Version installiert wurde.

Alternativ können Sie versuchen, den OpenJRE-basierten ASDM-Installer zu verwenden, da Oracle Java nicht auf dem lokalen PC installiert werden muss.

Fehlerbehebung - empfohlene Maßnahmen

Gehen Sie folgendermaßen vor:

1. Starten Sie den Windows-Host neu, und löschen/deinstallieren Sie alle Instanzen des ASDM-Launchers.
2. Installieren Sie eine neuere, aber noch kompatible Version des ASDM-Launchers neu. Wenn es keine neuere Version gibt, installieren Sie denselben ASDM-Launcher wie zuvor.
3. Stellen Sie sicher, dass die richtige Java-Version installiert wurde.

Alternativ können Sie versuchen, den OpenJRE-basierten ASDM-Installer zu verwenden, da Oracle Java nicht auf dem lokalen PC installiert werden muss.

Problem 7. ASDM funktioniert nicht unter Windows Server 2022

Fehlerbehebung - empfohlene Maßnahmen

Zum Zeitpunkt dieser Veröffentlichung wird Windows Server 2022 nicht unterstützt. Überprüfen Sie die neuesten ASDM-Versionshinweise unter https://www.cisco.com/c/en/us/support/security/adaptive-security-appliance-asa-software/products-release-notes-list.html, und wenn Windows Server 2022 nicht aufgeführt ist, erwägen Sie die Verwendung eines anderen Betriebssystems als in der unterstützten Liste.

Problem 8: Die Schriftgröße der ASDM-Benutzeroberfläche ist zu klein

Fehlerbehebung - empfohlene Maßnahmen

Gehen Sie folgendermaßen vor:

1.   Suchen Sie nach javaw.exe, das Sie installiert haben (C:\ProgramData\Oracle\Java\javapath), oder wenn ASDM den Task-Manager geöffnet hat, und suchen Sie nach dem Dienst, der ausgeführt wird:
   
   
   
   2.   Rechtsklick -> Eigenschaften
   3.   Registerkarte Kompatibilität aufrufen
   4. Klicken Sie auf "High DPI-Einstellungen ändern".
   5. Aktivieren Sie das Kontrollkästchen "Verwenden Sie diese Einstellung, um Skalierungsprobleme für dieses Programm zu beheben, anstatt das in den Einstellungen".
   6. Aktivieren Sie das Kontrollkästchen "High DPI Scaling Behavior", und wählen Sie "System (Enhanced)" aus:

   Vorher:

Nachher:

Problem 9. Java-Fehler

Die ASDM-Benutzeroberfläche kann einen oder mehrere der folgenden Java-Fehler anzeigen: Fehler: java.dll nicht gefunden

Und/oder:

Fehler: Java SE Runtime Environment nicht gefunden.

Und/oder:

Fehler: Der Registrierungsschlüssel "Software\JavaSoft\Java Runtime Environment"\CurrentVersion" hat den Wert "x.x", aber "x.x" ist erforderlich.

Fehlerbehebung - empfohlene Maßnahmen

1. Überprüfen Sie, ob andere Java-Versionen installiert sind.
2. Wenn andere Versionen installiert sind, deinstallieren Sie alle Versionen von Java. Stellen Sie sicher, dass Sie auch Java 8 deinstallieren.

Tipp: Sie können diesen Schlüssel in der Registrierung überprüfen: HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft\Java Runtime Environment, um die installierten Versionen zu ermitteln. 

Sie können auch bestätigen, dass alle Versionen mit diesem Schlüssel vollständig deinstalliert wurden.

Warnung: Seien Sie vorsichtig, wenn Sie mit der Windows-Registrierung arbeiten!

4. Installieren Sie eine kompatible Java-Version neu.

Problem 10. ASDM-Version 7.19.1.94 openJRE-Versionsdatei im Backend, die noch OracleJRE-Version anzeigt

Normales Verhalten mit openJRE

Wenn Sie ein JRE-basiertes ASDM-Image installieren und öffnen, spiegelt die Java-Version dieses Image wider:

Unter diesem Pfad wird ein Ordner "jre" erstellt: C:\Program Dateien (x86)\Cisco Systems\ASDM\jre

Dort finden Sie eine Release-Datei, die Informationen über Azul Zulu enthält:

IMPLEMENTOR="Azul Systems, Inc."
IMPLEMENTOR_VERSION="Zulu8.74.0.17-CA-win64"
JAVA_VERSION="1.8.0_392"
OS_NAME="Windows"
OS_VERSION="5.2"
OS_ARCH="amd64"
SOURCE=".:git:51a769a8708c"

Fehlerhaftes Verhalten bei openJRE

Das Problem ist nun, dass in einigen ASDM-Versionen (z. B. 7.19.1.94) die Benutzeroberfläche Folgendes zeigt:

Und die Datei C:\Program Files (x86)\Cisco Systems\ASDM\jre\release zeigt etwas wie:

JAVA_VERSION="1.8.0_351"
OS_NAME="Windows"
OS_VERSION="5.2"
OS_ARCH="amd64"
SOURCE=".:git:c72692150ec4+"
BUILD_TYPE="commercial"

Fehlerbehebung - Empfohlene Schritte

Dies ist eine bekannte Cisco Bug-ID, CSCwf74697 ASDM-Version 7.19.1.94 openJRE-Versionsdatei im Backend, die noch OracleJRE-Version anzeigt

Problemumgehung:

Verwenden Sie >= 7.18.1.161 oder >= 7.19.1.95 OpenJRE version bin.

Problem 11. ASDM java errors "[ERROR] CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing"

Symptome (beide müssen wahr sein):

• ASDM arbeitet problemlos.
• ASDM Java-Protokolle anzeigen

0 [SGZ Loader: launchSgzApplet] ERROR com.cisco.pdm.headless.startup - CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing:
[ERROR] CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing messenger: cqq@1a3c930 46 [SGZ Loader: launchSgzApplet] ERROR com.cisco.pdm.headless.startup –
CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing messenger: cqq@1a3c930 CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing messenger: cqq@1a3c930 Env.isAsdmInHeadlessMode()-------------->false IO Exception occurs while reading the dap file. java.io.FileNotFoundException: https://192.0.2.1 /admin/flash/dap.xml
No CSD version

Fehlerbehebung - empfohlene Maßnahmen

Dies ist ein bekannter kosmetischer Defekt, der von der Cisco Bug-ID CSCwe28411 ASDM java errors "[ERROR] CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing"

Fehlerbehebung bei ASDM-Verbindungsproblemen

Problem 1: ASDM-Start schlägt aufgrund der maximalen Anzahl von Sitzungen fehl

Die Option "The maximum number of management session for protocol http or user already exist. Versuchen Sie es später erneut." wird die Fehlermeldung auf dem ASDM angezeigt:

Ein ähnlicher Fehler kann beim Umschalten zwischen den Kontexten auf ASDM angezeigt werden.

Fehlerbehebung - empfohlene Maßnahmen

Weitere Informationen finden Sie unter der Cisco Bug-ID CSCwd04210: ASA: ASDM-Sitzungen, die in CLOSE_WAIT feststecken, verursachen einen Mangel an "MGMT".  Aufgrund dieses Defekts kann die ASDM-Sitzung mit der Meldung "Lost connection to firewall" (Verbindung mit Firewall unterbrochen) beendet werden, und eine weitere Verbindung mit der Firewall kann nicht hergestellt werden.

Problem 2: Erhöhung der Last-/Verbindungszeit im ASDM

Die anfängliche Verbindungs-/Ladezeit des ASDM erhöht sich in Versionen, in denen die Fehlerbehebung für die Cisco Bug-ID CSCvw79912 "Cisco Adaptive Security Device Manager Remote Code Execution Vulnerability" ausgeführt wird.

Fehlerbehebung - empfohlene Maßnahmen

Weitere Informationen finden Sie unter der Cisco Bug-ID CSCwd58653 "ASDM Initial Connection/Load Time Increased" (ASDM Initiale Verbindung/Ladezeit erhöht).

Fehlerbehebung bei speicherbezogenen ASDM-Problemen 

Problem 1. Nicht reagierende und/oder träge ASDM-Benutzeroberfläche beim Laden der Konfiguration

Bei der Ausführung von ASDM traten eines oder mehrere der folgenden Symptome auf:

• Die ASDM-Benutzeroberfläche reagiert beim Laden der Konfiguration nicht mehr bzw. ist träge.
• Der ASDM konnte die Firewall-Konfiguration nicht laden. Überprüfen Sie die Verbindung zum Gerät, und versuchen Sie es später erneut." Fehlermeldung wird angezeigt:

• Die Meldung "Retrieval of Data (validating running configuration)" wird für einen längeren Zeitraum angezeigt, z.B. mehrere Stunden.
• In den Java-Konsolenprotokollen werden folgende Zeilen angezeigt:

Exception in thread "AWT-EventQueue-0" java.lang.OutOfMemoryError: Java heap space
Exception in thread "LoadConfigThread" java.lang.OutOfMemoryError: GC overhead limit exceeded

Oder

Exception in thread "AWT-EventQueue-0" java.lang.OutOfMemoryError: Java heap space
java.lang.reflect.InvocationTargetException
              at java.awt.EventQueue.invokeAndWait(Unknown Source)
              at java.awt.EventQueue.invokeAndWait(Unknown Source)
              at javax.swing.SwingUtilities.invokeAndWait(Unknown Source)
              at c1.f(c1.java:483)
              at c1.setVisible(c1.java:455)
              at ve.setVisible(ve.java:165)
              at vd.d(vd.java:873)
              at com.cisco.pdm.PDMApplet.populateLoginHistory(PDMApplet.java:268)
              at com.cisco.pdm.PDMApplet.start(PDMApplet.java:233)
              at com.cisco.nm.dice.loader.Loader$1.run(Loader.java:416)
Caused by: java.lang.OutOfMemoryError: Java heap space

Um dieses Symptom zu überprüfen, aktivieren Sie die Java-Konsolenprotokolle:

Fehlerbehebung - empfohlene Maßnahmen

1. Stellen Sie sicher, dass die ASA-, ASDM- und Betriebssystemversionen kompatibel sind.  Weitere Informationen finden Sie in den Cisco Secure Firewall ASA Versionshinweisen, Cisco Secure Firewall ASDM Versionshinweisen, Cisco Secure Firewall ASA-Kompatibilität.
2. Erhöhen Sie den ASDM-Konfigurationsspeicher auf Betriebssystemen:

Windows

• Wechseln Sie zum ASDM-Installationsverzeichnis, z. B. C:\Program Files (x86)\Cisco Systems\ASDM.
• Bearbeiten Sie die Datei run.bat mit einem beliebigen Texteditor.
• Ändern Sie in der Zeile, die mit "start javaw.exe" beginnt, das Argument mit dem Präfix "-Xmx", um die gewünschte Heapgröße anzugeben. Ändern Sie ihn beispielsweise in -Xmx768M für 768 MB oder -Xmx1G für 1 GB.
• Speichern Sie die Datei run.bat.

Mac OS

• Klicken Sie mit der rechten Maustaste auf das Cisco ASDM-IDM-Symbol, und wählen Sie Paketinhalt anzeigen aus.
• Doppelklicken Sie im Ordner Inhalt auf die Datei Info.plist. Wenn Sie Entwicklertools installiert haben, wird diese im Eigenschaftenlisten-Editor geöffnet. Andernfalls wird sie in TextEdit geöffnet.
• Ändern Sie unter Java > VMOptions die Zeichenfolge mit dem Präfix "-Xmx", um die gewünschte Heapgröße festzulegen. Ändern Sie ihn beispielsweise in -Xmx768M für 768 MB oder -Xmx1G für 1 GB.
• Wenn diese Datei gesperrt ist, wird ein Fehler wie dieser angezeigt:
  

• Klicken Sie auf Entsperren und speichern. Wenn das Dialogfeld Entsperren nicht angezeigt wird, verlassen Sie den Editor, klicken Sie mit der rechten Maustaste auf das Cisco ASDM-IDM-Symbol, wählen Sie Cisco ASDM-IDM kopieren, und fügen Sie es an einen Speicherort ein, für den Sie Schreibrechte haben, z. B. Desktop. Ändern Sie dann die Heapgröße dieser Kopie.

Referenzen

• Cisco Secure Firewall ASA - Versionshinweise
• Cisco Secure Firewall ASDM - Versionshinweise
• Cisco Secure Firewall ASA-Kompatibilität

Problem 2. ASDM kann keine Verbindung zur Firewall herstellen

Die Fehlermeldung "ASDM ist vorübergehend nicht in der Lage, die Firewall zu kontaktieren." oder "Der Gerätemanager kann nicht gestartet werden" wird angezeigt, wenn ASDM gestartet wird:

• Einige Pakete der ASDM HTTPS-Verbindung werden mit dem (ctm-error) zurückgegebenen Fehlerlöschgrund im Accelerated Security Path (ASP) verworfen:

# capture asp type asp-drop all buffer 33554432 match ip host 192.0.2.1 host 192.0.2.1 eq https 

# show capture
capture asp type asp-drop all buffer 33554432 [Capturing - 587 bytes]
  match ip host 192.0.2.1 host 192.0.2.2 eq https

# show cap asp
1 packet captured
   1: 10:41:04.850648       192.0.2.1.56667 > 192.0.2.2.443: P 758423982:758424499(517) ack 2534033991 win 64440 Drop-reason: (ctm-error) CTM returned error

• Die Anzahl der fehlerhaften Blöcke beträgt 256 und 1550 Blöcke und ist ungleich null. Der Zähler für fehlgeschlagene Blöcke erhöht sich:

# show block
  SIZE    MAX    LOW    CNT  FAILED
     0   2950   2865   2950      0
     4    400    398    399      0
    80   2500   2369   2500      0
   256   6302      0   6274  50693
  1550  22147      0  22111 769896
  2048   8848   8844   8848      0
  2560   2964   2962   2964      0
  4096    100     99    100      0
  8192    100     99    100      0
  9344    100     99    100      0
 16384    154    153    154      0
 65664     16     16     16      0

• Der Freie Speicher im MEMPOOL_DMA-Speicherpool ist sehr klein, typischerweise etwa ein paar Byte oder Kilobyte:

# show memory detail | begin MEMPOOL_DMA

MEMPOOL_DMA POOL STATS:
Non-mmapped bytes allocated =    230686720
Number of free chunks       =          175
Number of mmapped regions   =            0
Mmapped bytes allocated     =            0
Max memory footprint        =    230686720
Keepcost                    =          336
Max contiguous free mem     =        21136
Allocated memory in use     =    230548640
Free memory                 =       138080

Fehlerbehebung - empfohlene Maßnahmen

1. Überprüfen Sie die Cisco Bug-ID CSCvv71435 "ASA 256 und/oder 1550 Block Depletion führt zu DMA Speicher nicht freigegeben Zuweisung". Die Fehlersymptome werden bei einer erhöhten Rate von Syslogs-Meldungen wie 302013 oder 302014 beobachtet.

Befolgen Sie die Schritte aus dem Abschnitt Problemumgehung.

2. Überprüfen Sie die Cisco Bug-ID CSCwd58653 "ASDM Initial Connection/Load Time Increase" (ASDM Initialverbindung/Ladezeit erhöht). Die erste Verbindungs-/Ladezeit des ASDM erhöhte sich nach dem ASDM-Upgrade, um die Version der Cisco Bug-ID CSCvw7912 "Cisco Adaptive Security Device Manager Remote Code Execution Vulnerability" zu beheben.