Solucionar problemas de inicio de ASDM

Introducción

Este documento describe el proceso de solución de problemas para el inicio de Adaptive Security Appliance Device Manager (ASDM).

Background

El documento es parte de la serie de solución de problemas de ASDM junto con estos documentos:

Vínculo1<>

Vínculo2<>

Vínculo3<>

Solucionar problemas de inicio de ASDM

Problema 1.  Se muestra el mensaje "No se puede iniciar el administrador de dispositivos desde" en ASDM

Uno o más de estos síntomas se observan al intentar conectarse al firewall mediante ASDM:

• El mensaje de error "No se puede iniciar el administrador de dispositivos desde" se muestra en ASDM:

• Los logs de debug de Java muestran una de estas excepciones:

java.net.ConnectException: Connection timed out: connect
     at java.net.DualStackPlainSocketImpl.waitForConnect(Native Method)

java.net.ConnectException: Connection refused: connect
              at java.net.DualStackPlainSocketImpl.waitForConnect(Native Method)

Trying for ASDM Version file; url = https://192.0.2.1/admin/
java.io.FileNotFoundException: https://192.0.2.1/admin/version.prop

java.net.SocketException: Connection reset
     at java.net.SocketInputStream.read(Unknown Source)
     at java.net.SocketInputStream.read(Unknown Source)
     at sun.security.ssl.SSLSocketInputRecord.read(Unknown Source)

Para verificar este síntoma, habilite los registros de la consola Java:

Solución de problemas: acciones recomendadas

1. Asegúrese de que las versiones de ASA, ASDM y del sistema operativo sean compatibles.  Consulte Notas de la versión de Cisco Secure Firewall ASA, Notas de la versión de Cisco Secure Firewall ASDM, Compatibilidad de Cisco Secure Firewall ASA.
2. En el sistema operativo (SO) alojado por ASDM, asegúrese de que el firewall del SO y otro software de seguridad permiten paquetes de conexiones ASDM en ambas direcciones (entrada y salida).

3. En el sistema operativo (SO) alojado en ASDM, asegúrese de que el software de seguridad (por ejemplo, antivirus) y las políticas de seguridad permiten ejecutar el software ASDM y Java.
   

4. Asegúrese de que el servidor HTTP esté habilitado y de que se hayan configurado los hosts/interfaces correctos:

# show run http                           
http server enable
http 192.0.2.0 255.255.255.0 management

El comando http server enable puede desaparecer de la configuración en ejecución debido al Id. de error de Cisco CSCwc67687 "La conmutación por error ASA HA desencadena el error de reinicio del servidor HTTP y la interrupción de ASDM".

5. Asegúrese de que la imagen ASDM esté disponible en la memoria flash local y configurada:

# dir flash:
Directory of disk0:/
150    drwx  4096         05:55:01 Nov 14 2024  log
1074037795  -rw-  123665740    23:30:37 Oct 17 2024  asdm.bin

# show run asdm 
asdm image disk0:/asdm.bin
no asdm history enable

6. Asegúrese de que las licencias 3DES/AES estén disponibles, si se conecta al ASA a través de la interfaz de datos:

# show ver | grep Encryption
Encryption hardware device : Cisco ASA Crypto on-board accelerator (revision 0x1)
Encryption-DES                    : Enabled       
Encryption-3DES-AES               : Enabled

7. Si WebVPN está habilitado en la misma interfaz, asegúrese de que se configuran puertos diferentes para WebVPN y ASDM. Cambie el puerto WebVPN o el puerto del servidor HTTPS.
   En este ejemplo, se configuran el acceso WebVPN y ASDM. El servicio WebVPN se ejecuta en el puerto HTTPS predeterminado 443 y el puerto HTTPS para ASDM se configura como 8443:

# show run webvpn 
webvpn
 enable outside <-- default HTTPS port 443

# show run http                           
http server enable 8443 <-- custom HTTPS port 8443
http 192.0.2.0 255.255.255.0 outside

8. Asegúrese de que los dispositivos intermediarios de la red permitan las conexiones desde el host con ASDM y el firewall.

Problemas posibles:

• Routing incorrecto
• Reenvío de puerto/NAT incorrecto
• El tráfico está bloqueado en la ruta de tránsito

Desde la perspectiva del firewall, para confirmar la conectividad puede configurar capturas de paquetes en interfaces específicas:

# show run http                           
http server enable
http 192.0.2.0 255.255.255.0 management

# cap capm interface management match tcp any any eq https
# show capture  capm

138 packets captured
   1: 14:20:44.355526       192.0.2.35.50590 > 198.51.100.141.443: S 3649403547:3649403547(0) win 64240 
    
     
    
   2: 14:20:44.356152       198.51.100.141.443 > 192.0.2.35.50590: S 0:0(0) ack 3649403548 win 32768 
    
     
    
   3: 14:20:44.357388       192.0.2.35.50590 > 198.51.100.141.443: . ack 1 win 64240 
   4: 14:20:44.384715       192.0.2.35.50590 > 198.51.100.141.443: P 3649403548:3649403918(370) ack 1 win 32768
   5: 14:20:44.384806       198.51.100.141.443 > 192.0.2.35.50590: . ack 3649403918 win 32398
   6: 14:20:44.385829       198.51.100.141.443 > 192.0.2.35.50590: P 1:760(759) ack 3649403918 win 32768

9. Asegúrese de que el uso de recursos actual del ASDM no exceda el límite:

# show resource usage resource ASDM
Resource                 Current        Peak      Limit        Denied Context
ASDM                           1           1          5             0 admin

Utilice el comando show conn all protocol tcp port <port> para verificar la lista de conexiones ASDM activas. Asegúrese de proporcionar el puerto correcto en el que se encuentran los servidores HTTP (show run http).

# show conn all protocol tcp port 443  
2 in use, 8 most used

TCP management  192.0.2.35:50620 NP Identity Ifc  198.51.100.141:443, idle 0:00:08, bytes 119188, flags UOB

Alternativamente, el comando show asp table socket se puede utilizar para la verificación de las conexiones ASDM activas. Asegúrese de verificar solamente las conexiones con el puerto en el que se ejecuta el servidor HTTP (show run http).

# show asp table socket
Protocol   Socket    State      Local Address             Foreign Address
SSL        0027eb28  LISTEN     198.51.100.141:443         0.0.0.0:*                                   
SSL        00305798  ESTAB      198.51.100.141:443         192.0.2.35:50620   

El comando clear conn all protocol tcp port <port> se puede utilizar para borrar conexiones.

10. Si se configura el comando management-access <interface> y ASDM se conecta a la IP <interface> a través de una conexión de red privada virtual (VPN), quite y vuelva a agregar management-access <interface>. Esta es la solución alternativa para el ID de bug de Cisco CSCvu60373 "ASA - El acceso a la administración no funciona a través de la interfaz del túnel".

11. Verifique el ID de bug de Cisco CSCwd04210 “ASA: Sesiones ASDM bloqueadas en CLOSE_WAIT causando falta de MGMT". Debido a este defecto, la sesión de ASDM puede terminar con el mensaje "Conexión perdida con el firewall" y la conexión adicional con el firewall puede ser fallida. La solución alternativa es volver a cargar el firewall.
    
    
12. Verifique el ID de bug de Cisco CSCwh32118 "Cuota de sesiones de administración de ASDM alcanzada debido a sesiones HTTP bloqueadas en CLOSE_WAIT". Debido a este defecto, la cuota de sesiones de administración de ASDM alcanza debido a que las sesiones HTTP están atascadas en el estado CLOSE_WAIT. Los pasos de la solución alternativa:

• Verifique el uso actual y limite el uso de recursos para ASDM:

# show resource usage resource ASDM
Resource                 Current        Peak      Limit        Denied Context
ASDM                           1           1          5             0 admin

• Si el valor actual es el mismo que el límite, verifique el estado de las sesiones HTTPS:

# debug menu npshim -w
Handle State Intf
...
720108b6 CLOSE_WAIT
57835276 CLOSE_WAIT
58068272 CLOSE_WAIT
6ae93b92 CLOSE_WAIT

• Si hay varias entradas en el estado CLOSE_WAIT, utilice el comando debug menu pdm 3 para borrar todas estas sesiones.

13. Verifique los síntomas de agotamiento del bloque en la salida del comando show blocks, específicamente los valores más bajos en las columnas LOW y CNT:

• Los tamaños de bloque de 256 y 1550 bytes se han agotado y recuperado:

# show blocks
  SIZE    MAX    LOW    CNT
     0   5700   5608   5700
     4    900    899    899
    80   5000   4575   5000
   256  13568      0  13563  
  1550  50000      0  49974  

• Los tamaños de bloque de 256 y 1550 bytes se han agotado y no se han recuperado:

# show blocks
  SIZE    MAX    LOW    CNT
     0   5700   5608   5700
     4    900    899    899
    80   5000   4575   5000
   256  13568      0      0
  1550  50000      0      0  

Consulte el ID de bug de Cisco CSCvv71435 "El agotamiento del bloque ASA 256 y/o 1550 causa la asignación no liberada de memoria DMA".

Las opciones de solución alternativa:

1. Velocidad de creación de mensajes syslog limitada a una velocidad alta. Los ID de mensajes más comunes que crearían una tasa alta de mensajes son los mensajes para la creación y eliminación de conexiones, como:

%ASA-6-302013: Built {inbound|outbound} TCP connection_id for interface:real-address/real-port (mapped-address/mapped-port) [(idfw_user)] to interface:real-address/real-port (mapped-address/mapped-port) [(idfw_user)] [(user)]
 %ASA-6-302014: Teardown TCP connection id for interface :real-address /real-port [(idfw_user )] to interface :real-address /real-port [(idfw_user )] duration hh:mm:ss bytes bytes [reason [from teardown-initiator]] [(user )]

En este caso, una posible configuración de límite de velocidad sería como:

logging rate-limit 1 10000 message 302013 
logging rate-limit 1 10000 message 302014

Otros posibles mensajes son: 302015 / 302016 / 302017 / 302018 / 302020 / 302036 / 302303 / 302304 / 302305 / 302306. Referencia: logging rate-limit command reference.

2.  Deshabilite los mensajes de registro que se están creando a una velocidad alta:

no logging message 302013 
no logging message 302014 

3. La opción reactiva es volver a cargar el dispositivo para liberar la memoria DMA asignada. Considere la posibilidad de utilizar una de las medidas preventivas para evitar que este problema se repita. 

14. Verifique si los registros como estas líneas se muestran en la consola ASA. En este caso, las conexiones ASDM o SSH no pueden establecer:

ERROR: FAIL to ALLOC the stack page 0xffffffffffffffff[size 36864] to 0x00007fa3b0c29000 errno (mmap:umap) 12:0Message #10 :
First MMAP Req/Updated 36864/45056 Front 0x00007fa3b0c28000 rtn 0x00007fa3b0c29000 back 0x00007fa3b0c32000
Message #11 : process_create: out of stack memory for name accept/ssh_2 size 32768 prio 3
Message #12 : _listen_ssh: failed to create thread for interface 2 port 22

Consulte la identificación de error de Cisco CSCwc23844 "ASAv high CPU and stack memory allocation errors a pesar de tener más de 30% de memoria libre".  La solución temporal es reiniciar el firewall.

Referencias

• Notas de la versión de Cisco Secure Firewall ASA
• Notas de la versión de Cisco Secure Firewall ASDM
• Compatibilidad con Cisco Secure Firewall ASA
• logging rate-limit command reference

Problema 2. No se puede acceder a la interfaz de usuario de ASDM a través de Java Web Launch-Starting

Para verificar los síntomas, habilite los registros de la consola Java:

Los registros de la consola Java muestran mensajes como estas líneas:

NLPException[category: Download Error : Exception: java.io.FileNotFoundException: https://192.0.2.1/admin/public/asdm.jnlp : LaunchDesc: null
        at com.sun.javaws.Main.launchApp(Unknown Source)
        at com.sun.javaws.Main.continueInSecureThread(Unknown Source)
        at com.sun.javaws.Main.access$000(Unknown Source)
        at com.sun.javaws.Main$1.run(Unknown Source)
        at java.lang.Thread.run(Unknown Source)
Caused by: java.io.FileNotFoundException: https://10.75.32.2/admin/public/asdm.jnlp
        at sun.net.www.protocol.http.HttpURLConnection.getInputStream0(Unknown Source)
        at sun.net.www.protocol.http.HttpURLConnection.access$200(Unknown Source)
        at sun.net.www.protocol.http.HttpURLConnection$9.run(Unknown Source)
        at sun.net.www.protocol.http.HttpURLConnection$9.run(Unknown Source)
        at java.security.AccessController.doPrivileged(Native Method)
        at java.security.AccessController.doPrivilegedWithCombiner(Unknown Source)
        at sun.net.www.protocol.http.HttpURLConnection.getInputStream(Unknown Source)

Solución de problemas: acciones recomendadas

ASDM 7.18 finaliza el soporte para Java Web Launch-A partir de ASDM 7.18, ASDM ya no soporta Java Web Start debido al fin del soporte de Oracle para JRE 8 y Java Network Launching Protocol (JNLP). Debe instalar el punto de ejecución de ASDM para iniciar ASDM. Consulte Release Notes for Cisco Secure Firewall ASDM, 7.18(x).

Referencias

• Notas de la versión de Cisco Secure Firewall ASDM, 7.18(x)

Problema 3. ASDM se bloquea en "Espere mientras ASDM carga la configuración actual desde su dispositivo"

El error que se muestra en la IU de ASDM es:

Solución de problemas: acciones recomendadas

Se trata de un defecto conocido que se rastrea mediante la identificación de error de Cisco CSCvv14818 Ventana emergente engañosa: Espere mientras ASDM carga la configuración actual desde el dispositivo.

Problema 4. Error de inicio de ASDM: Los recursos JAR del archivo JNLP no están firmados por el mismo certificado

El error que se muestra en la IU de ASDM es: "No se puede iniciar la aplicación."

Los logs de ASDM Java muestran: "Los recursos JAR del archivo JNLP no están firmados por el mismo certificado."

Solución de problemas: acciones recomendadas

Se trata de un defecto conocido que se rastrea mediante la identificación de error de Cisco CSCwc13294 ASA: No se puede conectar a ASA mediante ASDM con Java Web Launch

Referencia

https://www.cisco.com/c/en/us/td/docs/security/asdm/7_17/release/notes/rn717.html

Problema 5. ASDM se bloquea al 77% cargando la configuración del dispositivo

El ASDM se atasca en un 77% mientras analiza la configuración en ejecución.

Solución de problemas: acciones recomendadas

Se trata de un defecto conocido que se rastrea mediante el identificador de bug de Cisco CSCvh02586 ASDM se bloquea al 77% cargando la configuración del dispositivo

Problema 6. No se puede acceder a ASDM en el firewall en espera

Solución de problemas: acciones recomendadas

Asegúrese de que ambos firewalls tengan:

Las mismas imágenes de software ASA, por ejemplo:

asa# show run boot
boot system disk0:/cisco-asa-fp1k.9.22.1.1.SPA

Las mismas imágenes de software ASDM, por ejemplo:

asa# show asdm image
Device Manager image file, disk0:/asdm-7221.bin

Problema 7. El ASDM se bloquea al ‘Finalizada la actualización de software’.

La interfaz de usuario de ASDM se bloquea cuando ‘se completa la actualización de software’. fase

En los registros de ASDM Java, verá:

java.lang.NullPointerException
   at vk.cz(vk.java:780)
   at vk.b(vk.java:609)
   at vk.<init>(vk.java:409)
   at com.cisco.pdm.PDMApplet.start(PDMApplet.java:170)
   at com.cisco.nm.dice.loader.Loader$1.run(Loader.java:416)
Exception in Starting Main window
Exception in thread "SGZ Loader: launchSgzApplet" java.lang.NullPointerException
   at com.cisco.pdm.PDMApplet.start(PDMApplet.java:177)
   at com.cisco.nm.dice.loader.Loader$1.run(Loader.java:416)

Tenga en cuenta que el vk, cz, etc. puede ser cualquier carácter, por ejemplo:

java.lang.NullPointerException
              at t6.cr(t6.java:742)
              at t6.b(t6.java:573)
              at t6.<init>(t6.java:386)
              at com.cisco.pdm.PDMApplet.start(PDMApplet.java:168)
              at com.cisco.nm.dice.loader.Loader$1.run(Unknown Source)
Exception in Starting Main window
Exception in thread "SGZ Loader: launchSgzApplet" java.lang.NullPointerException
              at com.cisco.pdm.PDMApplet.start(PDMApplet.java:175)
              at com.cisco.nm.dice.loader.Loader$1.run(Unknown Source)

Solución de problemas: acciones recomendadas

Asegúrese de que su usuario ASDM tenga el nivel de privilegio 15:

asa# show run username
username test password ***** pbkdf2 privilege 3  <- this will not work

Mientras esto funciona:

asa# show run username                         
username test password ***** pbkdf2 privilege 15

Problema 8. El ASDM en el contexto múltiple de ASA se bloquea en un 57% mientras se analiza la configuración en ejecución

La interfaz de usuario de ASDM se atasca en el 57%. La interfaz de usuario muestra: Espere mientras ASDM carga la configuración actual desde el dispositivo.

Solución de problemas: acciones recomendadas

Esto se observa normalmente cuando se cumplen todas estas condiciones:

1. ASA está en modo de contexto múltiple
2. Hay un grupo aaa-server que contiene más de 4 servidores.

Solución

Reduzca el número de aaa-server en el grupo, por ejemplo:

Antes:

aaa-server ACS protocol tacacs+
aaa-server ACS (management) host 192.0.2.1
 key *****
aaa-server ACS (management) host 192.0.2.2
 key *****
aaa-server ACS (management) host 192.0.2.3
 key *****
aaa-server ACS (management) host 192.0.2.4
 key *****
aaa-server ACS (management) host 192.0.2.5
 key *****
aaa-server ACS (management) host 192.0.2.6
 key *****

Cambio:

asa(config)# no aaa-server ACS (management) host 192.0.2.5
asa(config)# no aaa-server ACS (management) host 192.0.2.6

Después de:

aaa-server ACS protocol tacacs+
aaa-server ACS (management) host 192.0.2.1
 key *****
aaa-server ACS (management) host 192.0.2.2
 key *****
aaa-server ACS (management) host 192.0.2.3
 key *****
aaa-server ACS (management) host 192.0.2.4
 key *****

Referencia

https://www.cisco.com/c/en/us/td/docs/security/asa/asa72/configuration/guide/conf_gd/aaa.html#wp1039757

Problema 9. No se puede acceder a ASDM en vASA

Se muestran muchos mensajes como estos:

Problem Details: ERROR: FAIL to ALLOC the stack page 0xffffffffffffffff[size 36864] to 0x00007ff62429c000 errno (mmap:umap) 12:0 First MMAP Req/Updated 36864/45056 Front 0x00007ff62429b000 rtn 0x00007ff62429c000 back 0x00007ff6242a5000

Otros síntomas:

1. Alta utilización de la CPU en la salida 'show cpu' a pesar de que 'show cpu core' muestra una baja cantidad de utilización
2. Errores de asignación de memoria de pila en la consola
3. Incapacidad para conectar SSH al dispositivo
4. Falla el sondeo SNMP

Se trata de un defecto conocido que se rastrea mediante la identificación de error de Cisco CSCwc23844 Errores de asignación de memoria de pila y CPU elevados de ASAv a pesar de tener más de un 30% de memoria libre

Solución de problemas relacionados con ASDM en el SO Windows

Problema 1. ASDM no carga la configuración del firewall cuando utiliza ASA + SFR

El error que se muestra en la IU de ASDM es:

"ASDM no pudo cargar la configuración del firewall. Compruebe la conectividad con el dispositivo o inténtelo de nuevo más tarde."

Solución de problemas: acciones recomendadas

Verifique las notas de la versión de ASDM. Mencionan qué sistema operativo es compatible:

https://www.cisco.com/c/en/us/support/security/adaptive-security-device-manager/products-release-notes-list.html

La sección relacionada:

La captura de pantalla proviene de las notas de la versión de ASDM 7.18:

https://www.cisco.com/c/en/us/td/docs/security/asdm/7_18/release/notes/rn718.html

Como se puede ver, Windows 11 y 2022 no están en la lista.

Además, a partir de ASDM 7.16, en Windows Server 2016 y Server 2019, no se admite la administración ASDM del módulo FirePOWER. También puede utilizar el FMC para gestionar el módulo FirePOWER cuando utilice ASDM para la gestión de ASA.

Sugerencia de Troubleshooting: Verifique los registros de la consola Java en ASDM:

En el caso de un sistema operativo no compatible, verá algo como:

Caused by: java.lang.ExceptionInInitializerError: Exception com.teamdev.jxbrowser.chromium.internal.EnvironmentException: Unsupported operating system. Supported OS: Windows XP (SP2), 7, 8, 10, Vista, 2003 (SP1), 2008, 2012, Mac OS X & Linux. Current OS: Windows 11 [in thread "AWT-EventQueue-0"]
               at com.teamdev.jxbrowser.chromium.internal.Environment.checkEnvironment(Unknown Source)
…

Soluciones

Por lo tanto, para poder administrar el ASA mediante ASDM, las opciones que tiene son:

Opción 1: Administre el módulo ASA y FirePOWER desde otro host antiguo (por ejemplo, Windows 2010, Windows Server 2012, etc.).

Opción 2: Administre el módulo FirePOWER mediante FMC y siga gestionando el ASA mediante ASDM.

Opción 3: Apague el módulo Firepower:

ASA5508# sw-module module sfr shutdown
Shutdown module sfr? [confirm]
Shutdown issued for module sfr.

Opción 4: En caso de que ya no tenga pensado utilizar el módulo Firepower, puede desinstalarlo:

ASA5508# sw-module module sfr uninstall

Opción 5: Trabaje con el TAC de Cisco para aplicar la solución alternativa del ID de bug de Cisco CSCwj51536 para reemplazar manualmente los archivos jxbrowser.jar. Tenga en cuenta que esta solución alternativa aún puede no resolver el problema. En ese caso, debe considerar las opciones anteriores.

Problema 2. ASDM se atasca al descargar paquetes FirePOWER

Solución de problemas: acciones recomendadas

Según las guías de compatibilidad de Firepower, ASDM no es compatible con la gestión de módulos FirePOWER con ASA 9.8(4.45)+, 9.12(4.50)+, 9.14(4.14)+ y 9.16(3.19)+; debe utilizar FMC para gestionar el módulo con estas versiones. Estas versiones de ASA requieren ASDM 7.18(1.152) o posterior, pero la compatibilidad con ASDM para el módulo ASA FirePOWER finalizó con 7.16.

Solución

Por lo tanto, para poder administrar el ASA mediante ASDM, las opciones que tiene son:

Opción 1: Administre el módulo ASA y FirePOWER desde otro host antiguo (por ejemplo, Windows 2010, Windows Server 2012, etc.).

Opción 2: Administre el módulo FirePOWER mediante FMC y siga gestionando el ASA mediante ASDM.

Opción 3: Apague el módulo Firepower:

ASA5508# sw-module module sfr shutdown

¿Apagar el sfr del módulo? [confirm]

Cierre emitido para el módulo sfr.

Opción 4: En caso de que ya no tenga pensado utilizar el módulo Firepower, puede desinstalarlo:

ASA5508# sw-module module sfr uninstall

Referencia

https://www.cisco.com/c/en/us/td/docs/security/firepower/compatibility/firepower-classic-compatibility.html#id_60529

Problema 3. Mensaje de error "Esta aplicación no se puede ejecutar en su PC" mostrado en hosts de Windows

Solución de problemas: acciones recomendadas

Al instalar el punto de ejecución de ASDM, Windows puede reemplazar el destino del acceso directo de ASDM por la ruta de acceso del host de secuencia de comandos de Windows, lo que provoca este error. Para corregir el destino del acceso directo:

1. Elija Start > Cisco ASDM-IDM Launcher, y haga clic con el botón derecho en la aplicación Cisco ASDM-IDM Launcher.
2. Elija Más > Abrir ubicación de archivo. Windows abre el directorio con el icono de acceso directo.
3. Haga clic con el botón derecho del ratón en el icono de acceso directo y seleccione Propiedades.
4. Cambie el destino a: C:\Windows\System32\wscript.exe invisible.vbs run.bat (deje invisible.vbs run.bat al final, ya que estos scripts se utilizan para abrir ASDM).
   

5. Haga clic en Aceptar.

Referencia

https://www.cisco.com/c/en/us/td/docs/security/asdm/7_22/release/notes/rn722.html

Problema 4. Windows no puede encontrar ‘javaw.exe’. Asegúrese de que ha escrito el nombre correctamente y vuelva a intentarlo.

Solución de problemas: acciones recomendadas

• Normalmente, este error está relacionado con la ausencia de Java en el equipo. Asegúrese de que tiene una versión de Java compatible instalada en el host de Windows: https://www.java.com/en/download/help/windows_manual_download.html

https://www.cisco.com/c/en/us/td/docs/security/asdm/7_22/release/notes/rn722.html#id_25472

• Asegúrese de que tiene la ruta exacta del programa Java en la ruta de la variable de entorno de Windows.
• En caso de que el problema se produjera después de una actualización de Java, considere la posibilidad de revertir la versión de Java.
• Asegúrese de que el icono del escritorio ASDM apunte a la ruta de instalación correcta. Si no es así, elimínelo y cree un nuevo acceso directo.

Problema 5. El problema con el acceso directo "C:\Windows\system32\invisible.vbs" en el cuadro Destino no es válido

Error mostrado: El nombre "C:\Windows\system32\invisible.vbs" especificado en el cuadro Destino no es válido. Asegúrese de que la ruta de acceso y el nombre de archivo son correctos.

En algunos casos, el error es: No se encuentra el archivo de script ‘C:\Windows\system32\invisible.vgs’.

Solución de problemas: acciones recomendadas

• Asegúrese de que tiene permisos de administrador cuando instale ASDM en el host de Windows. En algunos casos, la configuración de Active Directory para usuarios de Windows puede restringir el acceso a las ubicaciones de archivos de programa necesarias para iniciar correctamente ASDM en Windows. Se necesita acceso a estos directorios:
  • Carpeta de escritorio
  • C:\Windows\System32C:\Users\<username>\.asdm
  • C:\Program Files (x86)\Cisco Systems

Si Active Directory restringe el acceso al directorio, deberá solicitar acceso al administrador de Active Directory.

• Intente instalar una versión diferente de Java en el host de Windows.

Referencias

https://www.cisco.com/c/en/us/td/docs/security/asdm/7_18/release/notes/rn718.html#id_25476

Problema 6. Windows Script Host No se encuentra el archivo de script "C:\WINDOWS\system32\invisible.vbs"

Al intentar iniciar el punto de ejecución de ASDM, aparece este error:

Solución de problemas: acciones recomendadas

Siga estos pasos:

1. Reinicie el host de Windows y elimine/desinstale todas las instancias del punto de ejecución de ASDM.
2. Reinstale una versión más reciente pero compatible del punto de ejecución de ASDM. Si no hay una versión más reciente, instale el mismo punto de ejecución de ASDM que tenía antes.
3. Asegúrese de que se ha instalado la versión de Java correcta.

También puede intentar utilizar el instalador ASDM basado en OpenJRE, ya que no necesita que Oracle Java esté instalado en el equipo local.

Solución de problemas: acciones recomendadas

Siga estos pasos:

1. Reinicie el host de Windows y elimine/desinstale todas las instancias del punto de ejecución de ASDM.
2. Reinstale una versión más reciente pero compatible del punto de ejecución de ASDM. Si no hay una versión más reciente, instale el mismo punto de ejecución de ASDM que tenía antes.
3. Asegúrese de que se ha instalado la versión de Java correcta.

También puede intentar utilizar el instalador ASDM basado en OpenJRE, ya que no necesita que Oracle Java esté instalado en el equipo local.

Problema 7. ASDM no funciona en Windows Server 2022

Solución de problemas: acciones recomendadas

En el momento de escribir este documento, Windows Server 2022 no es compatible. Consulte las últimas notas de la versión de ASDM de https://www.cisco.com/c/en/us/support/security/adaptive-security-appliance-asa-software/products-release-notes-list.html y, si Windows Server 2022 no aparece en la lista, considere la posibilidad de utilizar un sistema operativo distinto al de la lista admitida.

Problema 8. El tamaño de fuente de la IU de ASDM es demasiado pequeño

Solución de problemas: acciones recomendadas

Pruebe estos pasos:

1.   Busque el archivo javaw.exe que instaló (C:\ProgramData\Oracle\Java\javapath) o cuando tenga un ASDM que ejecuta el Administrador de tareas abierto y localice el servicio que ejecuta:
   
   
   
   2.   Haga clic con el botón derecho -> Propiedades
   3.   Ir a la ficha Compatibilidad
   4. Haga clic en "Cambiar la configuración de ppp alta".
   5. Active la casilla de verificación ‘Use esta configuración para corregir los problemas de escalado de este programa en lugar del que aparece en Configuración’
   6. Active la casilla de verificación "Anular comportamiento de escalado de PPP alto" y seleccione "Sistema (mejorado)":

   Antes:

Después de:

Problema 9. Errores de Java

La interfaz de usuario de ASDM puede mostrar uno o más de estos errores de Java: Error: no se pudo encontrar java.dll

Y/o:

Error: No se encuentra Java SE Runtime Environment.

Y/o:

Error: La clave del Registro ‘Software\JavaSoft\Java Runtime Environment’\CurrentVersion’ tiene el valor ‘x.x’, pero se requiere ‘x.x’.

Solución de problemas: acciones recomendadas

1. Compruebe si hay instaladas otras versiones de Java.
2. Si hay otras versiones instaladas, desinstale todas las versiones de Java. Asegúrese de desinstalar también Java 8.

Consejo: Puede revisar esta clave en el Registro: HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft\Java Runtime Environment para determinar las versiones instaladas. 

También puede confirmar que todas las versiones se han desinstalado completamente mediante esta clave.

Advertencia: Tenga cuidado al trabajar con el registro de Windows.

4. Reinstale una versión de Java compatible.

Problema 10. La versión 7.19.1.94 de ASDM abre el archivo de versión de JRE en el servidor que aún muestra la versión de OracleJRE

Comportamiento normal con openJRE

Normalmente, cuando instala y abre una imagen ASDM basada en JRE, la versión de Java la refleja:

Y hay una carpeta ‘jre’ creada bajo esta ruta: C:\Program Files (x86)\Cisco Systems\ASDM\jre

Allí, usted puede encontrar un archivo de versión que contiene información sobre Azul Zulu:

IMPLEMENTOR="Azul Systems, Inc."
IMPLEMENTOR_VERSION="Zulu8.74.0.17-CA-win64"
JAVA_VERSION="1.8.0_392"
OS_NAME="Windows"
OS_VERSION="5.2"
OS_ARCH="amd64"
SOURCE=".:git:51a769a8708c"

Comportamiento incorrecto con openJRE

Ahora, el problema es que en algunas versiones de ASDM (por ejemplo, 7.19.1.94) la interfaz de usuario muestra:

Y el archivo C:\Program Files (x86)\Cisco Systems\ASDM\jre\release muestra algo como:

JAVA_VERSION="1.8.0_351"
OS_NAME="Windows"
OS_VERSION="5.2"
OS_ARCH="amd64"
SOURCE=".:git:c72692150ec4+"
BUILD_TYPE="commercial"

Solución de problemas: pasos recomendados

Este es un ID de bug de Cisco conocido CSCwf74697 ASDM versión 7.19.1.94 abre el archivo de versión de JRE en el servidor que aún muestra la versión de OracleJRE

Solución alternativa:

Utilice >= 7.18.1.161 o >= 7.19.1.95 versión bin de OpenJRE.

Problema 11. Errores ASDM java "[ERROR] CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing"

Síntomas (ambos deben ser verdaderos):

• ASDM funciona sin problemas.
• ASDM Java logs show

0 [SGZ Loader: launchSgzApplet] ERROR com.cisco.pdm.headless.startup - CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing:
[ERROR] CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing messenger: cqq@1a3c930 46 [SGZ Loader: launchSgzApplet] ERROR com.cisco.pdm.headless.startup –
CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing messenger: cqq@1a3c930 CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing messenger: cqq@1a3c930 Env.isAsdmInHeadlessMode()-------------->false IO Exception occurs while reading the dap file. java.io.FileNotFoundException: https://192.0.2.1 /admin/flash/dap.xml
No CSD version

Solución de problemas: acciones recomendadas

Se trata de un defecto cosmético conocido cuyo seguimiento se realiza mediante la identificación de error de Cisco CSCwe28411 ASDM java errors "[ERROR] CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing"

Resolución de Problemas de Conectividad ASDM

Problema 1. El inicio de ASDM falla debido a que se alcanza el número máximo de sesiones

"El número máximo de sesiones de administración para el protocolo http o el usuario ya existe. Vuelva a intentarlo más tarde" se muestra el mensaje de error en el ASDM:

Se puede mostrar un error similar al cambiar entre los contextos en ASDM.

Solución de problemas: acciones recomendadas

Consulte el ID de bug de Cisco CSCwd04210: ASA: Sesiones ASDM bloqueadas en CLOSE_WAIT causando falta de MGMT".  Debido a este defecto, la sesión de ASDM puede terminar con el mensaje "Conexión perdida con el firewall" y la conexión adicional con el firewall puede ser fallida.

Problema 2. Aumento del tiempo de carga/conexión en ASDM

El tiempo de carga/conexión inicial de ASDM aumenta en las versiones que ejecutan la corrección para el Id. de bug de Cisco CSCvw79912 "Cisco Adaptive Security Device Manager Remote Code Execution Vulnerability".

Solución de problemas: acciones recomendadas

Consulte el ID de bug de Cisco CSCwd58653 "Tiempo de carga/conexión inicial de ASDM aumentado".

Resolución de Problemas Relacionados con la Memoria ASDM 

Problema 1. Interfaz de usuario ASDM inactiva o lenta durante la carga de la configuración

Se observa uno o más de estos síntomas al ejecutar ASDM:

• La interfaz de usuario de ASDM deja de responder o se ralentiza al cargar la configuración.
• "ASDM no ha podido cargar la configuración del firewall. Compruebe la conectividad con el dispositivo e inténtelo de nuevo más tarde". Se muestra el mensaje de error:

• El mensaje "Retrieval of Data (validating configuration)" (Recuperación de datos (validación de la configuración en ejecución)) se muestra durante un período de tiempo prolongado, por ejemplo, varias horas.
• En los registros de la consola Java se muestran estas líneas:

Exception in thread "AWT-EventQueue-0" java.lang.OutOfMemoryError: Java heap space
Exception in thread "LoadConfigThread" java.lang.OutOfMemoryError: GC overhead limit exceeded

or

Exception in thread "AWT-EventQueue-0" java.lang.OutOfMemoryError: Java heap space
java.lang.reflect.InvocationTargetException
              at java.awt.EventQueue.invokeAndWait(Unknown Source)
              at java.awt.EventQueue.invokeAndWait(Unknown Source)
              at javax.swing.SwingUtilities.invokeAndWait(Unknown Source)
              at c1.f(c1.java:483)
              at c1.setVisible(c1.java:455)
              at ve.setVisible(ve.java:165)
              at vd.d(vd.java:873)
              at com.cisco.pdm.PDMApplet.populateLoginHistory(PDMApplet.java:268)
              at com.cisco.pdm.PDMApplet.start(PDMApplet.java:233)
              at com.cisco.nm.dice.loader.Loader$1.run(Loader.java:416)
Caused by: java.lang.OutOfMemoryError: Java heap space

Para verificar este síntoma, habilite los registros de la consola Java:

Solución de problemas: acciones recomendadas

1. Asegúrese de que las versiones de ASA, ASDM y del sistema operativo sean compatibles.  Consulte Notas de la versión de Cisco Secure Firewall ASA, Notas de la versión de Cisco Secure Firewall ASDM, Compatibilidad de Cisco Secure Firewall ASA.
2. Aumente la memoria de configuración de ASDM en los sistemas operativos:

Windows:

• Vaya al directorio de instalación de ASDM; por ejemplo, C:\Program Files (x86)\Cisco Systems\ASDM.
• Edite el archivo run.bat con cualquier editor de texto.
• En la línea que comienza con "start javaw.exe", cambie el argumento con el prefijo "-Xmx" para especificar el tamaño de pila deseado. Por ejemplo, cámbielo a -Xmx768M para 768 MB o -Xmx1G para 1 GB.
• Guarde el archivo run.bat.

SO Mac

• Haga clic con el botón derecho en el icono Cisco ASDM-IDM y elija Show Package Contents.
• En la carpeta Contents, haga doble clic en el archivo Info.plist. Si tiene instaladas las herramientas de desarrollador, se abre en el Editor de lista de propiedades. De lo contrario, se abre en TextEdit.
• En Java > VMOptions, cambie la cadena con el prefijo "-Xmx" para especificar el tamaño de pila deseado. Por ejemplo, cámbielo a -Xmx768M para 768 MB o -Xmx1G para 1 GB.
• Si este archivo está bloqueado, aparece un error como este mensaje:
  

• Haga clic en Desbloquear y guarde el archivo. Si no ve el cuadro de diálogo Desbloquear, salga del editor, haga clic con el botón derecho en el icono Cisco ASDM-IDM, elija Copiar Cisco ASDM-IDM y péguelo en una ubicación donde tenga permisos de escritura, como el escritorio. A continuación, cambie el tamaño del montón de esta copia.

Referencias

• Notas de la versión de Cisco Secure Firewall ASA
• Notas de la versión de Cisco Secure Firewall ASDM
• Compatibilidad con Cisco Secure Firewall ASA

Problema 2. ASDM no puede comunicarse con el firewall

Error: "ASDM no puede ponerse en contacto temporalmente con el firewall". o "No se puede iniciar el administrador de dispositivos" se muestra al iniciar ASDM:

• Algunos de los paquetes de la conexión HTTPS de ASDM se descartan con la razón (ctm-error) de caída de error devuelta por CTM en la ruta de seguridad acelerada (ASP):

# capture asp type asp-drop all buffer 33554432 match ip host 192.0.2.1 host 192.0.2.1 eq https 

# show capture
capture asp type asp-drop all buffer 33554432 [Capturing - 587 bytes]
  match ip host 192.0.2.1 host 192.0.2.2 eq https

# show cap asp
1 packet captured
   1: 10:41:04.850648       192.0.2.1.56667 > 192.0.2.2.443: P 758423982:758424499(517) ack 2534033991 win 64440 Drop-reason: (ctm-error) CTM returned error

• El número de bloques fallidos es para bloques de tamaño 256 y 1550 distinto de cero y el contador FAILED aumenta:

# show block
  SIZE    MAX    LOW    CNT  FAILED
     0   2950   2865   2950      0
     4    400    398    399      0
    80   2500   2369   2500      0
   256   6302      0   6274  50693
  1550  22147      0  22111 769896
  2048   8848   8844   8848      0
  2560   2964   2962   2964      0
  4096    100     99    100      0
  8192    100     99    100      0
  9344    100     99    100      0
 16384    154    153    154      0
 65664     16     16     16      0

• La cantidad de memoria libre en el conjunto de memoria MEMPOOL_DMA es significativamente baja, generalmente alrededor de un par de bytes o kilobytes:

# show memory detail | begin MEMPOOL_DMA

MEMPOOL_DMA POOL STATS:
Non-mmapped bytes allocated =    230686720
Number of free chunks       =          175
Number of mmapped regions   =            0
Mmapped bytes allocated     =            0
Max memory footprint        =    230686720
Keepcost                    =          336
Max contiguous free mem     =        21136
Allocated memory in use     =    230548640
Free memory                 =       138080

Solución de problemas: acciones recomendadas

1. Verifique el ID de bug de Cisco CSCvv71435 "El agotamiento del bloque ASA 256 y/o 1550 causa la asignación no liberada de memoria DMA". Los síntomas del defecto se observan a una velocidad elevada de mensajes syslogs como 302013 o 302014.

Siga los pasos de la sección Solución alternativa.

2. Verifique el ID de bug de Cisco CSCwd58653 "ASDM initial connection/load time enhanced". El tiempo de carga/conexión inicial de ASDM aumentó después de la actualización de ASDM para corregir la versión de la identificación de error de Cisco CSCvw79912 "Cisco Adaptive Security Device Manager Remote Code Execution Vulnerability".