Dépannage des problèmes de lancement ASDM

Introduction

Ce document décrit la procédure de dépannage pour les problèmes de lancement d'Adaptive Security Appliance Device Manager (ASDM).

Fond

Ce document fait partie de la série de dépannages ASDM, avec les documents suivants :

Liaison1<>

Lien2<>

Lien 3<>

Dépannage des problèmes de lancement ASDM

Problème 1.  Le message « Unable to launch device manager from » s'affiche sur l'ASDM

Un ou plusieurs de ces symptômes sont observés lors d'une tentative de connexion au pare-feu à l'aide de l'ASDM :

• Le message d'erreur « Unable to launch device manager from » s'affiche sur l'ASDM :

• Les journaux de débogage Java présentent l'une des exceptions suivantes :

java.net.ConnectException: Connection timed out: connect
     at java.net.DualStackPlainSocketImpl.waitForConnect(Native Method)

java.net.ConnectException: Connection refused: connect
              at java.net.DualStackPlainSocketImpl.waitForConnect(Native Method)

Trying for ASDM Version file; url = https://192.0.2.1/admin/
java.io.FileNotFoundException: https://192.0.2.1/admin/version.prop

java.net.SocketException: Connection reset
     at java.net.SocketInputStream.read(Unknown Source)
     at java.net.SocketInputStream.read(Unknown Source)
     at sun.security.ssl.SSLSocketInputRecord.read(Unknown Source)

Pour vérifier ce symptôme, activez les journaux de la console Java :

Dépannage - Actions recommandées

1. Assurez-vous que les versions ASA, ASDM et du système d'exploitation sont compatibles.  Reportez-vous aux Notes de version de Cisco Secure Firewall ASA, Notes de version de Cisco Secure Firewall ASDM, Compatibilité Cisco Secure Firewall ASA.
2. Sur le système d'exploitation hébergé par l'ASDM, assurez-vous que le pare-feu du système d'exploitation et les autres logiciels de sécurité autorisent les paquets de connexions ASDM dans les deux directions (entrée et sortie).

3. Sur le système d'exploitation hébergé par l'ASDM, assurez-vous que le logiciel de sécurité (par exemple, un antivirus) et les stratégies de sécurité permettent d'exécuter l'ASDM et le logiciel Java.
   

4. Assurez-vous que le serveur HTTP est activé et que les hôtes/interfaces corrects sont configurés :

# show run http                           
http server enable
http 192.0.2.0 255.255.255.0 management

La commande http server enable peut disparaître de la configuration en cours en raison du bogue Cisco ID CSCwc67687 « ASA HA failover triggers HTTP server restart failure and ASDM outage ».

5. Assurez-vous que l'image ASDM est disponible sur la mémoire flash locale et configurée :

# dir flash:
Directory of disk0:/
150    drwx  4096         05:55:01 Nov 14 2024  log
1074037795  -rw-  123665740    23:30:37 Oct 17 2024  asdm.bin

# show run asdm 
asdm image disk0:/asdm.bin
no asdm history enable

6. Assurez-vous que les licences 3DES/AES sont disponibles, si vous vous connectez à l'ASA via l'interface de données :

# show ver | grep Encryption
Encryption hardware device : Cisco ASA Crypto on-board accelerator (revision 0x1)
Encryption-DES                    : Enabled       
Encryption-3DES-AES               : Enabled

7. Si WebVPN est activé sur la même interface, assurez-vous que différents ports sont configurés pour WebVPN et ASDM. Modifiez le port WebVPN ou le port du serveur HTTPS.
   Dans cet exemple, l'accès WebVPN et l'accès ASDM sont configurés. Le service WebVPN s'exécute sur le port HTTPS par défaut 443 et le port HTTPS pour ASDM est configuré comme 8443 :

# show run webvpn 
webvpn
 enable outside <-- default HTTPS port 443

# show run http                           
http server enable 8443 <-- custom HTTPS port 8443
http 192.0.2.0 255.255.255.0 outside

8. Assurez-vous que les connexions de l'hôte avec l'ASDM et le pare-feu sont autorisées par les périphériques intermédiaires du réseau.

Problèmes potentiels :

• Routage incorrect
• Transfert NAT/port incorrect
• Le trafic est bloqué sur le chemin de transit

Du point de vue du pare-feu, pour confirmer la connectivité, vous pouvez configurer des captures de paquets sur des interfaces spécifiques :

# show run http                           
http server enable
http 192.0.2.0 255.255.255.0 management

# cap capm interface management match tcp any any eq https
# show capture  capm

138 packets captured
   1: 14:20:44.355526       192.0.2.35.50590 > 198.51.100.141.443: S 3649403547:3649403547(0) win 64240 
    
     
    
   2: 14:20:44.356152       198.51.100.141.443 > 192.0.2.35.50590: S 0:0(0) ack 3649403548 win 32768 
    
     
    
   3: 14:20:44.357388       192.0.2.35.50590 > 198.51.100.141.443: . ack 1 win 64240 
   4: 14:20:44.384715       192.0.2.35.50590 > 198.51.100.141.443: P 3649403548:3649403918(370) ack 1 win 32768
   5: 14:20:44.384806       198.51.100.141.443 > 192.0.2.35.50590: . ack 3649403918 win 32398
   6: 14:20:44.385829       198.51.100.141.443 > 192.0.2.35.50590: P 1:760(759) ack 3649403918 win 32768

9. Assurez-vous que l'utilisation actuelle des ressources ASDM ne dépasse pas la limite :

# show resource usage resource ASDM
Resource                 Current        Peak      Limit        Denied Context
ASDM                           1           1          5             0 admin

Utilisez la commande show conn all protocol tcp port <port> pour vérifier la liste des connexions ASDM actives. Assurez-vous de fournir le port correct sur lequel les serveurs du serveur HTTP (show run http).

# show conn all protocol tcp port 443  
2 in use, 8 most used

TCP management  192.0.2.35:50620 NP Identity Ifc  198.51.100.141:443, idle 0:00:08, bytes 119188, flags UOB

Vous pouvez également utiliser la commande show asp table socket pour vérifier les connexions ASDM actives. Assurez-vous de vérifier uniquement les connexions avec le port sur lequel le serveur HTTP est exécuté (show run http).

# show asp table socket
Protocol   Socket    State      Local Address             Foreign Address
SSL        0027eb28  LISTEN     198.51.100.141:443         0.0.0.0:*                                   
SSL        00305798  ESTAB      198.51.100.141:443         192.0.2.35:50620   

La commande clear conn all protocol tcp port <port> peut être utilisée pour effacer les connexions.

10. Si la commande management-access <interface> est configurée et que l'ASDM se connecte à l'<interface> IP via une connexion de réseau privé virtuel (VPN), supprimez et rajoutez la commande management-access <interface>. Il s'agit de la solution de contournement pour l'ID de bogue Cisco CSCvu60373 « ASA - Management-access ne fonctionne pas sur l'interface de tunnel ».

11. Vérifiez l'ID de bogue Cisco CSCwd04210 “ASA : Les sessions ASDM sont bloquées dans CLOSE_WAIT, ce qui entraîne un manque de gestion ». En raison de ce défaut, la session ASDM peut se terminer par le message « Perte de connexion au pare-feu » et la connexion ultérieure au pare-feu peut échouer. La solution de contournement consiste à recharger le pare-feu.
    
    
12. Vérifiez l'ID de bogue Cisco CSCwh32118 «Quota de sessions de gestion ASDM atteint en raison de sessions HTTP bloquées dans CLOSE_WAIT». En raison de ce défaut, le quota des sessions de gestion ASDM atteint en raison de sessions HTTP bloquées dans l'état CLOSE_WAIT. Les étapes de contournement :

• Vérifiez l'utilisation actuelle et limite des ressources pour ASDM :

# show resource usage resource ASDM
Resource                 Current        Peak      Limit        Denied Context
ASDM                           1           1          5             0 admin

• Si la valeur actuelle est identique à la limite, vérifiez l'état des sessions HTTPS :

# debug menu npshim -w
Handle State Intf
...
720108b6 CLOSE_WAIT
57835276 CLOSE_WAIT
58068272 CLOSE_WAIT
6ae93b92 CLOSE_WAIT

• S'il y a plusieurs entrées dans l'état CLOSE_WAIT, utilisez la commande debug menu pdm 3 pour effacer toutes ces sessions.

13. Vérifiez les symptômes d'épuisement des blocs dans le résultat de la commande show blocks, en particulier les valeurs les plus basses dans les colonnes LOW et CNT :

• Les tailles de blocs de 256 et 1 550 octets ont été épuisées et récupérées :

# show blocks
  SIZE    MAX    LOW    CNT
     0   5700   5608   5700
     4    900    899    899
    80   5000   4575   5000
   256  13568      0  13563  
  1550  50000      0  49974  

• Les tailles de blocs de 256 et 1 550 octets ont été épuisées et n'ont pas été récupérées :

# show blocks
  SIZE    MAX    LOW    CNT
     0   5700   5608   5700
     4    900    899    899
    80   5000   4575   5000
   256  13568      0      0
  1550  50000      0      0  

Reportez-vous à l'ID de bogue Cisco CSCv71435 « ASA 256 and/or 1550 block depletion causes DMA Memory unrelease allocation ».

Les options de contournement :

1. Taux limite de messages syslog créés à un taux élevé. Les ID de messages les plus courants qui créeraient un taux élevé de messages sont les messages de création et d'interruption de connexion, tels que :

%ASA-6-302013: Built {inbound|outbound} TCP connection_id for interface:real-address/real-port (mapped-address/mapped-port) [(idfw_user)] to interface:real-address/real-port (mapped-address/mapped-port) [(idfw_user)] [(user)]
 %ASA-6-302014: Teardown TCP connection id for interface :real-address /real-port [(idfw_user )] to interface :real-address /real-port [(idfw_user )] duration hh:mm:ss bytes bytes [reason [from teardown-initiator]] [(user )]

Dans ce cas, une configuration de limite de débit possible ressemblerait à ceci :

logging rate-limit 1 10000 message 302013 
logging rate-limit 1 10000 message 302014

Les autres messages potentiels sont les suivants : 302015 / 302016 / 302017 / 302018 / 302020 / 302036 / 302303 / 302304 / 302305 / 302306. Référence : logging rate-limit command reference.

2.  Désactivez les messages de journal créés à un taux élevé :

no logging message 302013 
no logging message 302014 

3. L'option Réactive consiste à recharger le périphérique pour libérer la mémoire DMA allouée. Envisagez d'utiliser l'une des mesures préventives pour éviter que ce problème ne se reproduise. 

14. Vérifiez si des journaux tels que ces lignes sont affichés dans la console ASA. Dans ce cas, les connexions ASDM ou SSH ne parviennent pas à établir :

ERROR: FAIL to ALLOC the stack page 0xffffffffffffffff[size 36864] to 0x00007fa3b0c29000 errno (mmap:umap) 12:0Message #10 :
First MMAP Req/Updated 36864/45056 Front 0x00007fa3b0c28000 rtn 0x00007fa3b0c29000 back 0x00007fa3b0c32000
Message #11 : process_create: out of stack memory for name accept/ssh_2 size 32768 prio 3
Message #12 : _listen_ssh: failed to create thread for interface 2 port 22

Référez-vous à l'ID de bogue Cisco CSCwc23844 « Erreurs d'allocation de mémoire de pile et de CPU élevée ASAv malgré plus de 30 % de mémoire libre ».  La solution temporaire consiste à redémarrer le pare-feu.

Références

• Notes de version de Cisco Secure Firewall ASA
• Notes de version de Cisco Secure Firewall ASDM
• Compatibilité Cisco Secure Firewall ASA
• logging rate-limit, référence de commande

Problème 2. L'interface utilisateur ASDM est inaccessible via Java Web Launch-Starting

Pour vérifier les symptômes, activez les journaux de la console Java :

Les journaux de la console Java affichent des messages tels que les lignes suivantes :

NLPException[category: Download Error : Exception: java.io.FileNotFoundException: https://192.0.2.1/admin/public/asdm.jnlp : LaunchDesc: null
        at com.sun.javaws.Main.launchApp(Unknown Source)
        at com.sun.javaws.Main.continueInSecureThread(Unknown Source)
        at com.sun.javaws.Main.access$000(Unknown Source)
        at com.sun.javaws.Main$1.run(Unknown Source)
        at java.lang.Thread.run(Unknown Source)
Caused by: java.io.FileNotFoundException: https://10.75.32.2/admin/public/asdm.jnlp
        at sun.net.www.protocol.http.HttpURLConnection.getInputStream0(Unknown Source)
        at sun.net.www.protocol.http.HttpURLConnection.access$200(Unknown Source)
        at sun.net.www.protocol.http.HttpURLConnection$9.run(Unknown Source)
        at sun.net.www.protocol.http.HttpURLConnection$9.run(Unknown Source)
        at java.security.AccessController.doPrivileged(Native Method)
        at java.security.AccessController.doPrivilegedWithCombiner(Unknown Source)
        at sun.net.www.protocol.http.HttpURLConnection.getInputStream(Unknown Source)

Dépannage - Actions recommandées

ASDM 7.18 fin de la prise en charge de Java Web Launch : à partir de la version ASDM 7.18, ASDM ne prend plus en charge Java Web Start en raison de la fin de la prise en charge par Oracle de JRE 8 et de Java Network Launching Protocol (JNLP). Vous devez installer le lanceur ASDM pour lancer ASDM. Reportez-vous aux Notes de version de Cisco Secure Firewall ASDM, 7.18(x).

Références

• Notes de version de Cisco Secure Firewall ASDM, 7.18(x)

Problème 3. L'application ASDM est bloquée dans « Veuillez patienter pendant que l'application ASDM charge la configuration actuelle à partir de votre périphérique »

L'erreur affichée sur l'interface utilisateur ASDM est :

Dépannage - Actions recommandées

Il s'agit d'un défaut connu suivi par l'ID de bogue Cisco CSCvv14818 Menu contextuel trompeur : Veuillez patienter pendant que l'application ASDM charge la configuration actuelle à partir de votre périphérique.

Problème 4. Erreur de lancement ASDM : Les ressources JAR du fichier JNLP ne sont pas signées par le même certificat

L'erreur affichée sur l'interface utilisateur ASDM est : « Impossible de lancer l'application. »

Les journaux Java ASDM affichent : « Les ressources JAR du fichier JNLP ne sont pas signées par le même certificat »

Dépannage - Actions recommandées

Il s'agit d'un défaut connu suivi par l'ID de bogue Cisco CSCwc13294 ASA : Impossible de se connecter à ASA avec ASDM avec Java Web Launch

Référence

https://www.cisco.com/c/en/us/td/docs/security/asdm/7_17/release/notes/rn717.html

Problème 5. L’ASDM se bloque à 77 % lors du chargement de la configuration du périphérique

L'ASDM reste bloqué à 77 % lors de l'analyse de la configuration en cours.

Dépannage - Actions recommandées

Il s'agit d'un défaut connu suivi par l'ID de bogue Cisco CSCvh02586 L'ASDM bloque à 77 % de la charge de la configuration du périphérique

Problème 6. Impossible d'accéder à l'ASDM sur le pare-feu de secours

Dépannage - Actions recommandées

Assurez-vous que les deux pare-feu :

Les mêmes images logicielles ASA, par exemple :

asa# show run boot
boot system disk0:/cisco-asa-fp1k.9.22.1.1.SPA

Les mêmes images logicielles ASDM, par exemple :

asa# show asdm image
Device Manager image file, disk0:/asdm-7221.bin

Problème 7. L’ASDM se bloque lorsque la mise à jour logicielle est terminée.

L'interface utilisateur de l'ASDM est bloquée au moment où la mise à jour logicielle est terminée. mettre en phase

Dans les journaux Java ASDM, vous voyez :

java.lang.NullPointerException
   at vk.cz(vk.java:780)
   at vk.b(vk.java:609)
   at vk.<init>(vk.java:409)
   at com.cisco.pdm.PDMApplet.start(PDMApplet.java:170)
   at com.cisco.nm.dice.loader.Loader$1.run(Loader.java:416)
Exception in Starting Main window
Exception in thread "SGZ Loader: launchSgzApplet" java.lang.NullPointerException
   at com.cisco.pdm.PDMApplet.start(PDMApplet.java:177)
   at com.cisco.nm.dice.loader.Loader$1.run(Loader.java:416)

Notez que le vk, cz, etc. peut contenir n'importe quel caractère, par exemple :

java.lang.NullPointerException
              at t6.cr(t6.java:742)
              at t6.b(t6.java:573)
              at t6.<init>(t6.java:386)
              at com.cisco.pdm.PDMApplet.start(PDMApplet.java:168)
              at com.cisco.nm.dice.loader.Loader$1.run(Unknown Source)
Exception in Starting Main window
Exception in thread "SGZ Loader: launchSgzApplet" java.lang.NullPointerException
              at com.cisco.pdm.PDMApplet.start(PDMApplet.java:175)
              at com.cisco.nm.dice.loader.Loader$1.run(Unknown Source)

Dépannage - Actions recommandées

Assurez-vous que votre utilisateur ASDM dispose du niveau de privilège 15 :

asa# show run username
username test password ***** pbkdf2 privilege 3  <- this will not work

Pendant que cela fonctionne :

asa# show run username                         
username test password ***** pbkdf2 privilege 15

Problème 8. L'ASDM sur ASA à contextes multiples se bloque à 57 % lors de l'analyse de la configuration en cours

L'interface utilisateur ASDM est bloquée à 57 %. L'interface utilisateur affiche : Veuillez patienter pendant que l'application ASDM charge la configuration actuelle à partir de votre périphérique.

Dépannage - Actions recommandées

Cela se produit généralement lorsque toutes ces conditions sont remplies :

1. ASA est en mode de contexte multiple
2. Il existe un groupe aaa-server qui contient plus de 4 serveurs.

Solution

Réduisez le nombre de serveurs aaa dans le groupe, par exemple :

Avant :

aaa-server ACS protocol tacacs+
aaa-server ACS (management) host 192.0.2.1
 key *****
aaa-server ACS (management) host 192.0.2.2
 key *****
aaa-server ACS (management) host 192.0.2.3
 key *****
aaa-server ACS (management) host 192.0.2.4
 key *****
aaa-server ACS (management) host 192.0.2.5
 key *****
aaa-server ACS (management) host 192.0.2.6
 key *****

Change:

asa(config)# no aaa-server ACS (management) host 192.0.2.5
asa(config)# no aaa-server ACS (management) host 192.0.2.6

Après :

aaa-server ACS protocol tacacs+
aaa-server ACS (management) host 192.0.2.1
 key *****
aaa-server ACS (management) host 192.0.2.2
 key *****
aaa-server ACS (management) host 192.0.2.3
 key *****
aaa-server ACS (management) host 192.0.2.4
 key *****

Référence

https://www.cisco.com/c/en/us/td/docs/security/asa/asa72/configuration/guide/conf_gd/aaa.html#wp1039757

Problème 9. Impossible d'accéder à ASDM sur vASA

De nombreux messages de ce type sont affichés :

Problem Details: ERROR: FAIL to ALLOC the stack page 0xffffffffffffffff[size 36864] to 0x00007ff62429c000 errno (mmap:umap) 12:0 First MMAP Req/Updated 36864/45056 Front 0x00007ff62429b000 rtn 0x00007ff62429c000 back 0x00007ff6242a5000

Autres symptômes :

1. Utilisation élevée du CPU dans la sortie « show cpu » malgré « show cpu core » montrant une faible utilisation
2. Erreurs d'allocation de mémoire de pile dans la console
3. Incapacité à SSH vers le périphérique
4. L'interrogation SNMP échoue

Il s'agit d'un défaut connu suivi par l'ID de bogue Cisco CSCwc23844 Erreurs d'allocation mémoire CPU et pile élevées ASAv malgré plus de 30 % de mémoire libre

Dépannage des problèmes ASDM sur le système d'exploitation Windows

Problème 1. ASDM ne charge pas la configuration du pare-feu lors de l'utilisation d'ASA + SFR

L'erreur affichée sur l'interface utilisateur ASDM est :

« ASDM n'a pas pu charger la configuration du pare-feu. Vérifiez la connectivité au périphérique ou réessayez ultérieurement. »

Dépannage - Actions recommandées

Consultez les notes de version ASDM. Ils mentionnent le système d'exploitation pris en charge :

https://www.cisco.com/c/en/us/support/security/adaptive-security-device-manager/products-release-notes-list.html

La section correspondante :

La capture d'écran est tirée des notes de version d'ASDM 7.18 :

https://www.cisco.com/c/en/us/td/docs/security/asdm/7_18/release/notes/rn718.html

Comme vous pouvez le constater, Windows 11 et 2022 ne figurent pas dans la liste.

En outre, à partir de la version ASDM 7.16, sur Windows Server 2016 et Server 2019, la gestion ASDM du module FirePOWER n'est pas prise en charge. Vous pouvez également utiliser le FMC pour gérer le module FirePOWER lorsque vous utilisez l'ASDM pour la gestion ASA.

Conseil de dépannage: Vérifiez les journaux de la console Java sur ASDM :

Dans le cas d'un système d'exploitation non pris en charge, vous voyez quelque chose comme :

Caused by: java.lang.ExceptionInInitializerError: Exception com.teamdev.jxbrowser.chromium.internal.EnvironmentException: Unsupported operating system. Supported OS: Windows XP (SP2), 7, 8, 10, Vista, 2003 (SP1), 2008, 2012, Mac OS X & Linux. Current OS: Windows 11 [in thread "AWT-EventQueue-0"]
               at com.teamdev.jxbrowser.chromium.internal.Environment.checkEnvironment(Unknown Source)
…

Solutions

Ainsi, afin de pouvoir gérer l'ASA à l'aide de l'ASDM, les options dont vous disposez sont les suivantes :

Option 1 : Gérez le module ASA et FirePOWER à partir d'un autre hôte plus ancien (par exemple, Windows 2010, Windows Server 2012, etc.).

Option 2 : Gérez le module FirePOWER à l'aide de FMC et continuez à gérer l'ASA à l'aide d'ASDM.

Option 3 : Arrêtez le module Firepower :

ASA5508# sw-module module sfr shutdown
Shutdown module sfr? [confirm]
Shutdown issued for module sfr.

Option 4 : Si vous ne prévoyez plus d'utiliser le module Firepower, vous pouvez le désinstaller :

ASA5508# sw-module module sfr uninstall

Option 5 : Collaborer avec le TAC Cisco pour appliquer la solution de contournement à partir de l'ID de bogue Cisco CSCwj51536 pour remplacer manuellement les fichiers jxbrowser.jar. Notez cependant que cette solution de contournement ne résoudra peut-être pas le problème. Dans ce cas, vous devez tenir compte des options précédentes.

Problème 2. L'application ASDM est bloquée lors du téléchargement des packages FirePOWER

Dépannage - Actions recommandées

Selon les guides de compatibilité Firepower, l'ASDM n'est pas pris en charge pour la gestion des modules FirePOWER avec ASA 9.8(4.45)+, 9.12(4.50)+, 9.14(4.14)+ et 9.16(3.19)+; vous devez utiliser FMC pour gérer le module avec ces versions. Ces versions d'ASA nécessitent ASDM 7.18(1.152) ou une version ultérieure, mais la prise en charge ASDM du module ASA FirePOWER se terminait par 7.16.

Solution

Ainsi, afin de pouvoir gérer l'ASA à l'aide de l'ASDM, les options dont vous disposez sont les suivantes :

Option 1 : Gérez le module ASA et FirePOWER à partir d'un autre hôte plus ancien (par exemple, Windows 2010, Windows Server 2012, etc.).

Option 2 : Gérez le module FirePOWER à l'aide de FMC et continuez à gérer l'ASA à l'aide d'ASDM.

Option 3 : Arrêtez le module Firepower :

ASA5508# sw-module module sfr shutdown

Arrêter le module sfr ? [confirmer]

Arrêt émis pour le module sfr.

Option 4 : Si vous ne prévoyez plus d'utiliser le module Firepower, vous pouvez le désinstaller :

ASA5508# sw-module module sfr uninstall

Référence

https://www.cisco.com/c/en/us/td/docs/security/firepower/compatibility/firepower-classic-compatibility.html#id_60529

Problème 3. Message d'erreur « Cette application ne peut pas s'exécuter sur votre PC » affiché sur les hôtes Windows

Dépannage - Actions recommandées

Lorsque vous installez le lanceur ASDM, Windows peut remplacer la cible de raccourci ASDM par le chemin d'accès de l'hôte de script Windows, ce qui entraîne cette erreur. Pour corriger la cible du raccourci :

1. Choisissez Start > Cisco ASDM-IDM Launcher, puis cliquez avec le bouton droit sur l'application Cisco ASDM-IDM Launcher.
2. Choisissez More > Open file location. Windows ouvre le répertoire avec l'icône de raccourci.
3. Cliquez avec le bouton droit sur l'icône de raccourci et choisissez Propriétés.
4. Remplacez la cible par : C:\Windows\System32\wscript.exe invisible.vbs run.bat (laissez invisible.vbs run.bat à la fin, car ces scripts sont utilisés pour ouvrir l'ASDM).
   

5. Cliquez sur OK.

Référence

https://www.cisco.com/c/en/us/td/docs/security/asdm/7_22/release/notes/rn722.html

Problème 4. Windows ne trouve pas « javaw.exe ». Assurez-vous que vous avez tapé le nom correctement, puis réessayez.

Dépannage - Actions recommandées

• En général, cette erreur est liée à l'absence de Java sur l'ordinateur. Assurez-vous que vous disposez d'une version Java compatible installée sur votre hôte Windows : https://www.java.com/en/download/help/windows_manual_download.html

https://www.cisco.com/c/en/us/td/docs/security/asdm/7_22/release/notes/rn722.html#id_25472

• Assurez-vous que vous disposez du chemin exact du programme Java dans le chemin de la variable d'environnement Windows.
• Si le problème se produit après une mise à niveau de Java, envisagez de restaurer la version de Java.
• Assurez-vous que l'icône ASDM Desktop pointe vers le chemin d'installation approprié. Si ce n'est pas le cas, supprimez-le et créez un raccourci.

Problème 5. Problème avec le raccourci « C:\Windows\system32\invisible.vbs » dans la zone Cible non valide

Erreur affichée : Le nom « C:\Windows\system32\invisible.vbs » spécifié dans la zone Cible n'est pas valide. Assurez-vous que le chemin et le nom de fichier sont corrects.

Dans certains cas, l'erreur est la suivante : Fichier de script « C:\Windows\system32\invisible.vgs » introuvable.

Dépannage - Actions recommandées

• Assurez-vous de disposer des autorisations d'administrateur lorsque vous installez ASDM sur l'hôte Windows. Dans certains cas, les paramètres Active Directory pour les utilisateurs Windows peuvent restreindre l'accès aux emplacements des fichiers programme nécessaires pour lancer correctement ASDM sous Windows. L'accès à ces répertoires est nécessaire :
  • Dossier Bureau
  • C:\Windows\System32C:\Utilisateurs\<nom d'utilisateur>\.asdm
  • C:\Program Fichiers (x86)\Cisco Systems

Si votre Active Directory restreint l'accès à l'annuaire, vous devez demander l'accès à votre administrateur Active Directory.

• Essayez d'installer une autre version de Java sur l'hôte Windows.

Références

https://www.cisco.com/c/en/us/td/docs/security/asdm/7_18/release/notes/rn718.html#id_25476

Problème 6. Windows Script Host : fichier de script « C:\WINDOWS\system32\invisible.vbs » introuvable

Lorsque vous essayez de démarrer le lanceur ASDM, les erreurs suivantes apparaissent :

Dépannage - Actions recommandées

Suivez ces étapes :

1. Redémarrer l'hôte Windows et supprimer/désinstaller toutes les instances du lanceur ASDM.
2. Réinstallez une version plus récente, mais toujours compatible, du lanceur ASDM. S'il n'y a pas de version plus récente, installez le même lanceur ASDM que vous aviez avant.
3. Assurez-vous que la version de Java installée est correcte.

Vous pouvez également essayer d'utiliser le programme d'installation ASDM basé sur OpenJRE, car il n'a pas besoin d'Oracle Java pour être installé sur le PC local.

Dépannage - Actions recommandées

Suivez ces étapes :

1. Redémarrer l'hôte Windows et supprimer/désinstaller toutes les instances du lanceur ASDM.
2. Réinstallez une version plus récente, mais toujours compatible, du lanceur ASDM. S'il n'y a pas de version plus récente, installez le même lanceur ASDM que vous aviez avant.
3. Assurez-vous que la version de Java installée est correcte.

Vous pouvez également essayer d'utiliser le programme d'installation ASDM basé sur OpenJRE, car il n'a pas besoin d'Oracle Java pour être installé sur le PC local.

Problème 7. ASDM ne fonctionne pas sur Windows Server 2022

Dépannage - Actions recommandées

Au moment de la rédaction de ce document, Windows Server 2022 n'était pas pris en charge. Consultez les dernières notes de version d'ASDM à l'adresse https://www.cisco.com/c/en/us/support/security/adaptive-security-appliance-asa-software/products-release-notes-list.html et si Windows Server 2022 n'est pas répertorié, envisagez d'utiliser un système d'exploitation différent de celui pris en charge dans la liste.

Problème 8. La taille de police de l'interface utilisateur ASDM est trop petite

Dépannage - Actions recommandées

Essayez les étapes suivantes :

1.   Recherchez le fichier javaw.exe que vous avez installé (C:\ProgramData\Oracle\Java\javapath) ou si ASDM s'exécute, ouvrez le Gestionnaire des tâches et localisez le service en cours d'exécution :
   
   
   
   2.   Cliquez avec le bouton droit -> Propriétés
   3.   Accéder à l'onglet Compatibilité
   4. Cliquez sur « Modifier les paramètres PPP élevés »
   5. Activez la case à cocher « Utiliser ce paramètre pour résoudre les problèmes de mise à l'échelle de ce programme au lieu de celui des paramètres »
   6. Cochez la case « Override high DPI scaling behavior » et sélectionnez « System (Enhanced) » :

   Avant :

Après :

Problème 9. Erreurs Java

L'interface utilisateur ASDM peut afficher une ou plusieurs des erreurs Java suivantes : Erreur : java.dll introuvable

Et/ou :

Erreur : Impossible de trouver l'environnement d'exécution Java SE.

Et/ou :

Erreur : La clé de registre « Software\JavaSoft\Java Runtime Environment »\CurrentVersion » a la valeur « x.x », mais « x.x » est requis.

Dépannage - Actions recommandées

1. Vérifiez si d'autres versions de Java sont installées.
2. Si d'autres versions sont installées, désinstallez toutes les versions de Java. Assurez-vous également de désinstaller Java 8.

Conseil : Vous pouvez vérifier cette clé dans le Registre : HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft\Java Runtime Environment pour déterminer les versions installées. 

Vous pouvez également vérifier que toutes les versions sont complètement désinstallées à l'aide de cette clé.

Avertissement : Soyez prudent lorsque vous travaillez avec le registre Windows !

4. Réinstallez une version compatible de Java.

Problème 10. ASDM version 7.19.1.94 fichier de version openJRE dans le serveur principal affichant toujours la version OracleJRE

comportement normal avec openJRE

Normalement, lorsque vous installez et ouvrez une image ASDM basée sur JRE, la version Java la reflète :

Un dossier « jre » est créé sous ce chemin : C:\Program Fichiers (x86)\Cisco Systems\ASDM\jre

Vous y trouverez un fichier de version contenant des informations sur Azul Zulu :

IMPLEMENTOR="Azul Systems, Inc."
IMPLEMENTOR_VERSION="Zulu8.74.0.17-CA-win64"
JAVA_VERSION="1.8.0_392"
OS_NAME="Windows"
OS_VERSION="5.2"
OS_ARCH="amd64"
SOURCE=".:git:51a769a8708c"

Comportement incorrect avec openJRE

Maintenant, le problème est que dans certaines versions d'ASDM (par exemple, 7.19.1.94), l'interface utilisateur affiche :

Et le fichier C:\Program Files (x86)\Cisco Systems\ASDM\jre\release affiche quelque chose comme :

JAVA_VERSION="1.8.0_351"
OS_NAME="Windows"
OS_VERSION="5.2"
OS_ARCH="amd64"
SOURCE=".:git:c72692150ec4+"
BUILD_TYPE="commercial"

Dépannage - Étapes recommandées

Il s'agit d'un bogue Cisco connu ID CSCwf74697 ASDM version 7.19.1.94 fichier de version openJRE dans le back-end affichant toujours la version OracleJRE

Solution de contournement:

Utilisez >= 7.18.1.161 ou >= 7.19.1.95 version bin d'OpenJRE.

Problème 11. Erreurs java ASDM « [ERROR] CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing »

Symptômes (les deux doivent être vrais) :

• L'ASDM fonctionne sans problème.
• journaux Java ASDM afficher

0 [SGZ Loader: launchSgzApplet] ERROR com.cisco.pdm.headless.startup - CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing:
[ERROR] CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing messenger: cqq@1a3c930 46 [SGZ Loader: launchSgzApplet] ERROR com.cisco.pdm.headless.startup –
CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing messenger: cqq@1a3c930 CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing messenger: cqq@1a3c930 Env.isAsdmInHeadlessMode()-------------->false IO Exception occurs while reading the dap file. java.io.FileNotFoundException: https://192.0.2.1 /admin/flash/dap.xml
No CSD version

Dépannage - Actions recommandées

Il s'agit d'un défaut cosmétique connu suivi par l'ID de bogue Cisco CSCwe28411 Erreurs java ASDM "[ERROR] CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing"

Dépannage des problèmes de connectivité ASDM

Problème 1. Le lancement de l'ASDM échoue en raison du nombre maximal de sessions atteint

Le nombre maximal de sessions de gestion pour le protocole http ou l'utilisateur existe déjà. Veuillez réessayer plus tard » s'affiche sur l'ASDM :

Une erreur similaire peut être affichée lors de la commutation entre les contextes sur l'ASDM.

Dépannage - Actions recommandées

Référez-vous à l'ID de bogue Cisco CSCwd04210 : ASA : Les sessions ASDM sont bloquées dans CLOSE_WAIT, ce qui entraîne un manque de gestion ».  En raison de ce défaut, la session ASDM peut se terminer par le message « Perte de connexion au pare-feu » et la connexion ultérieure au pare-feu peut échouer.

Problème 2. Augmenter le temps de charge/connexion dans ASDM

Le temps de connexion/chargement initial d'ASDM augmente dans les versions exécutant le correctif pour l'ID de bogue Cisco CSCvw79912 « Vulnérabilité d'exécution de code à distance de Cisco Adaptive Security Device Manager ».

Dépannage - Actions recommandées

Reportez-vous à l'ID de bogue Cisco CSCwd58653 « ASDM initial connection/load time enhanced ».

Dépannage des problèmes liés à la mémoire ASDM 

Problème 1. Interface utilisateur ASDM inactive et/ou lente pendant le chargement de la configuration

Un ou plusieurs de ces symptômes sont observés lors de l'exécution d'ASDM :

• L'interface utilisateur ASDM ne répond plus et/ou est lente lors du chargement de la configuration.
• Le message « ASDM n'a pas pu charger la configuration du pare-feu. Vérifiez la connectivité au périphérique et réessayez plus tard. » Le message d'erreur suivant s'affiche :

• Le message « Retrieval of Data (validating running configuration) » s'affiche pendant une période prolongée, par exemple plusieurs heures.
• Dans les journaux de la console Java, les lignes suivantes sont affichées :

Exception in thread "AWT-EventQueue-0" java.lang.OutOfMemoryError: Java heap space
Exception in thread "LoadConfigThread" java.lang.OutOfMemoryError: GC overhead limit exceeded

ou

Exception in thread "AWT-EventQueue-0" java.lang.OutOfMemoryError: Java heap space
java.lang.reflect.InvocationTargetException
              at java.awt.EventQueue.invokeAndWait(Unknown Source)
              at java.awt.EventQueue.invokeAndWait(Unknown Source)
              at javax.swing.SwingUtilities.invokeAndWait(Unknown Source)
              at c1.f(c1.java:483)
              at c1.setVisible(c1.java:455)
              at ve.setVisible(ve.java:165)
              at vd.d(vd.java:873)
              at com.cisco.pdm.PDMApplet.populateLoginHistory(PDMApplet.java:268)
              at com.cisco.pdm.PDMApplet.start(PDMApplet.java:233)
              at com.cisco.nm.dice.loader.Loader$1.run(Loader.java:416)
Caused by: java.lang.OutOfMemoryError: Java heap space

Pour vérifier ce symptôme, activez les journaux de la console Java :

Dépannage - Actions recommandées

1. Assurez-vous que les versions ASA, ASDM et du système d'exploitation sont compatibles.  Reportez-vous aux Notes de version de Cisco Secure Firewall ASA, Notes de version de Cisco Secure Firewall ASDM, Compatibilité Cisco Secure Firewall ASA.
2. Augmentez la mémoire de configuration ASDM sur les systèmes d'exploitation :

Fenêtres

• Accédez au répertoire d'installation d'ASDM, par exemple C:\Program Files (x86)\Cisco Systems\ASDM.
• Modifiez le fichier run.bat avec un éditeur de texte.
• Dans la ligne qui commence par «start javaw.exe», modifiez l'argument avec le préfixe «-Xmx» pour spécifier la taille de tas souhaitée. Par exemple, changez-le en -Xmx768M pour 768 Mo ou -Xmx1G pour 1 Go.
• Enregistrez le fichier run.bat.

Mac OS

• Cliquez avec le bouton droit sur l'icône Cisco ASDM-IDM et choisissez Show Package Contents.
• Dans le dossier Contents, double-cliquez sur le fichier Info.plist. Si des outils de développement sont installés, ils s'ouvrent dans l'Éditeur de liste de propriétés. Sinon, il s'ouvre dans TextEdit.
• Sous Java > VMOptions, modifiez la chaîne précédée de «-Xmx» pour spécifier la taille de segment de mémoire souhaitée. Par exemple, changez-le en -Xmx768M pour 768 Mo ou -Xmx1G pour 1 Go.
• Si ce fichier est verrouillé, une erreur telle que celle-ci s'affiche :
  

• Cliquez sur Déverrouiller et enregistrez le fichier. Si vous ne voyez pas la boîte de dialogue Déverrouiller, quittez l'éditeur, cliquez avec le bouton droit sur l'icône Cisco ASDM-IDM, choisissez Copier Cisco ASDM-IDM, et collez-la à un emplacement où vous avez des autorisations d'écriture, tel que le Bureau. Modifiez ensuite la taille du tas à partir de cette copie.

Références

• Notes de version de Cisco Secure Firewall ASA
• Notes de version de Cisco Secure Firewall ASDM
• Compatibilité Cisco Secure Firewall ASA

Problème 2. ASDM ne parvient pas à contacter le pare-feu

L'erreur « ASDM est temporairement incapable de contacter le pare-feu. » ou « Impossible de lancer le gestionnaire de périphériques » s'affiche lors du lancement de l'ASDM :

• Certains paquets de la connexion ASDM HTTPS sont abandonnés avec le motif (ctm-error) CTM de rejet d'erreur retourné dans le chemin de sécurité accéléré (ASP) :

# capture asp type asp-drop all buffer 33554432 match ip host 192.0.2.1 host 192.0.2.1 eq https 

# show capture
capture asp type asp-drop all buffer 33554432 [Capturing - 587 bytes]
  match ip host 192.0.2.1 host 192.0.2.2 eq https

# show cap asp
1 packet captured
   1: 10:41:04.850648       192.0.2.1.56667 > 192.0.2.2.443: P 758423982:758424499(517) ack 2534033991 win 64440 Drop-reason: (ctm-error) CTM returned error

• Le nombre de blocs en échec est de 256 et les blocs de taille 1550 sont différents de zéro et le compteur FAILED augmente :

# show block
  SIZE    MAX    LOW    CNT  FAILED
     0   2950   2865   2950      0
     4    400    398    399      0
    80   2500   2369   2500      0
   256   6302      0   6274  50693
  1550  22147      0  22111 769896
  2048   8848   8844   8848      0
  2560   2964   2962   2964      0
  4096    100     99    100      0
  8192    100     99    100      0
  9344    100     99    100      0
 16384    154    153    154      0
 65664     16     16     16      0

• La quantité de mémoire libre dans le pool de mémoire MEMPOOL_DMA est significativement faible, généralement autour de quelques octets ou kilo-octets :

# show memory detail | begin MEMPOOL_DMA

MEMPOOL_DMA POOL STATS:
Non-mmapped bytes allocated =    230686720
Number of free chunks       =          175
Number of mmapped regions   =            0
Mmapped bytes allocated     =            0
Max memory footprint        =    230686720
Keepcost                    =          336
Max contiguous free mem     =        21136
Allocated memory in use     =    230548640
Free memory                 =       138080

Dépannage - Actions recommandées

1. Vérifiez l'ID de bogue Cisco CSCv71435 « ASA 256 and/or 1550 block depletion causes DMA Memory unrelease allocation ». Les symptômes de défaut sont observés à un taux élevé de messages syslog comme 302013 ou 302014.

Suivez les étapes de la section Solution.

2. Vérifiez l'ID de bogue Cisco CSCwd58653 « ASDM initial connection/load time enhanced ». Le temps de connexion/chargement initial d'ASDM a augmenté après la mise à niveau d'ASDM pour corriger la version de l'ID de bogue Cisco CSCvw79912 « Vulnérabilité d'exécution de code à distance de Cisco Adaptive Security Device Manager ».