Risoluzione dei problemi di avvio di ASDM

Introduzione

In questo documento viene descritto il processo di risoluzione dei problemi di avvio di Adaptive Security Appliance Device Manager (ASDM).

Introduzione

Il documento fa parte della serie di risoluzione dei problemi ASDM insieme a questi documenti:

Collegamento1<>

Collegamento2<>

Collegamento 3<>

Risoluzione dei problemi di avvio di ASDM

Problema 1.  Su ASDM viene visualizzato il messaggio "Unable to Launch Device Manager from" (Impossibile avviare Gestione dispositivi da)

Uno o più di questi sintomi vengono osservati quando si cerca di connettersi al firewall utilizzando ASDM:

• In ASDM viene visualizzato il messaggio di errore "Impossibile avviare Gestione periferiche da":

• I log di debug Java mostrano una delle seguenti eccezioni:

java.net.ConnectException: Connection timed out: connect
     at java.net.DualStackPlainSocketImpl.waitForConnect(Native Method)

java.net.ConnectException: Connection refused: connect
              at java.net.DualStackPlainSocketImpl.waitForConnect(Native Method)

Trying for ASDM Version file; url = https://192.0.2.1/admin/
java.io.FileNotFoundException: https://192.0.2.1/admin/version.prop

java.net.SocketException: Connection reset
     at java.net.SocketInputStream.read(Unknown Source)
     at java.net.SocketInputStream.read(Unknown Source)
     at sun.security.ssl.SSLSocketInputRecord.read(Unknown Source)

Per verificare questo sintomo, abilitare i log della console Java:

Risoluzione dei problemi - Azioni consigliate

1. Verificare che le versioni ASA, ASDM e del sistema operativo siano compatibili.  Fare riferimento alle note di versione di Cisco Secure Firewall ASA, note di versione di Cisco Secure Firewall ASDM, compatibilità di Cisco Secure Firewall ASA.
2. Sul sistema operativo ospitato da ASDM, verificare che il firewall del sistema operativo e gli altri software di sicurezza consentano i pacchetti di connessioni ASDM in entrambe le direzioni (in entrata e in uscita).

3. Sul sistema operativo (OS) ospitato da ASDM, verificare che il software di sicurezza (ad esempio, antivirus) e i criteri di sicurezza consentano l'esecuzione del software ASDM e Java.
   

4. Verificare che il server HTTP sia abilitato e che siano configurati gli host/le interfacce corretti:

# show run http                           
http server enable
http 192.0.2.0 255.255.255.0 management

Il comando http server enable può scomparire dalla configurazione in esecuzione a causa dell'ID bug Cisco CSCwc67687 "Il failover di ASA HA attiva un errore di riavvio del server HTTP e un'interruzione dell'attività ASDM".

5. Verificare che l'immagine ASDM sia disponibile sulla memoria flash locale e che sia configurata:

# dir flash:
Directory of disk0:/
150    drwx  4096         05:55:01 Nov 14 2024  log
1074037795  -rw-  123665740    23:30:37 Oct 17 2024  asdm.bin

# show run asdm 
asdm image disk0:/asdm.bin
no asdm history enable

6. Verificare che le licenze 3DES/AES siano disponibili, se si sta effettuando la connessione all'ASA tramite l'interfaccia dati:

# show ver | grep Encryption
Encryption hardware device : Cisco ASA Crypto on-board accelerator (revision 0x1)
Encryption-DES                    : Enabled       
Encryption-3DES-AES               : Enabled

7. Se WebVPN è abilitato sulla stessa interfaccia, verificare che siano configurate porte diverse per WebVPN e ASDM. Modificare la porta WebVPN o la porta del server HTTPS.
   Nell'esempio, vengono configurati sia l'accesso WebVPN che l'accesso ASDM. Il servizio WebVPN è in esecuzione sulla porta HTTPS predefinita 443 e la porta HTTPS per ASDM è configurata come 8443:

# show run webvpn 
webvpn
 enable outside <-- default HTTPS port 443

# show run http                           
http server enable 8443 <-- custom HTTPS port 8443
http 192.0.2.0 255.255.255.0 outside

8. Verificare che le connessioni dall'host con ASDM e il firewall siano consentite dai dispositivi intermedi della rete.

Problemi potenziali:

• Routing non corretto
• Inoltro NAT/porta non corretto
• Il traffico è bloccato nel percorso di transito

Dal punto di vista del firewall, per confermare la connettività è possibile configurare le acquisizioni dei pacchetti su interfacce specifiche:

# show run http                           
http server enable
http 192.0.2.0 255.255.255.0 management

# cap capm interface management match tcp any any eq https
# show capture  capm

138 packets captured
   1: 14:20:44.355526       192.0.2.35.50590 > 198.51.100.141.443: S 3649403547:3649403547(0) win 64240 
    
     
    
   2: 14:20:44.356152       198.51.100.141.443 > 192.0.2.35.50590: S 0:0(0) ack 3649403548 win 32768 
    
     
    
   3: 14:20:44.357388       192.0.2.35.50590 > 198.51.100.141.443: . ack 1 win 64240 
   4: 14:20:44.384715       192.0.2.35.50590 > 198.51.100.141.443: P 3649403548:3649403918(370) ack 1 win 32768
   5: 14:20:44.384806       198.51.100.141.443 > 192.0.2.35.50590: . ack 3649403918 win 32398
   6: 14:20:44.385829       198.51.100.141.443 > 192.0.2.35.50590: P 1:760(759) ack 3649403918 win 32768

9. Verificare che l'utilizzo corrente delle risorse ASDM non superi il limite:

# show resource usage resource ASDM
Resource                 Current        Peak      Limit        Denied Context
ASDM                           1           1          5             0 admin

Per controllare l'elenco delle connessioni ASDM attive, usare il comando show conn all protocol tcp port <port>. Assicurarsi di fornire la porta corretta su cui si trovano i server HTTP (show run http).

# show conn all protocol tcp port 443  
2 in use, 8 most used

TCP management  192.0.2.35:50620 NP Identity Ifc  198.51.100.141:443, idle 0:00:08, bytes 119188, flags UOB

In alternativa, il comando show asp table socket può essere usato per verificare le connessioni ASDM attive. Verificare solo le connessioni con la porta su cui è in esecuzione il server HTTP (show run http).

# show asp table socket
Protocol   Socket    State      Local Address             Foreign Address
SSL        0027eb28  LISTEN     198.51.100.141:443         0.0.0.0:*                                   
SSL        00305798  ESTAB      198.51.100.141:443         192.0.2.35:50620   

il comando clear conn all protocol tcp port <port> può essere usato per cancellare le connessioni.

10. Se il comando management-access <interface> è configurato e ASDM si connette all'IP <interface> tramite una connessione VPN (Virtual Private Network), rimuovere e aggiungere nuovamente il comando <interface> management-access. Questa è la soluzione per l'ID bug Cisco CSCvu60373 "ASA - L'accesso alla gestione non funziona sull'interfaccia tunnel".

11. Controllare l'ID bug Cisco CSCwd04210 “ASA: Sessioni ASDM bloccate in CLOSE_WAIT che causano mancanza di MGMT". A causa di questo difetto, la sessione ASDM può terminare con il messaggio "Lost connection to firewall" (Connessione persa al firewall) e l'ulteriore connessione al firewall potrebbe avere esito negativo. Per ovviare al problema, occorre ricaricare il firewall.
    
    
12. Controllare l'ID bug Cisco CSCwh32118 "Quota sessioni di gestione ASDM raggiunta a causa di sessioni HTTP bloccate in CLOSE_WAIT". A causa di questo difetto, la quota delle sessioni di gestione ASDM raggiunge il limite a causa delle sessioni HTTP bloccate nello stato CLOSE_WAIT. I passaggi per la soluzione:

• Verificare l'utilizzo corrente e limitare l'utilizzo delle risorse per ASDM:

# show resource usage resource ASDM
Resource                 Current        Peak      Limit        Denied Context
ASDM                           1           1          5             0 admin

• Se il valore corrente è uguale al limite, verificare lo stato delle sessioni HTTPS:

# debug menu npshim -w
Handle State Intf
...
720108b6 CLOSE_WAIT
57835276 CLOSE_WAIT
58068272 CLOSE_WAIT
6ae93b92 CLOSE_WAIT

• Se sono presenti più voci nello stato CLOSE_WAIT, utilizzare il comando debug menu pdm 3 per cancellare tutte le sessioni.

13. Controllare i sintomi della riduzione dei blocchi nell'output del comando show block, in particolare i valori più bassi nelle colonne LOW e CNT:

• I blocchi da 256 e 1550 byte sono stati esauriti e recuperati:

# show blocks
  SIZE    MAX    LOW    CNT
     0   5700   5608   5700
     4    900    899    899
    80   5000   4575   5000
   256  13568      0  13563  
  1550  50000      0  49974  

• I blocchi di 256 e 1550 byte sono esauriti e non sono stati recuperati:

# show blocks
  SIZE    MAX    LOW    CNT
     0   5700   5608   5700
     4    900    899    899
    80   5000   4575   5000
   256  13568      0      0
  1550  50000      0      0  

Fare riferimento all'ID bug Cisco CSCvv71435 "ASA 256 and/or 1550 block deplection cause DMA Memory unrelease allocation" (L'esaurimento dei blocchi ASA 256 e/o 1550 causa un'allocazione non rilasciata della memoria DMA).

Le opzioni per la soluzione alternativa:

1. La velocità di creazione dei messaggi syslog per il limite di velocità è elevata. Gli ID di messaggi più comuni che consentono di creare un numero elevato di messaggi sono i messaggi per la creazione e la disinstallazione della connessione, ad esempio:

%ASA-6-302013: Built {inbound|outbound} TCP connection_id for interface:real-address/real-port (mapped-address/mapped-port) [(idfw_user)] to interface:real-address/real-port (mapped-address/mapped-port) [(idfw_user)] [(user)]
 %ASA-6-302014: Teardown TCP connection id for interface :real-address /real-port [(idfw_user )] to interface :real-address /real-port [(idfw_user )] duration hh:mm:ss bytes bytes [reason [from teardown-initiator]] [(user )]

In questo caso, una possibile configurazione del limite di velocità avrà il seguente aspetto:

logging rate-limit 1 10000 message 302013 
logging rate-limit 1 10000 message 302014

Altri messaggi potenziali sono: 302015 / 302016 / 302017 / 302018 / 302020 / 302036 / 302303 / 302304 / 302305 / 302306. Riferimento: registrazione della guida di riferimento ai comandi di rate-limit.

2.  Disabilita la velocità di creazione dei messaggi di log:

no logging message 302013 
no logging message 302014 

3. L'opzione Reactive consiste nel ricaricare il dispositivo per rilasciare la memoria DMA allocata. Prendere in considerazione l'utilizzo di una delle misure preventive per evitare il ripetersi del problema. 

14. Verificare che registri come queste righe siano visualizzati nella console ASA. In questo caso, le connessioni ASDM o SSH non riescono a stabilire:

ERROR: FAIL to ALLOC the stack page 0xffffffffffffffff[size 36864] to 0x00007fa3b0c29000 errno (mmap:umap) 12:0Message #10 :
First MMAP Req/Updated 36864/45056 Front 0x00007fa3b0c28000 rtn 0x00007fa3b0c29000 back 0x00007fa3b0c32000
Message #11 : process_create: out of stack memory for name accept/ssh_2 size 32768 prio 3
Message #12 : _listen_ssh: failed to create thread for interface 2 port 22

Fare riferimento all'ID bug Cisco CSCwc23844 "ASAv high CPU and stack memory allocation errors but even oltre 30% free memory" (Errori di allocazione memoria e CPU elevata ASAv nonostante oltre il 30% di memoria libera).  Per ovviare al problema, è necessario riavviare il firewall.

Riferimenti

• Note sulla release di Cisco Secure Firewall ASA
• Note sulla release di Cisco Secure Firewall ASDM
• Compatibilità ASA Cisco Secure Firewall
• logging rate-limit command reference

Problema 2. L'interfaccia utente ASDM non è accessibile tramite Java Web Launch-Starting (Avvio Web Java)

Per verificare i sintomi, abilitare i log della console Java:

Nei log della console Java vengono visualizzati messaggi simili alle seguenti righe:

NLPException[category: Download Error : Exception: java.io.FileNotFoundException: https://192.0.2.1/admin/public/asdm.jnlp : LaunchDesc: null
        at com.sun.javaws.Main.launchApp(Unknown Source)
        at com.sun.javaws.Main.continueInSecureThread(Unknown Source)
        at com.sun.javaws.Main.access$000(Unknown Source)
        at com.sun.javaws.Main$1.run(Unknown Source)
        at java.lang.Thread.run(Unknown Source)
Caused by: java.io.FileNotFoundException: https://10.75.32.2/admin/public/asdm.jnlp
        at sun.net.www.protocol.http.HttpURLConnection.getInputStream0(Unknown Source)
        at sun.net.www.protocol.http.HttpURLConnection.access$200(Unknown Source)
        at sun.net.www.protocol.http.HttpURLConnection$9.run(Unknown Source)
        at sun.net.www.protocol.http.HttpURLConnection$9.run(Unknown Source)
        at java.security.AccessController.doPrivileged(Native Method)
        at java.security.AccessController.doPrivilegedWithCombiner(Unknown Source)
        at sun.net.www.protocol.http.HttpURLConnection.getInputStream(Unknown Source)

Risoluzione dei problemi - Azioni consigliate

ASDM 7.18: termine del supporto per Java Web Launch-A partire da ASDM 7.18, ASDM non supporta più Java Web Start a causa della fine del supporto di Oracle per JRE 8 e Java Network Launching Protocol (JNLP). Per avviare ASDM, è necessario installare l'utilità di avvio di ASDM. Fare riferimento alle note sulla versione di Cisco Secure Firewall ASDM, 7.18(x).

Riferimenti

• Note sulla versione di Cisco Secure Firewall ASDM, 7.18(x)

Problema 3. ASDM rimane bloccato in "Attendere. Caricamento della configurazione corrente dal dispositivo in corso"

L'errore visualizzato sull'interfaccia utente di ASDM è:

Risoluzione dei problemi - Azioni consigliate

Questo è un problema noto rilevato dall'ID bug Cisco CSCv14818 Popup fuorviante: Attendere. Caricamento della configurazione corrente dal dispositivo in corso.

Problema 4. Errore di avvio di ASDM: Le risorse JAR nel file JNLP non sono firmate con lo stesso certificato

L'errore visualizzato sull'interfaccia utente di ASDM è: ‘Impossibile avviare l'applicazione.’

I log Java ASDM mostrano: "Le risorse JAR nel file JNLP non sono firmate con lo stesso certificato"

Risoluzione dei problemi - Azioni consigliate

Questo è un problema noto rilevato dall'ID bug Cisco CSCwc13294 ASA: Impossibile connettersi ad ASA utilizzando ASDM con Java Web Launch

Riferimento

https://www.cisco.com/c/en/us/td/docs/security/asdm/7_17/release/notes/rn717.html

Problema 5. L'ASDM si blocca al 77% durante il caricamento della configurazione del dispositivo

L'ASDM rimane bloccato al 77% durante l'analisi della configurazione in esecuzione.

Risoluzione dei problemi - Azioni consigliate

Questo è un problema noto rilevato dall'ID bug Cisco CSCvh02586 ASDM si blocca al 77% durante il caricamento della configurazione del dispositivo

Problema 6. Impossibile accedere a ASDM sul firewall in standby

Risoluzione dei problemi - Azioni consigliate

Verificare che entrambi i firewall dispongano di:

Le stesse immagini software dell'ASA, ad esempio:

asa# show run boot
boot system disk0:/cisco-asa-fp1k.9.22.1.1.SPA

Le stesse immagini del software ASDM, ad esempio:

asa# show asdm image
Device Manager image file, disk0:/asdm-7221.bin

Problema 7. L'ASDM si blocca quando l'aggiornamento del software è stato completato.

L'interfaccia utente di ASDM rimane bloccata al completamento dell'aggiornamento software. fase

Nei log Java ASDM è possibile vedere:

java.lang.NullPointerException
   at vk.cz(vk.java:780)
   at vk.b(vk.java:609)
   at vk.<init>(vk.java:409)
   at com.cisco.pdm.PDMApplet.start(PDMApplet.java:170)
   at com.cisco.nm.dice.loader.Loader$1.run(Loader.java:416)
Exception in Starting Main window
Exception in thread "SGZ Loader: launchSgzApplet" java.lang.NullPointerException
   at com.cisco.pdm.PDMApplet.start(PDMApplet.java:177)
   at com.cisco.nm.dice.loader.Loader$1.run(Loader.java:416)

Si noti che vk, cz e così via. può essere qualsiasi carattere, ad esempio:

java.lang.NullPointerException
              at t6.cr(t6.java:742)
              at t6.b(t6.java:573)
              at t6.<init>(t6.java:386)
              at com.cisco.pdm.PDMApplet.start(PDMApplet.java:168)
              at com.cisco.nm.dice.loader.Loader$1.run(Unknown Source)
Exception in Starting Main window
Exception in thread "SGZ Loader: launchSgzApplet" java.lang.NullPointerException
              at com.cisco.pdm.PDMApplet.start(PDMApplet.java:175)
              at com.cisco.nm.dice.loader.Loader$1.run(Unknown Source)

Risoluzione dei problemi - Azioni consigliate

Verificare che l'utente ASDM disponga del livello di privilegio 15:

asa# show run username
username test password ***** pbkdf2 privilege 3  <- this will not work

Mentre questo funziona:

asa# show run username                         
username test password ***** pbkdf2 privilege 15

Problema 8. Durante l'analisi della configurazione in esecuzione, ASDM su più contesti ASA si blocca al 57%

L'interfaccia utente di ASDM rimane bloccata al 57%. L'interfaccia utente mostra quanto segue: Attendere. Caricamento della configurazione corrente dal dispositivo in corso.

Risoluzione dei problemi - Azioni consigliate

Ciò si verifica in genere quando vengono soddisfatte tutte le seguenti condizioni:

1. L'appliance ASA è in modalità multi-contesto
2. Esiste un gruppo di server aaa che contiene più di 4 server.

Soluzione

Ridurre il numero di server aaa nel gruppo, ad esempio:

Prima:

aaa-server ACS protocol tacacs+
aaa-server ACS (management) host 192.0.2.1
 key *****
aaa-server ACS (management) host 192.0.2.2
 key *****
aaa-server ACS (management) host 192.0.2.3
 key *****
aaa-server ACS (management) host 192.0.2.4
 key *****
aaa-server ACS (management) host 192.0.2.5
 key *****
aaa-server ACS (management) host 192.0.2.6
 key *****

Cambia:

asa(config)# no aaa-server ACS (management) host 192.0.2.5
asa(config)# no aaa-server ACS (management) host 192.0.2.6

Dopo:

aaa-server ACS protocol tacacs+
aaa-server ACS (management) host 192.0.2.1
 key *****
aaa-server ACS (management) host 192.0.2.2
 key *****
aaa-server ACS (management) host 192.0.2.3
 key *****
aaa-server ACS (management) host 192.0.2.4
 key *****

Riferimento

https://www.cisco.com/c/en/us/td/docs/security/asa/asa72/configuration/guide/conf_gd/aaa.html#wp1039757

Problema 9. Impossibile accedere ad ASDM su vASA

Vengono visualizzati molti messaggi di questo tipo:

Problem Details: ERROR: FAIL to ALLOC the stack page 0xffffffffffffffff[size 36864] to 0x00007ff62429c000 errno (mmap:umap) 12:0 First MMAP Req/Updated 36864/45056 Front 0x00007ff62429b000 rtn 0x00007ff62429c000 back 0x00007ff6242a5000

Altri sintomi:

1. Utilizzo elevato della CPU nell'output 'show cpu' nonostante 'show cpu core' mostri un utilizzo ridotto
2. Errori di allocazione della memoria dello stack nella console
3. Incapacità di SSH sul dispositivo
4. Polling SNMP non riuscito

Questo è un problema noto rilevato dall'ID bug Cisco CSCwc23844 Errori di allocazione della memoria dello stack e della CPU ASAv elevati nonostante oltre il 30% di memoria libera

Risoluzione dei problemi relativi ad ASDM sul sistema operativo Windows

Problema 1. ASDM non carica la configurazione del firewall quando si usa ASA + SFR

L'errore visualizzato sull'interfaccia utente di ASDM è:

"ASDM non è riuscito a caricare la configurazione del firewall. Controllare la connettività al dispositivo o riprovare più tardi.’

Risoluzione dei problemi - Azioni consigliate

Controllare le note sulla versione di ASDM. Essi indicano quale sistema operativo è supportato:

https://www.cisco.com/c/en/us/support/security/adaptive-security-device-manager/products-release-notes-list.html

La sezione correlata:

Lo screenshot è tratto dalle note di rilascio di ASDM 7.18:

https://www.cisco.com/c/en/us/td/docs/security/asdm/7_18/release/notes/rn718.html

Come si può notare, Windows 11 e 2022 non sono nell'elenco.

Inoltre, a partire dalla versione 7.16 di ASDM, su Windows Server 2016 e Server 2019, la gestione ASDM del modulo FirePOWER non è supportata. In alternativa, è possibile usare il FMC per gestire il modulo FirePOWER quando si usa ASDM per la gestione di ASA.

Suggerimento per la risoluzione dei problemi: Controllare i log della console Java su ASDM:

In caso di un sistema operativo non supportato, è possibile vedere qualcosa come:

Caused by: java.lang.ExceptionInInitializerError: Exception com.teamdev.jxbrowser.chromium.internal.EnvironmentException: Unsupported operating system. Supported OS: Windows XP (SP2), 7, 8, 10, Vista, 2003 (SP1), 2008, 2012, Mac OS X & Linux. Current OS: Windows 11 [in thread "AWT-EventQueue-0"]
               at com.teamdev.jxbrowser.chromium.internal.Environment.checkEnvironment(Unknown Source)
…

Soluzioni

Pertanto, per poter gestire l'ASA utilizzando ASDM, le opzioni sono:

Opzione 1: Gestire l'appliance ASA e il modulo FirePOWER da un altro host precedente, ad esempio Windows 2010, Windows Server 2012 e così via.

Opzione 2: Gestire il modulo FirePOWER tramite FMC e continuare a gestire l'ASA tramite ASDM.

Opzione 3: Spegnere il modulo Firepower:

ASA5508# sw-module module sfr shutdown
Shutdown module sfr? [confirm]
Shutdown issued for module sfr.

Opzione 4: Se non si intende più utilizzare il modulo Firepower, è possibile disinstallarlo:

ASA5508# sw-module module sfr uninstall

Opzione 5: Collaborare con Cisco TAC per applicare la soluzione dall'ID bug Cisco CSCwj51536 per sostituire manualmente i file jxbrowser.jar. Si noti, tuttavia, che questa soluzione potrebbe non risolvere il problema. In tal caso, è necessario considerare le opzioni precedenti.

Problema 2. ASDM si blocca durante il download dei pacchetti FirePOWER

Risoluzione dei problemi - Azioni consigliate

In base alle guide alla compatibilità di Firepower, ASDM non è supportato per la gestione dei moduli FirePOWER con ASA 9.8(4.45)+, 9.12(4.50)+, 9.14(4.14)+ e 9.16(3.19)+; è necessario utilizzare FMC per gestire il modulo con queste versioni. Queste versioni ASA richiedono ASDM 7.18(1.152) o versioni successive, ma il supporto ASDM per il modulo ASA FirePOWER è terminato con 7.16.

Soluzione

Pertanto, per poter gestire l'ASA utilizzando ASDM, le opzioni sono:

Opzione 1: Gestire l'appliance ASA e il modulo FirePOWER da un altro host precedente, ad esempio Windows 2010, Windows Server 2012 e così via.

Opzione 2: Gestire il modulo FirePOWER tramite FMC e continuare a gestire l'ASA tramite ASDM.

Opzione 3: Spegnere il modulo Firepower:

ASA5508# sw-module module sfr shutdown

Arrestare il modulo sfr? [conferma]

Chiusura emessa per il modulo sfr.

Opzione 4: Se non si intende più utilizzare il modulo Firepower, è possibile disinstallarlo:

ASA5508# sw-module module sfr uninstall

Riferimento

https://www.cisco.com/c/en/us/td/docs/security/firepower/compatibility/firepower-classic-compatibility.html#id_60529

Problema 3. Messaggio di errore "Impossibile eseguire l'app sul PC" visualizzato sugli host Windows

Risoluzione dei problemi - Azioni consigliate

Quando si installa l'utilità di avvio ASDM, Windows può sostituire la destinazione del collegamento ASDM con il percorso dell'host di scripting di Windows, causando questo errore. Per correggere la destinazione del collegamento:

1. Scegliere Start > Cisco ASDM-IDM Launcher e fare clic con il pulsante destro del mouse sull'applicazione Cisco ASDM-IDM Launcher.
2. Scegliete Altro > Apri percorso file. La directory verrà aperta con l'icona del collegamento.
3. Fare clic con il pulsante destro del mouse sull'icona del collegamento e scegliere Proprietà.
4. Cambiare la destinazione in: C:\Windows\System32\wscript.exe invisible.vbs run.bat (lasciare invisible.vbs run.bat alla fine, poiché questi script vengono utilizzati per aprire ASDM).
   

5. Fare clic su OK.

Riferimento

https://www.cisco.com/c/en/us/td/docs/security/asdm/7_22/release/notes/rn722.html

Problema 4. Impossibile trovare 'javaw.exe'. Verificare di aver digitato correttamente il nome, quindi riprovare.

Risoluzione dei problemi - Azioni consigliate

• Questo errore è in genere correlato alla mancanza di Java nel computer. Verificare che nell'host Windows sia installata una versione compatibile di Java: https://www.java.com/en/download/help/windows_manual_download.html

https://www.cisco.com/c/en/us/td/docs/security/asdm/7_22/release/notes/rn722.html#id_25472

• Assicurarsi di disporre del percorso esatto del programma Java nel percorso della variabile di ambiente di Windows.
• Se il problema si è verificato dopo un aggiornamento Java, provare a eseguire il rollback della versione Java.
• Verificare che l'icona di ASDM Desktop punti al percorso di installazione corretto. In caso contrario, eliminarla e creare un nuovo collegamento.

Problema 5. Il problema con il collegamento "C:\Windows\system32\invisible.vbs" nella casella Destinazione non è valido

Errore visualizzato: Il nome ‘C:\Windows\system32\invisible.vbs’ specificato nella casella Target non è valido. Verificare che il percorso e il nome del file siano corretti.

In alcuni casi, l'errore è: Impossibile trovare il file di script ‘C:\Windows\system32\invisible.vgs’.

Risoluzione dei problemi - Azioni consigliate

• Accertarsi di disporre delle autorizzazioni di amministratore quando si installa ASDM sull'host Windows. In alcuni casi, le impostazioni di Active Directory per gli utenti di Windows possono limitare l'accesso ai percorsi dei file di programma necessari per avviare correttamente ASDM in Windows. È necessario accedere alle seguenti directory:
  • Cartella Desktop
  • C:\Windows\System32C:\Users\<nomeutente>\.asdm
  • File C:\Program (x86)\Cisco Systems

Se Active Directory limita l'accesso alla directory, è necessario richiedere l'accesso all'amministratore di Active Directory.

• Provare a installare una versione diversa di Java sull'host Windows.

Riferimenti

https://www.cisco.com/c/en/us/td/docs/security/asdm/7_18/release/notes/rn718.html#id_25476

Problema 6. Impossibile trovare il file di script "C:\WINDOWS\system32\invisible.vbs"

Quando si tenta di avviare l'utilità di avvio di ASDM, viene visualizzato il seguente messaggio di errore:

Risoluzione dei problemi - Azioni consigliate

Attenersi alla procedura seguente:

1. Riavviare l'host Windows ed eliminare/disinstallare tutte le istanze dell'utilità di avvio di ASDM.
2. Reinstallare una versione più recente, ma ancora compatibile, di ASDM Launcher. Se non è disponibile una versione più recente, installare la stessa utilità di avvio di ASDM installata in precedenza.
3. Assicurarsi che sia stata installata la versione Java corretta.

In alternativa, è possibile provare a utilizzare il programma di installazione ASDM basato su OpenJRE poiché non è necessario che Oracle Java sia installato sul PC locale.

Risoluzione dei problemi - Azioni consigliate

Attenersi alla procedura seguente:

1. Riavviare l'host Windows ed eliminare/disinstallare tutte le istanze dell'utilità di avvio di ASDM.
2. Reinstallare una versione più recente, ma ancora compatibile, di ASDM Launcher. Se non è disponibile una versione più recente, installare la stessa utilità di avvio di ASDM installata in precedenza.
3. Assicurarsi che sia stata installata la versione Java corretta.

In alternativa, è possibile provare a utilizzare il programma di installazione ASDM basato su OpenJRE poiché non è necessario che Oracle Java sia installato sul PC locale.

Problema 7. ASDM non funziona su Windows Server 2022

Risoluzione dei problemi - Azioni consigliate

Al momento della scrittura, Windows Server 2022 non è supportato. Controllare le note di rilascio ASDM più recenti da https://www.cisco.com/c/en/us/support/security/adaptive-security-appliance-asa-software/products-release-notes-list.html e, se Windows Server 2022 non è presente nell'elenco, prendere in considerazione l'utilizzo di un sistema operativo diverso da quello supportato.

Problema 8. Dimensione del tipo di carattere dell'interfaccia utente ASDM insufficiente

Risoluzione dei problemi - Azioni consigliate

Attenersi alla seguente procedura:

1.   Trovare javaw.exe installato (C:\ProgramData\Oracle\Java\javapath) o se ASDM esegue Open Task Manager e individuare il servizio che esegue:
   
   
   
   2.   Clic destro -> Proprietà
   3.   Vai alla scheda Compatibilità
   4. Fare clic su ‘Change high DPI settings’ (Modifica impostazioni DPI alti)
   5. Selezionare la casella di controllo 'Utilizza questa impostazione per risolvere i problemi di ridimensionamento per questo programma invece di quello in Impostazioni'
   6. Selezionare la casella di controllo "Ignora comportamento ridimensionamento DPI elevato" e selezionare "Sistema (avanzato)":

   Prima:

Dopo:

Problema 9. Errori Java

L'interfaccia utente di ASDM può visualizzare uno o più dei seguenti errori Java: Errore: impossibile trovare java.dll

E/o:

Errore: Impossibile trovare Java SE Runtime Environment.

E/o:

Errore: Il valore della chiave del Registro di sistema ‘Software\JavaSoft\Java Runtime Environment’\CurrentVersion’ è ‘x.x’, ma è necessario specificare ‘x.x’.

Risoluzione dei problemi - Azioni consigliate

1. Verificare se sono installate altre versioni di Java.
2. Se sono installate altre versioni, disinstallarle tutte. Assicurarsi di disinstallare anche Java 8.

Suggerimento: È possibile esaminare questa chiave nel Registro di sistema: HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft\Java per determinare le versioni installate. 

È inoltre possibile verificare che tutte le versioni siano completamente disinstallate tramite questo tasto.

Avviso: Prestare attenzione quando si utilizza il Registro di sistema di Windows.

4. Reinstallare una versione Java compatibile.

Problema 10. Il file openJRE versione 7.19.1.94 di ASDM nel back-end mostra ancora la versione di OracleJRE

Comportamento normale con openJRE

In genere, quando si installa e si apre un'immagine ASDM basata su JRE, la versione Java la riflette:

È inoltre disponibile una cartella 'jre' creata in questo percorso: File C:\Program (x86)\Cisco Systems\ASDM\jre

Qui è possibile trovare un file di rilascio che contiene informazioni su Azul Zulu:

IMPLEMENTOR="Azul Systems, Inc."
IMPLEMENTOR_VERSION="Zulu8.74.0.17-CA-win64"
JAVA_VERSION="1.8.0_392"
OS_NAME="Windows"
OS_VERSION="5.2"
OS_ARCH="amd64"
SOURCE=".:git:51a769a8708c"

Comportamento non corretto con openJRE

Il problema è che in alcune versioni ASDM (ad esempio, 7.19.1.94) l'interfaccia utente mostra:

E il file C:\Program Files (x86)\Cisco Systems\ASDM\jre\release mostra qualcosa come:

JAVA_VERSION="1.8.0_351"
OS_NAME="Windows"
OS_VERSION="5.2"
OS_ARCH="amd64"
SOURCE=".:git:c72692150ec4+"
BUILD_TYPE="commercial"

Risoluzione dei problemi - Passi consigliati

Questo è un ID bug Cisco noto CSCwf74697 ASDM versione 7.19.1.94 file di versione openJRE nel back-end che mostra ancora la versione di OracleJRE

Soluzione temporanea:

Utilizzare >= 7.18.1.161 o >= 7.19.1.95 contenitore della versione OpenJRE.

Problema 11. Errori Java ASDM "[ERROR] CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing"

Sintomi (entrambi devono essere veri):

• ASDM funziona senza problemi.
• I log Java ASDM mostrano

0 [SGZ Loader: launchSgzApplet] ERROR com.cisco.pdm.headless.startup - CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing:
[ERROR] CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing messenger: cqq@1a3c930 46 [SGZ Loader: launchSgzApplet] ERROR com.cisco.pdm.headless.startup –
CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing messenger: cqq@1a3c930 CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing messenger: cqq@1a3c930 Env.isAsdmInHeadlessMode()-------------->false IO Exception occurs while reading the dap file. java.io.FileNotFoundException: https://192.0.2.1 /admin/flash/dap.xml
No CSD version

Risoluzione dei problemi - Azioni consigliate

Questo è un difetto cosmetico noto rilevato dall'ID bug Cisco CSCwe28411 ASDM java errors "[ERROR] CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing"

Risoluzione dei problemi di connettività ASDM

Problema 1. L'avvio di ASDM non riesce a causa del raggiungimento del numero massimo di sessioni

"Il numero massimo di sessioni di gestione per il protocollo HTTP o utente esiste già. Riprovare più tardi" viene visualizzato il messaggio di errore su ASDM:

Un errore simile può essere visualizzato quando si passa da un contesto all'altro in ASDM.

Risoluzione dei problemi - Azioni consigliate

Fare riferimento all'ID bug Cisco CSCwd04210: ASA: Sessioni ASDM bloccate in CLOSE_WAIT che causano mancanza di MGMT".  A causa di questo difetto, la sessione ASDM può terminare con il messaggio "Lost connection to firewall" (Connessione persa al firewall) e l'ulteriore connessione al firewall potrebbe avere esito negativo.

Problema 2. Aumento del tempo di caricamento/connessione in ASDM

Il tempo di connessione/caricamento iniziale ASDM aumenta nelle versioni in cui è in esecuzione la correzione per l'ID bug Cisco CSCvw79912 "Cisco Adaptive Security Device Manager Remote Code Execution Vulnerability".

Risoluzione dei problemi - Azioni consigliate

Fare riferimento all'ID bug Cisco CSCwd58653 "ASDM initial connection/load time aid" (Tempo di connessione/caricamento iniziale ASDM aumentato).

Risoluzione dei problemi relativi alla memoria ASDM 

Problema 1. Interfaccia utente ASDM non reattiva e/o lenta durante il caricamento della configurazione

Quando si esegue ASDM si osservano uno o più dei seguenti sintomi:

• L'interfaccia utente di ASDM non risponde e/o risulta lenta durante il caricamento della configurazione.
• "ASDM non è riuscito a caricare la configurazione del firewall. Verificare la connettività al dispositivo e riprovare più tardi" viene visualizzato il messaggio di errore:

• Il messaggio "Recupero dei dati (convalida della configurazione corrente)" viene visualizzato per un periodo di tempo prolungato, ad esempio diverse ore.
• Nei log della console Java vengono visualizzate le seguenti righe:

Exception in thread "AWT-EventQueue-0" java.lang.OutOfMemoryError: Java heap space
Exception in thread "LoadConfigThread" java.lang.OutOfMemoryError: GC overhead limit exceeded

o

Exception in thread "AWT-EventQueue-0" java.lang.OutOfMemoryError: Java heap space
java.lang.reflect.InvocationTargetException
              at java.awt.EventQueue.invokeAndWait(Unknown Source)
              at java.awt.EventQueue.invokeAndWait(Unknown Source)
              at javax.swing.SwingUtilities.invokeAndWait(Unknown Source)
              at c1.f(c1.java:483)
              at c1.setVisible(c1.java:455)
              at ve.setVisible(ve.java:165)
              at vd.d(vd.java:873)
              at com.cisco.pdm.PDMApplet.populateLoginHistory(PDMApplet.java:268)
              at com.cisco.pdm.PDMApplet.start(PDMApplet.java:233)
              at com.cisco.nm.dice.loader.Loader$1.run(Loader.java:416)
Caused by: java.lang.OutOfMemoryError: Java heap space

Per verificare questo sintomo, abilitare i log della console Java:

Risoluzione dei problemi - Azioni consigliate

1. Verificare che le versioni ASA, ASDM e del sistema operativo siano compatibili.  Fare riferimento alle note di versione di Cisco Secure Firewall ASA, note di versione di Cisco Secure Firewall ASDM, compatibilità di Cisco Secure Firewall ASA.
2. Aumentare la memoria di configurazione ASDM sui sistemi operativi:

Windows

• Andare alla directory di installazione di ASDM, ad esempio C:\Program Files (x86)\Cisco Systems\ASDM.
• Modificate il file run.bat con un editor di testo qualsiasi.
• Nella riga che inizia con "start javaw.exe", modificare l'argomento con il prefisso "-Xmx" per specificare la dimensione heap desiderata. Ad esempio, modificarlo in -Xmx768M per 768 MB o -Xmx1G per 1 GB.
• Salvare il file run.bat.

Mac OS

• Fare clic con il pulsante destro del mouse sull'icona Cisco ASDM-IDM e selezionare Show Package Contents.
• Nella cartella Contents, fare doppio clic sul file Info.plist. Se sono installati gli strumenti di sviluppo, questi vengono aperti nell'Editor elenco proprietà. In caso contrario, viene aperto in TextEdit.
• In Java > VMOptions, modificare la stringa con il prefisso "-Xmx" per specificare la dimensione heap desiderata. Ad esempio, modificarlo in -Xmx768M per 768 MB o -Xmx1G per 1 GB.
• Se il file è bloccato, verrà visualizzato un messaggio di errore simile al seguente:
  

• Fare clic su Sblocca e salvare il file. Se la finestra di dialogo Sblocca non viene visualizzata, uscire dall'editor, fare clic con il pulsante destro del mouse sull'icona Cisco ASDM-IDM, scegliere Copia Cisco ASDM-IDM e incollarla in un percorso per cui si dispone di autorizzazioni di scrittura, ad esempio Desktop. Modificare quindi le dimensioni dell'heap da questa copia.

Riferimenti

• Note sulla release di Cisco Secure Firewall ASA
• Note sulla release di Cisco Secure Firewall ASDM
• Compatibilità ASA Cisco Secure Firewall

Problema 2. ASDM non riesce a contattare il firewall

Viene visualizzato il messaggio di errore "ASDM non è temporaneamente in grado di contattare il firewall". oppure quando si avvia ASDM viene visualizzato il messaggio "Unable to Launch Device Manager" (Impossibile avviare Gestione dispositivi):

• Alcuni pacchetti della connessione HTTPS ASDM vengono scartati con il motivo di rilascio dell'errore (ctm-error) restituito da CTM nel percorso di sicurezza accelerato (ASP):

# capture asp type asp-drop all buffer 33554432 match ip host 192.0.2.1 host 192.0.2.1 eq https 

# show capture
capture asp type asp-drop all buffer 33554432 [Capturing - 587 bytes]
  match ip host 192.0.2.1 host 192.0.2.2 eq https

# show cap asp
1 packet captured
   1: 10:41:04.850648       192.0.2.1.56667 > 192.0.2.2.443: P 758423982:758424499(517) ack 2534033991 win 64440 Drop-reason: (ctm-error) CTM returned error

• Il numero di blocchi non riusciti è diverso da zero per i blocchi di dimensioni 256 e 1550 e il contatore FAILED aumenta:

# show block
  SIZE    MAX    LOW    CNT  FAILED
     0   2950   2865   2950      0
     4    400    398    399      0
    80   2500   2369   2500      0
   256   6302      0   6274  50693
  1550  22147      0  22111 769896
  2048   8848   8844   8848      0
  2560   2964   2962   2964      0
  4096    100     99    100      0
  8192    100     99    100      0
  9344    100     99    100      0
 16384    154    153    154      0
 65664     16     16     16      0

• La quantità di memoria libera nel pool di memoria MEMPOOL_DMA è significativamente bassa, generalmente di circa un paio di byte o kilobyte:

# show memory detail | begin MEMPOOL_DMA

MEMPOOL_DMA POOL STATS:
Non-mmapped bytes allocated =    230686720
Number of free chunks       =          175
Number of mmapped regions   =            0
Mmapped bytes allocated     =            0
Max memory footprint        =    230686720
Keepcost                    =          336
Max contiguous free mem     =        21136
Allocated memory in use     =    230548640
Free memory                 =       138080

Risoluzione dei problemi - Azioni consigliate

1. Controllare l'ID bug Cisco CSCv71435 "ASA 256 e/o 1550 block deplection cause DMA Memory unrelease allocation" (L'esaurimento dei blocchi ASA 256 e/o 1550 causa un'allocazione non rilasciata della memoria DMA). I sintomi del difetto sono osservati a una velocità elevata di messaggi syslog come 302013 o 302014.

Attenersi alla procedura descritta nella sezione Soluzione.

2. Controllare l'ID bug Cisco CSCwd58653 "ASDM initial connection/load time aid" (Tempo di connessione/caricamento iniziale ASDM aumentato). Il tempo di connessione/caricamento iniziale ASDM è aumentato dopo l'aggiornamento ASDM per correggere la versione dell'ID bug Cisco CSCvw79912 "Cisco Adaptive Security Device Manager Remote Code Execution Vulnerability".