ASDM起動問題のトラブルシューティング
内容
はじめに
このドキュメントでは、Adaptive Security Appliance(ASA)Device Manager(ASDM)の起動に関する問題のトラブルシューティングプロセスについて説明します。
背景
このドキュメントは、次のドキュメントとともにASDMトラブルシューティングシリーズの一部です。
リンク1<>
リンク2<>
リンク3<>
ASDM起動問題のトラブルシューティング
問題 1. 「Unable to launch device manager from」というメッセージが表示されます
ASDMを使用してファイアウォールに接続しようとすると、次の症状が1つ以上発生します。
- 「Unable to launch device manager from」というメッセージがASDMに表示されます。
- Javaデバッグログには、次のいずれかの例外が表示されます。
java.net.ConnectException: Connection timed out: connect
at java.net.DualStackPlainSocketImpl.waitForConnect(Native Method)
java.net.ConnectException: Connection refused: connect
at java.net.DualStackPlainSocketImpl.waitForConnect(Native Method)
Trying for ASDM Version file; url = https://192.0.2.1/admin/
java.io.FileNotFoundException: https://192.0.2.1/admin/version.prop
java.net.SocketException: Connection reset
at java.net.SocketInputStream.read(Unknown Source)
at java.net.SocketInputStream.read(Unknown Source)
at sun.security.ssl.SSLSocketInputRecord.read(Unknown Source)
この症状を確認するには、Javaコンソールログを有効にします。
トラブルシューティング – 推奨処置
- ASA、ASDM、およびオペレーティングシステムのバージョンに互換性があることを確認します。 『Cisco Secure Firewall ASAリリースノート』、『Cisco Secure Firewall ASDMリリースノート』、『Cisco Secure Firewall ASA互換性』を参照してください。
- ASDMでホストされるオペレーティングシステム(OS)で、OSファイアウォールおよびその他のセキュリティソフトウェアによって、ASDM接続のパケットが両方向(入力および出力)で許可されていることを確認します。
- ASDMがホストするオペレーティングシステム(OS)で、セキュリティソフトウェア(アンチウイルスなど)とセキュリティポリシーでASDMとJavaソフトウェアの実行が許可されていることを確認します。
- HTTPサーバが有効で、正しいホスト/インターフェイスが設定されていることを確認します。
# show run http
http server enable
http 192.0.2.0 255.255.255.0 management
http server enableコマンドが実行コンフィギュレーションに表示されない原因は、Cisco Bug ID CSCwc67687「ASA HAフェールオーバーによってHTTPサーバの再起動の失敗とASDMの停止がトリガーされる」です。
注:この不具合は、最近のASDMソフトウェアリリースで修正されています。詳細については、不具合の詳細を確認してください。
- ASDMイメージがローカルフラッシュで使用でき、設定されていることを確認します。
# dir flash:
Directory of disk0:/
150 drwx 4096 05:55:01 Nov 14 2024 log
1074037795 -rw- 123665740 23:30:37 Oct 17 2024 asdm.bin
# show run asdm
asdm image disk0:/asdm.bin
no asdm history enable
- データインターフェイス経由でASAに接続している場合は、3DES/AESライセンスが使用可能であることを確認します。
# show ver | grep Encryption
Encryption hardware device : Cisco ASA Crypto on-board accelerator (revision 0x1)
Encryption-DES : Enabled
Encryption-3DES-AES : Enabled
- 同じインターフェイスでWebVPNがイネーブルになっている場合は、WebVPNとASDMに異なるポートが設定されていることを確認します。WebVPNポートまたはHTTPSサーバポートを変更します。
この例では、WebVPNアクセスとASDMアクセスの両方が設定されています。WebVPNサービスはデフォルトのHTTPSポート443で実行され、ASDMのHTTPSポートは8443として設定されます。
# show run webvpn
webvpn
enable outside <-- default HTTPS port 443
# show run http
http server enable 8443 <-- custom HTTPS port 8443
http 192.0.2.0 255.255.255.0 outside
- ホストからASDMおよびファイアウォールへの接続が、ネットワーク内の中継装置によって許可されていることを確認します。
潜在的な問題:
- ルーティングに誤りがある
- NAT/ポート転送が正しくない
- トラフィックはトランジットパスでブロックされる
ファイアウォールの観点から、接続を確認するために、特定のインターフェイスでパケットキャプチャを設定できます。
# show run http
http server enable
http 192.0.2.0 255.255.255.0 management
# cap capm interface management match tcp any any eq https
# show capture capm
138 packets captured
1: 14:20:44.355526 192.0.2.35.50590 > 198.51.100.141.443: S 3649403547:3649403547(0) win 64240
2: 14:20:44.356152 198.51.100.141.443 > 192.0.2.35.50590: S 0:0(0) ack 3649403548 win 32768
3: 14:20:44.357388 192.0.2.35.50590 > 198.51.100.141.443: . ack 1 win 64240
4: 14:20:44.384715 192.0.2.35.50590 > 198.51.100.141.443: P 3649403548:3649403918(370) ack 1 win 32768
5: 14:20:44.384806 198.51.100.141.443 > 192.0.2.35.50590: . ack 3649403918 win 32398
6: 14:20:44.385829 198.51.100.141.443 > 192.0.2.35.50590: P 1:760(759) ack 3649403918 win 32768
- ASDMの現在のリソース使用率が制限を超えていないことを確認します。
# show resource usage resource ASDM
Resource Current Peak Limit Denied Context
ASDM 1 1 5 0 admin
show conn all protocol tcp port <port>コマンドを使用して、アクティブなASDM接続のリストを確認します。HTTPサーバがサーバを置く正しいポート(show run http)を指定します。
# show conn all protocol tcp port 443
2 in use, 8 most used
TCP management 192.0.2.35:50620 NP Identity Ifc 198.51.100.141:443, idle 0:00:08, bytes 119188, flags UOB
または、アクティブなASDM接続の確認にshow asp table socketコマンドを使用することもできます。HTTPサーバが実行されているポート(show run http)との接続だけを確認してください。
# show asp table socket
Protocol Socket State Local Address Foreign Address
SSL 0027eb28 LISTEN 198.51.100.141:443 0.0.0.0:*
SSL 00305798 ESTAB 198.51.100.141:443 192.0.2.35:50620
clear conn all protocol tcp port <port> コマンドは接続のクリアに使用できます。
- management-access <interface>コマンドが設定され、ASDMがバーチャルプライベートネットワーク(VPN)接続を介して<interface>のIPに接続している場合は、management-access <interface>を削除してから再度追加してください。これは、Cisco Bug ID CSCvu60373
「ASA - Management-access does not work over Tunnel Interface」というエラーメッセージが表示されます。
- Cisco Bug ID CSCwd04210を確認してください 「ASA:CLOSE_WAITでスタックしたASDMセッションが原因でMGMTが不足しています」この不具合が原因で、ASDMセッションが「Lost connection to firewall」メッセージで終了し、ファイアウォールへのさらなる接続が失敗する可能性があります。回避策は、ファイアウォールをリロードすることです。
- Cisco Bug ID CSCwh32118を確認してください 「HTTPセッションがCLOSE_WAITでスタックしているため、ASDM管理セッションクォータに到達しました」この不具合が原因で、HTTPセッションがCLOSE_WAITステートでスタックしているため、ASDM management-sessionsクォータに達します。回避策の手順は次のとおりです。
- ASDMの現在のリソース使用率を確認し、リソース使用率を制限します。
# show resource usage resource ASDM
Resource Current Peak Limit Denied Context
ASDM 1 1 5 0 admin
- 現在の値が制限と同じ場合は、HTTPSセッションの状態を確認します。
# debug menu npshim -w
Handle State Intf
...
720108b6 CLOSE_WAIT
57835276 CLOSE_WAIT
58068272 CLOSE_WAIT
6ae93b92 CLOSE_WAIT
- CLOSE_WAIT状態のエントリが複数ある場合は、debug menu pdm 3コマンドを使用して、これらのセッションをすべてクリアします。
- show blocksコマンドの出力でブロック枯渇の症状をチェックし、特にLOWおよびCNTカラムの最小値をチェックします。
- 256バイトおよび1550バイトのブロックサイズが使い果たされ、回復した。
# show blocks
SIZE MAX LOW CNT
0 5700 5608 5700
4 900 899 899
80 5000 4575 5000
256 13568 0 13563
1550 50000 0 49974
- 256バイトおよび1550バイトのブロックサイズは使い果たされ、回復されませんでした。
# show blocks
SIZE MAX LOW CNT
0 5700 5608 5700
4 900 899 899
80 5000 4575 5000
256 13568 0 0
1550 50000 0 0
Cisco Bug ID CSCvv71435「ASA 256または1550ブロックの枯渇がDMAメモリの未リリース割り当てを引き起こす」を参照してください。
回避策のオプション:
- レート制限:作成されるsyslogメッセージのレートが高くなります。メッセージの割合が高くなる一般的なメッセージIDの多くは、接続の作成とティアダウンに関するメッセージです。次に例を示します。
%ASA-6-302013: Built {inbound|outbound} TCP connection_id for interface:real-address/real-port (mapped-address/mapped-port) [(idfw_user)] to interface:real-address/real-port (mapped-address/mapped-port) [(idfw_user)] [(user)]
%ASA-6-302014: Teardown TCP connection id for interface :real-address /real-port [(idfw_user )] to interface :real-address /real-port [(idfw_user )] duration hh:mm:ss bytes bytes [reason [from teardown-initiator]] [(user )]
この場合、可能なレート制限の設定は次のようになります。
logging rate-limit 1 10000 message 302013
logging rate-limit 1 10000 message 302014
その他の潜在的なメッセージには、302015/302016/302017/302018/302020/302036/302303/302304/302305/302306があります。リファレンス:logging rate-limitコマンドリファレンス。
- 作成されるログメッセージを高速で無効にします。
no logging message 302013
no logging message 302014
- リアクティブオプションは、デバイスをリロードして、割り当てられたDMAメモリを解放することです。この問題の再発を回避するために、予防策の1つを使用することを検討してください。
- 次のようなログがASAコンソールに表示されるかどうかを確認します。この場合、ASDMまたはSSH接続の確立に失敗します。
ERROR: FAIL to ALLOC the stack page 0xffffffffffffffff[size 36864] to 0x00007fa3b0c29000 errno (mmap:umap) 12:0Message #10 :
First MMAP Req/Updated 36864/45056 Front 0x00007fa3b0c28000 rtn 0x00007fa3b0c29000 back 0x00007fa3b0c32000
Message #11 : process_create: out of stack memory for name accept/ssh_2 size 32768 prio 3
Message #12 : _listen_ssh: failed to create thread for interface 2 port 22
Cisco Bug ID CSCwc23844「空きメモリが30 %を超えているにもかかわらず、ASAvのCPU高使用率とスタックメモリ割り当てエラーが発生する」を参照してください。 一時的な回避策は、ファイアウォールをリブートすることです。
注:この不具合は、最近のASDMソフトウェアリリースで修正されています。詳細については、不具合の詳細を確認してください。
参考資料
- Cisco Secure Firewall ASAリリースノート
- Cisco Secure Firewall ASDMリリースノート
- Cisco Secure Firewall ASAの互換性
- logging rate-limitコマンドリファレンス
問題2: Java Web Launch-Startingを介してASDMユーザインターフェイスにアクセスできない
症状を確認するには、Javaコンソールログを有効にします。
Javaコンソールログには、次のようなメッセージが表示されます。
NLPException[category: Download Error : Exception: java.io.FileNotFoundException: https://192.0.2.1/admin/public/asdm.jnlp : LaunchDesc: null
at com.sun.javaws.Main.launchApp(Unknown Source)
at com.sun.javaws.Main.continueInSecureThread(Unknown Source)
at com.sun.javaws.Main.access$000(Unknown Source)
at com.sun.javaws.Main$1.run(Unknown Source)
at java.lang.Thread.run(Unknown Source)
Caused by: java.io.FileNotFoundException: https://10.75.32.2/admin/public/asdm.jnlp
at sun.net.www.protocol.http.HttpURLConnection.getInputStream0(Unknown Source)
at sun.net.www.protocol.http.HttpURLConnection.access$200(Unknown Source)
at sun.net.www.protocol.http.HttpURLConnection$9.run(Unknown Source)
at sun.net.www.protocol.http.HttpURLConnection$9.run(Unknown Source)
at java.security.AccessController.doPrivileged(Native Method)
at java.security.AccessController.doPrivilegedWithCombiner(Unknown Source)
at sun.net.www.protocol.http.HttpURLConnection.getInputStream(Unknown Source)
トラブルシューティング – 推奨処置
ASDM 7.18 Java Web Launchのサポート終了:ASDM 7.18以降、OracleのJRE 8およびJava Network Launching Protocol(JNLP)のサポート終了により、ASDMではJava Web Startはサポートされなくなりました。 ASDMを起動するには、ASDM Launcherをインストールする必要があります。『Cisco Secure Firewall ASDM 7.18(x)リリースノート』を参照してください。
参考資料
問題3.ASDMが「Please wait while ASDM is loading the current configuration from your device」でスタックする
ASDM UIに表示されるエラーは次のとおりです。
トラブルシューティング – 推奨処置
これは、Cisco Bug ID CSCvv14818によって追跡される既知の不具合です 誤解を招くポップアップ:ASDMがデバイスから現在の設定をロードしている間、お待ちください。
注:この不具合は、最近のASDMソフトウェアリリースで修正されています。詳細については、不具合の詳細を確認してください。
問題 4.ASDM起動エラー: JNLPファイル内のJARリソースが同じ証明書で署名されていません
ASDM UIに「Unable to launch the application」というエラーが表示される。
ASDM Javaログに「JNLPファイル内のJARリソースが同じ証明書で署名されていません」と表示される。
トラブルシューティング – 推奨処置
これは、Cisco Bug ID CSCwc13294によって追跡される既知の不具合です ASA:Java Web LaunchでASDMを使用してASAに接続できない
注:この不具合は、最近のASDMソフトウェアリリースで修正されています。詳細については、不具合の詳細を確認してください。
注:ASDM Java Web Launchのサポートは、リリースコード7.18で終了しました。ASDM 7.18以降、JRE 8およびJava Network Launching Protocol(JNLP)に対するOracleのサポート終了により、ASDMではJava Web Startはサポートされなくなりました。 ASDMを起動するには、ASDM Launcherをインストールする必要があります。
参考
https://www.cisco.com/c/en/us/td/docs/security/asdm/7_17/release/notes/rn717.html
問題 5.ASDMがデバイス設定のロードの77%でハングする
実行コンフィギュレーションの解析中に、ASDMが77 %でスタックする。
トラブルシューティング – 推奨処置
これは、Cisco Bug ID CSCvh02586によって追跡される既知の不具合です ASDMがデバイス設定のロードの77%でハングする
注:この不具合は、最近のASDMソフトウェアリリースで修正されています。詳細については、不具合の詳細を確認してください。
問題 6.スタンバイファイアウォールのASDMにアクセスできない
トラブルシューティング – 推奨処置
両方のファイアウォールに次の機能があることを確認します。
同じASAソフトウェアイメージの例:
asa# show run boot
boot system disk0:/cisco-asa-fp1k.9.22.1.1.SPA
同じASDMソフトウェアイメージで、たとえば次のようになります。
asa# show asdm image
Device Manager image file, disk0:/asdm-7221.bin
問題 7.ASDMが「Software update completed」でハングする。
ASDM UIが「Software update completed.」フェーズでスタックする
ASDM Javaログには次のように表示されます。
java.lang.NullPointerException
at vk.cz(vk.java:780)
at vk.b(vk.java:609)
at vk.<init>(vk.java:409)
at com.cisco.pdm.PDMApplet.start(PDMApplet.java:170)
at com.cisco.nm.dice.loader.Loader$1.run(Loader.java:416)
Exception in Starting Main window
Exception in thread "SGZ Loader: launchSgzApplet" java.lang.NullPointerException
at com.cisco.pdm.PDMApplet.start(PDMApplet.java:177)
at com.cisco.nm.dice.loader.Loader$1.run(Loader.java:416)
vk、czなどには、任意の文字を指定できます。たとえば、
java.lang.NullPointerException
at t6.cr(t6.java:742)
at t6.b(t6.java:573)
at t6.<init>(t6.java:386)
at com.cisco.pdm.PDMApplet.start(PDMApplet.java:168)
at com.cisco.nm.dice.loader.Loader$1.run(Unknown Source)
Exception in Starting Main window
Exception in thread "SGZ Loader: launchSgzApplet" java.lang.NullPointerException
at com.cisco.pdm.PDMApplet.start(PDMApplet.java:175)
at com.cisco.nm.dice.loader.Loader$1.run(Unknown Source)
トラブルシューティング – 推奨処置
ASDMユーザに権限レベル15があることを確認します。
asa# show run username
username test password ***** pbkdf2 privilege 3 <- this will not work
この機能が動作している間:
asa# show run username
username test password ***** pbkdf2 privilege 15
問題 8.ASAマルチコンテキストのASDMが実行コンフィギュレーションの解析中に57 %でハングする
ASDM UIが57 %のままになる。UIには、「Please wait while ASDM is loading the current configuration from your device.」と表示されます。
トラブルシューティング – 推奨処置
これは通常、次のすべての条件が満たされている場合に発生します。
- ASAはマルチコンテキストモードです
- 4台以上のサーバを含むaaa-serverグループが存在する。
解決方法
グループ内のaaa-serverの数を減らします。次に例を示します。
変更前:
aaa-server ACS protocol tacacs+
aaa-server ACS (management) host 192.0.2.1
key *****
aaa-server ACS (management) host 192.0.2.2
key *****
aaa-server ACS (management) host 192.0.2.3
key *****
aaa-server ACS (management) host 192.0.2.4
key *****
aaa-server ACS (management) host 192.0.2.5
key *****
aaa-server ACS (management) host 192.0.2.6
key *****
Change:
asa(config)# no aaa-server ACS (management) host 192.0.2.5
asa(config)# no aaa-server ACS (management) host 192.0.2.6
変更後:
aaa-server ACS protocol tacacs+
aaa-server ACS (management) host 192.0.2.1
key *****
aaa-server ACS (management) host 192.0.2.2
key *****
aaa-server ACS (management) host 192.0.2.3
key *****
aaa-server ACS (management) host 192.0.2.4
key *****
参考
問題 9.vASA上のASDMにアクセスできない
次のような多くのメッセージが表示されます。
Problem Details: ERROR: FAIL to ALLOC the stack page 0xffffffffffffffff[size 36864] to 0x00007ff62429c000 errno (mmap:umap) 12:0 First MMAP Req/Updated 36864/45056 Front 0x00007ff62429b000 rtn 0x00007ff62429c000 back 0x00007ff6242a5000
その他の症状:
- 「show cpu core」では使用率が低くなっていますが、「show cpu」の出力では高いCPU使用率
- コンソールでのスタックメモリ割り当てエラー
- デバイスにSSHを実行できない
- SNMPポーリングが失敗する
これは、Cisco Bug ID CSCwc23844によって追跡される既知の不具合です 空きメモリが30 %を超えているにもかかわらず、ASAvのCPUおよびスタックメモリ割り当てエラーが発生する
注:この不具合は、最近のASDMソフトウェアリリースで修正されています。詳細については、不具合の詳細を確認してください。
Windows OSでのASDM関連の問題のトラブルシューティング
問題 1.ASDMがASA + SFRの使用時にファイアウォール設定をロードしない
ASDM UIに表示されるエラーは次のとおりです。
「ASDMはファイアウォールの設定をロードできませんでした。デバイスへの接続を確認するか、後でもう一度試してください。
トラブルシューティング – 推奨処置
ASDMのリリースノートを確認します。どのOSがサポートされているかが記載されています。
関連するセクション:
スクリーンショットはASDM 7.18リリースノートのものです。
https://www.cisco.com/c/en/us/td/docs/security/asdm/7_18/release/notes/rn718.html
Windows 11と2022がリストにないことがわかります。
また、ASDM 7.16以降と同様に、Windows Server 2016およびServer 2019では、FirePOWERモジュールのASDM管理はサポートされていません。ASA管理にASDMを使用する場合は、FMCを使用してFirePOWERモジュールを管理することもできます。
トラブルシューティングのヒント:ASDMでJavaコンソールログを確認します。
サポートされていないOSの場合は、次のように表示されます。
Caused by: java.lang.ExceptionInInitializerError: Exception com.teamdev.jxbrowser.chromium.internal.EnvironmentException: Unsupported operating system. Supported OS: Windows XP (SP2), 7, 8, 10, Vista, 2003 (SP1), 2008, 2012, Mac OS X & Linux. Current OS: Windows 11 [in thread "AWT-EventQueue-0"]
at com.teamdev.jxbrowser.chromium.internal.Environment.checkEnvironment(Unknown Source)
…
解決方法
したがって、ASDMを使用してASAを管理するには、次のオプションがあります。
オプション1:別の古いホスト(Windows 2010、Windows Server 2012など)からASAおよびFirePOWERモジュールを管理します。
オプション2:FMCを使用してFirePOWERモジュールを管理し、ASDMを使用してASAを引き続き管理します。
オプション3:Firepowerモジュールをシャットダウンします。
ASA5508# sw-module module sfr shutdown
Shutdown module sfr? [confirm]
Shutdown issued for module sfr.
オプション4:Firepowerモジュールを使用する予定がない場合は、アンインストールできます。
ASA5508# sw-module module sfr uninstall
オプション5:Cisco TACと協力して、Cisco Bug ID CSCwj51536 jxbrowser.jarファイルを手動で置き換えます。ただし、この回避策では問題が解決しない可能性があることに注意してください。その場合は、前述のオプションを検討する必要があります。
問題 2.FirePOWERパッケージのダウンロード中にASDMがスタックする
トラブルシューティング – 推奨処置
Firepower互換性ガイドによると、ASDMはASA 9.8(4.45)+、9.12(4.50)+、9.14(4.14)+、および9.16(3.19)+でのFirePOWERモジュール管理ではサポートされていません。これらのリリースでモジュールを管理するには、FMCを使用する必要があります。これらのASAリリースにはASDM 7.18(1.152)以降が必要ですが、ASA FirePOWERモジュールに対するASDMのサポートは7.16で終了しています。
解決方法
したがって、ASDMを使用してASAを管理するには、次のオプションがあります。
オプション1:別の古いホスト(Windows 2010、Windows Server 2012など)からASAおよびFirePOWERモジュールを管理します。
オプション2:FMCを使用してFirePOWERモジュールを管理し、ASDMを使用してASAを引き続き管理します。
オプション3:Firepowerモジュールをシャットダウンします。
ASA5508# sw-module module sfr shutdown
モジュールsfrをシャットダウンしますか?[confirm]
モジュールsfrに対してシャットダウンが発行されました。
オプション4:Firepowerモジュールを使用する予定がない場合は、アンインストールできます。
ASA5508# sw-module module sfr uninstall(登録ユーザ専用)
参考
問題3. Windowsホストに表示される「This app can't run on your PC」エラーメッセージ
トラブルシューティング – 推奨処置
ASDM Launcherをインストールすると、WindowsによってASDMショートカットターゲットがWindows Scripting Hostパスに置き換えられるため、このエラーが発生します。ショートカット・ターゲットを修正するには:
- Start > Cisco ASDM-IDM Launcherの順に選択し、Cisco ASDM-IDM Launcherアプリケーションを右クリックします。
- More > Open file locationの順に選択します。ショートカットアイコンが付いたディレクトリが開きます。
- ショートカットアイコンを右クリックして、Propertiesを選択します。
- ターゲットをC:\Windows\System32\wscript.exe invisible.vbs run.batに変更します(これらのスクリプトはASDMを開くために使用されるため、末尾のinvisible.vbs run.batはそのままにします)。
5. OKをクリックします。
参考
https://www.cisco.com/c/en/us/td/docs/security/asdm/7_22/release/notes/rn722.html
問題 4.'javaw.exe'が見つかりません。名前を正しく入力したことを確認してから、もう一度やり直してください。
トラブルシューティング – 推奨処置
- 通常、このエラーはコンピュータ上のJavaの欠落に関連しています。互換性のあるJavaバージョンがWindowsホストにインストールされていることを確認します。https://www.java.com/en/download/help/windows_manual_download.html
https://www.cisco.com/c/en/us/td/docs/security/asdm/7_22/release/notes/rn722.html#id_25472
- Windows環境変数のパスにJavaプログラムの正確なパスがあることを確認します。
- Javaのアップグレード後に問題が発生した場合は、Javaバージョンのロールバックを検討してください。
- ASDMデスクトップアイコンが適切なインストールパスを指していることを確認します。存在しない場合は、削除して新しいショートカットを作成します。
問題 5.[ターゲット]ボックスのショートカット'C:\Windows\system32\invisible.vbs'に関する問題が無効です
表示されたエラー: [ターゲット]ボックスに指定された名前'C:\Windows\system32\invisible.vbs'が無効です。パスとファイル名が正しいことを確認します。
場合によっては、エラーは「Can not find script file 'C:\Windows\system32\invisible.vgs'.
トラブルシューティング – 推奨処置
- WindowsホストにASDMをインストールするときは、管理者権限があることを確認してください。場合によっては、WindowsユーザのActive Directory(AD)設定で、Windows上でASDMを正常に起動するために必要なプログラムファイルの場所へのアクセスを制限できます。次のディレクトリにアクセスする必要があります。
- デスクトップフォルダ
- C:\Windows\System32C:\Users\<ユーザ名>\.asdm
- C:\Programファイル(x86)\Cisco Systems
Active Directoryがディレクトリアクセスを制限している場合は、Active Directory管理者にアクセス権を要求する必要があります。
- Windowsホストに別のバージョンのJavaをインストールしてみてください。
参考資料
https://www.cisco.com/c/en/us/td/docs/security/asdm/7_18/release/notes/rn718.html#id_25476
問題 6.Windows Script Hostスクリプトファイル「C:\WINDOWS\system32\invisible.vbs」が見つかりません
ASDM Launcherを起動しようとすると、次のエラーが表示されます。
トラブルシューティング – 推奨処置
手順は以下のとおりです。
- Windowsホストをリブートし、ASDM Launcherのすべてのインスタンスを削除またはアンインストールします。
- 互換性のある新しいバージョンのASDM Launcherを再インストールします。新しいバージョンがない場合は、以前と同じASDM Launcherをインストールします。
- 正しいJavaバージョンがインストールされていることを確認します。
または、OpenJREベースのASDMインストーラを使用することもできます。これは、ローカルPCにOracle Javaをインストールする必要がないためです。
トラブルシューティング – 推奨処置
手順は以下のとおりです。
- Windowsホストをリブートし、ASDM Launcherのすべてのインスタンスを削除またはアンインストールします。
- 互換性のある新しいバージョンのASDM Launcherを再インストールします。新しいバージョンがない場合は、以前と同じASDM Launcherをインストールします。
- 正しいJavaバージョンがインストールされていることを確認します。
または、OpenJREベースのASDMインストーラを使用することもできます。これは、ローカルPCにOracle Javaをインストールする必要がないためです。
問題 7.ASDMがWindows Server 2022で機能しない
トラブルシューティング – 推奨処置
このドキュメントの執筆時点では、Windows Server 2022はサポートされていません。https://www.cisco.com/c/en/us/support/security/adaptive-security-appliance-asa-software/products-release-notes-list.htmlで最新のASDMリリースノートを確認して、Windows Server 2022がリストにない場合は、サポート対象リストとは異なるOSを使用することを検討してください。
問題 8.ASDM UIフォントサイズが小さすぎます
トラブルシューティング – 推奨処置
次の手順を試してください。
- インストールしたjavaw.exe(C:\ProgramData\Oracle\Java\javapath)を検索するか、ASDMでタスクマネージャを開き、実行中のサービスを検索します。
- 右クリック – >プロパティ
- [互換性]タブに移動
- [高DPI設定の変更]をクリックします
- [この設定を使用して、このプログラムのスケールの問題を[設定]の設定ではなく修正する]チェックボックスを有効にします
- [高DPIスケール動作を上書き]チェックボックスを有効にし、[システム(拡張)]を選択します。
変更前:
変更後:
問題 9.Javaエラー
ASDM UIに次のJavaエラーが1つ以上表示される場合があります:エラー: could not find java.dll
または:
エラー: Java SEランタイム環境が見つかりませんでした。
または:
エラー:レジストリキー'Software\JavaSoft\Java Runtime Environment'\CurrentVersion'の値は'x.x'ですが、'x.x'が必要です。
トラブルシューティング – 推奨処置
- Javaの他のバージョンがインストールされているかどうかを確認します。
- 他のバージョンがインストールされている場合は、Javaのすべてのバージョンをアンインストールします。Java 8も必ずアンインストールしてください。
ヒント:レジストリのHKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft\Java Runtime Environmentのこのキーを確認すると、インストールされているバージョンを判断できます。
このキーを使用して、すべてのバージョンが完全にアンインストールされたことを確認することもできます。
警告: Windowsレジストリを使用する場合は注意してください。
- 互換性のあるJavaバージョンを再インストールします。
問題 10.バックエンドのASDMバージョン7.19.1.94 openJREバージョンファイルにOracleJREのバージョンが引き続き表示される
openJREの通常の動作
通常、JREベースのASDMイメージをインストールして開くと、Javaバージョンには以下が反映されます。
C:\Program Files (x86)\Cisco Systems\ASDM\jreの下に「jre」フォルダが作成されています。
ここで、Azul Zuluに関する情報を含むリリースファイルを見つけることができます。
IMPLEMENTOR="Azul Systems, Inc."
IMPLEMENTOR_VERSION="Zulu8.74.0.17-CA-win64"
JAVA_VERSION="1.8.0_392"
OS_NAME="Windows"
OS_VERSION="5.2"
OS_ARCH="amd64"
SOURCE=".:git:51a769a8708c"
openJREの誤った動作
現在の問題は、一部のASDMバージョン(7.19.1.94など)ではUIに次のように表示されます。
C:\Program Files (x86)\Cisco Systems\ASDM\jre\releaseファイルには、次のように表示されます。
JAVA_VERSION="1.8.0_351"
OS_NAME="Windows"
OS_VERSION="5.2"
OS_ARCH="amd64"
SOURCE=".:git:c72692150ec4+"
BUILD_TYPE="commercial"
トラブルシューティング – 推奨手順
これは、既知のCisco Bug ID CSCwf74697 バックエンドのASDMバージョン7.19.1.94 openJREバージョンファイルにOracleJREのバージョンが引き続き表示される
注:この不具合は、最近のASDMソフトウェアリリースで修正されています。詳細については、不具合の詳細を確認してください。
回避策:
7.18.1.161または7.19.1.95 OpenJREバージョンbinを>=使用します。
問題 11.ASDM Javaエラー「[ERROR] CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing」
症状(両方ともtrueである必要があります):
- ASDMは問題なく動作します。
- ASDM Javaログに
0 [SGZ Loader: launchSgzApplet] ERROR com.cisco.pdm.headless.startup - CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing:
[ERROR] CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing messenger: cqq@1a3c930 46 [SGZ Loader: launchSgzApplet] ERROR com.cisco.pdm.headless.startup –
CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing messenger: cqq@1a3c930 CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing messenger: cqq@1a3c930 Env.isAsdmInHeadlessMode()-------------->false IO Exception occurs while reading the dap file. java.io.FileNotFoundException: https://192.0.2.1 /admin/flash/dap.xml
No CSD version
トラブルシューティング – 推奨処置
これは、Cisco Bug ID CSCwe28411によって追跡される既知の表面的な不具合です ASDM Javaエラー「[ERROR] CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing」
注:この不具合は、最近のASDMソフトウェアリリースで修正されています。詳細については、不具合の詳細を確認してください
ASDM接続問題のトラブルシューティング
問題 1.セッションの最大数に達したため、ASDMの起動が失敗する
「The maximum number of management session for protocol http or user already exist.Please try again later」というエラーメッセージがASDMに表示されます。
ASDMでコンテキストを切り替える際にも同様のエラーが表示される場合があります。
トラブルシューティング – 推奨処置
Cisco Bug ID CSCwd04210: ASA: ASDM sessions stuck in CLOSE_WAIT causes lack of MGMT」を参照してください。この不具合により、ASDMセッションは「Lost connection to firewall」メッセージで終了し、ファイアウォールへの接続がさらに失敗する可能性があります。
注:この不具合は、最近のASDMソフトウェアリリースで修正されています。詳細については、不具合の詳細を確認してください。
問題 2.ASDMでのロード/接続時間の増加
Cisco Bug ID CSCvw79912「Cisco Adaptive Security Device Managerのリモートコード実行の脆弱性」の修正を実行しているバージョンでは、ASDMの初期接続/ロード時間が長くなります。
トラブルシューティング – 推奨処置
Cisco Bug ID CSCwd58653「ASDM初期接続/ロード時間の増加」を参照してください。
注:この不具合は、最近のASDMソフトウェアリリースで修正されています。詳細については、不具合の詳細を確認してください。
ASDMメモリ関連の問題のトラブルシューティング
問題 1.設定のロード中に応答しない、または反応が遅いASDMユーザインターフェイス
ASDMの実行時に、次の1つ以上の症状が発生します。
- 設定のロード中にASDM UIが応答しなくなったり、反応が遅くなったりします。
- 「ASDM was unable to load the firewall's configuration.Please check connectivity to the device and try again later」というエラーメッセージが表示されます。
- 「Retrieval of Data (validating running configuration)」メッセージが、数時間などの長時間にわたって表示されます。
- Javaコンソールログに次の行が表示されます。
Exception in thread "AWT-EventQueue-0" java.lang.OutOfMemoryError: Java heap space
Exception in thread "LoadConfigThread" java.lang.OutOfMemoryError: GC overhead limit exceeded
または
Exception in thread "AWT-EventQueue-0" java.lang.OutOfMemoryError: Java heap space
java.lang.reflect.InvocationTargetException
at java.awt.EventQueue.invokeAndWait(Unknown Source)
at java.awt.EventQueue.invokeAndWait(Unknown Source)
at javax.swing.SwingUtilities.invokeAndWait(Unknown Source)
at c1.f(c1.java:483)
at c1.setVisible(c1.java:455)
at ve.setVisible(ve.java:165)
at vd.d(vd.java:873)
at com.cisco.pdm.PDMApplet.populateLoginHistory(PDMApplet.java:268)
at com.cisco.pdm.PDMApplet.start(PDMApplet.java:233)
at com.cisco.nm.dice.loader.Loader$1.run(Loader.java:416)
Caused by: java.lang.OutOfMemoryError: Java heap space
この症状を確認するには、Javaコンソールログを有効にします。
トラブルシューティング – 推奨処置
- ASA、ASDM、およびオペレーティングシステムのバージョンに互換性があることを確認します。 『Cisco Secure Firewall ASAリリースノート』、『Cisco Secure Firewall ASDMリリースノート』、『Cisco Secure Firewall ASA互換性』を参照してください。
- オペレーティングシステムのASDM設定メモリを増やします。
Windows
- ASDMインストールディレクトリに移動します(例:C:\Program Files (x86)\Cisco Systems\ASDM)。
- 任意のテキストエディタでrun.batファイルを編集します。
- 「start javaw.exe」で始まる行で、「-Xmx」というプレフィックスが付いた引数を変更して、目的のヒープサイズを指定します。たとえば、768 MBの場合は-Xmx768M、1 GBの場合は-Xmx1Gに変更します。
- run.batファイルを保存します。
Mac OS
- Cisco ASDM-IDMアイコンを右クリックし、Show Package Contentsを選択します。
- ContentsフォルダでInfo.plistファイルをダブルクリックします。Developerツールがインストールされている場合は、Property List Editorで開きます。それ以外の場合は、TextEditで開きます。
- Java > VMOptionsの順に選択し、文字列の先頭に「-Xmx」を付けて目的のヒープサイズを指定します。たとえば、768 MBの場合は-Xmx768M、1 GBの場合は-Xmx1Gに変更します。
- このファイルがロックされている場合は、次のようなエラーが表示されます。
- Unlockをクリックして、ファイルを保存します。Unlockダイアログボックスが表示されない場合は、エディタを終了し、Cisco ASDM-IDMアイコンを右クリックして、Copy Cisco ASDM-IDMを選択し、デスクトップなどの書き込み権限を持っている場所にこのダイアログボックスを貼り付けます。次に、このコピーからヒープサイズを変更します。
参考資料
問題 2.ASDMがファイアウォールに接続できない
ASDMの起動時に、「ASDM is temporarily unable to contact the firewall.」または「Unable to launch device manager」というエラーが表示される。
- Accelerated Security Path(ASP;高速セキュリティパス)で、ASDM HTTPS接続のパケットの一部が「(ctm-error) CTM returned error drop reason」というエラーメッセージでドロップされます。
# capture asp type asp-drop all buffer 33554432 match ip host 192.0.2.1 host 192.0.2.1 eq https
# show capture
capture asp type asp-drop all buffer 33554432 [Capturing - 587 bytes]
match ip host 192.0.2.1 host 192.0.2.2 eq https
# show cap asp
1 packet captured
1: 10:41:04.850648 192.0.2.1.56667 > 192.0.2.2.443: P 758423982:758424499(517) ack 2534033991 win 64440 Drop-reason: (ctm-error) CTM returned error
- 障害が発生したブロックの数は256であり、1550サイズのブロックはゼロ以外のもので、FAILEDカウンタが増加します。
# show block
SIZE MAX LOW CNT FAILED
0 2950 2865 2950 0
4 400 398 399 0
80 2500 2369 2500 0
256 6302 0 6274 50693
1550 22147 0 22111 769896
2048 8848 8844 8848 0
2560 2964 2962 2964 0
4096 100 99 100 0
8192 100 99 100 0
9344 100 99 100 0
16384 154 153 154 0
65664 16 16 16 0
- MEMPOOL_DMAメモリプールの空きメモリの量は著しく低く、通常は数バイトまたはキロバイト程度です。
# show memory detail | begin MEMPOOL_DMA
MEMPOOL_DMA POOL STATS:
Non-mmapped bytes allocated = 230686720
Number of free chunks = 175
Number of mmapped regions = 0
Mmapped bytes allocated = 0
Max memory footprint = 230686720
Keepcost = 336
Max contiguous free mem = 21136
Allocated memory in use = 230548640
Free memory = 138080
トラブルシューティング – 推奨処置
- Cisco Bug ID CSCvv71435「ASA 256または1550ブロックの枯渇がDMAメモリの未リリース割り当てを引き起こす」を確認してください。不具合の症状は、302013や302014などのsyslogメッセージのレートが高くなることで発生します。
「回避策」セクションの手順に従ってください。
- Cisco Bug ID CSCwd58653「ASDMの初期接続/ロード時間が増加した」を確認してください。Cisco Bug ID CSCvw79912「Cisco Adaptive Security Device Managerのリモートコード実行の脆弱性」の修正バージョンを取得するためにASDMをアップグレードした後、ASDMの初期接続/ロード時間が増加しました。
注:Cisco Bug ID CSCwd58653 およびCisco Bug ID CSCvw79912 は、最近のASDMソフトウェアリリースで修正されています。詳細については、不具合の詳細を確認してください。
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
28-Nov-2024 |
初版 |
フィードバック