メッセージ 701001 ~ 713109
この項では、701001 から 713109 までのメッセージについて説明します。
701001
エラー メッセージ %ASA-7-701001:
alloc_user() out of Tcp_user objects
説明 モジュールが新しい AAA を処理するのにユーザ認証のレートが高すぎる場合に表示される AAA メッセージです。
推奨アクション floodguard enable コマンドで Flood Defender をイネーブルにします。
701002
エラー メッセージ %ASA-7-701002: alloc_user() out of Tcp_proxy objects
説明 モジュールが新しい AAA を処理するのにユーザ認証のレートが高すぎる場合に表示される AAA メッセージです。
推奨アクション floodguard enable コマンドで Flood Defender をイネーブルにします。
702305
エラー メッセージ %ASA-3-702305: IPSEC: An direction tunnel_type SA (SPI=spi ) between local_IP and remote_IP (username ) is rekeying due to sequence number rollover.
説明 新規のトンネルのネゴシエーション中に 40 億を超えるパケットを IPSec トンネルで受信しました。
- direction:SA の方向(着信または発信)
- tunnel_type:SA のタイプ(リモート アクセスまたは L2L)
- spi:IPSec のセキュリティ パラメータ インデックス
- local_IP:トンネルのローカル エンドポイントの IP アドレス
- remote_IP:トンネルのリモート エンドポイントの IP アドレス
- >username:IPSec トンネルに関連付けられているユーザ名
推奨アクション ピアの管理者に問い合わせて、SA ライフタイム設定を比較します。
702307
エラー メッセージ %ASA-7-702307: IPSEC: An direction tunnel_type SA (SPI=spi ) between local_IP and remote_IP (username ) is rekeying due to data rollover.
説明 SA データ ライフ スパンの期限が切れました。IPSec SA が、転送したデータ量の結果、キーを再生成しています。この情報は、キー再生成の問題をデバッグする場合に役立ちます。
- direction:SA の方向(着信または発信)
- tunnel_type:SA のタイプ(リモート アクセスまたは L2L)
- spi:IPSec のセキュリティ パラメータ インデックス
- local_IP:トンネルのローカル エンドポイントの IP アドレス
- remote_IP:トンネルのリモート エンドポイントの IP アドレス
- >username:IPSec トンネルに関連付けられているユーザ名
推奨アクション 不要。
703001
エラー メッセージ %ASA-7-703001: H.225 message received from interface_name :IP_address /port to interface_name :IP_address /port is using an unsupported version number
説明 ASA は、サポートされていないバージョン番号の H.323 パケットを受信しました。ASAが、パケットのプロトコル バージョン フィールドをサポートされている最新バージョンに再符号化する場合があります。
推奨アクション ASA が VoIP ネットワークにおいてサポートしている H.323 のバージョンを使用します。
703002
エラー メッセージ %ASA-7-703002: Received H.225 Release Complete with newConnectionNeeded for interface_name :IP_address to interface_name :IP_address /port
説明 指摘された H.225 メッセージを ASA が受信し、指摘された 2 つの H.323 エンドポイントに対して新規シグナリング接続オブジェクトを ASA がオープンしました。
推奨アクション 不要。
703008
エラー メッセージ %ASA-7-703008: Allowing early-message: %s before SETUP from %s:%Q/%d to %s:%Q/%d
説明 このメッセージは、外部のエンドポイントが内部のホストに着信コールを要求したことを示します。また、内部ホストに対して、SETUP メッセージの前に FACILITY メッセージをゲートキーパーに送信し、H.460.18 に従うように求めています。
推奨アクション H.640.18 で説明されているように、H323 の着信コールの場合は、セットアップで SETUP メッセージの前に早期の FACILITY メッセージを許可するようになっていることを確認します。
709001、709002
エラー メッセージ %ASA-7-709001: FO replication failed: cmd=command returned=code
エラー メッセージ %ASA-7-709002: FO unreplicable: cmd=
command
説明 開発のデバッグおよびテスト段階だけで表示されるフェールオーバー メッセージ。
推奨アクション 不要。
709003
エラー メッセージ %ASA-1-709003: (Primary) Beginning configuration replication: Sending to mate.
説明 アクティブ装置が自分のコンフィギュレーションのスタンバイ装置への複製を開始すると表示されるフェールオーバー メッセージ。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
推奨アクション 不要。
709004
エラー メッセージ %ASA-1-709004: (Primary) End Configuration Replication (ACT)
説明 アクティブ装置が自分のコンフィギュレーションのスタンバイ装置上への複製を完了すると表示されるフェールオーバー メッセージ。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
推奨アクション 不要。
709005
エラー メッセージ %ASA-1-709005: (Primary) Beginning configuration replication: Receiving from mate.
説明 スタンバイ ASA がアクティブ ASA からコンフィギュレーションの複製の最初の部分を受け取りました。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
推奨アクション 不要。
709006
エラー メッセージ %ASA-1-709006: (Primary) End Configuration Replication (STB)
説明 スタンバイ装置がアクティブ装置から送信されたコンフィギュレーションの複製を完了したときに表示されるフェールオーバー メッセージ。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
推奨アクション 不要。
709007
エラー メッセージ %ASA-2-709007: Configuration replication failed for command
説明 スタンバイ装置がアクティブ装置から送信されたコンフィギュレーションの複製を完了できない場合に表示されるフェールオーバー メッセージ。障害を発生させたコマンドが、メッセージの末尾に表示されます。
推奨アクション 問題が解決しない場合は、Cisco TAC にお問い合わせください。
709008
エラー メッセージ%ASA-4-709008: (Primary | Secondary) Configuration sync in progress.Command: ‘command ’ executed from (terminal/http) will not be replicated to or executed by the standby unit.
説明 設定の同期時にコマンドが発行されましたが、このコマンドはスタンバイ装置には発行されないため、そのことを示すインタラクティブ プロンプトが起動されました。続行するには、コマンドはアクティブ装置にのみに発行され、スタンバイ装置では複製されない点に注意してください。
- Primary | Secondary:デバイスはプライマリとセカンダリのいずれか
- command:設定の同期が進行中に発行されたコマンド
- terminal/http:端末または HTTP 経由の発行元
推奨アクション なし。
710001
エラー メッセージ %ASA-7-710001: TCP access requested from source_address /source_port to interface_name :dest_address /service
説明 ASA 宛ての最初の TCP パケットで TCP セッションの確立を要求しています。このパケットは、3 ウェイ ハンドシェイクの最初の SYN パケットです。このメッセージは、それぞれ(Telnet、HTTP、または SSH)でパケットが許可されている場合に表示されます。しかし、SYN クッキー検証はまだ完了しておらず、状態は予約されていません。
推奨アクション 不要。
710002
エラー メッセージ %ASA-7-710002: {TCP|UDP} access permitted from source_address /source_port to interface_name :dest_address /service
説明 TCP 接続の場合、ASA 宛ての 2 番目の TCP パケットで TCP セッションの確立を要求しました。このパケットは、3 ウェイ ハンドシェイクの最終 ACK です。それぞれ(Telnet、HTTP、または SSH)でパケットが許可されました。また、SYN クッキー検証が成功し、状態が TCP セッション用に予約されます。
UDP 接続の場合、接続は許可されています。たとえば、認可された SNMP 管理ステーションからの SNMP 要求をモジュールが受信し、その要求が処理されました。このメッセージは、10 秒に 1 回しか表示されないように制限されています。
推奨アクション 不要。
710003
エラー メッセージ %ASA-3-710003: {TCP|UDP} access denied by ACL from source_IP/source_port to interface_name :dest_IP/service
説明 ASA はインターフェイス サービスへの接続の試みを拒否しました。たとえば、認可されていない SNMP 管理ステーションからの SNMP 要求を ASA が受信しました。このメッセージが頻繁に表示される場合は、攻撃を示すことがあります。
次に例を示します。
%ASA-3-710003: UDP access denied by ACL from 95.1.1.14/5000 to outside:95.1.1.13/1005
推奨アクション show run http コマンド、show run ssh コマンド、または show run telnet コマンドを使用して、ホストまたはネットワークからのサービス アクセスを許可するように ASA が設定されていることを確認します。
710004
エラー メッセージ %ASA-7-710004: TCP connection limit exceeded from Src_ip /Src_port to In_name :Dest_ip /Dest_port (current connections/connection limit = Curr_conn/Conn_lmt)
説明 サービス用の ASA 管理接続の最大数を超えました。ASAは、管理サービスあたり最大 5 つの同時管理接続を許可します。または、to-the-box 接続カウンタでエラーが発生している可能性があります。
- Src_ip:パケットの送信元 IP アドレス
- Src_port:パケットの送信元ポート
- In_ifc:入力インターフェイス
- Dest_ip:パケットの宛先 IP アドレス
- Dest_port:パケットの宛先ポート
- Curr_conn:現在の to-the-box 管理接続数
- Conn_lmt:接続制限
推奨アクション コンソールから、kill コマンドを使用して不要なセッションを解放します。to-the-box カウンタのエラーが原因でメッセージが生成された場合は、show conn all コマンドを実行して接続の詳細を表示します。
710005
エラー メッセージ %ASA-7-710005: {TCP|UDP} request discarded from source_address /source_port to interface_name :dest_address /service
説明 UDP 要求を処理する UDP サーバが ASA にありません。また、ASA 上のどのセッションにも属していない TCP パケットが破棄された可能性もあります。さらに、このメッセージは、認可されたホストからの場合でも、ペイロードが空の SNMP 要求を ASA が受信した場合に表示されます(SNMP サービスで)。サービスが SNMP の場合、このメッセージは最大でも 10 秒ごとに 1 回の発生として、ログ受信プログラムが過負荷にならないようにします。
推奨アクション DHCP、RIP、NetBIOS などのブロードキャスト サービスの利用が多いネットワークでは、このメッセージの頻度が高くなることがあります。このメッセージが頻繁に表示される場合は、攻撃を示すことがあります。
710006
エラー メッセージ %ASA-7-710006: protocol request discarded from source_address to interface_name :dest_address
説明 IP プロトコル要求を処理する IP サーバが ASA にありません。たとえば、ASA が TCP または UDP でない IP パケットを受信し、ASA が要求を処理できません。
推奨アクション DHCP、RIP、NetBIOS などのブロードキャスト サービスの利用が多いネットワークでは、このメッセージの頻度が高くなることがあります。このメッセージが頻繁に表示される場合は、攻撃を示すことがあります。
710007
エラー メッセージ %ASA-7-710007: NAT-T keepalive received from 86.1.161.1/1028 to outside:86:1.129.1/4500
説明 ASA は NAT-T キープ アライブ メッセージを受信しました。
推奨アクション 不要。
711001
エラー メッセージ %ASA-7-711001: debug_trace_msg
説明 ロギング機能のために logging debug-trace コマンドを入力しました。logging debug-trace コマンドがイネーブルの場合、すべてのデバッグ メッセージはメッセージにリダイレクトされて処理されます。セキュリティ上の理由から、メッセージ出力は暗号化するか、またはセキュア アウトオブバンド ネットワークで送信する必要があります。
推奨アクション 不要。
711002
エラー メッセージ %ASA-4-711002: Task ran for elapsed_time msecs, process = process_name , PC = PC Tracebeback = traceback
説明 1 つのプロセスで CPU が 100 ミリ秒を超える時間にわたって使用されています。このメッセージは CPU のデバッグに使用され、各攻撃プロセスに対して 5 秒に 1 回表示できます。
- PC:CPU 負荷の高いプロセスの命令ポインタ
- traceback:CPU 負荷の高いプロセスのスタック トレース(最大 12 個のアドレスを含むことができます)
推奨アクション 不要。
711003
エラー メッセージ ASA-7-711003: Unknown/Invalid interface identifier(vpifnum ) detected.
説明 正常動作中に発生してはならない内部不整合が発生しました。ただし、このメッセージがまれにしか発生しない場合は害がありません。頻繁に表示される場合は、デバッグする意味があると考えられます。
- vpifnum:インターフェイスに対応する 32 ビット値
推奨アクション 問題が解決しない場合は、Cisco TAC にお問い合わせください。
711004
エラー メッセージ %ASA-4-711004: Task ran for msec msec, Process = process_name , PC = pc , Call stack = call stack
説明 1 つのプロセスで CPU が 100 ミリ秒を超える時間にわたって使用されています。このメッセージは CPU のデバッグに使用され、各攻撃プロセスに対して 5 秒に 1 回表示できます。
- msec:検出された CPU 占有時間の長さ(ミリ秒単位)
- process_name:占有しているプロセスの名前
- pc:CPU 負荷の高いプロセスの命令ポインタ
- call stack:CPU 負荷の高いプロセスのスタック トレース(最大 12 個のアドレスを含むことができます)
推奨アクション 不要。
711005
エラー メッセージ %ASA-5-711005: Traceback: call_stack
説明 発生してはならない内部ソフトウェア エラーが発生しました。デバイスは、通常、このエラーから回復でき、デバイスへの悪影響は生じません。
- call_stack:コール スタックの EIP
推奨アクション Cisco TAC にお問い合わせください。
711006
エラー メッセージ %ASA-7-711006: CPU profiling has started for n-samples samples.Reason: reason-string .
説明 CPU プロファイリングが開始されました。
- n-samples:CPU プロファイリング サンプルの指定数
- reason-string:次のうちどれかです。
“CPU utilization passed cpu-utilization %”(CPU 使用率が cpu-utilization % を超えました)
“Process process-name CPU utilization passed cpu-utilization %”("process-name プロセスの CPU 使用率が cpu-utilization % を超えました")
推奨アクション 「指定なし」
推奨アクション CPU プロファイリング結果を収集し、それらを Cisco TAC に提供します。
713004
エラー メッセージ %ASA-3-713004: device scheduled for reboot or shutdown, IKE key acquire message on interface interface num , for Peer IP_address ignored
説明 ASA が、トンネルを開始しようとしているリモート エンティティから IKE パケットを受信しました。ASAはリブートまたはシャットダウンがスケジュールされているので、これ以上トンネルを確立できません。この IKE パケットは無視されて、廃棄されます。
推奨アクション 不要。
713201
エラー メッセージ%ASA-5-713201: Duplicate Phase Phase packet detected.Action
説明 ASA は、前のフェーズ 1 またはフェーズ 2 パケットの複製を受信し、最後のメッセージを送信します。ネットワーク パフォーマンスまたは接続の問題が発生し、ピアが送信されたパケットを迅速に受信していないた可能性があります。
- Phase:Phase 1 または Phase 2
- Action:Retransmitting last packet または No last packet to transmit
推奨アクション ネットワークのパフォーマンス、または接続を確認します。
713202
エラー メッセージ %ASA-6-713202: Duplicate IP_addr packet detected.
説明 ASA は、ASA がすでに認識しネゴシエートしているトンネルの重複する最初のパケットを受信しました。これは、おそらく、ASA がピアからパケットの再送信を受信したことを示します。
- IP_addr:重複する最初のパケットの送信元ピアの IP アドレス
推奨アクション 接続に失敗していない限り処置は不要です。接続に失敗する場合は、さらにデバッグして問題を診断します。
713006
エラー メッセージ %ASA-5-713006: Failed to obtain state for message Id message_number , Peer Address: IP_address
説明 ASA が受信したメッセージ ID が未知の ID です。メッセージ ID は、特定の IKE フェーズ 2 ネゴシエーションの識別に使用されます。ASA でエラー状態が発生し、2 つの IKE ピアの同期がとれていないことを示す場合があります。
推奨アクション 不要。
713008
エラー メッセージ %ASA-3-713008: Key ID in ID payload too big for pre-shared IKE tunnel
説明 ID ペイロードでキー ID 値を受信したが、その値が事前共有キー認証を使用する IKE セッションのグループ名の最大許容サイズよりも長かったことを示します。これは無効な値で、セッションは拒否されます。指摘されたキー ID は、そのサイズのグループ名をASAで作成できないので、機能することはありません。
推奨アクション クライアント ピア(おそらくは Altiga リモート アクセス クライアント)が有効なグループ名を指定していることを確認します。クライアント上の誤ったグループ名を変更するようにユーザに通知します。グループ名の現在の最大長は 32 文字です。
713009
エラー メッセージ %ASA-3-713009: OU in DN in ID payload too big for Certs IKE tunnel
説明 ID ペイロードで DN の OU 値を受信したが、その値が証明書認証を使用する IKE セッションのグループ名の最大許容サイズよりも長かったことを示します。この OU はスキップされますが、別の OU または他の基準を使用して一致するグループを検出できます。
推奨アクション クライアントが OU を使用して ASA からグループを検出するには、グループ名が有効な長さでなければなりません。グループ名の現在の最大長は 32 文字です。
713010
%ASA-5-713010: IKE area: failed to find centry for message Id message_number
一意のメッセージ ID で conn_entry(IPSec SA に対応する IKE フェーズ 2 構造)を特定しようとして失敗しました。内部構造が見つかりませんでした。セッションが標準外の方法で終了した場合に発生しますが、より可能性が高いのは、内部エラーが発生したことです。
この問題が解決しない場合は、ピアを調査します。
713012
エラー メッセージ%ASA-3-713012: Unknown protocol (protocol ).Not adding SA w/spi=SPI value
説明 不正またはサポートされていない IPSec プロトコルをピアから受信しました。
推奨アクション ピアの ISAKMP フェーズ 2 設定をチェックして、ASA と互換性があることを確認します。
713014
エラー メッセージ %ASA-3-713014: Unknown Domain of Interpretation (DOI): DOI value
説明 ピアから受信した ISAKMP DOI がサポートされていません。
推奨アクション ピアの ISAKMP DOI コンフィギュレーションを確認します。
713016
エラー メッセージ %ASA-3-713016: Unknown identification type, Phase 1 or 2, Type ID_Type
説明 ピアから受信した未知の ID です。ID が、よく知られていない有効な ID である場合、または無効または破損した ID である場合があります。
推奨アクション ヘッドエンドとピアのコンフィギュレーションを確認します。
713017
エラー メッセージ %ASA-3-713017: Identification type not supported, Phase 1 or 2, Type ID_Type
説明 ピアから受信したフェーズ 1 またはフェーズ 2 の ID は正当であるが、サポートされていません。
推奨アクション ヘッドエンドとピアのコンフィギュレーションを確認します。
713018
エラー メッセージ %ASA-3-713018: Unknown ID type during find of group name for certs, Type ID_Type
説明 内部ソフトウェア エラーが発生しました。
推奨アクション 問題が解決しない場合は、Cisco TAC にお問い合わせください。
713020
エラー メッセージ : No Group found by matching OU(s) from ID payload: OU_value
説明 内部ソフトウェア エラーが発生しました。
推奨アクション 問題が解決しない場合は、Cisco TAC にお問い合わせください。
713022
エラー メッセージ %ASA-3-713022: No Group found matching peer_ID or IP_address for Pre-shared key peer IP_address
説明 グループ データベースにはピアで指定された値(キー ID または IP アドレス)と同じ名前のグループがありません。
推奨アクション ピアのコンフィギュレーションを確認します。
713024
エラー メッセージ %ASA-7-713024: Group group IP ip Received local Proxy Host data in ID Payload: Address IP_address , Protocol protocol , Port port
説明 ASA がリモート ピアからフェーズ 2 のローカル プロキシ ID ペイロードを受信しました。
推奨アクション 不要。
713025
エラー メッセージ %ASA-7-713025: Received remote Proxy Host data in ID Payload: Address IP_address , Protocol protocol , Port port
説明 ASA がリモート ピアからフェーズ 2 のローカル プロキシ ID ペイロードを受信しました。
推奨アクション 不要。
713028
エラー メッセージ %ASA-7-713028: Received local Proxy Range data in ID Payload: Addresses IP_address- IP_address , Protocol protocol , Port port
説明 ASA がリモート ピアのフェーズ 2 のローカル プロキシ ID ペイロードを受信して、その中に IP アドレス範囲が含まれています。
推奨アクション 不要。
713029
エラー メッセージ %ASA-7-713029: Received remote Proxy Range data in ID Payload: Addresses IP_address- IP_address , Protocol protocol , Port port
説明 ASA がリモート ピアのフェーズ 2 のローカル プロキシ ID ペイロードを受信して、その中に IP アドレス範囲が含まれています。
推奨アクション 不要。
713032
エラー メッセージ %ASA-3-713032: Received invalid local Proxy Range IP_address- IP_address
説明 ローカル ID ペイロードに範囲 ID タイプが含まれ、指定された低アドレスが高アドレス以上でした。設定に問題がある可能性があります。
推奨アクション ISAKMP フェーズ 2 のパラメータのコンフィギュレーションを確認します。
713033
エラー メッセージ %ASA-3-713033:
Received invalid remote Proxy Range IP_address - IP_address
説明 リモート ID ペイロードに範囲 ID タイプが含まれ、指定された低アドレスが高アドレス以上でした。設定に問題がある可能性があります。
推奨アクション ISAKMP フェーズ 2 のパラメータのコンフィギュレーションを確認します。
713034
エラー メッセージ %ASA-7-713034: Received local IP Proxy Subnet data in ID Payload: Address IP_address , Mask netmask , Protocol protocol , Port port
説明 ローカル IP プロキシ サブネット データがフェーズ 2 の ID ペイロードで受信されました。
推奨アクション 不要。
713035
エラー メッセージ %ASA-7-713035: Group group IP ip Received remote IP Proxy Subnet data in ID Payload: Address IP_address , Mask netmask , Protocol protocol , Port port
説明 リモート IP プロキシ サブネット データがフェーズ 2 の ID ペイロードで受信されました。
推奨アクション 不要。
713039
エラー メッセージ %ASA-7-713039: Send failure: Bytes (number ), Peer: IP_address
説明 内部ソフトウェア エラーが発生し、ISAKMP パケットを転送できません。
推奨アクション 問題が解決しない場合は、Cisco TAC にお問い合わせください。
713040
エラー メッセージ %ASA-7-713040: Could not find connection entry and can not encrypt: msgid message_number
説明 内部ソフトウェア エラーが発生し、フェーズ 2 データ構造を検出できません。
推奨アクション 問題が解決しない場合は、Cisco TAC にお問い合わせください。
713041
エラー メッセージ %ASA-5-713041: IKE Initiator: new or rekey Phase 1 or 2, Intf interface_number , IKE Peer IP_address local Proxy Address IP_address , remote Proxy Address IP_address , Crypto map (crypto map tag )
説明 ASA が発信側としてトンネルをネゴシエーション中です。
推奨アクション 不要。
713042
エラー メッセージ %ASA-3-713042: IKE Initiator unable to find policy: Intf interface_number , Src: source_address , Dst: dest_address
説明 IPSec ファースト パスで、IKE を起動したパケットを処理したが、IKE のポリシー ルックアップが失敗しました。このエラーは、タイミングに関連している場合があります。IKE が開始要求を処理する前に、IKE を起動した ACL が削除されていた可能性があります。この問題は、多くの場合、自分自身で訂正されます。
推奨アクション 同じ状態が続く場合、クリプト マップに関連付けられている ACL のタイプに特に注意しながら、L2L コンフィギュレーションを確認します。
713043
エラー メッセージ %ASA-3-713043: Cookie/peer address IP_address session already in progress
説明 元のトンネルが進行中に、IKE が再度起動されました。
推奨アクション 不要。
713048
エラー メッセージ %ASA-3-713048: Error processing payload: Payload ID: id
説明 処理できなかったペイロードでパケットが受信されました。
推奨アクション この問題が解決しない場合は、ピアのコンフィギュレーションに誤りがある可能性があります。
713049
エラー メッセージ %ASA-5-713049: Security negotiation complete for tunnel_type type (group_name ) Initiator /Responder , Inbound SPI = SPI , Outbound SPI = SPI
説明 IPSec トンネルが開始されました。
推奨アクション 不要。
713050
エラー メッセージ %ASA-5-713050: Connection terminated for peer IP_address .Reason: termination reason Remote Proxy IP_address , Local Proxy IP_address
説明 IPSec トンネルが終了しました。考えられる終了理由を次に示します。
- IPSec SA のアイドル タイムアウト
- IPSec SA の最大時間を超過した
- 管理者がリセットした
- 管理者がリブートした
- 管理者がシャットダウンした
- セッションが切断された
- セッション エラーで終了した
- ピアが終了した
推奨アクション 不要。
713052
エラー メッセージ %ASA-7-713052: User (user ) authenticated.
説明 リモート アクセス ユーザが認証されました。
推奨アクション 不要。
713056
エラー メッセージ %ASA-3-713056: Tunnel rejected: SA (SA_name ) not found for group (group_name )!
説明 IPSec SA が見つかりませんでした。
推奨アクション これがリモート アクセス トンネルの場合、グループとユーザ コンフィギュレーションをチェックして、特定のユーザ グループに対してトンネル グループとグループ ポリシーが設定されていることを確認します。外部で認証されたユーザおよびグループの場合は、返された認証属性を確認します。
713060
エラー メッセージ %ASA-3-713060: Tunnel Rejected: User (user ) not member of group (group_name ), group-lock check failed.
説明 ユーザが、IPSec ネゴシエーションで送信されたグループとは別のグループに設定されています。
推奨アクション Cisco VPN クライアントと事前共有キーを使用している場合、クライアントに設定されているグループが、ASA 上のユーザに関連付けられているグループと同じであることを確認します。デジタル証明書を使用している場合、グループは、証明書の OU フィールドで指定されているか、またはユーザはリモート アクセスのデフォルト グループにデフォルトで自動的に設定されています。
713061
エラー メッセージ %ASA-3-713061: Tunnel rejected: Crypto Map Policy not found for Src:source_address , Dst: dest_address !
説明 ASA が、メッセージに示されているプライベート ネットワークまたはホストのセキュリティ ポリシー情報を検出できませんでした。これらのネットワークまたはホストは、発信側によって送信され、ASA のどの暗号 ACL とも一致しません。多くの場合、これはコンフィギュレーションの誤りです。
推奨アクション 両側の暗号 ACL 内の保護されたネットワーク コンフィギュレーションをチェックして、発信側のローカル ネットが応答側のリモート ネットであること(およびその逆)を確認します。ワイルドカード マスクと、ホスト アドレス対ネットワーク アドレスに特に注意します。シスコ以外の実装では、プライベート アドレスがプロキシ アドレスまたは赤い色のネットワークとしてラベル付けされている場合があります。
713062
エラー メッセージ %ASA-3-713062: IKE Peer address same as our interface address IP_address
説明 IKE ピアとして設定されている IP アドレスが、ASA IP インターフェイスのいずれかで設定されている IP アドレスと同じです。
推奨アクション L2L コンフィギュレーションと IP インターフェイス コンフィギュレーションを確認します。
713063
エラー メッセージ %ASA-3-713063: IKE Peer address not configured for destination IP_address
説明 IKE ピア アドレスが L2L トンネルに対して設定されていません。
推奨アクション L2L 設定を確認します。
713065
エラー メッセージ %ASA-3-713065: IKE Remote Peer did not negotiate the following: proposal attribute
説明 内部ソフトウェア エラーが発生しました。
推奨アクション 問題が解決しない場合は、Cisco TAC にお問い合わせください。
713066
エラー メッセージ %ASA-7-713066: IKE Remote Peer configured for SA: SA_name
説明 ピアの暗号ポリシーが設定されています。
推奨アクション 不要。
713068
エラー メッセージ %ASA-5-713068: Received non-routine Notify message: notify_type (notify_value)
説明 このイベントの原因となる通知メッセージが通知処理コードで明示的に処理されません。
推奨アクション 実行するアクションを判別するには、特定の理由を調べます。通知メッセージの多くは、IKE ピア間のコンフィギュレーションの不一致を示します。
713072
エラー メッセージ %ASA-3-713072: Password for user (user ) too long, truncating to number characters
説明 ユーザのパスワードが長すぎます。
推奨アクション 認証サーバでパスワードの長さを訂正します。
713073
エラー メッセージ %ASA-5-713073: Responder forcing change of Phase 1 /Phase 2 rekeying duration from larger_value to smaller_value seconds
説明 キー再生成の時間は、IKE ピアが指定する値よりも低い値に設定されます。発信側の値の方が低いことを示します。
推奨アクション 不要。
713074
エラー メッセージ %ASA-5-713074: Responder forcing change of IPsec rekeying duration from larger_value to smaller_value Kbs
説明 キー再生成の時間は、IKE ピアが指定する値よりも低い値に設定されます。発信側の値の方が低いことを示します。
推奨アクション 不要。
713075
エラー メッセージ %ASA-5-713075: Overriding Initiator's IPsec rekeying duration from larger_value to smaller_value seconds
説明 キー再生成の時間は、IKE ピアが指定する値よりも低い値に設定されます。応答側の値の方が低いことを示します。
推奨アクション 不要。
713076
エラー メッセージ %ASA-5-713076: Overriding Initiator's IPsec rekeying duration from larger_value to smaller_value Kbs
説明 キー再生成の時間は、IKE ピアが指定する値よりも低い値に設定されます。応答側の値の方が低いことを示します。
推奨アクション 不要。
713078
エラー メッセージ %ASA-2-713078: Temp buffer for building mode config attributes exceeded: bufsize available_size , used value
説明 modecfg 属性の処理中に内部ソフトウェア エラーが発生したことを示します。
推奨アクション 不要なトンネル グループ属性をディセーブルにするか、長すぎるテキスト メッセージを短くします。問題が解決しない場合、Cisco TAC にお問い合わせください。
713081
エラー メッセージ %ASA-3-713081: Unsupported certificate encoding type encoding_type
説明 ロードされた証明書のいずれかが読み取り不可で、サポートされない符号化スキームである可能性があります。
推奨アクション デジタル証明書およびトラストポイントの設定を確認します。
713082
エラー メッセージ %ASA-3-713082: Failed to retrieve identity certificate
説明 このトンネルの ID 証明書が見つかりません。
推奨アクション デジタル証明書およびトラストポイントの設定を確認します。
713083
エラー メッセージ %ASA-3-713083: Invalid certificate handle
説明 このトンネルの ID 証明書が見つかりません。
推奨アクション デジタル証明書およびトラストポイントの設定を確認します。
713084
エラー メッセージ %ASA-3-713084: Received invalid phase 1 port value (port ) in ID payload
説明 IKE フェーズ 1 ID ペイロードで受信したポート値が正しくありませんでした。受け入れ可能な値は 0 または 500 です(ISAKMP は IKE とも呼ばれます)。
推奨アクション ネットワークの問題が破損したパケットの原因になることを回避するために、ピアが IKE 規格に準拠していることを確認します。
713085
エラー メッセージ %ASA-3-713085: Received invalid phase 1 protocol (protocol ) in ID payload
説明 IKE フェーズ 1 ID ペイロードで受信されたプロトコル値が正しくありませんでした。受け入れ可能な値は 0 または 17(UDP)です。
推奨アクション ネットワークの問題が破損したパケットの原因になることを回避するために、ピアが IKE 規格に準拠していることを確認します。
713086
エラー メッセージ %ASA-3-713086: Received unexpected Certificate payload Possible invalid Auth Method (Auth method (auth numerical value))
説明 証明書ペイロードが受信されたが、ID 証明書がないことが内部証明書ハンドルによって示されています。証明書ハンドルが通常の登録方法で獲得されませんでした。これが発生する理由として考えられるのは、認証方式が RSA または DSS シグニチャを通じて行われていないことです。ただし、それぞれの側の設定が誤っていると、IKE SA ネゴシエーションは失敗します。
推奨アクション ASA とそのピアでトラストポイントと ISAKMP コンフィギュレーション設定を確認します。
713088
エラー メッセージ %ASA-3-713088: Set Cert filehandle failure: no IPsec SA in group group_name
説明 デジタル証明書情報に基づいてトンネル グループを検出できなかったことを示しています。
推奨アクション ピアの証明書情報を処理するようトンネル グループが正しく設定されていることを確認します。
713092
エラー メッセージ %ASA-5-713092: Failure during phase 1 rekeying attempt due to collision
説明 内部ソフトウェア エラーが発生しました。多くの場合、これは問題のないイベントです。
推奨アクション 問題が解決しない場合は、Cisco TAC にお問い合わせください。
713094
エラー メッセージ %ASA-7-713094: Cert validation failure: handle invalid for Main /Aggressive Mode Initiator /Responder !
説明 内部ソフトウェア エラーが発生しました。
推奨アクション 場合によっては、トラストポイントを再登録する必要があります。問題が解決しない場合、Cisco TAC にお問い合わせください。
713098
エラー メッセージ %ASA-3-713098: Aborting: No identity cert specified in IPsec SA (SA_name )!
説明 証明書ベースの IKE セッションを確立しようとしたときに、暗号ポリシーで ID 証明書が指定されませんでした。
推奨アクション ピアに送信する ID 証明書またはトラストポイントを指定します。
713099
エラー メッセージ %ASA-7-713099: Tunnel Rejected: Received NONCE length number is out of range!
説明 内部ソフトウェア エラーが発生しました。
推奨アクション 問題が解決しない場合は、Cisco TAC にお問い合わせください。
713102
エラー メッセージ %ASA-3-713102: Phase 1 ID Data length number too long - reject tunnel!
説明 2 K 以上の ID データ フィールドを含む ID ペイロードを IKE が受信しました。
推奨アクション 不要。
713103
エラー メッセージ %ASA-7-713103: Invalid (NULL) secret key detected while computing hash
説明 内部ソフトウェア エラーが発生しました。
推奨アクション 問題が解決しない場合は、Cisco TAC にお問い合わせください。
713104
エラー メッセージ %ASA-7-713104: Attempt to get Phase 1 ID data failed while hash computation
説明 内部ソフトウェア エラーが発生しました。
推奨アクション 問題が解決しない場合は、Cisco TAC にお問い合わせください。
713105
エラー メッセージ %ASA-3-713105: Zero length data in ID payload received during phase 1 or 2 processing
説明 ピアが ID データを含まない無効な ID ペイロードを送信しました。
推奨アクション ピアのコンフィギュレーションを確認します。
713107
エラー メッセージ %ASA-3-713107: IP_Address request attempt failed!
説明 内部ソフトウェア エラーが発生しました。
推奨アクション 問題が解決しない場合は、Cisco TAC にお問い合わせください。
713109
エラー メッセージ %ASA-3-713109: Unable to process the received peer certificate
説明 リモート ピアから受信した証明書を ASA が処理できませんでした。これは、証明書のデータが誤っている(たとえば、公開キーのサイズが 4096 ビットより大きい場合)か、証明書の中のデータを ASA が保存できない場合に発生することがあります。
推奨アクション リモート ピアで別の証明書を使用して接続の再確立を試行します。