Dit document maakt een lijst van de Clientless SSL VPN (WebVPN) hoe de problemen worden opgelost die voor ASA versies 7.1, 7.2 en 8.0 zijn goedgekeurd. Er zijn belangrijke vooruitgang tussen deze releases die verschillende technieken voor het oplossen van problemen vereisen om te worden goedgekeurd.
Er zijn geen specifieke vereisten van toepassing op dit document.
De informatie in dit document is gebaseerd op Cisco 5500 Series ASA die softwareversie 7.1 of hoger uitvoeren.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
De voorwaarde voor het oplossen van clientloze SSL VPN-verbindingen (WebVPN) op de ASA is om zichtbaarheid in zowel de clientervaring te verkrijgen via screenshots als de HTML-opnamemiddelen en dan deze te vergelijken met dezelfde informatie wanneer direct verbonden met de URL/Application die benaderd wordt.
In dit gedeelte worden de technieken voor het opsporen en verhelpen van problemen beschreven voor ASA versies 7.1/7.2 en alle toepassingen tot en met, maar niet met, de 8.0-release.
In deze release als de complexe Java/Javascript-functies problemen hebben, kunnen andere opties (zoals het verzenden van de applicatie-toegangspoort of het gebruik van proxy-bypass) overwogen worden. Raadpleeg Toepassingstoegang configureren en Proxy-bypass gebruiken voor meer informatie over deze alternatieven.
In de meeste scenario's, als de URL die door Clientless SSL VPN wordt benaderd voor Internet Explorer faalt, zal deze ook voor een andere browser falen.
Om ervoor te zorgen dat dit niet afhankelijk is van de PC of het besturingssysteem van de cliënt, gebruikt u een andere client vanaf een andere locatie. Het gebruik van een IPsec of SSL VPN-client kan ook worden getest.
Zorg ervoor dat de ASA in de browser Trusted Zone is opgenomen zoals beschreven in Cookies op Browsers voor WebVPN en dat de koekjes zijn ingeschakeld zoals beschreven in Enable Cookies.
Als het proces nog steeds mislukt, voert u deze stappen uit om de benodigde informatie te verzamelen en vervolgens een TAC-case te openen.
Schakel de browser cache uit zoals beschreven in de browser Cache.
Schakel de Java-cache uit zoals in het Java-caches is beschreven.
Schakel het WebVPN cache op de ASA uit zoals beschreven in Caching configureren.
Als er een Java-applet aanwezig is, kunt u niveau 5 debug in het applet-venster gebruiken zoals wordt beschreven in Afbeeldingsopties voor Java inschakelen.
Log in op de ASA via Clientless SSL VPN.
Bij de URL net vóór de problematische URL, schakelt u een HTML-opnamegereedschap in de browser in zoals beschreven in de HTML Capture Gereedschappen inschakelen.
Leg de opeenvolging van dit punt aan de problematische URL vast.
Druk op Ctrl+Scherm op het toetsenbord om een screenshot vast te leggen.
Stop het HTML-opnamegereedschap.
Voer dezelfde stappen 1 tot en met 9 uit wanneer u rechtstreeks via een IPsec- of SSL VPN-sessie verbinding maakt met de URL via de ASA of rechtstreeks verbinding maakt met hetzelfde LAN-segment (indien mogelijk) en de gegevens naar TAC stuurt voor analyse.
In dit gedeelte worden de technieken voor het oplossen van problemen beschreven die voor ASA versies 8.0 en alle doelstellingen worden gebruikt.
In deze release als complexe URL's of toepassingen moeite hebben met clientloze SSL VPN zijn andere opties (zoals het gebruik van slimme tunnels) een krachtig alternatief. Zie Smart Tunnel access configureren voor meer informatie over slimme tunnels.
U kunt ook overwegen om poort te gebruiken voor toegang tot de toepassing of proxy-bypass te gebruiken. Raadpleeg Toepassingstoegang configureren en Proxy-bypass gebruiken voor meer informatie over deze alternatieven.
In de meeste scenario's, als de URL die door Clientless SSL VPN wordt benaderd voor Internet Explorer faalt, zal deze ook voor een andere browser falen.
Om ervoor te zorgen dat dit niet afhankelijk is van de PC of het besturingssysteem van de cliënt, gebruikt u een andere client vanaf een andere locatie. Het gebruik van een IPsec of SSL VPN-client kan ook worden getest.
Zorg ervoor dat de ASA in de browser Trusted Zone is opgenomen zoals beschreven in Cookies op Browsers voor WebVPN en dat de koekjes zijn ingeschakeld zoals beschreven in Enable Cookies.
Als een toepassing een probleem ervaart met de clientloze motor van de contenttransformatie (CTE/rewriter), kunt u de favoriet voor die toepassing wijzigen om de Smart Tunnel optie in te schakelen zoals in deze afbeelding wordt getoond:
Het inschakelen van deze optie voor een favoriet vereist geen extra configuratie. Vergelijkbaar met havenverzending is dit een andere handige optie om op een favoriet te klikken om een nieuw venster te openen dat de slimme tunnel gebruikt om toepassingsverkeer door te geven en om herschrijfkwesties te vermijden.
Wanneer u deze functie gebruikt voor TCP Winsock 32-toepassingen (zoals RDP), moet de beheerder de proces(s) identificeren die gebruikt moeten worden door slimme tunnels. RDP gebruikt bijvoorbeeld het proces mstsc.exe; voor dit proces kan een eenvoudige slimme tunnelingang worden gecreëerd .
ingewikkelder toepassingen kunnen meerdere processen veroorzaken. Kies in het WebVPN Portal Page het paneel Toepassingstoegang. Zodra het geladen is, kan de lijst met toegestane toepassingen verbinding maken met de privékant van het netwerk.
Als het proces nog steeds mislukt, voert u deze stappen uit om de benodigde informatie te verzamelen en vervolgens een TAC-case te openen.
Schakel de browser cache uit zoals beschreven in de browser Cache.
Schakel de Java-cache uit zoals in het Java-caches is beschreven.
Schakel het WebVPN cache op de ASA uit zoals beschreven in Caching configureren.
Als er een Java-applet aanwezig is, kunt u niveau 5 debug in het applet-venster gebruiken zoals wordt beschreven in Afbeeldingsopties voor Java inschakelen.
Log in op de ASA via Clientless SSL VPN.
Bij de URL net vóór de problematische URL, schakelt u een HTML-opnamegereedschap in de browser in zoals beschreven in de HTML Capture Gereedschappen inschakelen.
Leg de opeenvolging van dit punt aan de problematische URL vast.
Druk op Ctrl+Scherm op het toetsenbord om een screenshot vast te leggen.
Stop het HTML-opnamegereedschap.
Voer de stappen 1 tot en met 9 uit wanneer u rechtstreeks verbinding maakt met de URL via een IPsec of een Any Connect SSL-sessie via de ASA of sluit rechtstreeks aan op hetzelfde LAN-segment (indien mogelijk), voltooi deze stappen en verstuur de gegevens naar TAC voor analyse
Wanneer u in Internet Explorer toegang hebt tot de ASA, ontvangt u een certificaatfout als de site niet als een vertrouwde site is opgenomen.
Voltooi deze stappen om de ASA als een vertrouwde site toe te voegen:
Kies in Internet Explorer Gereedschappen > Internet-opties.
Klik op het tabblad Beveiliging en kies Vertaalde sites.
Klik op Plaatsen.
Voeg het https:// adres van de ASA toe, en klik Add.
Zodra de site is toegevoegd, verschijnt het pictogram Betrouwbare sites in de statusbalk van Internet Explorer.
Opmerking: Raadpleeg Werken met Internet Explorer 6 Beveiligingsinstellingen voor meer informatie over deze procedure.
Voltooi deze stappen om koekjes in staat te stellen:
Kies in Internet Explorer Gereedschappen > Internet-opties.
Klik op het tabblad Privacy en klik vervolgens op Advanced.
Selecteer in het dialoogvenster Geavanceerde Privacyinstellingen het dialoogvenster Automatische verwerking van koekjes negeren, klik op de radioknop Accept en klik op OK.
Voltooi deze stappen om de cache voor Internet Explorer te verwijderen:
Kies in Internet Explorer Gereedschappen > Internet-opties.
Op het tabblad Algemeen klikt u op Verwijderen in het gedeelte Bladeren geschiedenis.
Klik op Alles verwijderen.
Controleer ook de bestanden en instellingen die zijn opgeslagen door het aanvinkvakje toe te voegen, en klik op Ja.
Zodra de cache is gewist, sluit u alle exemplaren van de browser af en start u de browser opnieuw.
Opmerking: Om de cache voor andere browsers te wissen, raadpleeg Hoe kan ik de cache van mijn browser schoonmaken (om de prestaties te verbeteren)?
Voltooi deze stappen om het Java-cache te verwijderen:
Kies Configuratiescherm in het menu Windows Start.
Dubbelklik op Java.
Klik op Instellingen.
Klik op Bestanden verwijderen.
Opmerking: Hoe kan ik mijn Java cache wissen? voor meer informatie over deze procedure .
Voltooi deze stappen om de optie van het debuggen van Java toe te staan:
Zorg ervoor dat Java 1.4 of hoger is ingeschakeld:
Kies Configuratiescherm in het menu Windows Start.
Dubbelklik op Java.
Klik op About en controleer het versienummer.
N.B.: U kunt Java-updates downloaden op http://java.com/en/ .
Zorg ervoor dat Java is ingesteld om overtrekken mogelijk te maken, de console weer te geven en Microsoft Internet Explorer in te stellen als de standaardbrowser zoals in deze afbeelding wordt getoond:
Zorg ervoor dat het Java cache wordt gewist zoals beschreven in Schakel het Java-cache uit.
Kies in Internet Explorer Gereedschappen > Java-console om het Java-bug-venster te openen.
Wanneer het venster Java Console debug is geopend, drukt u op 5 om het overtrek-niveau in te stellen
Wanneer een URL wordt benaderd die een Java-applicatie bevat, wordt de activiteit in dit venster opgenomen.
Klik op Kopiëren om de informatie te kopiëren.
Er is een aantal verschillende HTML Capture tools beschikbaar om gegevens te verzamelen, waarvan een aantal hier zijn opgesomd. Installeer een van deze HTML Capture tools op de client-PC die wordt gebruikt voor de gegevensverzamelingsoefening:
Opmerking: Deze procedure gebruikt de HTTPWatch-toepassing.
Voltooi de volgende stappen zodra de applicatie is geïnstalleerd:
Druk op Shift+P+F+2 of op het pictogram in het browser om deze functie in te schakelen.
Zodra de toepassing is ingeschakeld, verschijnt er een venster dat is ingesloten in het browser venster dat op deze afbeelding lijkt:
Klik op Record om gegevens op te nemen; Klik op Stop om de opname te stoppen.
Opmerking: Aanbevolen wordt om HttpWatch 7.x te gebruiken om de gegevens op te nemen.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
29-Apr-2008 |
Eerste vrijgave |