Problemen met ASDM-start oplossen

Inleiding

In dit document wordt beschreven hoe u problemen kunt oplossen bij het starten van Adaptieve Security Appliance Device Manager (ASDM).

Achtergrond

Het document maakt samen met deze documenten deel uit van de ASDM-serie probleemoplossing:

Link1<>

Link2<>

Link3<>

Problemen met ASDM-start oplossen

Probleem 1.  Het bericht "Kan apparaatbeheer niet starten vanaf" wordt weergegeven op ASDM

Een of meer van deze symptomen worden waargenomen wanneer u probeert verbinding te maken met de firewall met behulp van ASDM:

• De foutmelding "Kan apparaatbeheer niet starten vanaf" wordt weergegeven op ASDM:

• De debug-logboeken van Java tonen een van de volgende uitzonderingen:

java.net.ConnectException: Connection timed out: connect
     at java.net.DualStackPlainSocketImpl.waitForConnect(Native Method)

java.net.ConnectException: Connection refused: connect
              at java.net.DualStackPlainSocketImpl.waitForConnect(Native Method)

Trying for ASDM Version file; url = https://192.0.2.1/admin/
java.io.FileNotFoundException: https://192.0.2.1/admin/version.prop

java.net.SocketException: Connection reset
     at java.net.SocketInputStream.read(Unknown Source)
     at java.net.SocketInputStream.read(Unknown Source)
     at sun.security.ssl.SSLSocketInputRecord.read(Unknown Source)

Om dit symptoom te verifiëren, activeert u Java console logs:

Probleemoplossing - Aanbevolen acties

1. Zorg ervoor dat de ASA-, ASDM- en besturingssysteemversies compatibel zijn.  Raadpleeg de Cisco Secure Firewall ASA release Notes, Cisco Secure Firewall ASDM release Notes, Compatibiliteit met Cisco Secure Firewall ASA.
2. Zorg er op het ASDM-Hosted Operating System (OS) voor dat de OS-firewall en andere beveiligingssoftware pakketten ASDM-verbindingen in beide richtingen (in- en uitgangen) mogelijk maken.

3. Zorg er op het ASDM-Hosted Operating System (OS) voor dat de beveiligingssoftware (bijvoorbeeld antivirus) en het beveiligingsbeleid de ASDM- en Java-software kunnen uitvoeren.
   

4. Zorg ervoor dat HTTP-server is ingeschakeld en dat de juiste hosts/interfaces zijn geconfigureerd:

# show run http                           
http server enable
http 192.0.2.0 255.255.255.0 management

De opdracht http server Enable kan uit de actieve configuratie verdwijnen als gevolg van Cisco bug-id CSCwc67687 "ASA HA failover triggers HTTP server boogstack en ASDM stroomonderbreking".

5. Zorg ervoor dat het ASDM-beeld op de lokale flitser beschikbaar is en is geconfigureerd:

# dir flash:
Directory of disk0:/
150    drwx  4096         05:55:01 Nov 14 2024  log
1074037795  -rw-  123665740    23:30:37 Oct 17 2024  asdm.bin

# show run asdm 
asdm image disk0:/asdm.bin
no asdm history enable

6. Zorg ervoor dat de 3DES/AES-licenties beschikbaar zijn als u via de data-interface verbinding maakt met de ASA:

# show ver | grep Encryption
Encryption hardware device : Cisco ASA Crypto on-board accelerator (revision 0x1)
Encryption-DES                    : Enabled       
Encryption-3DES-AES               : Enabled

7. Als WebVPN is ingeschakeld op dezelfde interface, zorg er dan voor dat verschillende poorten zijn geconfigureerd voor WebVPN en ASDM. Ofwel de WebVPN poort wijzigen ofwel de HTTPS serverpoort wijzigen.
   In dit voorbeeld worden zowel WebVPN- als ASDM-toegang geconfigureerd. De WebVPN-service wordt uitgevoerd op de standaard HTTPS-poort 443 en de HTTPS-poort voor ASDM is ingesteld op 8443:

# show run webvpn 
webvpn
 enable outside <-- default HTTPS port 443

# show run http                           
http server enable 8443 <-- custom HTTPS port 8443
http 192.0.2.0 255.255.255.0 outside

8. Zorg ervoor dat verbindingen van de host met ASDM en de firewall worden toegestaan door intermediaire apparaten in het netwerk.

Mogelijke problemen:

• Onjuiste routing
• Onjuiste NAT/poort doorsturen
• Het verkeer is geblokkeerd op het doorgangspad

Vanuit het firewallperspectief, om connectiviteit te bevestigen kunt u pakket vormen opneemt op specifieke interfaces:

# show run http                           
http server enable
http 192.0.2.0 255.255.255.0 management

# cap capm interface management match tcp any any eq https
# show capture  capm

138 packets captured
   1: 14:20:44.355526       192.0.2.35.50590 > 198.51.100.141.443: S 3649403547:3649403547(0) win 64240 
    
     
    
   2: 14:20:44.356152       198.51.100.141.443 > 192.0.2.35.50590: S 0:0(0) ack 3649403548 win 32768 
    
     
    
   3: 14:20:44.357388       192.0.2.35.50590 > 198.51.100.141.443: . ack 1 win 64240 
   4: 14:20:44.384715       192.0.2.35.50590 > 198.51.100.141.443: P 3649403548:3649403918(370) ack 1 win 32768
   5: 14:20:44.384806       198.51.100.141.443 > 192.0.2.35.50590: . ack 3649403918 win 32398
   6: 14:20:44.385829       198.51.100.141.443 > 192.0.2.35.50590: P 1:760(759) ack 3649403918 win 32768

9. Zorg ervoor dat het huidige gebruik van de ASDM-bronnen de limiet niet overschrijdt:

# show resource usage resource ASDM
Resource                 Current        Peak      Limit        Denied Context
ASDM                           1           1          5             0 admin

Gebruik de opdracht show conn all protocol TCP port <port> om de lijst met actieve ASDM-verbindingen te controleren. Zorg ervoor dat de juiste poort is ingesteld voor de HTTP-serverservers op (toon run http).

# show conn all protocol tcp port 443  
2 in use, 8 most used

TCP management  192.0.2.35:50620 NP Identity Ifc  198.51.100.141:443, idle 0:00:08, bytes 119188, flags UOB

In plaats hiervan kan de opdracht asp table socket van show gebruikt worden voor de verificatie van actieve ASDM-verbindingen. Zorg ervoor dat u alleen de verbindingen controleert met de poort waarop de HTTP-server draait (toon run http).

# show asp table socket
Protocol   Socket    State      Local Address             Foreign Address
SSL        0027eb28  LISTEN     198.51.100.141:443         0.0.0.0:*                                   
SSL        00305798  ESTAB      198.51.100.141:443         192.0.2.35:50620   

De opdracht clear conn all protocol TCP-poort <port> kan worden gebruikt om verbindingen te wissen.

10. Als de opdracht beheertoegang <interface> is geconfigureerd en ASDM verbinding maakt met de <interface>IP via een Virtual Private Network Connection (VPN), verwijdert en toevoegt u de beheertoegang <interface>. Dit is de tijdelijke oplossing voor Cisco bug-id CSCvu60373 "ASA - Management-access werkt niet via Tunnel Interface".

11. Controleer de Cisco bug-id CSCwd04210 “ASA: ASDM-sessies vastzitten in CLOSE_wait wat een gebrek aan MGMT veroorzaakte". Als gevolg van dit defect kan de ASDM-sessie worden afgesloten met het bericht "Verloren verbinding met firewall" en kan een verdere verbinding met de firewall niet slagen. De tijdelijke oplossing is het herladen van de firewall.
    
    
12. Controleer CSCwh van de bug-id van Cisco32118 "ASDM-quota voor beheersessies bereikt als gevolg van HTTP-sessies die vastzitten in CLOSE_wait". Als gevolg van dit defect bereikt de ASDM-quota voor beheersessies het gevolg van HTTP-sessies die vastzitten in de toestand CLOSE_wait. De tijdelijke stappen:

• Controleer het huidige gebruik van en de limieten aan bronnen voor ASDM:

# show resource usage resource ASDM
Resource                 Current        Peak      Limit        Denied Context
ASDM                           1           1          5             0 admin

• Als de huidige waarde gelijk is aan de limiet, controleert u de status van de HTTPS-sessies:

# debug menu npshim -w
Handle State Intf
...
720108b6 CLOSE_WAIT
57835276 CLOSE_WAIT
58068272 CLOSE_WAIT
6ae93b92 CLOSE_WAIT

• Als er meerdere items zijn in de toestand CLOSE_wait, gebruikt u de opdracht debug menu pdm 3 om al deze sessies te wissen.

13. Controleer de symptomen van blokdepletie in de output van de opdracht show blocks, met name de laagste waarden in de kolommen LOW en CNT:

• 256- en 1550-byte-blokgrootten zijn uitgeput en hersteld:

# show blocks
  SIZE    MAX    LOW    CNT
     0   5700   5608   5700
     4    900    899    899
    80   5000   4575   5000
   256  13568      0  13563  
  1550  50000      0  49974  

• 256- en 1550-byte-blokgrootten zijn uitgeput en niet hersteld:

# show blocks
  SIZE    MAX    LOW    CNT
     0   5700   5608   5700
     4    900    899    899
    80   5000   4575   5000
   256  13568      0      0
  1550  50000      0      0  

Raadpleeg de Cisco-bug-id CSCv71435 "ASA 256 and/or 1550 block depletion veroorzaakt DMA-geheugenonvrijgegeven toewijzing".

De tijdelijke opties:

1. Snelheidslimietsyslog-berichten worden met een hoge snelheid gemaakt. De meest voorkomende berichten-ID's die een hoog aantal berichten zouden genereren zijn de berichten voor het maken en verwijderen van verbindingen, zoals:

%ASA-6-302013: Built {inbound|outbound} TCP connection_id for interface:real-address/real-port (mapped-address/mapped-port) [(idfw_user)] to interface:real-address/real-port (mapped-address/mapped-port) [(idfw_user)] [(user)]
 %ASA-6-302014: Teardown TCP connection id for interface :real-address /real-port [(idfw_user )] to interface :real-address /real-port [(idfw_user )] duration hh:mm:ss bytes bytes [reason [from teardown-initiator]] [(user )]

In dit geval ziet een mogelijke snelheidslimietconfiguratie er als volgt uit:

logging rate-limit 1 10000 message 302013 
logging rate-limit 1 10000 message 302014

Andere mogelijke boodschappen zijn: 302015 / 302016 / 302017 / 302018 / 302020 / 302036 / 302303 / 302304 / 302305 / 302306. Referentie: referentie voor vastlegging van snelheid-limietopdracht.

2.  Schakel de logberichten uit die met een hoge snelheid worden gemaakt:

no logging message 302013 
no logging message 302014 

3. Reactieve optie is het apparaat opnieuw laden om het toegewezen DMA-geheugen vrij te geven. Overweeg een van de preventieve maatregelen te nemen om herhaling van dit probleem te voorkomen. 

14. Controleer of logbestanden zoals deze lijnen in de ASA-console worden weergegeven. In dit geval kunnen ASDM- of SSH-verbindingen niet tot stand worden gebracht:

ERROR: FAIL to ALLOC the stack page 0xffffffffffffffff[size 36864] to 0x00007fa3b0c29000 errno (mmap:umap) 12:0Message #10 :
First MMAP Req/Updated 36864/45056 Front 0x00007fa3b0c28000 rtn 0x00007fa3b0c29000 back 0x00007fa3b0c32000
Message #11 : process_create: out of stack memory for name accept/ssh_2 size 32768 prio 3
Message #12 : _listen_ssh: failed to create thread for interface 2 port 22

Raadpleeg de Cisco bug-id CSCwc23844 "ASAv hoge CPU- en stackgeheugentoewijzingsfouten ondanks meer dan 30% vrij geheugen".  De tijdelijke tijdelijke oplossing is het opnieuw opstarten van de firewall.

Referenties

• Opmerkingen over Cisco Secure Firewall ASA release
• Opmerkingen over Cisco Secure Firewall ASDM-release
• Compatibiliteit met Cisco Secure Firewall ASA
• referentie voor vastlegging snelheidsbeperking in opdracht

Probleem 2. ASDM-gebruikersinterface is niet toegankelijk via Java Web Launch-Starting

Om de symptomen te verifiëren, activeert u Java-consolelogboeken:

De Java console logboeken tonen berichten als deze lijnen:

NLPException[category: Download Error : Exception: java.io.FileNotFoundException: https://192.0.2.1/admin/public/asdm.jnlp : LaunchDesc: null
        at com.sun.javaws.Main.launchApp(Unknown Source)
        at com.sun.javaws.Main.continueInSecureThread(Unknown Source)
        at com.sun.javaws.Main.access$000(Unknown Source)
        at com.sun.javaws.Main$1.run(Unknown Source)
        at java.lang.Thread.run(Unknown Source)
Caused by: java.io.FileNotFoundException: https://10.75.32.2/admin/public/asdm.jnlp
        at sun.net.www.protocol.http.HttpURLConnection.getInputStream0(Unknown Source)
        at sun.net.www.protocol.http.HttpURLConnection.access$200(Unknown Source)
        at sun.net.www.protocol.http.HttpURLConnection$9.run(Unknown Source)
        at sun.net.www.protocol.http.HttpURLConnection$9.run(Unknown Source)
        at java.security.AccessController.doPrivileged(Native Method)
        at java.security.AccessController.doPrivilegedWithCombiner(Unknown Source)
        at sun.net.www.protocol.http.HttpURLConnection.getInputStream(Unknown Source)

Probleemoplossing - Aanbevolen acties

ASDM 7.18, dat ondersteuning voor Java Web Launch-Starten met ASDM 7.18 beëindigt, ASDM ondersteunt niet langer Java Web Start vanwege Oracle's end of support voor JRE 8 en Java Network Launching Protocol (JNLP). U moet de ASDM Launcher installeren om ASDM te kunnen starten. Raadpleeg de Releaseopmerkingen voor Cisco Secure Firewall ASDM, 7.18(x).

Referenties

• Releaseopmerkingen voor Cisco Secure Firewall ASDM, 7.18(x)

Probleem 3. ASDM komt vast te zitten in ‘Even geduld terwijl ASDM de huidige configuratie van uw apparaat laadt’

De fout die wordt weergegeven op de ASDM UI is:

Probleemoplossing - Aanbevolen acties

Dit is een bekend defect dat wordt gevolgd door Cisco bug-id CSCv14818 Misleidende pop-up: Een ogenblik geduld. ASDM laadt de huidige configuratie vanaf uw apparaat.

Probleem 4. ASDM-startfout: JAR-bronnen in JNLP-bestand worden niet door hetzelfde certificaat ondertekend

De fout die wordt weergegeven op de ASDM UI is: ‘Kan de toepassing niet starten.’

De ASDM Java-logbestanden tonen: "JAR-bronnen in JNLP-bestand worden niet door hetzelfde certificaat ondertekend"

Probleemoplossing - Aanbevolen acties

Dit is een bekend defect dat wordt gevolgd door Cisco bug-id CSCwc13294 ASA: Kan geen verbinding met ASA maken via ASDM met Java Web Launch

Referentie

https://www.cisco.com/c/en/us/td/docs/security/asdm/7_17/release/notes/rn717.html

Probleem 5. ASDM hangt bij 77% van het laden van de apparatenconfiguratie

De ASDM zit vast op 77% tijdens het parseren van de actieve configuratie.

Probleemoplossing - Aanbevolen acties

Dit is een bekend defect dat wordt bijgehouden door Cisco bug-id CSCvh02586 ASDM hangt bij 77% laden van de apparaatconfiguratie

Probleem 6. Kan geen toegang krijgen tot ASDM op de standby firewall

Probleemoplossing - Aanbevolen acties

Zorg ervoor dat beide firewalls:

Dezelfde ASA software beelden, bijvoorbeeld:

asa# show run boot
boot system disk0:/cisco-asa-fp1k.9.22.1.1.SPA

Dezelfde ASDM-softwareafbeeldingen, bijvoorbeeld:

asa# show asdm image
Device Manager image file, disk0:/asdm-7221.bin

Probleem 7. ASDM hangt bij ‘Software update voltooid’.

De ASDM UI zit vast bij ‘Software update voltooid’. fase

In de ASDM Java-logbestanden ziet u:

java.lang.NullPointerException
   at vk.cz(vk.java:780)
   at vk.b(vk.java:609)
   at vk.<init>(vk.java:409)
   at com.cisco.pdm.PDMApplet.start(PDMApplet.java:170)
   at com.cisco.nm.dice.loader.Loader$1.run(Loader.java:416)
Exception in Starting Main window
Exception in thread "SGZ Loader: launchSgzApplet" java.lang.NullPointerException
   at com.cisco.pdm.PDMApplet.start(PDMApplet.java:177)
   at com.cisco.nm.dice.loader.Loader$1.run(Loader.java:416)

Merk op dat vk,cz, etc. kan welke karakters ook zijn, bijvoorbeeld:

java.lang.NullPointerException
              at t6.cr(t6.java:742)
              at t6.b(t6.java:573)
              at t6.<init>(t6.java:386)
              at com.cisco.pdm.PDMApplet.start(PDMApplet.java:168)
              at com.cisco.nm.dice.loader.Loader$1.run(Unknown Source)
Exception in Starting Main window
Exception in thread "SGZ Loader: launchSgzApplet" java.lang.NullPointerException
              at com.cisco.pdm.PDMApplet.start(PDMApplet.java:175)
              at com.cisco.nm.dice.loader.Loader$1.run(Unknown Source)

Probleemoplossing - Aanbevolen acties

Zorg ervoor dat uw ASDM-gebruiker over de rechten van niveau 15 beschikt:

asa# show run username
username test password ***** pbkdf2 privilege 3  <- this will not work

Terwijl dit werkt:

asa# show run username                         
username test password ***** pbkdf2 privilege 15

Probleem 8. ASDM op ASA meervoudige context hangt bij 57% terwijl het ontleden van lopende configuratie

De ASDM UI zit vast op 57%. De UI toont: Een ogenblik geduld. ASDM laadt de huidige configuratie vanaf uw apparaat.

Probleemoplossing - Aanbevolen acties

Dit is normaal te zien als aan al deze voorwaarden wordt voldaan:

1. ASA bevindt zich in de modus Meerdere contexten
2. Er is een aaa-servergroep die meer dan 4 servers bevat.

Oplossing

Verminder het aantal aaa-server in de groep, bijvoorbeeld:

Voor:

aaa-server ACS protocol tacacs+
aaa-server ACS (management) host 192.0.2.1
 key *****
aaa-server ACS (management) host 192.0.2.2
 key *****
aaa-server ACS (management) host 192.0.2.3
 key *****
aaa-server ACS (management) host 192.0.2.4
 key *****
aaa-server ACS (management) host 192.0.2.5
 key *****
aaa-server ACS (management) host 192.0.2.6
 key *****

Wijzigen:

asa(config)# no aaa-server ACS (management) host 192.0.2.5
asa(config)# no aaa-server ACS (management) host 192.0.2.6

Na:

aaa-server ACS protocol tacacs+
aaa-server ACS (management) host 192.0.2.1
 key *****
aaa-server ACS (management) host 192.0.2.2
 key *****
aaa-server ACS (management) host 192.0.2.3
 key *****
aaa-server ACS (management) host 192.0.2.4
 key *****

Referentie

https://www.cisco.com/c/en/us/td/docs/security/asa/asa72/configuration/guide/conf_gd/aaa.html#wp1039757

Probleem 9. Kan geen toegang tot ASDM op vASA krijgen

Veel van deze berichten worden getoond:

Problem Details: ERROR: FAIL to ALLOC the stack page 0xffffffffffffffff[size 36864] to 0x00007ff62429c000 errno (mmap:umap) 12:0 First MMAP Req/Updated 36864/45056 Front 0x00007ff62429b000 rtn 0x00007ff62429c000 back 0x00007ff6242a5000

Andere symptomen:

1. Hoge CPU-benutting in de 'show cpu'-uitvoer ondanks 'toon cpu core' die een lage benutting laat zien
2. Fouten in de geheugentoewijzing van de stapel in de console
3. Onvermogen om SSH op het apparaat te plaatsen
4. SNMP-polling mislukt

Dit is een bekend defect dat wordt gevolgd door Cisco bug-id CSCwc23844 ASAv vergissingen bij hoge CPU- en stapelgeheugentoewijzing ondanks meer dan 30% vrij geheugen

Problemen met ASDM oplossen in Windows OS

Probleem 1. ASDM laadt de firewallconfiguratie niet bij gebruik van ASA + SFR

De fout die wordt weergegeven op de ASDM UI is:

‘ASDM kan de configuratie van de firewall niet laden. Controleer de verbinding met het apparaat of probeer het later opnieuw."

Probleemoplossing - Aanbevolen acties

Controleer de ASDM-releaseopmerkingen. Ze vermelden welke OS wordt ondersteund:

https://www.cisco.com/c/en/us/support/security/adaptive-security-device-manager/products-release-notes-list.html

Het bijbehorende gedeelte:

De screenshot is afkomstig van de ASDM 7.18 release notes:

https://www.cisco.com/c/en/us/td/docs/security/asdm/7_18/release/notes/rn718.html

Zoals je ziet, staan Windows 11 en 2022 niet in de lijst.

Ook vanaf ASDM 7.16, op Windows Server 2016 en Server 2019, wordt ASDM-beheer van de FirePOWER-module niet ondersteund. U kunt het VCC ook gebruiken om de FirePOWER-module te beheren wanneer u ASDM gebruikt voor ASA-beheer.

Tip voor probleemoplossing: Controleer of de Java-console zich aanmeldt bij ASDM:

In het geval van een niet-ondersteund OS ziet u zoiets als:

Caused by: java.lang.ExceptionInInitializerError: Exception com.teamdev.jxbrowser.chromium.internal.EnvironmentException: Unsupported operating system. Supported OS: Windows XP (SP2), 7, 8, 10, Vista, 2003 (SP1), 2008, 2012, Mac OS X & Linux. Current OS: Windows 11 [in thread "AWT-EventQueue-0"]
               at com.teamdev.jxbrowser.chromium.internal.Environment.checkEnvironment(Unknown Source)
…

Oplossingen

Om de ASA met ASDM te kunnen beheren, hebt u de volgende opties:

Optie 1: Beheer de ASA en FirePOWER module van een andere, oudere host (bijvoorbeeld Windows 2010, Windows Server 2012, enzovoort.)

Optie 2: Beheer de FirePOWER-module met FMC en blijf de ASA beheren met ASDM.

Optie 3: Uitschakelen van de vuurkrachtmodule:

ASA5508# sw-module module sfr shutdown
Shutdown module sfr? [confirm]
Shutdown issued for module sfr.

Optie 4: Mocht u niet van plan zijn om de Firepower module te gebruiken, kunt u deze verwijderen:

ASA5508# sw-module module sfr uninstall

Optie 5: Werk met Cisco TAC om de tijdelijke oplossing toe te passen vanaf Cisco bug-id CSCwj51536 om de jxbrowser.jar bestanden handmatig te vervangen. Merk op dat deze tijdelijke oplossing het probleem mogelijk nog niet oplost. In dat geval moet u rekening houden met de vorige opties.

Probleem 2. ASDM blijft vastzitten bij het downloaden van FirePOWER-pakketten

Probleemoplossing - Aanbevolen acties

Volgens de FirePOWER-compatibiliteitsgidsen wordt ASDM niet ondersteund voor het beheer van FirePOWER-modules met ASA 9.8(4.45)+, 9.12(4.50)+, 9.14(4.14)+ en 9.16(3.19)+; je moet FMC gebruiken om de module met deze releases te beheren. Deze ASA releases vereisen ASDM 7.18(1.152) of hoger, maar ASDM-ondersteuning voor de ASA FirePOWER-module eindigde met 7.16.

Oplossing

Om de ASA met ASDM te kunnen beheren, hebt u de volgende opties:

Optie 1: Beheer de ASA en FirePOWER module van een andere, oudere host (bijvoorbeeld Windows 2010, Windows Server 2012, enzovoort.)

Optie 2: Beheer de FirePOWER-module met FMC en blijf de ASA beheren met ASDM.

Optie 3: Uitschakelen van de vuurkrachtmodule:

ASA 5508# sw-module sfr-afsluiten

SLB: afsluitmodule [bevestigen]

Sluiting verleend voor module sfr.

Optie 4: Mocht u niet van plan zijn om de Firepower module te gebruiken, kunt u deze verwijderen:

ASA 5508# software-module voor verwijderen

Referentie

https://www.cisco.com/c/en/us/td/docs/security/firepower/compatibility/firepower-classic-compatibility.html#id_60529

Probleem 3. "Deze app kan niet draaien op uw PC" foutmelding weergegeven op Windows-hosts

Probleemoplossing - Aanbevolen acties

Wanneer u de ASDM Launcher installeert, kan Windows het ASDM-sneltoetsdoel vervangen door het Windows Scripting Host-pad, wat deze fout veroorzaakt. U stelt het sneltoetsdoel als volgt vast:

1. Kies Start > Cisco ASDM-IDM Launcher en klik met de rechtermuisknop op de Cisco ASDM-IDM Launcher-toepassing.
2. Kies Meer > Bestandslocatie openen. Windows opent de map met het snelpictogram.
3. Klik met de rechtermuisknop op het snelpictogram en kies Eigenschappen.
4. Verander het doel in: C:\Windows\System32\wscript.exe invisible.vbs run.bat (laat de invisible.vbs run.bat aan het einde staan, aangezien deze scripts worden gebruikt om ASDM te openen).
   

5. Klik op OK.

Referentie

https://www.cisco.com/c/en/us/td/docs/security/asdm/7_22/release/notes/rn722.html

Probleem 4. Windows kan ‘javaw.exe’ niet vinden. Zorg ervoor dat u de naam goed hebt getypt en probeer het nogmaals.

Probleemoplossing - Aanbevolen acties

• Meestal is deze fout gerelateerd aan het ontbreken van Java op de computer. Zorg ervoor dat u een compatibele Java-versie hebt geïnstalleerd op uw Windows-host: https://www.java.com/en/download/help/windows_manual_download.html

https://www.cisco.com/c/en/us/td/docs/security/asdm/7_22/release/notes/rn722.html#id_25472

• Zorg ervoor dat u het exacte pad van het Java-programma in het Windows Environment Variable-pad hebt.
• Als het probleem zich na een Java-upgrade voordoet, kunt u overwegen de Java-versie terug te draaien.
• Zorg ervoor dat het pictogram van uw ASDM-desktop naar het juiste installatiepad wijst. Als dit niet het geval is, verwijdert u de sneltoets en maakt u een nieuwe sneltoets.

Probleem 5. Probleem met sneltoets "C:\Windows\system32\invisible.vbs" in het vak Doel is niet geldig

Getoonde fout: De naam "C:\Windows\system32\invisible.vbs" in het veld Doel is ongeldig. Controleer of het pad en de bestandsnaam juist zijn.

In sommige gevallen is de fout: Kan het scriptbestand 'C:\Windows\system32\invisible.vgs' niet vinden.

Probleemoplossing - Aanbevolen acties

• Zorg ervoor dat u beheerdersrechten hebt wanneer u ASDM op de Windows-host installeert. In sommige gevallen kunnen de Active Directory-instellingen voor Windows-gebruikers de toegang beperken tot locaties van programmabestanden die nodig zijn om ASDM met succes te starten op Windows. Toegang tot deze directory's is nodig:
  • Desktopmap
  • C:\Windows\System32C:\Gebruikers\<gebruikersnaam>\.asdm
  • C:\Program Bestanden (x86)\Cisco Systems

Als uw Active Directory de toegang tot directory beperkt, moet u toegang aanvragen bij uw Active Directory-beheerder.

• Probeer een andere versie van Java op de Windows-host te installeren.

Referenties

https://www.cisco.com/c/en/us/td/docs/security/asdm/7_18/release/notes/rn718.html#id_25476

Probleem 6. Windows Script Host kan het scriptbestand "C:\WINDOWS\system32\invisible.vbs" niet vinden

Wanneer u de ASDM-startmachine probeert te starten, verschijnt deze fout:

Probleemoplossing - Aanbevolen acties

Ga als volgt te werk:

1. Start de Windows-host opnieuw op en verwijder/verwijder alle exemplaren van de ASDM startcher.
2. Installeer opnieuw een nieuwere, maar nog steeds compatibele versie van de ASDM lanceerinrichting. Als er geen nieuwere versie is, installeer dan dezelfde ASDM lanceerinrichting als voorheen.
3. Zorg ervoor dat de juiste Java-versie is geïnstalleerd.

U kunt ook proberen de op OpenJRE gebaseerde ASDM-installatieprogramma te gebruiken omdat het niet nodig is dat Oracle Java op de lokale pc wordt geïnstalleerd.

Probleemoplossing - Aanbevolen acties

Ga als volgt te werk:

1. Start de Windows-host opnieuw op en verwijder/verwijder alle exemplaren van de ASDM startcher.
2. Installeer opnieuw een nieuwere, maar nog steeds compatibele versie van de ASDM lanceerinrichting. Als er geen nieuwere versie is, installeer dan dezelfde ASDM lanceerinrichting als voorheen.
3. Zorg ervoor dat de juiste Java-versie is geïnstalleerd.

U kunt ook proberen de op OpenJRE gebaseerde ASDM-installatieprogramma te gebruiken omdat het niet nodig is dat Oracle Java op de lokale pc wordt geïnstalleerd.

Probleem 7. ASDM werkt niet op Windows Server 2022

Probleemoplossing - Aanbevolen acties

Op het moment van schrijven wordt Windows Server 2022 niet ondersteund. Controleer de nieuwste ASDM release notities van https://www.cisco.com/c/en/us/support/security/adaptive-security-appliance-asa-software/products-release-notes-list.html en als Windows Server 2022 niet wordt vermeld, overweeg dan een ander besturingssysteem te gebruiken dan de ondersteunde lijst.

Probleem 8. ASDM UI-lettergrootte is te klein

Probleemoplossing - Aanbevolen acties

Probeer de volgende stappen:

1.   Zoek javaw.exe die u hebt geïnstalleerd (C:\ProgramData\Oracle\Java\javapath) of wanneer u ASDM open Task Manager laat uitvoeren en zoek de service die wordt uitgevoerd:
   
   
   
   2.   Rechtsklik -> Eigenschappen
   3.   Ga naar het tabblad Compatibiliteit
   4. Klik op ‘Hoge DPI-instellingen wijzigen’
   5. Schakel het selectievakje ‘Gebruik deze instelling om schalingsproblemen voor dit programma op te lossen in plaats van het vakje in Instellingen’ in
   6. Schakel het aanvinkvakje ‘Hoge DPI-schalingsprestaties negeren’ in en selecteer ‘Systeem (uitgebreid)’:

   Voor:

Na:

Probleem 9. Java-fouten

De ASDM UI kan een of meer van deze Java-fouten tonen: Fout: Kan java.dll niet vinden

en/of:

Fout: Kan Java SE Runtime Environment niet vinden.

en/of:

Fout: De registersleutel ‘Software\JavaSoft\JavaRuntime Environment’\CurrentVersion heeft de waarde ‘x.x’, maar ‘x.x’ is vereist.

Probleemoplossing - Aanbevolen acties

1. Controleer of er andere versies van Java zijn geïnstalleerd.
2. Als er andere versies zijn geïnstalleerd, verwijdert u alle versies van Java. Vergeet niet Java 8 te verwijderen.

Tip: U kunt deze sleutel in het register bekijken: HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft\Java Runtime Environment om de geïnstalleerde versies te bepalen. 

U kunt ook bevestigen dat alle versies volledig door deze sleutel worden verwijderd.

Waarschuwing: Wees voorzichtig bij het werken met Windows register!

4. Installeer een compatibele Java-versie opnieuw.

Probleem 10. ASDM-versie 7.19.1.94 openJRE-versiebestand in de back-end met nog steeds OracleJRE-versie

Normaal gedrag met openJRE

Normaal gesproken, wanneer u een ASDM-image installeert en opent op basis van JRE, wordt dit in de Java-versie weergegeven:

En er wordt een 'jre' map aangemaakt onder dit pad: C:\Program Bestanden (x86)\Cisco Systems\ASDM\jre

Daar vindt u een release bestand met informatie over Azul Zulu:

IMPLEMENTOR="Azul Systems, Inc."
IMPLEMENTOR_VERSION="Zulu8.74.0.17-CA-win64"
JAVA_VERSION="1.8.0_392"
OS_NAME="Windows"
OS_VERSION="5.2"
OS_ARCH="amd64"
SOURCE=".:git:51a769a8708c"

Onjuist gedrag met openJRE

Het probleem is nu dat in sommige ASDM-versies (bijvoorbeeld 7.19.1.94) de UI het volgende laat zien:

En het bestand C:\Program Files (x86)\Cisco Systems\ASDM\jre\release toont zoiets als:

JAVA_VERSION="1.8.0_351"
OS_NAME="Windows"
OS_VERSION="5.2"
OS_ARCH="amd64"
SOURCE=".:git:c72692150ec4+"
BUILD_TYPE="commercial"

Probleemoplossing - Aanbevolen stappen

Dit is een bekende Cisco bug-id CSCwf74697 ASDM versie 7.19.1.94 openJRE versiebestand in de backend met nog steeds OracleJRE versie

Tijdelijke oplossing:

Gebruik >= 7.18.1.161 of >= 7.19.1.95 OpenJRE-versiemap.

Probleem 11. ASDM-Java-fouten "[FOUT] CLI-PASSTHROUGH-DEBUG Inside doInitial Processing"

Symptomen (beide moeten waar zijn):

• ASDM werkt zonder problemen.
• ASDM Java-logbestanden tonen

0 [SGZ Loader: launchSgzApplet] ERROR com.cisco.pdm.headless.startup - CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing:
[ERROR] CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing messenger: cqq@1a3c930 46 [SGZ Loader: launchSgzApplet] ERROR com.cisco.pdm.headless.startup –
CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing messenger: cqq@1a3c930 CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing messenger: cqq@1a3c930 Env.isAsdmInHeadlessMode()-------------->false IO Exception occurs while reading the dap file. java.io.FileNotFoundException: https://192.0.2.1 /admin/flash/dap.xml
No CSD version

Probleemoplossing - Aanbevolen acties

Dit is een bekend cosmetisch defect dat wordt bijgehouden door Cisco bug ID CSCwe28411 ASDM-Java-fouten "[ERROR] CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing"

Problemen met ASDM-connectiviteit oplossen

Probleem 1. De start van ASDM mislukt vanwege het maximale aantal sessies

Het "maximumaantal beheerszitting voor protocol http of gebruiker bestaat reeds. Probeer het later opnieuw" wordt de foutmelding weergegeven op de ASDM:

Een soortgelijke fout kan worden getoond bij het overschakelen tussen de contexten op ASDM.

Probleemoplossing - Aanbevolen acties

Raadpleeg de Cisco-bug-id CSCwd04210: ASA: ASDM-sessies vastzitten in CLOSE_wait wat een gebrek aan MGMT veroorzaakte".  Als gevolg van dit defect kan de ASDM-sessie worden afgesloten met het bericht "Verloren verbinding met firewall" en kan een verdere verbinding met de firewall niet slagen.

Probleem 2. Verhoog de belasting/verbindingstijd in ASDM

De initiële verbinding/laadtijd van ASDM wordt verlengd in versies waarin de oplossing voor Cisco bug ID CSCvw79912 "Cisco Adaptive Security Device Manager Remote Code Execution Vulnerability" wordt uitgevoerd.

Probleemoplossing - Aanbevolen acties

Raadpleeg de Cisco bug-id CSC58653 "ASDM-initiële verbinding/laadtijd verlengd".

Problemen met ASDM-geheugen oplossen 

Probleem 1. Onresponsieve en/of trage ASDM-gebruikersinterface tijdens de configuratiebelasting

Een of meer van deze symptomen worden waargenomen tijdens het uitvoeren van ASDM:

• ASDM UI reageert niet meer en/of verloopt traag tijdens het laden van de configuratie.
• "ASDM kon de configuratie van de firewall niet laden. Controleer de verbinding met het apparaat en probeer het later opnieuw." De foutmelding wordt weergegeven:

• Het "Retrieval of Data (validating running configuratie)" bericht wordt getoond voor een uitgebreide hoeveelheid tijd, bijvoorbeeld, enkele uren.
• In de Java console logbestanden worden deze lijnen weergegeven:

Exception in thread "AWT-EventQueue-0" java.lang.OutOfMemoryError: Java heap space
Exception in thread "LoadConfigThread" java.lang.OutOfMemoryError: GC overhead limit exceeded

of

Exception in thread "AWT-EventQueue-0" java.lang.OutOfMemoryError: Java heap space
java.lang.reflect.InvocationTargetException
              at java.awt.EventQueue.invokeAndWait(Unknown Source)
              at java.awt.EventQueue.invokeAndWait(Unknown Source)
              at javax.swing.SwingUtilities.invokeAndWait(Unknown Source)
              at c1.f(c1.java:483)
              at c1.setVisible(c1.java:455)
              at ve.setVisible(ve.java:165)
              at vd.d(vd.java:873)
              at com.cisco.pdm.PDMApplet.populateLoginHistory(PDMApplet.java:268)
              at com.cisco.pdm.PDMApplet.start(PDMApplet.java:233)
              at com.cisco.nm.dice.loader.Loader$1.run(Loader.java:416)
Caused by: java.lang.OutOfMemoryError: Java heap space

Om dit symptoom te verifiëren, activeert u Java console logs:

Probleemoplossing - Aanbevolen acties

1. Zorg ervoor dat de ASA-, ASDM- en besturingssysteemversies compatibel zijn.  Raadpleeg de Cisco Secure Firewall ASA release Notes, Cisco Secure Firewall ASDM release Notes, Compatibiliteit met Cisco Secure Firewall ASA.
2. Vergroot het ASDM Configuration Memory-geheugen op besturingssystemen:

Windows

• Ga naar de ASDM-installatiemap, bijvoorbeeld C:\Program Files (x86)\Cisco Systems\ASDM.
• Bewerk het bestand run.bat met een teksteditor.
• In de regel die begint met "start javaw.exe", verander het argument vooraf bepaald met "-Xmx" om de gewenste heap grootte te specificeren. Verander het bijvoorbeeld in -Xmx768M voor 768 MB of -Xmx1G voor 1 GB.
• Sla het bestand run.bat op.

Mac OS

• Klik met de rechtermuisknop op het pictogram Cisco ASDM-IDM en kies Pakketinhoud tonen.
• Dubbelklik in de map Inhoud op het bestand Info.plist. Als u Ontwikkelaarsgereedschappen hebt geïnstalleerd, wordt deze geopend in de eigenschappenlijsteditor. Anders wordt het geopend in TextEdit.
• Onder Java > VMOOptions, verander de string die is voorafgegaan door "-Xmx" om de gewenste heap size te specificeren. Verander het bijvoorbeeld in -Xmx768M voor 768 MB of -Xmx1G voor 1 GB.
• Als dit bestand vergrendeld is, ziet u een fout zoals dit bericht:
  

• Klik op Ontgrendelen en sla het bestand op. Als u het dialoogvenster Openen niet ziet, sluit u de editor af, klikt u met de rechtermuisknop op het pictogram Cisco ASDM-IDM, kiest u Cisco ASDM-IDM kopiëren en plakt u het naar een locatie waar u schrijfrechten hebt, zoals het bureaublad. Verander vervolgens de heapgrootte van deze kopie.

Referenties

• Opmerkingen over Cisco Secure Firewall ASA release
• Opmerkingen over Cisco Secure Firewall ASDM-release
• Compatibiliteit met Cisco Secure Firewall ASA

Probleem 2. ASDM kan geen contact opnemen met de firewall

De fout "ASDM kan tijdelijk geen contact opnemen met de firewall." Of "Kan apparaatbeheer niet starten" wordt weergegeven tijdens het starten van ASDM:

• Sommige pakketten van de ASDM HTTPS-verbinding worden met de (ctm-fout) CTM geretourneerde fout-drop-reden in het Accelerated Security Path (ASP) gedropt:

# capture asp type asp-drop all buffer 33554432 match ip host 192.0.2.1 host 192.0.2.1 eq https 

# show capture
capture asp type asp-drop all buffer 33554432 [Capturing - 587 bytes]
  match ip host 192.0.2.1 host 192.0.2.2 eq https

# show cap asp
1 packet captured
   1: 10:41:04.850648       192.0.2.1.56667 > 192.0.2.2.443: P 758423982:758424499(517) ack 2534033991 win 64440 Drop-reason: (ctm-error) CTM returned error

• Het aantal mislukte blokken is voor blokken van 256 en 1550-grootte niet-nul en de MISLUKTE teller wordt verhoogd:

# show block
  SIZE    MAX    LOW    CNT  FAILED
     0   2950   2865   2950      0
     4    400    398    399      0
    80   2500   2369   2500      0
   256   6302      0   6274  50693
  1550  22147      0  22111 769896
  2048   8848   8844   8848      0
  2560   2964   2962   2964      0
  4096    100     99    100      0
  8192    100     99    100      0
  9344    100     99    100      0
 16384    154    153    154      0
 65664     16     16     16      0

• De hoeveelheid vrij geheugen in de MEMPOOL_DMA geheugenpool is significant laag, meestal rond een paar bytes of kilobytes:

# show memory detail | begin MEMPOOL_DMA

MEMPOOL_DMA POOL STATS:
Non-mmapped bytes allocated =    230686720
Number of free chunks       =          175
Number of mmapped regions   =            0
Mmapped bytes allocated     =            0
Max memory footprint        =    230686720
Keepcost                    =          336
Max contiguous free mem     =        21136
Allocated memory in use     =    230548640
Free memory                 =       138080

Probleemoplossing - Aanbevolen acties

1. Controleer de Cisco bug-id CSCv71435 "ASA 256 and/or 1550 block depletion veroorzaakt DMA Memory unrelease toewijzing". De defectsymptomen worden waargenomen bij een verhoogd aantal syslogberichten zoals 302013 of 302014.

Volg de stappen in het gedeelte Workaround.

2. Controleer Cisco bug-id CSCwd58653 "ASDM initiële verbinding/laadtijd verlengd". De initiële verbinding/laadtijd van ASDM is verlengd na de ASDM-upgrade om de versie van Cisco bug ID CSCvw79912 "Cisco Adaptive Security Device Manager Remote Code Execution Vulnerability" te repareren.