Identificar e Solucionar Problemas de Inicialização do ASDM

Introdução

Este documento descreve o processo de solução de problemas para problemas de inicialização do Adaptive Security Appliance Device Manager (ASDM).

Background

O documento faz parte da série de solução de problemas do ASDM, juntamente com estes documentos:

Link1<>

Link2<>

Link3<>

Identificar e Solucionar Problemas de Inicialização do ASDM

Problema 1.  A mensagem "Não é possível iniciar o gerenciador de dispositivos de" é mostrada no ASDM

Um ou mais desses sintomas são observados ao tentar se conectar ao firewall usando o ASDM:

• A mensagem de erro "Não é possível iniciar o gerenciador de dispositivos de" é mostrada no ASDM:

• Os logs de depuração Java mostram uma destas exceções:

java.net.ConnectException: Connection timed out: connect
     at java.net.DualStackPlainSocketImpl.waitForConnect(Native Method)

java.net.ConnectException: Connection refused: connect
              at java.net.DualStackPlainSocketImpl.waitForConnect(Native Method)

Trying for ASDM Version file; url = https://192.0.2.1/admin/
java.io.FileNotFoundException: https://192.0.2.1/admin/version.prop

java.net.SocketException: Connection reset
     at java.net.SocketInputStream.read(Unknown Source)
     at java.net.SocketInputStream.read(Unknown Source)
     at sun.security.ssl.SSLSocketInputRecord.read(Unknown Source)

Para verificar esse sintoma, ative os registros do console Java:

Solução de problemas - Ações recomendadas

1. Verifique se as versões do ASA, do ASDM e do sistema operacional são compatíveis.  Consulte as Notas de versão do Cisco Secure Firewall ASA, Notas de versão do Cisco Secure Firewall ASDM, Compatibilidade do Cisco Secure Firewall ASA.
2. No sistema operacional (SO) hospedado no ASDM, certifique-se de que o firewall do SO e outros softwares de segurança permitam pacotes de conexões ASDM em ambas as direções (entrada e saída).

3. No sistema operacional (SO) hospedado no ASDM, certifique-se de que o software de segurança (por exemplo, antivírus) e as políticas de segurança permitam a execução do ASDM e do software Java.
   

4. Verifique se o servidor HTTP está ativado e se os hosts/interfaces corretos estão configurados:

# show run http                           
http server enable
http 192.0.2.0 255.255.255.0 management

O comando http server enable pode desaparecer da configuração em execução devido ao bug da Cisco ID CSCwc67687 "O failover ASA HA dispara a falha de reinicialização do servidor HTTP e a interrupção do ASDM".

5. Verifique se a imagem do ASDM está disponível na flash local e configurada:

# dir flash:
Directory of disk0:/
150    drwx  4096         05:55:01 Nov 14 2024  log
1074037795  -rw-  123665740    23:30:37 Oct 17 2024  asdm.bin

# show run asdm 
asdm image disk0:/asdm.bin
no asdm history enable

6. Certifique-se de que as licenças 3DES/AES estejam disponíveis, se você estiver se conectando ao ASA através da interface de dados:

# show ver | grep Encryption
Encryption hardware device : Cisco ASA Crypto on-board accelerator (revision 0x1)
Encryption-DES                    : Enabled       
Encryption-3DES-AES               : Enabled

7. Se a WebVPN estiver habilitada na mesma interface, certifique-se de que portas diferentes estejam configuradas para WebVPN e ASDM. Altere a porta WebVPN ou a porta do servidor HTTPS.
   Neste exemplo, o acesso WebVPN e ASDM estão configurados. O serviço WebVPN está sendo executado na porta HTTPS 443 padrão e a porta HTTPS para ASDM está configurada como 8443:

# show run webvpn 
webvpn
 enable outside <-- default HTTPS port 443

# show run http                           
http server enable 8443 <-- custom HTTPS port 8443
http 192.0.2.0 255.255.255.0 outside

8. Certifique-se de que as conexões do host com o ASDM e o firewall sejam permitidas por dispositivos intermediários na rede.

Problemas potenciais:

• Roteamento incorreto
• Encaminhamento de NAT/porta incorreto
• O tráfego é bloqueado no caminho de trânsito

Da perspectiva do firewall, para confirmar a conectividade, você pode configurar capturas de pacotes em interfaces específicas:

# show run http                           
http server enable
http 192.0.2.0 255.255.255.0 management

# cap capm interface management match tcp any any eq https
# show capture  capm

138 packets captured
   1: 14:20:44.355526       192.0.2.35.50590 > 198.51.100.141.443: S 3649403547:3649403547(0) win 64240 
    
     
    
   2: 14:20:44.356152       198.51.100.141.443 > 192.0.2.35.50590: S 0:0(0) ack 3649403548 win 32768 
    
     
    
   3: 14:20:44.357388       192.0.2.35.50590 > 198.51.100.141.443: . ack 1 win 64240 
   4: 14:20:44.384715       192.0.2.35.50590 > 198.51.100.141.443: P 3649403548:3649403918(370) ack 1 win 32768
   5: 14:20:44.384806       198.51.100.141.443 > 192.0.2.35.50590: . ack 3649403918 win 32398
   6: 14:20:44.385829       198.51.100.141.443 > 192.0.2.35.50590: P 1:760(759) ack 3649403918 win 32768

9. Certifique-se de que o uso do recurso atual do ASDM não exceda o limite:

# show resource usage resource ASDM
Resource                 Current        Peak      Limit        Denied Context
ASDM                           1           1          5             0 admin

Use o comando show conn all protocol tcp port <port> para verificar a lista de conexões ASDM ativas. Certifique-se de fornecer a porta correta na qual os servidores HTTP estão conectados (show run http).

# show conn all protocol tcp port 443  
2 in use, 8 most used

TCP management  192.0.2.35:50620 NP Identity Ifc  198.51.100.141:443, idle 0:00:08, bytes 119188, flags UOB

Como alternativa, o comando show asp table socket pode ser usado para verificar conexões ASDM ativas. Certifique-se de verificar apenas as conexões com a porta em que o servidor HTTP está sendo executado (show run http).

# show asp table socket
Protocol   Socket    State      Local Address             Foreign Address
SSL        0027eb28  LISTEN     198.51.100.141:443         0.0.0.0:*                                   
SSL        00305798  ESTAB      198.51.100.141:443         192.0.2.35:50620   

O comando clear conn all protocol tcp port <port> pode ser usado para limpar conexões.

10. Se o comando management-access <interface> estiver configurado e o ASDM se conectar ao IP de <interface> através de uma conexão de rede virtual privada (VPN), remova e adicione novamente a management-access <interface>. Esta é a solução alternativa para o bug da Cisco ID CSCvu60373 "ASA - O acesso de gerenciamento não funciona na interface de túnel".

11. Verifique a ID do Cisco Bug CSCwd04210 “ASA: Sessões ASDM travadas em CLOSE_WAIT causando falta de MGMT". Devido a esse defeito, a sessão do ASDM pode terminar com a mensagem "Perdeu a conexão com o firewall" e a conexão com o firewall pode ser malsucedida. A solução é recarregar o firewall.
    
    
12. Verifique a ID do Cisco Bug CSCwh32118 "Cota de sessões de gerenciamento ASDM atingida devido a sessões HTTP travadas em CLOSE_WAIT". Devido a esse defeito, a cota de sessões de gerenciamento do ASDM é atingida devido a sessões HTTP travadas no estado CLOSE_WAIT. As etapas alternativas:

• Verifique o uso atual e limite de recursos para o ASDM:

# show resource usage resource ASDM
Resource                 Current        Peak      Limit        Denied Context
ASDM                           1           1          5             0 admin

• Se o valor atual for igual ao limite, verifique o estado das sessões HTTPS:

# debug menu npshim -w
Handle State Intf
...
720108b6 CLOSE_WAIT
57835276 CLOSE_WAIT
58068272 CLOSE_WAIT
6ae93b92 CLOSE_WAIT

• Se houver várias entradas no estado CLOSE_WAIT, use o comando debug menu pdm 3 para limpar todas essas sessões.

13. Verifique os sintomas de redução de bloco na saída do comando show blocks, especificamente os valores mais baixos nas colunas LOW e CNT:

• Os tamanhos de bloco de 256 e 1550 bytes foram esgotados e recuperados:

# show blocks
  SIZE    MAX    LOW    CNT
     0   5700   5608   5700
     4    900    899    899
    80   5000   4575   5000
   256  13568      0  13563  
  1550  50000      0  49974  

• Os tamanhos dos blocos de 256 e 1550 bytes foram esgotados e não foram recuperados:

# show blocks
  SIZE    MAX    LOW    CNT
     0   5700   5608   5700
     4    900    899    899
    80   5000   4575   5000
   256  13568      0      0
  1550  50000      0      0  

Consulte o bug da Cisco ID CSCv71435 "ASA 256 and/or 1550 block depletion cause DMA Memory unrelease allocation".

As opções de solução:

1. Limite de taxa de mensagens de syslog que estão sendo criadas em uma taxa alta. Os IDs de mensagens mais comuns que criariam uma alta taxa de mensagens são as mensagens para criação e desmontagem de conexões, como:

%ASA-6-302013: Built {inbound|outbound} TCP connection_id for interface:real-address/real-port (mapped-address/mapped-port) [(idfw_user)] to interface:real-address/real-port (mapped-address/mapped-port) [(idfw_user)] [(user)]
 %ASA-6-302014: Teardown TCP connection id for interface :real-address /real-port [(idfw_user )] to interface :real-address /real-port [(idfw_user )] duration hh:mm:ss bytes bytes [reason [from teardown-initiator]] [(user )]

Nesse caso, uma possível configuração de limite de taxa seria semelhante a:

logging rate-limit 1 10000 message 302013 
logging rate-limit 1 10000 message 302014

Outras mensagens possíveis são: 302015 / 302016 / 302017 / 302018 / 302020 / 302036 / 302303 / 302304 / 302305 / 302306. referência de comando logging rate-limit.

2.  Desabilite as mensagens de log que estão sendo criadas em uma taxa alta:

no logging message 302013 
no logging message 302014 

3. A opção reativa é recarregar o dispositivo para liberar a memória DMA alocada. Considere o uso de uma das medidas preventivas para evitar a recorrência desse problema. 

14. Verifique se logs como esses são mostrados no console ASA. Nesse caso, as conexões ASDM ou SSH não estabelecem:

ERROR: FAIL to ALLOC the stack page 0xffffffffffffffff[size 36864] to 0x00007fa3b0c29000 errno (mmap:umap) 12:0Message #10 :
First MMAP Req/Updated 36864/45056 Front 0x00007fa3b0c28000 rtn 0x00007fa3b0c29000 back 0x00007fa3b0c32000
Message #11 : process_create: out of stack memory for name accept/ssh_2 size 32768 prio 3
Message #12 : _listen_ssh: failed to create thread for interface 2 port 22

Consulte o bug da Cisco ID CSCwc23844 "ASAv high CPU and stack memory allocation errors while over over 30% free memory" (Erros de alocação de memória de pilha e CPU alta ASAv apesar de mais de 30% de memória livre).  A solução temporária é reinicializar o firewall.

Referências

• Notas da versão do Cisco Secure Firewall ASA
• Notas da versão do Cisco Secure Firewall ASDM
• Compatibilidade com o Cisco Secure Firewall ASA
• referência de comando logging rate-limit

Problema 2. A interface de usuário do ASDM não pode ser acessada por meio do Java Web Launch-Starting

Para verificar os sintomas, ative os registros do console Java:

Os registros do console Java mostram mensagens como estas linhas:

NLPException[category: Download Error : Exception: java.io.FileNotFoundException: https://192.0.2.1/admin/public/asdm.jnlp : LaunchDesc: null
        at com.sun.javaws.Main.launchApp(Unknown Source)
        at com.sun.javaws.Main.continueInSecureThread(Unknown Source)
        at com.sun.javaws.Main.access$000(Unknown Source)
        at com.sun.javaws.Main$1.run(Unknown Source)
        at java.lang.Thread.run(Unknown Source)
Caused by: java.io.FileNotFoundException: https://10.75.32.2/admin/public/asdm.jnlp
        at sun.net.www.protocol.http.HttpURLConnection.getInputStream0(Unknown Source)
        at sun.net.www.protocol.http.HttpURLConnection.access$200(Unknown Source)
        at sun.net.www.protocol.http.HttpURLConnection$9.run(Unknown Source)
        at sun.net.www.protocol.http.HttpURLConnection$9.run(Unknown Source)
        at java.security.AccessController.doPrivileged(Native Method)
        at java.security.AccessController.doPrivilegedWithCombiner(Unknown Source)
        at sun.net.www.protocol.http.HttpURLConnection.getInputStream(Unknown Source)

Solução de problemas - Ações recomendadas

ASDM 7.18 terminando o suporte ao Java Web Launch - Iniciando com o ASDM 7.18, o ASDM não suporta mais o Java Web Start devido ao fim do suporte da Oracle para JRE 8 e Java Network Launching Protocol (JNLP). Você deve instalar o Iniciador do ASDM para iniciar o ASDM. Consulte as Release Notes do Cisco Secure Firewall ASDM, 7.18(x).

Referências

• Notas de versão do Cisco Secure Firewall ASDM, 7.18(x)

Problema 3. O ASDM trava em ‘Aguarde enquanto o ASDM está carregando a configuração atual do seu dispositivo’

O erro mostrado na interface do usuário do ASDM é:

Solução de problemas - Ações recomendadas

Este é um defeito conhecido rastreado pela ID de bug da Cisco CSCvv14818 Pop-up enganoso: Aguarde enquanto o ASDM carrega a configuração atual do dispositivo.

Problema 4. Erro na inicialização do ASDM: Os recursos JAR no arquivo JNLP não são assinados pelo mesmo certificado

O erro mostrado na interface do usuário do ASDM é: ‘Não é possível iniciar o aplicativo.’

Os logs Java do ASDM mostram: ‘Os recursos JAR no arquivo JNLP não são assinados pelo mesmo certificado’

Solução de problemas - Ações recomendadas

Este é um defeito conhecido rastreado pela ID de bug da Cisco CSCwc13294 ASA: Não é possível conectar-se ao ASA usando o ASDM com o Java Web Launch

Referência

https://www.cisco.com/c/en/us/td/docs/security/asdm/7_17/release/notes/rn717.html

Problema 5. O ASDM trava aos 77% carregando a configuração do dispositivo

O ASDM fica preso em 77% ao analisar a configuração em execução.

Solução de problemas - Ações recomendadas

Este é um defeito conhecido rastreado pela ID de bug da Cisco CSCvh02586 O ASDM trava em 77% carregando a configuração do dispositivo

Problema 6. Não é possível acessar o ASDM no firewall em standby

Solução de problemas - Ações recomendadas

Certifique-se de que ambos os firewalls tenham:

As mesmas imagens do software ASA, por exemplo:

asa# show run boot
boot system disk0:/cisco-asa-fp1k.9.22.1.1.SPA

As mesmas imagens de software ASDM, por exemplo:

asa# show asdm image
Device Manager image file, disk0:/asdm-7221.bin

Problema 7. O ASDM trava na ‘Atualização de software concluída’.

A interface do usuário do ASDM fica presa em "Atualização de software concluída". fase

Nos logs Java do ASDM, você vê:

java.lang.NullPointerException
   at vk.cz(vk.java:780)
   at vk.b(vk.java:609)
   at vk.<init>(vk.java:409)
   at com.cisco.pdm.PDMApplet.start(PDMApplet.java:170)
   at com.cisco.nm.dice.loader.Loader$1.run(Loader.java:416)
Exception in Starting Main window
Exception in thread "SGZ Loader: launchSgzApplet" java.lang.NullPointerException
   at com.cisco.pdm.PDMApplet.start(PDMApplet.java:177)
   at com.cisco.nm.dice.loader.Loader$1.run(Loader.java:416)

Observe que vk,cz e assim por diante. pode ser qualquer caractere, por exemplo:

java.lang.NullPointerException
              at t6.cr(t6.java:742)
              at t6.b(t6.java:573)
              at t6.<init>(t6.java:386)
              at com.cisco.pdm.PDMApplet.start(PDMApplet.java:168)
              at com.cisco.nm.dice.loader.Loader$1.run(Unknown Source)
Exception in Starting Main window
Exception in thread "SGZ Loader: launchSgzApplet" java.lang.NullPointerException
              at com.cisco.pdm.PDMApplet.start(PDMApplet.java:175)
              at com.cisco.nm.dice.loader.Loader$1.run(Unknown Source)

Solução de problemas - Ações recomendadas

Certifique-se de que o usuário do ASDM tenha o nível de privilégio 15:

asa# show run username
username test password ***** pbkdf2 privilege 3  <- this will not work

Enquanto isso funciona:

asa# show run username                         
username test password ***** pbkdf2 privilege 15

Problema 8. O ASDM no contexto múltiplo do ASA trava a 57% durante a análise da configuração em execução

A interface de usuário do ASDM fica presa em 57%. A IU mostra: Aguarde enquanto o ASDM carrega a configuração atual do dispositivo.

Solução de problemas - Ações recomendadas

Isso geralmente é visto quando todas essas condições estão sendo atendidas:

1. O ASA está no modo de contexto múltiplo
2. Há um grupo de servidores AAA que contém mais de 4 servidores.

Solução

Reduza o número de servidores AAA no grupo, por exemplo:

Antes:

aaa-server ACS protocol tacacs+
aaa-server ACS (management) host 192.0.2.1
 key *****
aaa-server ACS (management) host 192.0.2.2
 key *****
aaa-server ACS (management) host 192.0.2.3
 key *****
aaa-server ACS (management) host 192.0.2.4
 key *****
aaa-server ACS (management) host 192.0.2.5
 key *****
aaa-server ACS (management) host 192.0.2.6
 key *****

Alterar:

asa(config)# no aaa-server ACS (management) host 192.0.2.5
asa(config)# no aaa-server ACS (management) host 192.0.2.6

Após:

aaa-server ACS protocol tacacs+
aaa-server ACS (management) host 192.0.2.1
 key *****
aaa-server ACS (management) host 192.0.2.2
 key *****
aaa-server ACS (management) host 192.0.2.3
 key *****
aaa-server ACS (management) host 192.0.2.4
 key *****

Referência

https://www.cisco.com/c/en/us/td/docs/security/asa/asa72/configuration/guide/conf_gd/aaa.html#wp1039757

Problema 9. Não é possível acessar o ASDM no vASA

Muitas mensagens como estas são mostradas:

Problem Details: ERROR: FAIL to ALLOC the stack page 0xffffffffffffffff[size 36864] to 0x00007ff62429c000 errno (mmap:umap) 12:0 First MMAP Req/Updated 36864/45056 Front 0x00007ff62429b000 rtn 0x00007ff62429c000 back 0x00007ff6242a5000

Outros sintomas:

1. Alta utilização da CPU na saída 'show cpu' apesar de 'show cpu core' mostrar baixa utilização
2. Erros de alocação de memória de pilha no console
3. Incapacidade de SSH para o dispositivo
4. Falha de polling SNMP

Este é um defeito conhecido rastreado pela ID de bug da Cisco CSCwc23844 Erros de alocação de memória de pilha e CPU alta ASAv apesar de mais de 30% de memória livre

Solucionar problemas relacionados ao ASDM no sistema operacional Windows

Problema 1. O ASDM não carrega a configuração do firewall quando usa o ASA + SFR

O erro mostrado na interface do usuário do ASDM é:

‘O ASDM não pôde carregar a configuração do firewall. Verifique a conectividade com o dispositivo ou tente novamente mais tarde.

Solução de problemas - Ações recomendadas

Verifique as notas de versão do ASDM. Eles mencionam qual SO é suportado:

https://www.cisco.com/c/en/us/support/security/adaptive-security-device-manager/products-release-notes-list.html

A seção relacionada:

A captura de tela é das notas de versão do ASDM 7.18:

https://www.cisco.com/c/en/us/td/docs/security/asdm/7_18/release/notes/rn718.html

Como pode ser visto, os Windows 11 e 2022 não estão na lista.

Além disso, a partir do ASDM 7.16, no Windows Server 2016 e Server 2019, o gerenciamento ASDM do módulo FirePOWER não é suportado. Como alternativa, você pode usar o FMC para gerenciar o módulo FirePOWER ao usar o ASDM para gerenciamento do ASA.

Dica de solução de problemas: Verifique os logs do console Java no ASDM:

No caso de um SO não suportado, você verá algo como:

Caused by: java.lang.ExceptionInInitializerError: Exception com.teamdev.jxbrowser.chromium.internal.EnvironmentException: Unsupported operating system. Supported OS: Windows XP (SP2), 7, 8, 10, Vista, 2003 (SP1), 2008, 2012, Mac OS X & Linux. Current OS: Windows 11 [in thread "AWT-EventQueue-0"]
               at com.teamdev.jxbrowser.chromium.internal.Environment.checkEnvironment(Unknown Source)
…

Soluções

Portanto, para poder gerenciar o ASA usando o ASDM, as opções disponíveis são:

Opção 1: Gerencie o ASA e o módulo FirePOWER de outro host mais antigo (por exemplo, Windows 2010, Windows Server 2012 e assim por diante).

Opção 2: Gerencie o módulo FirePOWER usando o FMC e continue gerenciando o ASA usando o ASDM.

Opção 3: Desligue o módulo Firepower:

ASA5508# sw-module module sfr shutdown
Shutdown module sfr? [confirm]
Shutdown issued for module sfr.

Opção 4: Caso não planeje mais usar o módulo Firepower, você poderá desinstalá-lo:

ASA5508# sw-module module sfr uninstall

Opção 5: Trabalhe com o Cisco TAC para aplicar a solução do bug da Cisco ID CSCwj51536 para substituir manualmente os arquivos jxbrowser.jar. Observe que essa solução ainda pode não resolver o problema. Nesse caso, você precisa considerar as opções anteriores.

Problema 2. O ASDM trava durante o download de pacotes do FirePOWER

Solução de problemas - Ações recomendadas

De acordo com os guias de compatibilidade do Firepower, o ASDM não é compatível com o gerenciamento do módulo FirePOWER com ASA 9.8(4.45)+, 9.12(4.50)+, 9.14(4.14)+ e 9.16(3.19)+; você precisa usar o FMC para gerenciar o módulo com essas versões. Essas versões do ASA exigem o ASDM 7.18(1.152) ou posterior, mas o suporte do ASDM para o módulo ASA FirePOWER terminou com a versão 7.16.

Solução

Portanto, para poder gerenciar o ASA usando o ASDM, as opções disponíveis são:

Opção 1: Gerencie o ASA e o módulo FirePOWER de outro host mais antigo (por exemplo, Windows 2010, Windows Server 2012 e assim por diante).

Opção 2: Gerencie o módulo FirePOWER usando o FMC e continue gerenciando o ASA usando o ASDM.

Opção 3: Desligue o módulo Firepower:

ASA5508# sw-module sfr shutdown

Desligar o módulo sfr? [confirmar]

Desligamento emitido para o módulo sfr.

Opção 4: Caso não planeje mais usar o módulo Firepower, você poderá desinstalá-lo:

ASA5508# sw-module sfr uninstall

Referência

https://www.cisco.com/c/en/us/td/docs/security/firepower/compatibility/firepower-classic-compatibility.html#id_60529

Problema 3. A mensagem de erro "Este aplicativo não pode ser executado em seu PC" é mostrada nos hosts do Windows

Solução de problemas - Ações recomendadas

Quando você instala o Iniciador do ASDM, o Windows pode substituir o destino do atalho do ASDM pelo caminho do Windows Scripting Host, que causa esse erro. Para corrigir o alvo de atalho:

1. Selecione Start > Cisco ASDM-IDM Launcher e clique com o botão direito do mouse no aplicativo Cisco ASDM-IDM Launcher.
2. Escolha Mais > Abrir local do arquivo. O Windows abre o diretório com o ícone de atalho.
3. Clique com o botão direito do mouse no ícone de atalho e escolha Propriedades.
4. Altere o Destino para: C:\Windows\System32\wscript.exe visible.vbs run.bat (deixe o visible.vbs run.bat no final, pois esses scripts são usados para abrir o ASDM).
   

5. Clique em OK.

Referência

https://www.cisco.com/c/en/us/td/docs/security/asdm/7_22/release/notes/rn722.html

Problema 4. O Windows não pode localizar ‘javaw.exe’. Verifique se você digitou o nome corretamente e tente novamente.

Solução de problemas - Ações recomendadas

• Normalmente, esse erro está relacionado ao Java ausente no computador. Verifique se você tem uma versão Java instalada no host Windows: https://www.java.com/en/download/help/windows_manual_download.html

https://www.cisco.com/c/en/us/td/docs/security/asdm/7_22/release/notes/rn722.html#id_25472

• Verifique se você tem o caminho exato do programa Java no caminho da Variável de ambiente do Windows.
• Caso o problema tenha ocorrido após uma atualização do Java, considere reverter a versão do Java.
• Certifique-se de que o ícone do ASDM Desktop aponte para o caminho de instalação apropriado. Caso contrário, exclua-o e crie um novo atalho.

Problema 5. O problema com o atalho ‘C:\Windows\system32\invisible.vbs’ na caixa Destino não é válido

Erro mostrado: O nome ‘C:\Windows\system32\invisible.vbs’ especificado na caixa Destino não é válido. Verifique se o caminho e o nome do arquivo estão corretos.

Em alguns casos, o erro é: Não é possível localizar o arquivo de script ‘C:\Windows\system32\invisible.vgs’.

Solução de problemas - Ações recomendadas

• Certifique-se de ter permissões de administrador ao instalar o ASDM no host do Windows. Em alguns casos, as configurações do Ative Diretory para usuários do Windows podem restringir o acesso aos locais dos arquivos de programa necessários para iniciar com êxito o ASDM no Windows. O acesso é necessário para estes diretórios:
  • Pasta da área de trabalho
  • C:\Windows\System32C:\Users\<username>\.asdm
  • C:\Program Arquivos (x86)\Cisco Systems

Se o Ative Diretory estiver restringindo o acesso ao diretório, você precisará solicitar acesso ao administrador do Ative Diretory.

• Tente instalar uma versão diferente do Java no host Windows.

Referências

https://www.cisco.com/c/en/us/td/docs/security/asdm/7_18/release/notes/rn718.html#id_25476

Problema 6. Windows Script Host Não é possível localizar o arquivo de script "C:\WINDOWS\system32\invisible.vbs"

Ao tentar iniciar o iniciador do ASDM, estes erros são exibidos:

Solução de problemas - Ações recomendadas

Siga estes passos:

1. Reinicialize o host Windows e exclua/desinstale todas as instâncias do iniciador do ASDM.
2. Reinstale uma versão mais recente, mas ainda compatível, do iniciador do ASDM. Se não houver uma versão mais recente, instale o mesmo iniciador ASDM que você tinha antes.
3. Verifique se a versão correta do Java foi instalada.

Como alternativa, você pode tentar usar o instalador do ASDM baseado no OpenJRE, já que ele não precisa do Oracle Java para ser instalado no PC local.

Solução de problemas - Ações recomendadas

Siga estes passos:

1. Reinicialize o host Windows e exclua/desinstale todas as instâncias do iniciador do ASDM.
2. Reinstale uma versão mais recente, mas ainda compatível, do iniciador do ASDM. Se não houver uma versão mais recente, instale o mesmo iniciador ASDM que você tinha antes.
3. Verifique se a versão correta do Java foi instalada.

Como alternativa, você pode tentar usar o instalador do ASDM baseado no OpenJRE, já que ele não precisa do Oracle Java para ser instalado no PC local.

Problema 7. O ASDM não funciona no Windows Server 2022

Solução de problemas - Ações recomendadas

No momento da gravação, não há suporte para o Windows Server 2022. Verifique as últimas notas de versão do ASDM em https://www.cisco.com/c/en/us/support/security/adaptive-security-appliance-asa-software/products-release-notes-list.html e, se o Windows Server 2022 não estiver listado, considere usar um SO diferente da lista suportada.

Problema 8. O tamanho da fonte da interface do usuário do ASDM é muito pequeno

Solução de problemas - Ações recomendadas

Tente estas etapas:

1.   Localize javaw.exe que você instalou (C:\ProgramData\Oracle\Java\javapath) ou quando o ASDM estiver executando o Gerenciador de Tarefas aberto e localize o serviço em execução:
   
   
   
   2.   Clique com o botão direito do mouse -> Propriedades
   3.   Ir para a guia Compatibilidade
   4. Clique em "Alterar configurações de DPI alto"
   5. Marque a caixa de seleção ‘Usar esta configuração para corrigir problemas de dimensionamento deste programa em vez do que está em Configurações’
   6. Ative a caixa de seleção "Override high DPI scaling behavior" (Substituir comportamento de escala de DPI alto) e selecione "System (Enhanced)" (Sistema (Avançado)):

   Antes:

Após:

Problema 9. Erros de Java

A interface do usuário do ASDM pode mostrar um ou mais destes erros de Java: Erro: não foi possível localizar java.dll

E/ou:

Erro: Não foi possível localizar o Java SE Runtime Environment.

E/ou:

Erro: A chave do Registro ‘Software\JavaSoft\Java Runtime Environment’\CurrentVersion’ tem o valor ‘x.x’, mas ‘x.x’ é necessário.

Solução de problemas - Ações recomendadas

1. Verifique se outras versões do Java estão instaladas.
2. Se outras versões estiverem instaladas, desinstale todas as versões do Java. Certifique-se também de desinstalar o Java 8.

Tip: Você pode revisar esta chave no registro: HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft\Java Runtime Environment para determinar as versões instaladas. 

Você também pode confirmar que todas as versões são completamente desinstaladas por meio dessa chave.

aviso: Tenha cuidado ao trabalhar com o Registro do Windows!

4. Reinstale uma versão Java compatível.

Problema 10. A versão do ASDM 7.19.1.94 do arquivo de versão do openJRE no backend ainda mostra a versão do OracleJRE

Comportamento normal com o openJRE

Normalmente, quando você instala e abre uma imagem ASDM baseada no JRE, a versão Java reflete:

E há uma pasta ‘jre’ criada neste caminho: C:\Program Arquivos (x86)\Cisco Systems\ASDM\jre

Lá, você pode encontrar um arquivo de lançamento que contém informações sobre Azul Zulu:

IMPLEMENTOR="Azul Systems, Inc."
IMPLEMENTOR_VERSION="Zulu8.74.0.17-CA-win64"
JAVA_VERSION="1.8.0_392"
OS_NAME="Windows"
OS_VERSION="5.2"
OS_ARCH="amd64"
SOURCE=".:git:51a769a8708c"

Comportamento incorreto com o openJRE

Agora, o problema é que em algumas versões do ASDM (por exemplo, 7.19.1.94) a IU mostra:

E o arquivo C:\Program Files (x86)\Cisco Systems\ASDM\jre\release mostra algo como:

JAVA_VERSION="1.8.0_351"
OS_NAME="Windows"
OS_VERSION="5.2"
OS_ARCH="amd64"
SOURCE=".:git:c72692150ec4+"
BUILD_TYPE="commercial"

Solução de problemas - Etapas recomendadas

Este é um bug da Cisco ID CSCwf74697 O arquivo de versão do ASDM 7.19.1.94 openJRE no backend ainda mostra a versão do OracleJRE

Solução:

Use >= 7.18.1.161 ou >= 7.19.1.95 OpenJRE versão bin.

Problema 11. Erros ASDM java "[ERROR] CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing"

Sintomas (ambos devem ser verdadeiros):

• O ASDM opera sem problemas.
• Os logs Java do ASDM mostram

0 [SGZ Loader: launchSgzApplet] ERROR com.cisco.pdm.headless.startup - CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing:
[ERROR] CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing messenger: cqq@1a3c930 46 [SGZ Loader: launchSgzApplet] ERROR com.cisco.pdm.headless.startup –
CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing messenger: cqq@1a3c930 CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing messenger: cqq@1a3c930 Env.isAsdmInHeadlessMode()-------------->false IO Exception occurs while reading the dap file. java.io.FileNotFoundException: https://192.0.2.1 /admin/flash/dap.xml
No CSD version

Solução de problemas - Ações recomendadas

Este é um defeito cosmético conhecido rastreado pela ID de bug da Cisco CSCwe28411 Erros java ASDM "[ERROR] CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing"

Identificar e Solucionar Problemas de Conectividade ASDM

Problema 1. Falha na inicialização do ASDM devido ao número máximo de sessões

O "Número máximo de sessões de gerenciamento para o protocolo http ou usuário já existe. Tente novamente mais tarde" é exibida no ASDM:

Um erro semelhante pode ser mostrado ao alternar entre os contextos no ASDM.

Solução de problemas - Ações recomendadas

Consulte o bug da Cisco ID CSCwd04210: ASA: Sessões ASDM travadas em CLOSE_WAIT causando falta de MGMT".  Devido a esse defeito, a sessão do ASDM pode terminar com a mensagem "Perdeu a conexão com o firewall" e a conexão com o firewall pode ser malsucedida.

Problema 2. Aumentar o tempo de carga/conexão no ASDM

O tempo inicial de conexão/carga do ASDM aumenta nas versões que executam a correção do bug da Cisco ID CSCvw7912 "Cisco Adaptive Security Device Manager Remote Code Execution Vulnerability".

Solução de problemas - Ações recomendadas

Consulte o bug da Cisco ID CSCwd58653 "Conexão inicial ASDM/tempo de carga aumentado".

Identificar e Solucionar Problemas Relacionados à Memória ASDM 

Problema 1. Interface de usuário ASDM lenta e/ou sem resposta durante o carregamento da configuração

Um ou mais destes sintomas são observados durante a execução do ASDM:

• A interface do usuário do ASDM não responde e/ou fica lenta durante o carregamento da configuração.
• O "ASDM não pôde carregar a configuração do firewall. Verifique a conectividade com o dispositivo e tente novamente mais tarde" é exibida:

• A mensagem "Retrieval of Data (validating running configuration)" é mostrada por um longo período, por exemplo, várias horas.
• Nos registros do console Java, estas linhas são mostradas:

Exception in thread "AWT-EventQueue-0" java.lang.OutOfMemoryError: Java heap space
Exception in thread "LoadConfigThread" java.lang.OutOfMemoryError: GC overhead limit exceeded

or

Exception in thread "AWT-EventQueue-0" java.lang.OutOfMemoryError: Java heap space
java.lang.reflect.InvocationTargetException
              at java.awt.EventQueue.invokeAndWait(Unknown Source)
              at java.awt.EventQueue.invokeAndWait(Unknown Source)
              at javax.swing.SwingUtilities.invokeAndWait(Unknown Source)
              at c1.f(c1.java:483)
              at c1.setVisible(c1.java:455)
              at ve.setVisible(ve.java:165)
              at vd.d(vd.java:873)
              at com.cisco.pdm.PDMApplet.populateLoginHistory(PDMApplet.java:268)
              at com.cisco.pdm.PDMApplet.start(PDMApplet.java:233)
              at com.cisco.nm.dice.loader.Loader$1.run(Loader.java:416)
Caused by: java.lang.OutOfMemoryError: Java heap space

Para verificar esse sintoma, ative os registros do console Java:

Solução de problemas - Ações recomendadas

1. Verifique se as versões do ASA, do ASDM e do sistema operacional são compatíveis.  Consulte as Notas de versão do Cisco Secure Firewall ASA, Notas de versão do Cisco Secure Firewall ASDM, Compatibilidade do Cisco Secure Firewall ASA.
2. Aumentar a Memória de Configuração do ASDM nos sistemas operacionais:

Windows

• Vá para o diretório de instalação do ASDM, por exemplo C:\Program Files (x86)\Cisco Systems\ASDM.
• Edite o arquivo run.bat com qualquer editor de texto.
• Na linha que começa com "start javaw.exe", altere o argumento prefixado com "-Xmx" para especificar o tamanho de heap desejado. Por exemplo, altere-o para -Xmx768M para 768 MB ou -Xmx1G para 1 GB.
• Salve o arquivo run.bat.

SO Mac

• Clique com o botão direito do mouse no ícone Cisco ASDM-IDM e escolha Mostrar conteúdo do pacote.
• Na pasta Contents, clique duas vezes no arquivo Info.plist. Se você tiver as ferramentas Developer instaladas, elas serão abertas no Editor de lista de propriedades. Caso contrário, ele será aberto em TextEdit.
• Em Java > VMOptions, altere a string com o prefixo "-Xmx" para especificar o tamanho do heap desejado. Por exemplo, altere-o para -Xmx768M para 768 MB ou -Xmx1G para 1 GB.
• Se este arquivo estiver bloqueado, você verá um erro como esta mensagem:
  

• Clique em Desbloquear e salve o arquivo. Se você não vir a caixa de diálogo Desbloquear, saia do editor, clique com o botão direito do mouse no ícone Cisco ASDM-IDM, escolha Copiar Cisco ASDM-IDM e cole-o em um local onde você tenha permissões de gravação, como a Área de trabalho. Em seguida, altere o tamanho do heap a partir desta cópia.

Referências

• Notas da versão do Cisco Secure Firewall ASA
• Notas da versão do Cisco Secure Firewall ASDM
• Compatibilidade com o Cisco Secure Firewall ASA

Problema 2. O ASDM não pode contatar o firewall

O erro "O ASDM não pode contatar o firewall temporariamente." ou "Não é possível iniciar o gerenciador de dispositivos" é mostrado ao iniciar o ASDM:

• Alguns dos pacotes da conexão HTTPS do ASDM são descartados com a razão de descarte do erro (ctm-error) retornado pelo CTM no caminho de segurança acelerado (ASP):

# capture asp type asp-drop all buffer 33554432 match ip host 192.0.2.1 host 192.0.2.1 eq https 

# show capture
capture asp type asp-drop all buffer 33554432 [Capturing - 587 bytes]
  match ip host 192.0.2.1 host 192.0.2.2 eq https

# show cap asp
1 packet captured
   1: 10:41:04.850648       192.0.2.1.56667 > 192.0.2.2.443: P 758423982:758424499(517) ack 2534033991 win 64440 Drop-reason: (ctm-error) CTM returned error

• O número de blocos com falha é para blocos de tamanho 256 e 1550 é diferente de zero e o contador FAILED aumenta:

# show block
  SIZE    MAX    LOW    CNT  FAILED
     0   2950   2865   2950      0
     4    400    398    399      0
    80   2500   2369   2500      0
   256   6302      0   6274  50693
  1550  22147      0  22111 769896
  2048   8848   8844   8848      0
  2560   2964   2962   2964      0
  4096    100     99    100      0
  8192    100     99    100      0
  9344    100     99    100      0
 16384    154    153    154      0
 65664     16     16     16      0

• A quantidade de memória livre no pool de memória MEMPOOL_DMA é significativamente baixa, geralmente em torno de alguns bytes ou kilobytes:

# show memory detail | begin MEMPOOL_DMA

MEMPOOL_DMA POOL STATS:
Non-mmapped bytes allocated =    230686720
Number of free chunks       =          175
Number of mmapped regions   =            0
Mmapped bytes allocated     =            0
Max memory footprint        =    230686720
Keepcost                    =          336
Max contiguous free mem     =        21136
Allocated memory in use     =    230548640
Free memory                 =       138080

Solução de problemas - Ações recomendadas

1. Verifique o bug da Cisco ID CSCv71435 "ASA 256 and/or 1550 block depletion cause DMA Memory unrelease allocation". Os sintomas do defeito são observados em uma taxa elevada de mensagens de syslogs como 302013 ou 302014.

Siga as etapas da seção Solução alternativa.

2. Verifique o bug da Cisco ID CSCwd58653 "Conexão inicial ASDM/tempo de carga aumentado". O tempo inicial de conexão/carregamento do ASDM aumentou após a atualização do ASDM para corrigir a versão do bug da Cisco ID CSCvw7912 "Cisco Adaptive Security Device Manager Remote Code Execution Vulnerability".