查看统计详细信息
管理员或最终用户可查看当前 AnyConnect 会话的统计信息。
过程
步骤 1 |
在 Windows 上,导航到Details 按钮。 。在 Linux 上,点击用户 GUI 中的 |
步骤 2 |
根据客户端计算机上加载的软件包,从以下选项中进行选择。
|
此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。
收集用于故障排除的信息
管理员或最终用户可查看当前 AnyConnect 会话的统计信息。
步骤 1 |
在 Windows 上,导航到Details 按钮。 。在 Linux 上,点击用户 GUI 中的 |
步骤 2 |
根据客户端计算机上加载的软件包,从以下选项中进行选择。
|
DART 是 AnyConnect 诊断和报告工具,可用来收集数据以对 AnyConnect 安装和连接问题进行故障排除。DART 收集日志、状态和诊断信息,以供思科技术支持中心 (TAC) 分析。
DART 向导在运行 AnyConnect 的设备上运行。DART 不需要管理员权限。您可以从 AnyConnect 启动 DART 或不使用 AnyConnect 自行启动它。
支持以下操作系统:
Windows
macOS
Linux
步骤 1 |
启动 DART:
|
||||
步骤 2 |
点击 Statistics 选项卡,然后点击 Diagnostics。 |
||||
步骤 3 |
选择 Default 值或 Custom 捆绑创建。
|
||||
步骤 4 |
如果 DART 似乎要花很长时间来收集默认文件列表,请点击 Cancel,重新运行 DART,并选择 Custom 以选择较少的文件。 |
||||
步骤 5 |
如果您选择 Default,DART 将开始创建捆绑包。如果您选择 Custom,请继续按照向导提示指定日志、首选项文件、诊断信息和任何其他定制项。 |
如果您遇到 AnyConnect 安装或卸载故障,需要收集日志,因为 DART 收集对此没有诊断能力。
在您解压 AnyConnect 文件的同一文件夹中运行 msiexec 命令:
C:/temp>msiexec /i anyconnect-win-version-pre-deploy-k9.msi /lvx c:/Temp/ac-install.log?
其中 c:/temp/ac-install.log? 可以是您选择的文件名。
c:/temp/msiexec /x anyconnect-win-version-pre-deploy-k9.msi /lvx c:/Temp/ac-install.log?
其中 c:/temp/ac-uninstall.log? 可以是您选择的文件名。
注 |
对于卸载故障,应该使用特定于当前已安装版本的 MSI。 |
您可以改变上述相同命令,以采集关于无法在 Windows 上正确安装或卸载的任何模块的信息。
对于 Windows,键入 msinfo32 /nfo c:\msinfo.nfo。
对于 Windows,在 sysinfo 命令提示符中键入 c:\sysinfo.txt。
SetupAPI 日志文件中如下所示的条目表示找不到文件:
E122 Device install failed. Error 2: The system cannot find the file specified.
E154 Class installer failed. Error 2: The system cannot fine the file specified.
确保 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 注册表项存在。若没有此注册表项,将禁止所有 inf 安装包。
日志保留在以下文件中:
Windows—\Windows\Inf\setupapi.app.log or \Windows\Inf\setupapi.dev.log
Windows—\Windows\Inf\setupapi.app.log or \Windows\Inf\setupapi.dev.log
注 |
在 Windows 中,您必须使隐藏的文件可见。 |
如果是初次网络部署安装,则日志文件位于每位用户的临时目录下:
%TEMP%\anyconnect-win-4.X.xxxxx-k9-install-yyyyyyyyyyyyyy.log。
如果升级来自于最佳网关推送,则日志文件位于以下位置:
%WINDIR%\TEMP\anyconnect-win-3.X.xxxxx-k9-install-yyyyyyyyyyyyyy.log。
获取适用于您要安装的客户端版本的最新文件。xxx 因版本而异,yyyyyyyyyyyyyy 指定安装的日期和时间。
AnyConnect 连接或断开连接问题
问题:AnyConnect 不会建立初始连接,或者当您点击“思科 AnyConnect 安全移动客户端 (Cisco AnyConnect Secure Mobility Client)”窗口上的“断开连接 (Disconnect)”时出现意外结果。
解决方案:进行以下检查:
如果使用 Citrix 高级网关客户端版本 2.2.1,请删除 Citrix 高级网关客户端,直到 Citrix 解决 CtxLsp.dll 问题。
如果您使用具有 AT&T Sierra 无线 875 网卡的 AT&T 通信管理器 6.2 版或 6.7 版,请执行以下步骤解决此问题:
从 ASA 获取配置文件,查找连接失败的标志:
从 ASA 控制台键入 write net x.x.x.x:ASA-Config.txt,其中 x.x.x.x 是 TFTP 服务器在网络中的 IP 地址。
从 ASA 的控制台,键入 show running-config。剪切并粘贴配置文件到文本编辑器并保存。
查看 ASA 事件日志:
在 ASA 控制台上,添加以下命令行以查看 ssl、webvpn、anyconnect 和 auth 事件:
config terminal
logging enable
logging timestamp
logging class auth console debugging
logging class webvpn console debugging
logging class ssl console debugging
logging class anyconnect console debugging
尝试连接 AnyConnect 客户端,发生连接错误时,则将日志信息从控制台上剪切并粘贴至文本编辑器并保存。
键入 no logging enable 禁用日志记录。
使用 Windows 事件查看器从客户端计算机获取思科 AnyConnect VPN 客户端日志。
Cisco AnyConnect VPN Client
,并选择 Save Log File As...。
修改 Windows 诊断调试实用程序。
如果发现冲突,则向要使用的客户端计算机注册表添加额外的路由调试。这些冲突在 AnyConnect 事件日志中可能会如下所示:
Function: CRouteMgr:modifyRoutingTable Return code: 0xFE06000E File: .\VpnMgr.cpp Line:1122
Description: ROUTEMGR_ERROR_ROUTE_TABLE_VERIFICATION_FAILED.
Termination reason code 27: Unable to successfully verify all routing table modifications are correct.
Function: CChangeRouteTable::VerifyRouteTable Return code: 0xFE070007
File: .\RouteMgr.cpp Line: 615 Description: ROUTETABLE_ERROR_NOT_INITIALIZED
gr.cpp Line: 615 Description: ROUTETABLE_ERROR_NOT_INITIALIZED
在 32 位 Windows 中,DWORD 注册表值必须是 HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\Cisco AnyConnect Secure Mobility Client\DebugRoutesEnabled
在 64 位 Windows 中,DWORD 注册表值必须是 HKEY_LOCAL_MACHINE\Software\WOW6432node\Cisco\Cisco AnyConnect Secure Mobility Client\DebugRoutesEnabled
在 Linux 或 macOS 中,使用 sudo touch 命令在以下路径中创建文件:/opt/cisco/anyconnect/debugroutes
注 |
密钥或文件将在启动隧道连接时删除。文件的密钥或内容的值不是重要的密钥时或文件足以启用调试。 启动 VPN 连接。找到此密钥或文件时,系统临时目录(在 Windows 中通常是 C:\Windows\Temp,在 Mac 或 Linux 中通常是 /tmp)中将创建两个路由调试文本文件。如果已经存在这两个文件(debug_routechangesv4.txt4 和 debug_routechangesv6.txt),它们将会被覆盖。 |
问题:AnyConnect 客户端在连接后无法将数据发送到专用网络。
解决方案:进行以下检查:
如果您使用具有 AT&T Sierra 无线 875 网卡的 AT&T 通信管理器 6.2 版或 6.7 版,请执行以下步骤解决此问题:
获取 show vpn-sessiondb detail anyconnect filter name <username> 命令的输出。如果输出指定 Filter Name: XXXXX,则还要获取 show access-list XXXXX 命令的输出。验证 ACL 未阻止需要的流量。
从 AnyConnect VPN Client > Statistics > Details > Export 获取 DART 文件或输出 (AnyConnect-ExportedStats.txt)。观察统计、界面和路由表。
检查 ASA 配置文件中的 NAT 语句。如果已启用 NAT,则您必须排除从网络地址转换返回到客户端的数据。例如,要使 NAT 从 AnyConnect 池中排除 IP 地址,需要使用以下代码:
access-list in_nat0_out extended permit ip any 10.136.246.0 255.255.255.0
ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
nat (inside) 0 access-list in_nat0_out
验证是否为设置启用了隧道化默认网关。传统默认网关是最不适合非解密流量的网关。
route outside 0.0.209.165.200.225
route inside 0 0 10.0.4.2 tunneled
如果 VPN 客户端需要访问 VPN 网关路由表中未列出的资源,数据包将由标准默认网关传送。VPN 网关不需要完整的内部路由表。如果您使用隧道化关键字,则路由将处理来自 IPsec/SSL VPN 连接的解密流量。标准流量通常不会路由到 209.165.200.225,而来自 VPN 的流量将路由到 10.0.4.2 且已进行解密。
在使用 AnyConnect 建立隧道前后,收集 ipconfig /all 的文本转储和路由打印输出。
在客户端上执行网络数据包捕获,或在 ASA 上启用捕获。
注 |
如果某些应用(例如 Microsoft Outlook)无法使用隧道,则在具有 ping 扩展集的网络中 ping 已知设备,可查看接受的大小(例如,ping -| 500,ping -| 1000,ping -| 1500,以及 ping -| 2000)。从 ping 结果中可对网络中的分段问题略知一二。然后,您可以为存在分段问题的用户配置一个特殊组,并将该组的 anyconnect mtu 设置为 1200。您也可从旧 IPsec 客户端复制 Set MTU.exe 实用程序,并强制将物理适配器 MTU 设置为 1300。重启后,查看是否有区别。 |
VPN 服务故障
问题:您收到“无法继续,无法连接到 VPN 服务”(Unable to Proceed, Cannot Connect to the VPN Service) 消息。AnyConnect 的 VPN 服务未运行。
解决方案:确定是否有另一个应用与该服务冲突。请参阅第 11-7 页上的“确定与服务相冲突”。
以下过程确定冲突是在启动时针对服务器的初始化还是针对其他运行的服务,例如,因为服务启动失败。
步骤 1 |
查看 Windows 管理工具下的服务,以确保思科 AnyConnect VPN 代理未运行。如果它正在运行并且仍然显示错误消息,则可能需要禁用甚至卸载工作站上的另一个 VPN 应用。在执行该操作后,重新启动,然后重复此步骤。 |
步骤 2 |
尝试启动思科 AnyConnect VPN 代理。 |
步骤 3 |
在事件查看器中检查 AnyConnect 日志以查找是否存在指出服务无法启动的消息。请注意步骤 2 的手动重新启动的时间戳以及工作站启动时的时间戳。 |
步骤 4 |
在事件查看器中检查系统和应用日志以查找任何冲突消息的相同通用时间戳。 |
步骤 5 |
如果日志指示启动服务失败,请查找在大致相同时间戳的其他信息性消息,这些消息指示以下情况之一:
|
步骤 6 |
如果日志没有直接指向某个原因,请使用试错法来识别冲突。识别了最可能的候选项后,请从服务面板禁用这些服务(例如 VPN 产品、HIDS 软件、Spybot 清除程序、嗅探器、防病毒软件等)。 |
步骤 7 |
重新启动。如果 VPN 代理服务仍无法启动,请开始关闭操作系统的默认安装未安装的服务。 |
问题:如果您最近更新了 Microsoft certclass.inf 文件,在尝试建立 VPN 连接时会出现以下消息:
The VPN client driver has encountered an error.
如果检查 C:\WINDOWS\setupapi.log,会看到以下错误:
#W239 The driver signing class list “C:\WINDOWS\INF\certclass.inf” was missing or invalid. Error 0xfffffbf8: Unknown Error. Assuming all device classes are subject to driver signing policy.
解决方案:在命令提示符下输入 C:\>systeminfo 或查看 C:\WINDOWS\WindowsUpdate.log,可查看最近安装了哪些更新。按照说明修复 VPN 驱动程序。
尽管执行的上述步骤可能表明目录未损坏,但密钥文件仍可能已被未签名的文件覆盖。如果此故障仍然存在,请通过向 Microsoft 提交案例来确定驱动程序签名数据库为什么损坏。
步骤 1 |
以管理员身份打开命令提示符。 |
步骤 2 |
输入 net stop CryptSvc。 |
步骤 3 |
分析数据库,通过输入 esentutl /g %systemroot%\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb 验证其有效性或将目录 %/WINDIR%\system32\catroot2 重命名为 catroot2_old。 |
步骤 4 |
出现提示时,选择 OK 尝试修复。退出命令提示符并重新启动。 |
驱动程序故障
问题:VPNVA.sys 驱动程序故障。
解决方案:找到被绑定到思科 AnyConnect 虚拟适配器的中间驱动程序,并取消选择它们。
步骤 1 |
创建名为 c:\vpnagent 的目录。 |
步骤 2 |
查看任务管理器中的 Process 选项卡,确定 vpnagent.exe 中的进程 PID。 |
步骤 3 |
打开命令提示符并更改安装了调试工具的目录。默认情况下,Windows 的调试工具位于 C:\Program Files\Debugging Tools。 |
步骤 4 |
键入 cscript vpnagent4.vbs -crash -p PID -o c:\vpnagent -nodumponfirst,其中 PID 是 vpnagent.exe 的 PID。 |
步骤 5 |
使打开的窗口以最小化状态运行。监控时不可注销系统。 |
步骤 6 |
当发生故障时,将 c:\vpnagent 的内容压缩为 zip 文件。 |
步骤 7 |
使用 !analyze -v 进一步诊断 crashdmp 文件。 |
如果网络访问管理器无法识别有线适配器,请尝试将网线拔出并重新插入。如果这无法解决问题,则链路可能有问题。网络访问管理器可能无法确定适配器的正确链路状态。请检查 NIC 驱动程序的连接属性。您可能在高级面板中看到 Wait for Link 选项。设置为 On 时,有线 NIC 驱动程序初始化代码等待自动协商完成,再确定连接是否有效。
其他故障
问题:在系统重启后,您收到“系统已从一个严重故障中恢复”(the system has recovered from a serious error) 的消息。
解决方案:从 %temp% 目录(例如 C:\DOCUME~1\jsmith\LOCALS~1\Temp)中收集生成的 .log 和 .dmp 文件。复制文件或备份文件。请参阅第 11-9 页上的“如何备份 .log 或 .dmp 文件”。
步骤 1 |
从 Start > Run 菜单运行名为 Dr. Watson (Drwtsn32.exe) 的 Microsoft 实用程序。 |
步骤 2 |
进行以下配置并点击 OK:
|
步骤 3 |
在客户端计算机上的 Start > Run 菜单中输入 eventvwr.msc /s,以从 Windows 事件查看器中获取思科 AnyConnect VPN 客户端日志。 |
步骤 4 |
在(Windows 7 的)应用和服务日志中找到 Cisco AnyConnect VPN Client,并选择 Save Log File As...。以 .evt 文件格式分配文件名,例如 AnyConnectClientLog.evt。 |
问题:AnyConnect 在尝试建立连接时成功进行身份验证并建立了 SSL 会话,但随后在使用 LSP 或 NOD32 AV 时,AnyConnect 客户端在 vpndownloader 中发生故障。
解决方案:删除版本 2.7 中的 Internet Monitor 组件,并升级到 ESET NOD32 AV 版本 3.0。
问题:如果您使用 AT&T 拨号器,则客户端操作系统有时会出现蓝屏,导致创建微型转储文件。
解决方案:升级到最新的 7.6.2 AT&T 全球网络客户端。
安全告警
问题:Microsoft Internet Explorer 出现一个包含以下文字信息的安全警告窗口:
Information you exchange with this site cannot be viewed or changed by others. However, there is a problem with the site's security certificate. The security certificate was issued by a company you have not chosen to trust. View the certificate to determine whether you want to trust the certifying authority.
解决方案:连接到未识别为受信任网站的 ASA 时可能出现此警告。为防止出现此告警,请在客户端上安装一个受信任根证书。请参阅第 11-10 页上的“在客户端上安装受信任的根证书”。
问题:在浏览器中可能出现“由未知认证机构认证的网站 (Web Site Certified by an Unknown Authority)”警告窗口。Security Alert 窗口的上半部分显示以下文本:
Unable to verify the identity of <Hostname_or_IP_address> as a trusted site.
解决方案:在连接到不被识别为受信任站点的 ASA 时可能出现此安全警告。为防止出现此告警,请在客户端上安装一个受信任根证书。请参阅第 11-10 页上的“在客户端上安装受信任的根证书”。
生成或获取将用作受信任根证书的证书。
注 |
您可以通过将自签名证书安装为客户端上的受信任根证书,在短期内避免出现安全证书警告。但是我们不建议这样做,因为用户可能会无意中将浏览器配置为信任欺诈服务器上的证书,并且在连接到安全网关时可能不得不响应安全警告而给用户带来不便。 |
步骤 1 |
点击 Security Alert 窗口中的 View Certificate。 |
步骤 2 |
点击 Install Certificate。 |
步骤 3 |
点击 Next。 |
步骤 4 |
选择 Place all certificates in the following store。 |
步骤 5 |
点击 Browse。 |
步骤 6 |
在下拉列表中,选择 Trusted Root Certification Authorities。 |
步骤 7 |
遵循证书导入向导提示继续操作。 |
掉线的连接
问题:在 Odyssey 客户端上启用无线抑制后,如果引入有线连接,那么无线连接就会掉线。禁用无线抑制后,无线连接如预期的那样运行正常。
步骤 1 |
在 Network Connections 中,复制适配器的名称(与在其连接属性中显示的一样)。如果您编辑注册表,请先进行备份,然后再进行任何更改。一定要谨慎,因为如果修改错误,可能导致严重问题。 |
步骤 2 |
打开注册表并转到 HKEY_LOCAL_MACHINE\SOFTWARE\Funk Software, Inc.\odyssey\client\configuration\options\adapterType\virtual。 |
步骤 3 |
在 virtual 下创建新的字符串值。将适配器的名称从 Network 属性复制到注册表部分。额外的注册表设置一旦保存,就会在创建客户端 MSI 并下推到其他客户端时通过端口传递。 |
问题:安装 Kaspersky 6.0.3 后(即使已禁用),到 ASA 的 AnyConnect 连接会在 CSTP state = CONNECTED 之后立即失败。系统会显示以下消息:
SVC message: t/s=3/16: Failed to fully establish a connection to the secure gateway (proxy authentication, handshake, bad cert, etc.).
解决方案:卸载 Kaspersky 并访问其论坛获得其他更新。
问题:使用 McAfee Firewall 5 时,UDP DTLS 连接无法建立。
解决方案:在 McAfee Firewall 中央控制台中,依次选择高级任务 (Advanced Tasks) > 高级选项和日志记录 (Advanced options and Logging),然后取消选中 McAfee Firewall 中的自动阻止传入分段 (Block incoming fragments automatically) 复选框。
问题:如果使用 RRAS,则当 AnyConnect 尝试建立到主机设备的连接时,事件日志中会记录以下终止错误:
Termination reason code 29 [Routing and Remote Access service is running]
The Windows service “Routing and Remote Access” is incompatible with the Cisco AnyConnect VPN Client.
解决方案:禁用 RRAS 服务。
问题:由于缺少凭证而导致连接失败。
解决方案:第三方负载均衡器无法洞悉 ASA 设备上的负载。因为 ASA 中的负载均衡功能足够智能,能够在设备之间均衡地分配 VPN 负载,所以我们建议使用内部 ASA 负载均衡。
安装故障
问题:AnyConnect 客户端无法下载,并出现以下错误消息:
“Cisco AnyConnect VPN Client Downloader has encountered a problem and needs to close.”
解决方案:将补丁更新上传到 1.2.1.38 版以解决所有 dll 问题。
不兼容问题
问题:如果您使用的是 Bonjour 打印服务,AnyConnect 事件日志会指出识别 IP 转发表失败。
解决方案:通过在命令提示符下键入 net stop “bonjour service” 来禁用 BonJour 打印服务。Apple 公司已经推出了新版 mDNSResponder (1.0.5.11)。要解决此问题,请将新版 Bonjour 捆绑至 iTunes,且作为单独程序从 Apple 网站下载。
问题:系统出现错误,表示此系统上已安装 TUN 版本,但该版本与 AnyConnect 客户端不兼容。
解决方案:卸载 Viscosity OpenVPN 客户端。
问题:如果客户端上有 LSP 模块,可能会发生 Winsock 目录冲突。
解决方案:卸载 LSP 模块。
问题:在 Windows 7 系统中使用 NOD32 Antivirus V4.0.468 x64 时可能出现数据吞吐慢。
解决方案:禁用 SSL 协议扫描。请参阅禁用 SSL 协议扫描。
步骤 1 |
转至 Advanced Setup 中的 并启用 SSL 协议扫描。 |
步骤 2 |
转到 Do not use HTTPS protocol checking。 ,并选中 |
步骤 3 |
返回到 SSL protocol scanning。 并禁用 |
问题:如果客户端断开连接时您使用的是 EVDO 无线网卡和 Venturi 驱动程序,则事件日志会报告如下内容:
%ASA-5-722037: Group <Group-Name> User <User-Name> IP <IP-Address> SVC closing connection: DPD failure.
解决方案
检查应用、系统和 AnyConnect 事件日志中的相关断开连接事件,同时确定是否应用了 NIC 卡重置。
确保 Venturi 驱动程序为最新版本。在 6.7 版本的 AT&T 通信管理器中禁用 Use Rules Engine。
问题:如果您与 DSL 路由器连接,则即使成功协商,DTLS 流量也可能会失败。
解决方案:连接到采用出厂设置的 Linksys 路由器。此设置支持稳定的 DTLS 会话且 ping 过程中无中断。添加规则以允许 DTLS 返回流量。
问题:尝试在用于建立 SSL 连接的计算机网络上检索操作系统信息时,AnyConnect 日志可能指示未能完全建立到安全网关的连接。
解决方案
如果是卸载完整性代理,然后安装 AnyConnect,请启用 TCP/IP。
确保如果在完整性代理安装上禁用 SmartDefense,则选中 TCP/IP。
如果在检索网络接口信息时第三方软件拦截或以其他方式阻止操作系统 API 调用,请检查是否有可疑的 AV、FW、AS 等。
确认设备管理器中只出现一个 AnyConnect 适配器实例。如果只有一个实例,则使用 AnyConnect 进行身份验证,并在 5 秒后手动从设备管理器启用适配器。
如果在 AnyConnect 适配器中启用了任何可疑的驱动程序,在思科 AnyConnect VPN Client Connection 窗口中取消选中它们予以禁用。
问题:在某些虚拟机网络服务设备上使用 AnyConnect 时,会导致性能问题。
解决方案:取消选中 AnyConnect 虚拟适配器中所有即时消息设备的绑定。应用 dsagent.exe 驻留在 C:\Windows\System\dgagent 中。虽然其未出现在进程列表中,您可以用 TCPview (sysinternals) 打开套接字进行查看。当您终止此进程时,AnyConnect 将恢复正常运行。
我们已经知道,以下第三方应用获取 思科 AnyConnect 安全移动客户端存在困难:
Adobe 和苹果公司 - Bonjour 打印服务
Adobe Creative Suite 3
BonJour 打印服务
iTunes
AT&T 通信管理器版本 6.2 和 6.7
AT&T Sierra 无线 875 卡
AT&T 全球拨号器
Citrix 高级网关客户端版本 2.2.1
防火墙冲突
第三方防火墙可能会干扰 ASA 组策略中配置的防火墙功能。
Juniper Odyssey 客户端
Kaspersky AV 工作站 6.x
McAfee 防火墙 5
Microsoft Internet Explorer 8
Microsoft 路由和远程接入服务器
Microsoft Windows Update
OpenVPN 客户端
负载均衡
Wave EMBASSY Trust Suite
分层服务提供商 (LSP) 模块和 NOD32 AV
EVDO 无线网卡和 Venturi 驱动程序
DSL 路由器
CheckPoint 和其他第三方软件(如卡巴斯基)
虚拟机网络服务驱动程序