AnyConnect VPN客戶端故障排除指南-常見問題
目錄
簡介
本文件說明適用於無法透過 Cisco AnyConnect VPN 用戶端使用之應用程式的疑難排解案例。
必要條件
需求
本文件沒有特定需求。
採用元件
本文檔中的資訊基於運行版本8.x的思科自適應安全裝置(ASA)。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
故障排除過程
此典型故障排除方案適用於不透過Cisco AnyConnect VPN客戶端為使用Microsoft Windows電腦的終端使用者運行的應用。以下各節討論並提供這些問題的解決方案:
安裝和虛擬介面卡問題
請完成以下步驟:
- 取得裝置記錄檔:
- Windows XP / Windows 2000:
\Windows\setupapi.log
- Windows Vista:
\Windows\Inf\setupapi.app.log
\Windows\Inf\setupapi.dev.log
如果您在 setupapi 記錄檔中發現錯誤,可以將詳細資訊調整為 0x2000FFFF。 - Windows XP / Windows 2000:
- 獲取MSI安裝程式日誌檔案:
如果這是初始Web部署安裝,則此日誌位於每個使用者的temp目錄中。
- Windows XP / Windows 2000:
\Documents and Settings\<username>\Local Settings\Temp\
- Windows Vista:
\Users\<username>\AppData\Local\Temp\
如果這是自動升級,則此日誌位於系統的暫存目錄中:
\Windows\Temp
檔名格式為:anyconnect-win-x.x.xxxx-k9-install-yyyyyyyyyyyyyy.log。獲取要安裝的客戶端版本的最新檔案。x.xxxx會根據版本變更,例如2.0.0343,而yyyyyyyyyyyyyyyy是安裝的日期和時間。 - Windows XP / Windows 2000:
- 獲取PC系統資訊檔案:
- 在Command Prompt/DOS框中,鍵入以下內容:
- Windows XP / Windows 2000:
winmsd /nfo c:\msinfo.nfo
- Windows Vista:
msinfo32 /nfo c:\msinfo.nfo
- Windows XP / Windows 2000:
- 從命令提示符獲取systeminfo檔案轉儲:
Windows XP和Windows Vista:
systeminfo c:\sysinfo.txt
- 在Command Prompt/DOS框中,鍵入以下內容:
要調試驅動程式問題,請參閱AnyConnect:損壞的驅動程式資料庫問題。
斷開連線或無法建立初始連線
如果您遇到與AnyConnect客戶端的連線問題,例如斷開連線或無法建立初始連線,請獲取以下檔案:
- 來自ASA的配置檔案,以確定配置中的任何內容是否導致連線故障:
在 ASA 的主控台中,輸入write net x.x.x.x:ASA-Config.txt,其中x.x.x.x是 TFTP 伺服器在網路上的 IP 位址。
或
從ASA的控制檯,鍵入show running-config。在螢幕上完成配置,然後剪下並貼上到文本編輯器並儲存。 - ASA事件日誌:
- 要在ASA上啟用身份驗證、WebVPN、安全套接字層(SSL)和SSL VPN客戶端(SVC)事件的日誌記錄,請發出以下CLI命令:
config terminal
logging enable
logging timestamp
logging class auth console debugging
logging class webvpn console debugging
logging class ssl console debugging
logging class svc console debugging - 發起AnyConnect會話並確保可以重現故障。捕獲從控制檯到文本編輯器的日誌記錄輸出並儲存。
- 要停用日誌記錄,請發出
no logging enable。
- 要在ASA上啟用身份驗證、WebVPN、安全套接字層(SSL)和SSL VPN客戶端(SVC)事件的日誌記錄,請發出以下CLI命令:
- 來自客戶端PC的Windows事件檢視器的Cisco AnyConnect VPN客戶端日誌:
- 選擇開始>運行。
- 輸入:
eventvwr.msc /s
- 按一下右鍵Cisco AnyConnect VPN客戶端日誌,並選擇將日誌檔案儲存為AnyConnect.evt。
- 選擇開始>運行。
如果使用者無法與AnyConnect VPN客戶端連線,則問題可能與已建立的遠端案頭協定(RDP)會話或在客戶端PC上啟用的快速使用者交換有關。使用者可以看到AnyConnect profile settings mandate a single local user, but multiple local users are currently logged into your computer.A VPN connection will not be established」錯誤消息錯誤。為了解決此問題,請斷開所有已建立的RDP會話,並停用快速使用者交換。此行為會受到用戶端設定檔中的 Windows 登入強制執行屬性所控制,但目前沒有任何設定確實允許單一使用者在多名使用者於相同電腦上同時登入時建立 VPN 連線。增強功能請求 CSCsx15061 已經提出以因應此功能。
當使用者無法將AnyConnect VPN客戶端連線到ASA時,問題可能是由於AnyConnect客戶端版本與ASA軟體映像版本之間的不相容引起的。在這種情況下,使用者會收到以下錯誤消息:The installer was not able to start the Cisco VPN client, clientless access is not available。
要解決此問題,請升級AnyConnect客戶端版本使其與ASA軟體映像相容。
首次登入 AnyConnect 時,登入指令檔不會執行。如果您中斷連接並再次登入,登入指令檔會正常執行。這是預期的行為。
當您將AnyConnect VPN客戶端連線到ASA時,您可能會收到以下錯誤:User not authorized for AnyConnect Client access,請與管理員聯絡。
當ASA中缺少AnyConnect映像時,會出現此錯誤。映像載入到ASA後,AnyConnect可以連線到ASA而不會出現任何問題。
此錯誤可以透過停用資料包傳輸層安全(DTLS)來解決。轉到配置>遠端接入VPN >網路(客戶端)接入> AnyConnect連線配置檔案並取消選中啟用DTLS覈取方塊。這將停用DTLS。
當使用者斷開連線時,Dartbundle檔案會顯示此錯誤消息:TUNNELPROTOCOLDPDMGR_ERROR_NO_DPD_RESPONSE:安全網關無法響應失效對等體檢測資料包。此錯誤表示DTLS通道因失效對等體檢測(DPD)故障而中斷。如果調整DPD keepalive並發出以下命令,此錯誤即可解決:
webvpn
svc keepalive 30
svc dpd-interval client 80
svc dpd-interval gateway 80
在ASA版本8.4(1)及更高版本中,svc keepalive和svc dpd-interval命令分別應替換為anyconnect keepalive和anyconnect dpd-interval命令,如下所示:
webvpn
anyconnect ssl keepalive 15
anyconnect dpd-interval client 5
anyconnect dpd-interval gateway 5
透過流量的問題
當檢測到透過ASA透過AnyConnect會話將流量傳送到專用網路時出現問題時,請完成以下資料收集步驟:
- 從控制檯獲取show vpn-sessiondb detail svc filter name <username> ASA命令的輸出。如果輸出顯示
Filter Name: XXXXX,則收集show access-list XXXXX的輸出。驗證訪問清單XXXXX不會阻止預期流量。 - 從AnyConnect VPN客戶端>統計資訊>詳細資訊>導出(AnyConnect-ExportedStats.txt)導出AnyConnect統計資訊。
- 檢查nat語句的ASA配置檔案。如果啟用了網路地址轉換(NAT),則這些必須排除由於NAT而返回客戶端的資料。例如,要對AnyConnect池中的IP地址進行NAT免除(nat 0)操作,請在CLI上使用以下命令:
access-list in_nat0_out extended permit ip any 10.136.246.0 255.255.255.0
ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
nat (inside) 0 access-list in_nat0_out - 確定是否需要為設定啟用隧道預設網關。傳統的預設網關是非解密流量的最後選用網關。
範例:
!--- Route outside 0 0 is an incorrect statement.
route outside 0 0 10.145.50.1
route inside 0 0 10.0.4.2 tunneled
例如,如果VPN客戶端需要訪問不在VPN網關路由表中的資源,則透過標準預設網關路由資料包。VPN網關不需要完整的內部路由表即可解決此問題。可以在此例項中使用tunneled關鍵字。 - 驗證ASA的檢查策略是否丟棄了AnyConnect流量。如果實施Cisco ASA的模組化策略架構,您可以免除AnyConnect客戶端使用的特定應用。舉例而言,您可使用這些指令排除精簡型通訊協定。
ASA(config)# policy-map global_policy
ASA(config-pmap)# class inspection_default
ASA(config-pmap-c)# no inspect skinny
AnyConnect崩潰問題
完成以下資料收集步驟:
- 確保已啟用Microsoft實用程式Dr Watson。為此,請選擇開始>運行,然後運行Drwtsn32.exe。對此進行配置並按一下OK:
Number of Instructions : 25
Number of Errors To Save : 25
Crash Dump Type : Mini
Dump Symbol Table : Checked
Dump All Thread Contexts : Checked
Append To Existing Log File : Checked
Visual Notification : Checked
Create Crash Dump File : Checked
當發生崩潰時,請從C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson收集.log和.dmp檔案。如果這些檔案看起來正在使用中,請使用ntbackup.exe。 - 從客戶端PC的Windows事件檢視器獲取Cisco AnyConnect VPN客戶端日誌:
- 選擇開始>運行。
- 輸入:
eventvwr.msc /s
- 按一下右鍵Cisco AnyConnect VPN客戶端日誌,並選擇將日誌檔案儲存為AnyConnect.evt。
- 選擇開始>運行。
分段/透過流量問題
某些應用程式(例如Microsoft Outlook)無法運作。但是,該隧道能夠傳遞其他流量,例如小型ping。
這可提供網路中分段問題的線索。使用者路由器在資料包分段和重組方面特別差。
嘗試一組縮放的ping,以確定它是否以特定大小失敗。例如,ping -l 500、ping -l 1000、ping -l 1500、ping -l 2000。
建議為遇到分段的使用者配置一個特殊組,並將此組的SVC最大轉換單元(MTU)設定為1200。這允許您補救遇到此問題的使用者,但不會影響更廣泛的使用者群。
問題
一旦與AnyConnect連線,TCP連線將掛起。
解決方案
要驗證使用者是否存在分段問題,請調整ASA上AnyConnect客戶端的MTU。
ASA(config)#group-policy <name> attributes
webvpn
svc mtu 1200
自動解除安裝
問題
連線終止後,AnyConnect VPN客戶端自行解除安裝。客戶端日誌顯示「保持安裝」設定為「停用」。
解決方案
儘管在自適應安全裝置管理器(ASDM)上選擇了保持已安裝選項,AnyConnect仍自行解除安裝。要解決此問題,請根據組策略配置svc keep-installer installed命令。
填入叢集FQDN時發生問題
問題:AnyConnect客戶端預先填充了主機名,而不是集群完全限定域名(FQDN)。
當您為SSL VPN設定了負載平衡集群,並且客戶端嘗試連線到該集群時,請求被重定向到節點ASA,並且客戶端成功登入。一段時間後,當客戶端再次嘗試連線集群時,連線到條目中不顯示集群FQDN,相反,將會看到客戶端重定向到的節點ASA條目。
解決方案
出現這種情況是因為AnyConnect客戶端保留其上次連線的主機名。已觀察到此行為,並且已記錄Bug。有關該漏洞的完整詳細資訊,請參閱思科漏洞ID CSCsz39019。建議的解決方法是將Cisco AnyConnect升級到版本2.5。
備份伺服器清單配置
設定備份伺服器清單,以防無法連線到使用者選取的主要伺服器。請在AnyConnect配置檔案的備份伺服器窗格中定義此配置。請完成以下步驟:
- 下載AnyConnect Profile Editor(僅供註冊客戶使用)。該檔名為AnyConnectProfileEditor2_4_1.jar。
- 使用AnyConnect配置檔案編輯器建立XML檔案。
- 移至伺服器清單標籤。
- 按一下Add。
- 在主機名欄位中輸入主伺服器。
- 在主機地址欄位的備份伺服器清單下增加備份伺服器。然後按一下Add。
- 移至伺服器清單標籤。
- 獲取XML檔案後,您需要將其分配給ASA上使用的連線。
- 在ASDM中,選擇Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles。
- 選擇配置檔案並點選編輯。
- 在「預設組策略」部分中點選管理。
- 選擇組策略並點選編輯。
- 選擇Advanced,然後按一下SSL VPN Client。
- 按一下New。然後,您需要為配置檔案鍵入名稱並指定XML檔案。
- 在ASDM中,選擇Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles。
- 將客戶端連線到會話以下載XML檔案。
AnyConnect:損壞的驅動程式資料庫問題
SetupAPI.log檔案中的以下條目表明目錄系統已損壞:
W239 驅動程式簽署類別清單「C:\WINDOWS\INF\certclas.inf」遺失或無效。錯誤0xfffffde5:未知錯誤。,假設所有裝置類都遵循驅動程式簽署策略。
您也可以收到以下錯誤消息:Error(3/17): Unable to start VA, setup shared queue, or VA gave up shared queue。
您可以在客戶端上接收此日誌:「VPN客戶端驅動程式發生錯誤」。
修復
此問題是由於思科漏洞ID CSCsm54689引起的。要解決此問題,請確保在啟動AnyConnect之前停用路由和遠端訪問服務。如果這無法解決問題,請完成以下步驟:
- 在PC上以管理員身份打開命令提示符(在Vista上提升提示)。
- 運行
net stop CryptSvc。 - 執行:
esentutl /p%systemroot%\System32\catroot2\
{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb - 出現提示時,選擇確定以嘗試修復。
- 退出命令提示符。
- 重新啟動。
修復失敗
如果修復失敗,請完成以下步驟:
- 在PC上以管理員身份打開命令提示符(在Vista上提升提示)。
- 運行
net stop CryptSvc。 - 重新命名%WINDIR%\system32\catroot2 to catroot2_old目錄。
- 退出命令提示符。
- 重新啟動。
分析資料庫
您可以隨時分析資料庫以確定其是否有效。
- 在PC上以管理員身份打開命令提示符。
- 執行:
esentutl /g%systemroot%\System32\catroot2\
{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
有關詳細資訊,請參閱系統目錄資料庫完整性。
錯誤消息
錯誤:無法更新階段作業管理資料庫
當SSL VPN透過Web瀏覽器連線時,會出現Unable to Update the Session Management Database. error message,並且ASA日誌顯示%ASA-3-211001: Memory allocation Error。自適應安全裝置無法分配RAM系統記憶體。
解決方案1
此問題是由於思科漏洞ID CSCsm51093引起的。要解決此問題,請重新載入ASA或將ASA軟體升級到錯誤中提到的臨時版本。請參閱思科錯誤 ID CSCsm51093 以瞭解詳細資訊。
解決方案2
如果使用威脅檢測,則在ASA上停用威脅檢測也可以解決此問題。
錯誤:「Module c:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnapi.dll failed to register」
在筆記型電腦或PC上使用AnyConnect客戶端時,安裝過程中會出現以下錯誤:
"Module C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnapi.dll failed
to register..."
發生此錯誤時,安裝程式無法繼續執行,而且使用者端已移除。
解決方案
以下是解決此錯誤的可能解決方法:
- Microsoft Windows 2000不再正式支援最新的AnyConnect客戶端。它是2000電腦的登錄檔問題。
- 刪除VMware應用程式。安裝AnyConnect後,可以將VMware應用程式增加到PC中。
- 將ASA增加到其受信任的站點。
- 將這些檔案從\ProgramFiles\Cisco\CiscoAnyconnect資料夾複製到新資料夾,並運行regsvr32 vpnapi.dll命令提示符:
- vpnapi.dll
- vpncommon.dll
- vpncommoncrypt.dll
- 重新映像筆記型電腦/PC上的作業系統。
AnyConnect客戶端上與此錯誤相關的日誌消息類似於以下內容:
DEBUG: Error 2911: Could not remove the folderC:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, ,
DEBUG: Error 2911: Could not remove the folder C:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, ,
Info 1721. There is a problem with this Windows Installer package. A program required for
this install to complete could not be run. Contact your support personnel or package
vendor. Action: InstallHelper.exe, location: C:\Program Files\Cisco\Cisco AnyConnect VPN
Client\InstallHelper.exe, command: -acl "C:\Documents and Settings\All Users\Application
Data\Cisco\Cisco AnyConnect VPN Client\\" -r
錯誤:「收到來自安全網關的響應VPN協商請求的錯誤。請與網路管理員聯絡」
當客戶端嘗試透過Cisco AnyConnect VPN客戶端連線到VPN時,會收到此錯誤。
從安全網關收到此消息:
「Illegal address class」、「Host or network is 0」或「Other error」
解決方案
由於ASA本地IP池耗盡,會發生此問題。由於VPN池資源已耗盡,必須擴大IP池範圍。
針對此問題報告的思科漏洞ID是CSCsl82188。當用於地址分配的本地池已用盡,或者地址池使用了32位子網掩碼時,通常會發生此錯誤。解決方法是擴展地址池並為該池使用24位子網掩碼。
錯誤:無法建立工作階段。已達到會話限制2。
當您嘗試透過AnyConnect VPN客戶端連線兩個以上的客戶端時,客戶端上會收到登入失敗錯誤消息,並且ASA日誌中會出現無法建立會話警告消息。Session limit of 2 reached。我有ASA的AnyConnect essential許可證,ASA運行版本8.0.4。
解決方案1
出現此錯誤的原因是ASA版本8.0.4不支援AnyConnect essential許可證。您需要將ASA升級到版本8.2.2。這樣可以解決錯誤。
解決方案2
如果使用vpn-sessiondb max-anyconnect-premium-or-essentials-limit session-limit命令設定允許建立的VPN會話數量限制,也會出現此錯誤。如果將會話限制設定為兩個,則使用者無法建立兩個以上的會話,即使安裝的許可證支援更多的會話。將session-limit設定為所需的VPN會話數,以避免出現此錯誤消息。
錯誤:嘗試將anyconnect連線到ASA時,VPN伺服器上未啟用Anyconnect
當您嘗試將AnyConnect連線到ASA時,會收到Anyconnect not enabled on VPN server錯誤消息。
解決方案
如果使用ASDM在ASA的外部介面上啟用AnyConnect,則會解決此錯誤。如需有關如何在外部介面上啟用 AnyConnect 的詳細資訊,請參閱在 ASA 上設定無用戶端 SSL VPN (WebVPN)。
錯誤:- %ASA-6-722036:組客戶端組使用者xxxx IP x.x.x.x傳輸大資料包1220(閾值1206)
ASA的日誌中顯示%ASA-6-722036: Group < client-group > User < xxxx > IP < x.x.x.x> Transmitting large packet 1220 (threshold 1206)錯誤消息。此日誌意味著什麼?如何解決此問題?
解決方案
此日誌消息表明向客戶端傳送了一個大型資料包。封包的來源不知道使用者端的MTU。這也可能是因為壓縮了不可壓縮的資料。解決方法是使用svc compression none命令關閉SVC壓縮。這解決了問題。
錯誤:安全網關拒絕了代理的VPN連線或重新連線請求。
當您連線到AnyConnect客戶端時,會收到以下錯誤:「安全網關拒絕了代理的VPN連線或重新連線請求。新連線需要重新進行身份驗證,並且必須手動啟動。如果此問題仍然存在,請與網路管理員聯絡。從安全網關收到以下消息:「no assigned address」。
當您連線到AnyConnect客戶端時,也會收到此錯誤:「安全網關已拒絕連線嘗試。需要嘗試與同一安全網關或其他安全網關建立新連線,需要重新進行身份驗證。 從安全閘道收到下列訊息:主機或網路為 0」。
當您連線到AnyConnect客戶端時,也會收到此錯誤:「安全網關拒絕了代理的VPN連線或重新連線請求。新連線需要重新進行身份驗證,並且必須手動啟動。如果問題仍然存在,請與網路管理員聯絡。從安全網關收到以下消息:「No License」。
解決方案
重新載入後,路由器缺少池配置。您需要將相關的配置重新增加到路由器。
Router#show run | in pool
ip local pool SSLPOOL 192.168.30.2 192.168.30.254
svc address-pool SSLPOO
「安全網關拒絕了代理的VPN連線或重新連線請求。新連線需要重新進行身份驗證,並且必須手動啟動。如果問題仍然存在,請與網路管理員聯絡。從安全網關收到以下消息:缺少AnyConnect移動許可證時,出現「No License」錯誤。安裝許可證後,即可解決問題。
錯誤:「無法更新會話管理資料庫」
當您嘗試在WebPortal中進行身份驗證時,收到以下錯誤消息:「無法更新會話管理資料庫」。
解決方案
此問題與ASA上的記憶體分配有關。此問題主要發生在ASA版本為8.2.1時。最初,這需要512MB RAM才能完成完整的功能。
永久解決方法是將記憶體升級到512MB。
暫時解決方法是,嘗試使用以下步驟釋放記憶體:
- 停用威脅檢測。
- 停用SVC壓縮。
- 重新載入ASA。
錯誤:「VPN客戶端驅動程式發生錯誤」
這是嘗試連線到AnyConnect時在客戶端電腦上獲得的錯誤消息。
解決方案
為了解決此錯誤,請完成以下過程,以便將AnyConnect VPN代理手動設定為互動式:
- 按一下右鍵我的電腦>管理>服務和應用>服務 >並選擇Cisco AnyConnect VPN代理。
- 按一下右鍵屬性,然後登入並選擇允許服務與案頭互動。
這會將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vpnagent的登入型別值DWORD設定為110 (預設值為010)。
在Windows PC上啟用路由和遠端訪問服務(RRAS)時,AnyConnect失敗,並顯示VPN客戶端驅動程式發生錯誤。錯誤消息。要解決此問題,請確保在啟動AnyConnect之前停用了路由和RRAS。有關詳細資訊,請參閱思科漏洞ID CSCsm54689。
錯誤:「無法處理來自xxx.xxx.xxx.xxx的響應」
AnyConnect客戶端無法連線到Cisco ASA。AnyConnect窗口中顯示的錯誤是「無法處理來自xxx.xxx.xxx.xxx的響應」。
解決方案
若要解決此錯誤,請嘗試以下解決方法:
- 從 ASA 移除 WebVPN,然後重新啟用。
- 將埠號從現有的443更改為444,並在443上重新啟用它。
有關如何啟用WebVPN和更改WebVPN埠的詳細資訊,請參閱此解決方案。
錯誤:「登入被拒絕,未授權的連線機制,請與管理員聯絡」
AnyConnect客戶端無法連線到Cisco ASA。AnyConnect窗口中的錯誤是「登入被拒絕,未授權的連線機制,請與管理員聯絡」。
解決方案
出現此錯誤消息的主要原因是配置不正確或不完整。檢查配置,並確保按照要求解決該問題。
<
錯誤:「Anyconnect軟體套件不可用或已損壞。請連絡您的系統管理員」
當您嘗試從Macintosh客戶端啟動AnyConnect軟體以連線到ASA時,會出現此錯誤。
解決方案
為了解決此問題,請完成以下步驟:
- 將Macintosh AnyConnect軟體套件上傳到ASA的快閃記憶體。
- 修改WebVPN配置以指定使用的AnyConnect軟體套件。
webvpn
svc image disk0:/anyconnect-macosx-i386-2.3.2016-k9.pkg 2
svc image disk0:/anyconnect-macosx-powerpc-2.3.2016-k9.pkg 3
在ASA版本8.4(1)及更高版本中,svc image命令應替換為anyconnect image命令,如下所示:
hostname(config)#webvpn
hostname(config-webvpn)#anyconnect image disk0:/
anyconnect-win-3.0.0527-k9.pkg 1
hostname(config-webvpn)#anyconnect image disk0:/
anyconnect-macosx-i386-3.0.0414-k9.pkg 2
錯誤:「找不到安全網關上的AnyConnect軟體套件」
當使用者的Linux電腦嘗試透過啟動AnyConnect連線到ASA時,就會導致此錯誤。以下是完整錯誤:
"The AnyConnect package on the secure gateway could not be located. You may
be experiencing network connectivity issues. Please try connecting again."
解決方案
要解決此錯誤消息,請驗證AnyConnect客戶端是否支援客戶端電腦上使用的作業系統(OS)。
如果作業系統受支援,請驗證AnyConnect軟體套件是否在WebVPN配置中指定。有關詳細資訊,請參閱本文檔的Anyconnect軟體套件不可用或已損壞部分。
錯誤:「不支援透過遠端案頭連線Secure VPN」
使用者無法執行遠端案頭訪問。系統顯示不支援透過遠端案頭連線Secure VPN錯誤消息。
解決方案
此問題是由以下思科漏洞ID導致的:CSCsu22088和CSCso42825。如果升級AnyConnect VPN客戶端,則可解決此問題。如需詳細資訊,請參閱這些錯誤。
錯誤:「收到的伺服器憑證或其憑證鏈不符合FIPS。無法建立VPN連線」
嘗試將VPN連線到ASA 5505時,系統顯示收到的伺服器證書或證書鏈不符合FIPS。A VPN connection will not be established錯誤消息。
解決方案
為了解決此錯誤,必須在AnyConnect本地策略檔案中停用聯邦資訊處理標準(FIPS)。通常可以在C:\ProgramData\Cisco\Cisco AnyConnect VPN Client\AnyConnectLocalPolicy.xml路徑下找到該檔案。如果在此路徑中找不到此檔案,則請在路徑為 C:\Documents and Settings\All Users\Application Data\Cisco AnyConnectVPNClient\AnyConnectLocalPolicy.xml 之類的其他目錄中尋找檔案。找到xml檔案後,請如下所示對此檔案進行變更:
更改短語:
<FipsMode>true</FipsMode>
收件者:
<FipsMode>false</FipsMode>
然後,重新啟動電腦。使用者必須具有管理許可權才能修改此檔案。
錯誤:「憑證驗證失敗」
使用者無法啟動AnyConnect,並且收到證書驗證失敗錯誤。
解決方案
與IPSec客戶端相比,證書身份驗證在AnyConnect中的工作方式不同。要使證書身份驗證起作用,您必須將客戶端證書導入瀏覽器並更改連線配置檔案,以便使用證書身份驗證。您還需要在ASA上啟用此命令,以便允許在外部介面上使用SSL客戶端證書:
ssl certificate-authentication interface outside port 443
錯誤:「VPN代理服務遇到問題,需要關閉。很抱歉給您帶來不便」
當Windows XP PC上安裝了AnyConnect版本2.4.0202時,它會在更新在地化檔案時停止並顯示vpnagent.exe失敗的錯誤消息。
解決方案
思科漏洞ID CSCsq49102中記錄了此行為。建議的解決方法是停用Citrix客戶端。
錯誤:「無法打開此安裝軟體套件。驗證軟體套件是否存在」
下載AnyConnect時,會收到以下錯誤消息:
「請與系統管理員聯絡。安裝程式失敗,發生下列錯誤:無法開啟此安裝套件。請驗證軟體套件是否存在以及您是否具有訪問許可權,或者與應用程式供應商聯絡,驗證此Windows Installer軟體套件是否有效。
解決方案
請完成以下步驟以修正此問題:
- 刪除所有防病毒軟體。
- 停用Windows防火牆。
- 如果步驟1或2均無幫助,則格式化電腦並安裝。
- 如果問題仍然存在,請建立TAC支援請求。
錯誤:「應用轉換時出錯。請驗證指定的轉換路徑是否有效。」
從ASA自動下載AnyConnect期間會收到此錯誤消息:
"Contact your system administrator. The installer failed with the following error:
Error applying transforms. Verify that the specified transform paths are valid."
以下是連線用於MacOS的AnyConnect時收到的錯誤消息:
"The AnyConnect package on the secure gateway could not be located. You may be
experiencing network connectivity issues. Please try connecting again."
解決方案
請完成以下解決方法之一以解決此問題:
- 此錯誤的根本原因可能是損壞的MST轉換檔案(例如,導入的)。請執行以下步驟解決此問題:
- 刪除MST轉換表。
- 在ASA中為MacOS配置AnyConnect映像。
- 刪除MST轉換表。
- 在ASDM中,轉到網路(客戶端)接入> AnyConnect自定義>安裝路徑並刪除AnyConnect軟體套件檔案。確保軟體套件保留在網路(客戶端)接入>高級> SSL VPN >客戶端設定中。
如果這些解決方法都無法解決問題,請與Cisco技術支援部門聯絡。
錯誤:「VPN客戶端驅動程式發生錯誤」
收到此錯誤:
The VPN client driver has encountered an error when connecting through Cisco
AnyConnect Client.
解決方案
當您解除安裝AnyConnect客戶端,然後刪除防病毒軟體時,可以解決此問題。然後,重新安裝AnyConnect客戶端。如果此解決方案不起作用,請重新格式化PC以解決此問題。
錯誤:「VPN重新連線導致配置設定不同。正在重新初始化VPN網路設定。可能需要恢復使用專用網路的應用。」
當您嘗試啟動AnyConnect時,會收到此錯誤:
"A VPN reconnect resulted in different configuration setting. The VPN network
setting is being re-initialized. Applications utilizing the private network may
need to be restarted."
解決方案
若要解決此錯誤,請使用以下命令:
group-policy <Name> attributes
webvpn
svc mtu 1200
在ASA版本8.4(1)及更高版本中,svc mtu命令應替換為anyconnect mtu命令,如下所示:
hostname(config)#group-policy <Name> attributes
hostname(config-group-policy)#webvpn
hostname(config-group-webvpn)#anyconnect mtu 500
登入時出現AnyConnect錯誤
問題
AnyConnect在連線到客戶端時收到此錯誤:
The VPN connection is not allowed via a local proxy. This can be changed
through AnyConnect profile settings.
解決方案
如果對AnyConnect配置檔案進行以下更改,即可解決此問題:
將此行增加到AnyConnect配置檔案:
<ProxySettings>IgnoreProxy</ProxySettings><
AllowLocalProxyConnections>
false</AllowLocalProxyConnections>
AnyConnect在Windows 7上斷開連線後,IE代理設定未恢復
問題
在Windows 7中,如果將IE代理設定配置為自動檢測設定,並且AnyConnect向下推送新的代理設定,則在使用者結束AnyConnect會話後,IE代理設定不會恢復為自動檢測設定。如果使用者需要將代理設定配置為自動檢測設定,則在這種情況下會遇到區域網問題。
解決方案
思科漏洞ID CSCtj51376中記錄了此行為。建議的解決方法是升級到AnyConnect 3.0。
錯誤:在所有這些會話關閉之前,無法啟用AnyConnect基礎版。
當您嘗試啟用AnyConnect Essentials許可證時,思科ASDM上會收到此錯誤消息:
There are currently 2 clientless SSL VPN sessions in progress. AnyConnect
Essentials can not be enabled until all these sessions are closed.
解決方案
這是ASA的正常行為。AnyConnect Essentials是單獨許可的SSL VPN客戶端。它完全在ASA上配置,並提供完整的AnyConnect功能,但以下情況除外:
- 無思科安全案頭(CSD)(包括HostScan/Vault/Cache Cleaner)
- 無客戶端SSL VPN
- 選購的Windows Mobile支援
此許可證不能與共用SSL VPN高級許可證同時使用。當您需要使用一個許可證時,您需要停用另一個許可證。
錯誤:連線到AnyConnect客戶端後,Internet Explorer的「Internet選項」中的「連線」頁籤會隱藏起來。
連線到AnyConnect客戶端後,Internet Explorer的Internet選項中的連線頁籤會隱藏起來。
解決方案
這是由於msie-proxy鎖定功能所造成。如果啟用此功能,則在AnyConnect VPN會話期間,它會隱藏Microsoft Internet Explorer中的「連線」頁籤。如果停用該功能,則保持「連線」頁籤的顯示不變。
錯誤:少數使用者會在其他人能夠透過AnyConnect VPN成功連線時收到「登入失敗」錯誤消息
當其他使用者可以透過AnyConnect VPN成功連線時,少數使用者會收到「登入失敗」錯誤消息。
解決方案
確保為使用者選中了不要求預先身份驗證覈取方塊,則可以解決此問題。
錯誤:您正在檢視的憑證與您嘗試檢視的網站名稱不相符。
在AnyConnect配置檔案更新期間,顯示表明證書無效的錯誤。這僅適用於Windows,並且發生在配置檔案更新階段。錯誤訊息如下所示:
The certificate you are viewing does not match with the name of the site
you are trying to view.
解決方案
如果修改AnyConnect配置檔案的伺服器清單以使用證書的FQDN,則可以解決此問題。
這是XML設定檔的範例:
<ServerList>
<HostEntry>
<HostName>vpn1.ccsd.net</HostName>
</HostEntry>
</ServerList>
無法從Windows 7電腦的CSD Vault啟動AnyConnect
從CSD保管庫啟動AnyConnect時,它不起作用。在Windows 7電腦上嘗試此操作。
解決方案
目前,由於不受支援,因此無法實現此功能。
故障切換後AnyConnect配置檔案未複製到備用裝置
安裝了ASA版本8.4.1軟體的AnyConnect 3.0 VPN客戶端工作正常。但是,故障切換後,AnyConnect配置檔案相關配置沒有複製。
解決方案
此問題已被發現並記錄在思科漏洞ID CSCtn71662下。臨時解決方法是手動將檔案複製到備用裝置。
如果Internet Explorer離線,AnyConnect客戶端會崩潰
發生這種情況時,AnyConnect事件日誌包含類似以下內容的條目:
Description : Function:
CAdapterNetworkStateIfc::SetConnectedStateToConnected
File: .\AdapterNetworkStateIfc.cpp
Line: 147
Invoked Function: InternetSetOption
Return Code: 12010 (0x00002EEA)
Description: The length is incorrect for the option type
Description : Function: CTransportWinHttp::InitTransport
File: .\CTransportWinHttp.cpp
Line: 252
Invoked Function: CConnectedStateIfc::SetConnectedStateToConnected
Return Code: -25362420 (0xFE7D000C)
Description: CADAPTERNETWORKSTATEIFC_ERROR_SET_OPTION
解決方案
此行為已被發現並記錄在思科漏洞ID CSCtx28970下。要解決此問題,請退出AnyConnect應用程式並重新啟動。重新啟動後,連線條目會重新出現。
錯誤訊息: TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER
AnyConnect客戶端無法連線,並且收到無法建立連線錯誤消息。在AnyConnect事件日誌中,發現TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER錯誤。
解決方案
當頭端配置用於具有非常大的拆分隧道清單(大約180-200個條目)的分割隧道時,並且在組策略中配置一個或多個其他客戶端屬性(例如dns-server)時,會發生這種情況。
若要解決此問題,請完成以下步驟:
- 減少拆分隧道清單中的條目數。
- 使用此配置可停用DTLS:
group-policy groupName attributes
webvpn
svc dtls none
有關詳細資訊,請參閱思科漏洞ID CSCtc41770。
錯誤消息:「由於主機條目無效,連線嘗試失敗」
使用證書對AnyConnect進行身份驗證時,會收到由於主機條目無效,連線嘗試失敗錯誤消息。
解決方案
為了解決此問題,請嘗試以下任一可能的解決方案:
- 將AnyConnect升級到版本3.0。
- 在您的電腦上停用Cisco Secure Desktop。
有關詳細資訊,請參閱思科漏洞ID CSCti73316。
錯誤:「如果您配置了永遠線上VPN,請確保您的伺服器證書可以透過嚴格模式」
在AnyConnect上啟用「永遠線上」功能時,會收到如果您配置了永遠線上VPN,請確保您的伺服器證書可以透過嚴格模式錯誤消息。
解決方案
此錯誤消息意味著如果要使用「永遠線上」功能,則需要在頭端配置有效的伺服器證書。若沒有有效的伺服器憑證,此功能將無法運作。「嚴格證書模式」是在AnyConnect本地策略檔案中設定的選項,以確保連線使用有效的證書。如果在策略檔案中啟用此選項並使用偽造證書進行連線,則連線失敗。
錯誤:「Microsoft Windows HTTP Services發生內部錯誤」
此診斷AnyConnect報告工具(DART)顯示一次失敗的嘗試:
******************************************
Date : 03/25/2014
Time : 09:52:21
Type : Error
Source : acvpnui
Description : Function: CTransportWinHttp::SendRequest
File: .\CTransportWinHttp.cpp
Line: 1170
Invoked Function: HttpSendRequest
Return Code: 12004 (0x00002EE4)
Description: An internal error occurred in the Microsoft
Windows HTTP Services
*****************************************
Date : 03/25/2014
Time : 09:52:21
Type : Error
Source : acvpnui
Description : Function: ConnectIfc::connect
File: .\ConnectIfc.cpp
Line: 472
Invoked Function: ConnectIfc::sendRequest
Return Code: -30015443 (0xFE36002D)
Description: CTRANSPORT_ERROR_CONN_UNKNOWN
******************************************
Date : 03/25/2014
Time : 09:52:21
Type : Error
Source : acvpnui
Description : Function: ConnectIfc::TranslateStatusCode
File: .\ConnectIfc.cpp
Line: 2999
Invoked Function: ConnectIfc::TranslateStatusCode
Return Code: -30015443 (0xFE36002D)
Description: CTRANSPORT_ERROR_CONN_UNKNOWN
Connection attempt failed. Please try again.
******************************************
此外,請參閱Windows電腦上的事件檢視器日誌。
解決方案
這可能是由於Winsock連線損壞引起的。使用以下命令從命令提示重置連線並重新啟動windows電腦:
netsh winsock reset
有關詳細資訊,請參閱如何確定在Windows Server 2003、在Windows XP和Windows Vista知識庫文章中如何恢復Winsock2損壞。
錯誤:「SSL傳輸收到安全通道故障。 可能是安全閘道未支援密碼編譯組態導致。」
此診斷AnyConnect報告工具(DART)顯示一次失敗的嘗試:
******************************************
Date : 10/27/2014
Time : 16:29:09
Type : Error
Source : acvpnui
Description : Function: CTransportWinHttp::handleRequestError
File: .\CTransportWinHttp.cpp
Line: 854
The SSL transport received a Secure Channel Failure. May be a result of a unsupported crypto configuration on the Secure Gateway.
******************************************
Date : 10/27/2014
Time : 16:29:09
Type : Error
Source : acvpnui
Description : Function: CTransportWinHttp::SendRequest
File: .\CTransportWinHttp.cpp
Line: 1199
Invoked Function: CTransportWinHttp::handleRequestError
Return Code: -30015418 (0xFE360046)
Description: CTRANSPORT_ERROR_SECURE_CHANNEL_FAILURE
******************************************
Date : 10/27/2014
Time : 16:29:09
Type : Error
Source : acvpnui
Description : Function: ConnectIfc::TranslateStatusCode
File: .\ConnectIfc.cpp
Line: 3026
Invoked Function: ConnectIfc::TranslateStatusCode
Return Code: -30015418 (0xFE360046)
Description: CTRANSPORT_ERROR_SECURE_CHANNEL_FAILURE
Connection attempt failed. Please try again.
******************************************
解決方案
根據下列知識庫更新,Windows 8.1 不支援 RC4:
http://support2.microsoft.com/kb/2868725
使用指令「ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 des-sha1」設定 ASA 上之 SSL VPN 的 DES/3DES 密碼,或編輯用戶端電腦上的 Windows 登錄檔,如下所述:
https://technet.microsoft.com/en-us/library/dn303404.aspx
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
04-Apr-2018 |
初始版本 |
意見