AnyConnect VPN 用戶端疑難排解指南 - 常見問題
目錄
簡介
本文件說明適用於無法透過 Cisco AnyConnect VPN 用戶端使用之應用程式的疑難排解案例。
必要條件
需求
本文件沒有特定需求。
採用元件
此文件的資訊是以執行 8.x 版的 Cisco Adaptive Security Appliance (ASA) 為準。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
疑難排解程序
此典型故障排除方案適用於不透過Cisco AnyConnect VPN客戶端為使用Microsoft Windows電腦的終端使用者運行的應用。以下章節說明並提供問題的解決方法:
安裝和虛擬介面卡問題
請完成以下步驟:
- 取得裝置的記錄檔:
- Windows XP/Windows 2000:
\Windows\setupapi.log
- Windows Vista:
\Windows\Inf\setupapi.app.log
\Windows\Inf\setupapi.dev.log
如果您在 setupapi 記錄檔中發現錯誤,可以將詳細資訊調整為 0x2000FFFF。 - Windows XP/Windows 2000:
- 取得 MSI 安裝程式記錄檔:
如果這是初始網路部署安裝,此記錄檔會在使用者的臨時目錄中。
- Windows XP/Windows 2000:
\Documents and Settings\\Local Settings\Temp\ - Windows Vista:
\Users\\AppData\Local\Temp\
如果這是自動升級,此記錄檔會在系統的臨時目錄中:
\Windows\Temp
檔案名的格式如下:anyconnect-win-x.x.xxxx-k9-install-yyyyyyyyyyyy.log。取得適用於您要安裝之用戶端版本的最新檔案。x.xxxx 會根據版本變更,例如 2.0.0343,而 yyyyyyyyyyyyyy 是安裝的日期與時間。 - Windows XP/Windows 2000:
- 取得電腦系統資訊檔案:
- 在命令提示字元/DOS 方塊中,輸入以下內容:
- Windows XP/Windows 2000:
winmsd /nfo c:\msinfo.nfo
- Windows Vista:
msinfo32 /nfo c:\msinfo.nfo
- Windows XP/Windows 2000:
- 透過命令提示字元取得 systeminfo 檔案傾印:
Windows XP 與 Windows Vista:
systeminfo c:\sysinfo.txt
- 在命令提示字元/DOS 方塊中,輸入以下內容:
請參閱AnyConnect:驅動程式資料庫損壞問題,以便調試驅動程式問題。
中斷連線或無法建立初始連線
如果您與 AnyConnect 用戶端的連線發生問題,例如連線中斷或者無法建立初始連線,請取得以下檔案:
- ASA 的組態檔案,以便判斷是否組態中有任何問題造成連線失敗:
在 ASA 的主控台中,輸入write net x.x.x.x:ASA-Config.txt,其中x.x.x.x是 TFTP 伺服器在網路上的 IP 位址。
或
從 ASA 的主控台輸入show running-config。請等候畫面上的組態完成,然後剪下貼上至文字編輯器並儲存。 - ASA 事件記錄檔:
- 為了在 ASA 上啟用驗證、WebVPN、安全通訊端層 (SSL) 與 SSL VPN 用戶端 (SVC) 事件記錄功能,請輸入以下 CLI 命令:
config terminal
logging enable
logging timestamp
logging class auth console debugging
logging class webvpn console debugging
logging class ssl console debugging
logging class svc console debugging - 產生 AnyConnect 工作階段並確認該失敗可以重現。將主控台的記錄檔輸出擷取至文字編輯器並儲存。
- 為了停用記錄功能,請發出
no logging enable。
- 為了在 ASA 上啟用驗證、WebVPN、安全通訊端層 (SSL) 與 SSL VPN 用戶端 (SVC) 事件記錄功能,請輸入以下 CLI 命令:
- 來自用戶端電腦 Windows 事件檢視器的 Cisco AnyConnect VPN 用戶端記錄檔:
- 選擇「開始 > 執行」。
- 輸入:
eventvwr.msc /s
- 以滑鼠右鍵按一下 Cisco AnyConnect VPN 用戶端記錄檔,然後選取「將記錄檔儲存為 AnyConnect.evt」。
- 選擇「開始 > 執行」。
如果使用者無法與 AnyConnect VPN 用戶端連接,問題可能與建立的遠端桌面通訊協定 (RDP) 工作階段,或者是與在用戶端電腦上啟用快速使用者切換功能有關。使用者可以看到AnyConnect profile settings mandate a single local user, but multiple local users are currently logged into your computer.A VPN connection will not be established」錯誤消息錯誤。為了解決此問題,請將任何已建立的 RDP 工作階段中斷連線,並停用快速使用者切換功能。此行為會受到用戶端設定檔中的 Windows 登入強制執行屬性所控制,但目前沒有任何設定確實允許單一使用者在多名使用者於相同電腦上同時登入時建立 VPN 連線。增強功能要求 CSCsx15061 
已歸檔以處理此功能。
當使用者無法將 AnyConnect VPN 用戶端連接至 ASA 時,此問題可能是由於 AnyConnect 用戶端版本與 ASA 軟體映像檔版本不相容所致。在這種情況下,使用者會收到以下錯誤訊息:安裝程式無法啟動Cisco VPN客戶端,無客戶端訪問不可用。
為了解決此問題,請升級 AnyConnect 用戶端版本以相容於 ASA 軟體映像檔。
首次登入 AnyConnect 時,登入指令檔不會執行。如果您中斷連接並再次登入,登入指令檔會正常執行。這是預期行為。
將AnyConnect VPN客戶端連線到ASA時,您可能會收到以下錯誤:未獲得AnyConnect客戶端訪問許可權的使用者,請與管理員聯絡。
當 ASA 缺少 AnyConnect 映像檔時就會顯示此錯誤。映像載入至 ASA 後,AnyConnect 就能順利連接至 ASA。
停用資料包傳輸層安全性 (DTLS) 可解決此錯誤。 移至「組態 > 遠端存取 VPN > 網路(用戶端)存取 > AnyConnect 連線設定檔」,然後取消勾選「啟用 DTLS」核取方塊。這樣便會停用 DTLS。
當使用者斷開連線時,Dartbundle檔案會顯示以下錯誤消息:TUNNELPROTOCOLDPDMGR_ERROR_NO_DPD_RESPONSE:安全閘道無法回應無效的對等偵測封包。此錯誤表示 DTLS 通道因為無效對等偵測 (DPD) 失效而卸除。如果您調整 DPD keepalive 並發出以下命令,便可解決此錯誤:
webvpn
svc keepalive 30
svc dpd-interval client 80
svc dpd-interval gateway 80
如下圖所示,在 ASA 版本 8.4(1) 中,svc keepalive 與 svc dpd-interval 命令分別以 anyconnect keepalive 與 anyconnect dpd-interval 取代:
webvpn
anyconnect ssl keepalive 15
anyconnect dpd-interval client 5
anyconnect dpd-interval gateway 5
傳遞流量的問題
當您透過 ASA 的 AnyConnect 工作階段將流量傳遞至私人網路時,若偵測到問題,請完成以下資料收集步驟:
- 從主控台取得 show vpn-sessiondb detail svc filter name <username> ASA 命令的輸出。如果輸出顯示
Filter Name:XXXXX,收集show access-list XXXXX的輸出。確認存取清單 XXXXX 並未封鎖目標流量資料流。 - 透過「AnyConnect VPN 用戶端 > 統計資料 > 詳細資料 > 匯出」 (AnyConnect-ExportedStats.txt),匯出 AnyConnect 統計資料。
- 查看 ASA 組態檔案中的 nat 陳述式。如果啟用了網路地址轉換(NAT),則這些必須排除由於NAT而返回客戶端的資料。例如,為了 NAT 豁免 (nat 0) AnyConnect 集區的 IP 位址,請在 CLI 上使用以下命令:
access-list in_nat0_out extended permit ip any 10.136.246.0 255.255.255.0
ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
nat (inside) 0 access-list in_nat0_out - 判斷已經建立通道的預設閘道是否需要針對該設定加以啟用。傳統預設閘道是適用於非加密流量的最後選用閘道。
範例:
!--- Route outside 0 0 is an incorrect statement.
route outside 0 0 10.145.50.1
route inside 0 0 10.0.4.2 tunneled
例如,如果VPN客戶端需要訪問不在VPN網關路由表中的資源,則透過標準預設網關路由資料包。VPN 閘道不需要完整的內部路由表來解決這個問題。在這個範例中,可以使用關鍵字 tunneled。 - 確認 AnyConnect 流量是否遭到 ASA 檢查原則捨棄。如果實施Cisco ASA的模組化策略架構,您可以免除AnyConnect客戶端使用的特定應用。舉例而言,您可使用這些指令排除精簡型通訊協定。
ASA(config)# policy-map global_policy
ASA(config-pmap)# class inspection_default
ASA(config-pmap-c)# no inspect skinny
AnyConnect 當機問題
請完成以下資料收集步驟:
- 確保已啟用Microsoft實用程式Dr Watson。為此,請選擇開始>運行,然後運行Drwtsn32.exe。設定以下項目,然後按一下「確定」:
Number of Instructions : 25
Number of Errors To Save : 25
Crash Dump Type : Mini
Dump Symbol Table : Checked
Dump All Thread Contexts : Checked
Append To Existing Log File : Checked
Visual Notification : Checked
Create Crash Dump File : Checked
當發生崩潰時,請從C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson收集.log和.dmp檔案。如果這些檔案看起來在使用中,則使用 ntbackup.exe。 - 從用戶端電腦的 Windows 事件檢視器取得 Cisco AnyConnect VPN 用戶端記錄檔:
- 選擇「開始 > 執行」。
- 輸入:
eventvwr.msc /s
- 以滑鼠右鍵按一下 Cisco AnyConnect VPN 用戶端記錄檔,然後選取「將記錄檔儲存為 AnyConnect.evt」。
- 選擇「開始 > 執行」。
分段/傳遞流量的問題
某些應用程式(例如Microsoft Outlook)無法運作。不過,通道可以傳遞其他流量,例如小型的 Ping。
這可以為網路中的分段問題提供線索。消費者路由器在封包分段與重組方面能力特別欠缺。
嘗試一組縮放的ping,以確定它是否以特定大小失敗。例如,ping -l 500、ping -l 1000、ping -l 1500、ping -l 2000。
建議您將遇到分段的使用者設定為特殊群組,並將這個群組的 SVC 最大轉換單位 (MTU) 設定為 1200。這可以讓您對遇到此問題的使用者進行補救,而不會影響到更廣大的使用者群。
問題
TCP 連線在連接至 AnyConnect 時卡住。
解決方案
若要確認您的使用者是否具有分段問題,請調整 ASA 之 AnyConnect 用戶端的 MTU。
ASA(config)#group-policy <name> attributes
webvpn
svc mtu 1200
自動解除安裝
問題
AnyConnect VPN 用戶端在連線終止後自行解除安裝。用戶端記錄檔顯示保持安裝已設定為停用。
解決方案
儘管在 Adaptive Security Device Manager (ASDM) 上選取「保持安裝」選項,AnyConnect 仍然自行解除安裝。 為了解決此問題,請在群組原則下設定 svc keep-installer installed 命令。
填入叢集 FQDN 時發生問題
問題:AnyConnect客戶端預填充了主機名,而不是群集完全限定域名(FQDN)。
當您為SSL VPN設定了負載平衡集群,並且客戶端嘗試連線到該集群時,請求被重定向到節點ASA,並且客戶端成功登入。一段時間後,當客戶端再次嘗試連線集群時,連線到條目中不顯示集群FQDN,而是會顯示已重新導向之用戶端的節點 ASA 項目。
解決方案
出現這種情況是因為AnyConnect客戶端保留其上次連線的主機名。已觀察到此行為,並且已記錄Bug。如需有關錯誤的完整詳細資料,請參閱思科錯誤 ID CSCsz39019。 建議的因應措施是將 Cisco AnyConnect 升級至 2.5 版。
備份伺服器清單組態
備份伺服器清單已經過設定,以免使用者所選取的主要伺服器無法連線。系統會在 AnyConnect 設定檔的「備份伺服器」窗格中加以定義。請完成以下步驟:
- 下載 AnyConnect 設定檔編輯器(僅限註冊的客戶)。 檔案名稱為 AnyConnectProfileEditor2_4_1.jar。
- 使用 AnyConnect 設定檔編輯器建立 XML 檔案。
- 移至伺服器清單標籤。
- 按一下「新增」。
- 在「主機名稱」欄位輸入主要伺服器。
- 在主機地址欄位的備份伺服器清單下增加備份伺服器。然後,按一下「新增」。
- 移至伺服器清單標籤。
- 取得 XML 檔案後,您必須將其指派給在 ASA 上使用的連線。
- 在 ASDM 中,選擇「組態 > 遠端存取 VPN > 網路(用戶端)存取 > AnyConnect 連線設定檔」。
- 選取您的設定檔,然後按一下「編輯」。
- 在「預設群組原則」區段中,按一下「管理」。
- 選取您的群組原則,然後按一下「編輯」。
- 選取「進階」,然後按一下「SSL VPN 用戶端」。
- 按一下New。然後,您需要輸入設定檔名稱,並指派 XML 檔案。
- 在 ASDM 中,選擇「組態 > 遠端存取 VPN > 網路(用戶端)存取 > AnyConnect 連線設定檔」。
- 將用戶端連接至工作階段以下載 XML 檔案。
AnyConnect:驅動程式資料庫損壞問題
SetupAPI.log 檔案中的這個項目表示目錄系統已經損毀:
W239 驅動程式簽署類別清單「C:\WINDOWS\INF\certclas.inf」遺失或無效。錯誤0xfffde5:未知錯誤。假設所有裝置類都受驅動程式簽名策略的約束。
您還可以收到以下錯誤消息:錯誤(3/17):無法啟動VA、設定共用隊列或VA放棄共用隊列。
您可以在客戶端上接收此日誌:「VPN客戶端驅動程式遇到錯誤」。
修復
此問題歸因於思科錯誤 ID CSCsm54689。 若要解決此問題,請確認路由及遠端存取服務已停用後,再啟動 AnyConnect。如果這樣無法解決問題,請完成以下步驟:
- 以電腦的系統管理員身分開啟命令提示字元(Vista 上為升級提示字元)。
- 執行
net stop CryptSvc。 - 執行:
esentutl /p%systemroot%\System32\catroot2\
{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb - 出現提示時,請選擇「確定」以嘗試修復。
- 結束命令提示字元。
- 重新開機。
無法修復
如果無法修復,請完成以下步驟:
- 以電腦的系統管理員身分開啟命令提示字元(Vista 上為升級提示字元)。
- 執行
net stop CryptSvc。 - 重新命名 %WINDIR%\system32\catroot2 to catroot2_old 目錄。
- 結束命令提示字元。
- 重新開機。
分析資料庫
您隨時可以分析資料庫以便判斷資料庫是否有效。
- 以電腦的系統管理員身分開啟命令提示字元。
- 執行:
esentutl /g%systemroot%\System32\catroot2\
{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
請參閱系統目錄資料庫完整性以瞭解更多資訊。
錯誤訊息
錯誤:無法更新會話管理資料庫
當SSL VPN通過Web瀏覽器連線時,Unable to Update the Session Management Database。出現錯誤消息,ASA日誌顯示%ASA-3-211001:記憶體分配錯誤。調適型安全設備無法配置 RAM 系統記憶體。
情境 1
此問題歸因於思科錯誤 ID CSCsm51093。 若要解決此問題,請重新載入 ASA,或將 ASA 軟體升級至錯誤訊息中所述之過渡版本。請參閱思科錯誤 ID CSCsm51093 更多資訊.
情境 2
若已使用威脅偵測功能,如果您在 ASA 上停用威脅偵測,此問題也會一併解決。
錯誤:"模組c:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnapi.dll註冊失敗"
當您在筆記型電腦或者個人電腦上使用 AnyConnect 用戶端時,在安裝期間發生錯誤:
"Module C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnapi.dll failed
to register..."
發生此錯誤時,安裝程式無法繼續執行,且用戶端會被移除。
解決方案
以下可能的因應措施可解決此錯誤:
- Microsoft Windows 2000不再正式支援最新的AnyConnect客戶端。這是執行 2000 作業系統的電腦登錄檔的問題。
- 刪除VMware應用程式。安裝 AnyConnect 後,可將 VMware 應用程式新增回電腦。
- 將 ASA 新增至其信任的網站。
- 從 \ProgramFiles\Cisco\CiscoAnyconnect 資料夾將這些檔案複製到新資料夾,並執行 regsvr32 vpnapi.dll 命令提示字元:
- vpnapi.dll
- vpncommon.dll
- vpncommoncrypt.dll
- 在筆記型電腦/個人電腦上重新建立作業系統映像。
AnyConnect 用戶端上此錯誤的記錄訊息,看起來類似以下內容:
DEBUG: Error 2911: Could not remove the folderC:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, ,
DEBUG: Error 2911: Could not remove the folder C:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, ,
Info 1721. There is a problem with this Windows Installer package. A program required for
this install to complete could not be run. Contact your support personnel or package
vendor. Action: InstallHelper.exe, location: C:\Program Files\Cisco\Cisco AnyConnect VPN
Client\InstallHelper.exe, command: -acl "C:\Documents and Settings\All Users\Application
Data\Cisco\Cisco AnyConnect VPN Client\\" -r
錯誤:「收到來自安全網關的響應VPN協商請求的錯誤。請聯絡網路管理員。」
當用戶端嘗試使用 Cisco AnyConnect VPN 用戶端連接至 VPN 時,就會顯示此錯誤。
從安全閘道收到此訊息:
「違規的位址類別」、「主機或網路為 0」或「其他錯誤」
解決方案
由於ASA本地IP池耗盡,會發生此問題。由於 VPN 集區資源已經用完,IP 集區範圍必須擴大。
我們已將此問題歸檔至思科錯誤 ID CSCsl82188。當本機位址指派集區耗盡或針對位址集區使用 32 位元子網路遮罩時,通常會發生此錯誤。此因應措施作用在於擴充位址集區,並針對該集區使用 24 位元子網路遮罩。
錯誤:無法建立會話。Session limit of 2 reached。
當您嘗試透過AnyConnect VPN客戶端連線兩個以上的客戶端時,客戶端上會收到登入失敗錯誤消息,並且ASA日誌中會出現無法建立會話警告消息。Session limit of 2 reached。我在 ASA 上具有 AnyConnect 基本授權,可執行 8.0.4 版。
情境 1
由於 AnyConnect 基本授權不支援 ASA 8.0.4 版,因此發生此錯誤。 您需要將 ASA 升級至 8.2.2 版。 如此即可解決該錯誤。
情境 2
如果使用 vpn-sessiondb max-anyconnect-premium-or-essentials-limit session-limit 命令來設定允許的待建立 VPN 工作階段上限,也會發生此錯誤。如果將會話限制設定為兩個,則使用者無法建立兩個以上的會話,即使安裝的許可證支援更多的會話。為了避免此錯誤訊息,您必須為 VPN 工作階段的數量設定工作階段上限。
錯誤:嘗試將anyconnect連線到ASA時,VPN伺服器上未啟用Anyconnect
當您嘗試將 AnyConnect 連接至 ASA 時,收到在 VPN 伺服器上並未啟用 AnyConnect 錯誤訊息。
解決方案
如果使用ASDM在ASA的外部介面上啟用AnyConnect,則會解決此錯誤。如需有關如何在外部介面上啟用 AnyConnect 的詳細資訊,請參閱在 ASA 上設定無用戶端 SSL VPN (WebVPN)。
錯誤:- %ASA-6-722036:組客戶端組使用者xxxx IP x.x.x.x傳輸大型資料包1220(閾值1206)
%ASA-6-722036:Group < client-group > User < xxxx > IP < x.x.x.x> Transmitting large packet 1220(threshold 1206)錯誤消息出現在ASA的日誌中。這個記錄代表什麼意思,又該如何解決此問題?
解決方案
此日誌消息表明向客戶端傳送了一個大型資料包。封包的來源不知道使用者端的MTU。這也可能是因為壓縮了不可壓縮的資料。因應措施是使用 svc compression none 命令關閉 SVC 壓縮功能。這樣就能解決問題。
錯誤:安全網關已拒絕代理的vpn連線或重新連線請求。
連線到AnyConnect客戶端時,收到以下錯誤:「安全網關已拒絕代理的vpn連線或重新連線請求。新連線需要重新進行身份驗證,並且必須手動啟動。如果問題持續發生,請聯絡網路管理員。從安全網關收到以下消息:無分配地址」。
當您連線到AnyConnect客戶端時,也會收到此錯誤:「安全網關已拒絕連線嘗試。需要嘗試與同一安全網關或其他安全網關建立新連線,需要重新進行身份驗證。 從安全閘道收到下列訊息:主機或網路為 0」。
當您連線到AnyConnect客戶端時,也會收到此錯誤:「安全網關已拒絕代理的vpn連線或重新連線請求。新連線需要重新進行身份驗證,並且必須手動啟動。如果問題仍然存在,請與網路管理員聯絡。從安全網關收到以下消息:無許可證」。
解決方案
重新載入後,路由器缺少池配置。您必將相關的組態加回到路由器。
Router#show run | in pool
ip local pool SSLPOOL 192.168.30.2 192.168.30.254
svc address-pool SSLPOO
「安全網關拒絕了代理的VPN連線或重新連線請求。新連線需要重新進行身份驗證,並且必須手動啟動。如果問題仍然存在,請與網路管理員聯絡。從安全網關收到以下消息:AnyConnect移動許可證丟失時,出現No License"錯誤。安裝授權後,即可解決此問題。
錯誤:"無法更新會話管理資料庫"
當您嘗試在WebPortal中進行身份驗證時,會收到以下錯誤消息:「無法更新會話管理資料庫」。
解決方案
此問題與 ASA 上的記憶體配置有關。ASA 版本為 8.2.1 時,經常會發生此問題。 起初,此版本需要 512 MB RAM 才可完整運作。
將記憶體升級至 512 MB 可作為一勞永逸的因應措施。
使用以下步驟嘗試釋放記憶體,可作為臨時性的因應措施:
- 停用威脅偵測功能。
- 停用 SVC 壓縮。
- 重新載入 ASA。
錯誤:"VPN客戶端驅動程式遇到錯誤"
當您嘗試連接至 AnyConnect 時,會在用戶端電腦上收到此錯誤訊息。
解決方案
為了解決此錯誤,請完成此程序以手動將 AnyConnect VPN 代理程式設定為互動式:
- 以滑鼠右鍵按一下「我的電腦 > 管理 > 服務與應用程式 > 服務」> 然後選取 Cisco AnyConnect VPN 代理程式。
- 以滑鼠右鍵按一下「內容」,然後登入並選取「允許服務與桌面互動」。
這會將 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vpnagent 的登錄類型值 DWORD 設為 110(預設為 010)。
當Windows PC上啟用路由和遠端訪問服務(RRAS)時,AnyConnect將失敗,並且VPN客戶端驅動程式遇到錯誤。錯誤消息。為了解決此問題,在啟動 AnyConnect 前,請確認「路由與 RRAS」已停用。請參閱思科錯誤 ID CSCsm54689,瞭解更多資訊。
錯誤:"無法處理來自xxx.xxx.xxx.xxx的響應"
AnyConnect 用戶端無法連接至 Cisco ASA。AnyConnect 視窗中的錯誤訊息為「無法處理來自 xxx.xxx.xxx.xxx 的回應」。
解決方案
為了解決此錯誤,請嘗試以下因應措施:
- 從 ASA 移除 WebVPN,然後重新啟用。
- 將連接埠編號從現有的 443 變更為 444,並且在 443 號連接埠上重新啟用。
如需有關如何啟用 WebVPN 以及變更 WebVPN 連接埠的詳細資訊,請參閱此解決方法。
錯誤:"登入被拒絕,未授權連線機制,請與管理員聯絡"
AnyConnect 用戶端無法連接至 Cisco ASA。在 AnyConnect 視窗中,此錯誤為「登入遭拒,未經授權的連線機制,請聯絡您的管理員」。
解決方案
出現此錯誤消息的主要原因是配置不正確或不完整。請檢查組態並確認其為解決此問題所需的組態。
<
錯誤:「Anyconnect軟體包不可用或已損壞。請聯絡您的系統管理員」
當您嘗試從 Macintosh 用戶端啟動 AnyConnect 軟體以連接至 ASA 時,就會發生此錯誤。
解決方案
為了解決此問題,請完成以下步驟:
- 將 Macintosh AnyConnect 套件上傳至 ASA 的快閃記憶體。
- 修改 WebVPN 組態以指定所使用的 AnyConnect 套件。
webvpn
svc image disk0:/anyconnect-macosx-i386-2.3.2016-k9.pkg 2
svc image disk0:/anyconnect-macosx-powerpc-2.3.2016-k9.pkg 3
在 ASA 版本 8.4(1) 和更新版本中,anyconnect image 命令已取代 svc image 命令,如下所示:
hostname(config)#webvpn
hostname(config-webvpn)#anyconnect image disk0:/
anyconnect-win-3.0.0527-k9.pkg 1
hostname(config-webvpn)#anyconnect image disk0:/
anyconnect-macosx-i386-3.0.0414-k9.pkg 2
錯誤:"找不到安全網關上的AnyConnect軟體包"
當使用者的 Linux 電腦嘗試透過啟動 AnyConnect 連接至 ASA 時,就會造成此錯誤。以下是完整的錯誤訊息:
"The AnyConnect package on the secure gateway could not be located. You may
be experiencing network connectivity issues. Please try connecting again."
解決方案
為了解決此錯誤,請確認 AnyConnect 用戶端是否支援用戶端電腦上所使用的作業系統 (OS)。
如果作業系統受支援,請驗證AnyConnect軟體套件是否在WebVPN配置中指定。請參閱此文件的「AnyConnect 套件無法使用或已損毀」一節,瞭解更多資訊。
錯誤:"不支援通過遠端案頭建立安全VPN"
使用者無法執行遠端案頭訪問。會出現不支援透過遠端桌面使用安全 VPN錯誤訊息。
解決方案
此問題是由以下思科錯誤ID導致的:CSCsu22088 和 CSCso42825。 如果升級 AnyConnect VPN 用戶端,可解決此問題。請參閱這些錯誤以瞭解更多資訊。
錯誤:「收到的伺服器證書或其鏈不符合FIPS。將不會建立 VPN 連線」
嘗試將VPN連線到ASA 5505時,系統顯示收到的伺服器證書或證書鏈不符合FIPS。會出現將不會建立 VPN 連線錯誤訊息。
解決方案
為了解決此錯誤,必須在AnyConnect本地策略檔案中停用聯邦資訊處理標準(FIPS)。您通常可以在以下路徑找到此檔案:C:\ProgramData\Cisco\Cisco AnyConnect VPN Client\AnyConnectLocalPolicy.xml。如果在此路徑中找不到此檔案,則請在路徑為 C:\Documents and Settings\All Users\Application Data\Cisco AnyConnectVPNClient\AnyConnectLocalPolicy.xml 之類的其他目錄中尋找檔案。找到 xml 檔案後,請按照以下所示的方式變更此檔案:
變更片語:
<FipsMode>正確</FipsMode>
收件者:
<FipsMode>錯誤</FipsMode>
然後,重新啟動電腦。使用者必須具有系統管理員權限才能修改此檔案。
錯誤:"證書驗證失敗"
使用者無法啟動 AnyConnect 並收到憑證驗證失敗錯誤。
解決方案
相較於 IPSec 用戶端,AnyConnect 的憑證驗證是以不同的方式運作。為了讓憑證驗證順利運作,您必須將用戶端憑證匯入至瀏覽器,然後變更連線設定檔,以使用憑證驗證。您也必須在 ASA 上啟用此命令,才能讓 SSL 用戶端憑證使用在外部介面:
ssl certificate-authentication interface outside port 443
錯誤:「VPN代理服務遇到問題,需要關閉。造成不便,我們深感抱歉」
若在 Windows XP 電腦上安裝 AnyConnect 版本 2.4.0202,安裝過程會停在更新當地語系化檔案,並顯示錯誤訊息,指出 vpnagent.exe 失敗。
解決方案
此行為會記錄於思科錯誤 ID CSCsq49102。 建議的因應措施為停用 Citrix 用戶端。
錯誤:「無法開啟此安裝包。請確認套件是否存在」
在下載 AnyConnect 時,會收到此錯誤訊息:
「請聯絡您的系統管理員。安裝程式失敗,出現以下錯誤:無法開啟此安裝包。請確認此套件存在,且您可以存取套件,或者聯絡應用程式廠商以確認這是有效的 Windows 安裝程式套件。」
解決方案
若要修正此問題,請完成以下步驟:
- 移除任何防毒軟體。
- 停用 Windows 防火牆。
- 如果步驟 1 或步驟 2 都沒有效果,則將電腦格式化然後重新安裝。
- 若是問題仍然持續發生,請開立 TAC 案例。
錯誤:「應用轉換時出錯。請確認指定的轉換路徑有效。」
透過 ASA 自動下載 AnyConnect 期間會收到以下錯誤訊息:
"Contact your system administrator. The installer failed with the following error:
Error applying transforms. Verify that the specified transform paths are valid."
與 AnyConnect for MacOS 連接時會收到以下錯誤訊息:
"The AnyConnect package on the secure gateway could not be located. You may be
experiencing network connectivity issues. Please try connecting again."
解決方案
完成以下其中一項因應措施以解決此問題:
- 此錯誤的根本原因可能在於 MST 轉譯檔案損毀(例如,匯入的檔案)。 執行以下步驟以修正此問題:
- 移除 MST 轉譯資料表。
- 在 ASA 中設定適用於 MacOS 的 AnyConnect 映像。
- 移除 MST 轉譯資料表。
- 在ASDM中,轉到網路(客戶端)接入> AnyConnect自定義>安裝路徑並刪除AnyConnect軟體套件檔案。確認套件仍在「網路(用戶端)存取 > 進階 > SSL VPN > 用戶端設定」中。
如果以上因應措施皆無法解決問題,請聯絡思科技術支援。
錯誤:"VPN客戶端驅動程式遇到錯誤"
會收到此錯誤:
The VPN client driver has encountered an error when connecting through Cisco
AnyConnect Client.
解決方案
當您解除安裝 AnyConnect 用戶端,然後移除防毒軟體後,即可解決此問題。接著,請重新安裝 AnyConnect 用戶端。如果這個解決方法沒有效果,請重新格式化電腦,以修正此問題。
錯誤:「VPN重新連線導致了不同的配置設定。VPN 網路設定正在重新初始化。使用私人網路的應用程式可能需要還原。」
當您嘗試啟動 AnyConnect 時,就會收到此錯誤:
"A VPN reconnect resulted in different configuration setting. The VPN network
setting is being re-initialized. Applications utilizing the private network may
need to be restarted."
解決方案
為了解決此錯誤,請使用以下命令:
group-policy <Name> attributes
webvpn
svc mtu 1200
在 ASA 版本 8.4(1) 和更新版本中,anyconnect mtu 命令已取代 svc mtu命令,如下所示:
hostname(config)#group-policy
attributes
hostname(config-group-policy)#webvpn
hostname(config-group-webvpn)#anyconnect mtu 500
登入時 AnyConnect 發生錯誤
問題
當 AnyConnect 連接至用戶端時就會收到此錯誤:
The VPN connection is not allowed via a local proxy. This can be changed
through AnyConnect profile settings.
解決方案
如果您對 AnyConnect 設定檔進行變更,即可解決此問題:
將以下這行新增至 AnyConnect 設定檔:
<ProxySettings>IgnoreProxy</ProxySettings><
AllowLocalProxyConnections>
false</AllowLocalProxyConnections>
AnyConnect 在 Windows 7 上中斷連線後,IE Proxy 設定並未還原
問題
在 Windows 7,如果 IE Proxy 設定配置為自動偵測設定,且 AnyConnect 推送新的 Proxy 設定,則 IE Proxy 設定在使用者結束 AnyConnect 工作階段後,不會還原為自動偵測設定。這會對需要將其 Proxy 設定配置為自動偵測設定的使用者,造成 LAN 問題。
解決方案
此行為會記錄於思科錯誤 ID CSCtj51376。 建議的因應措施為升級至 AnyConnect 3.0。
錯誤:在所有這些會話關閉之前,無法啟用AnyConnect Essentials。
當您嘗試啟用 AnyConnect Essentials 授權時,就會在 Cisco ASDM 收到此錯誤訊息。
There are currently 2 clientless SSL VPN sessions in progress. AnyConnect
Essentials can not be enabled until all these sessions are closed.
解決方案
這是 ASA 的正常行為。AnyConnect Essentials 是個別取得授權的 SSL VPN 用戶端。其是完全在 ASA 上進行設定的,並提供完整的 AnyConnect 功能,惟以下功能除外:
- 沒有 Cisco Secure Desktop (CSD)(包括 HostScan/保存庫/快取清除工具)
- 沒有無用戶端 SSL VPN
- 選購的 Windows Mobile 支援
您無法在共用 SSL VPN 高階授權時,同時使用此授權。當您需要使用單一授權時,必須停用其他授權。
錯誤:Internet Explorer的Internet選項上的「連線」頁籤在連線到AnyConnect客戶端後隱藏。
在連線至 AnyConnect 用戶端後, Internet Explorer 網際網路選項的連線索引標籤會隱藏。
解決方案
這是 msie-proxy 鎖定功能造成的。如果啟用此功能,則在AnyConnect VPN會話期間,它會隱藏Microsoft Internet Explorer中的「連線」頁籤。若您停用此功能,「連線」索引標籤的顯示方式就不會改變。
錯誤:當其他使用者能夠通過AnyConnect VPN成功連線時,少數使用者會收到「登入失敗」錯誤消息
當其他使用者可以透過 AnyConnect VPN 順利連線時,部分使用者卻收到「登入失敗」錯誤訊息。
解決方案
如果您確認已為使用者勾選「不需要預先驗證」核取方塊,便可解決這個問題。
錯誤:您正在檢視的證書與您嘗試檢視的站點名稱不匹配。
在 AnyConnect 設定檔更新期間,顯示的錯誤表示憑證無效。這僅適用於Windows,並且發生在配置檔案更新階段。錯誤訊息如下所示:
The certificate you are viewing does not match with the name of the site
you are trying to view.
解決方案
如果您修改 AnyConnect 設定檔的伺服器清單來使用憑證的 FQDN,便可解決這個問題。
以下是 XML 設定檔的範例:
<ServerList>
<HostEntry>
<HostName>vpn1.ccsd.net</HostName>
</HostEntry>
</ServerList>
無法透過 Windows 7 電腦的 CSD 保存庫啟動 AnyConnect
從CSD保管庫啟動AnyConnect時,它不起作用。這是在 Windows 7 電腦上進行的嘗試。
解決方案
目前無法辦到,因為這不受支援。
在容錯移轉後,AnyConnect 設定檔無法複寫到待命狀態
AnyConnect 3.0 VPN 用戶端搭配 ASA 版本 8.4.1 軟體使用時運作順暢。不過,在容錯移轉後,AnyConnect 設定檔相關組態不會進行覆寫。
解決方案
已觀察到此問題,且記錄於思科錯誤 ID CSCtn71662。 暫時的因應措施為手動複製檔案至待機裝置。
如果 Internet Explorer 離線,AnyConnect 用戶端就會當機
當這種狀況發生時,AnyConnect 事件記錄檔會包含類似於以下的項目:
Description : Function:
CAdapterNetworkStateIfc::SetConnectedStateToConnected
File: .\AdapterNetworkStateIfc.cpp
Line: 147
Invoked Function: InternetSetOption
Return Code: 12010 (0x00002EEA)
Description: The length is incorrect for the option type
Description : Function: CTransportWinHttp::InitTransport
File: .\CTransportWinHttp.cpp
Line: 252
Invoked Function: CConnectedStateIfc::SetConnectedStateToConnected
Return Code: -25362420 (0xFE7D000C)
Description: CADAPTERNETWORKSTATEIFC_ERROR_SET_OPTION
解決方案
已觀察到此行為,且記錄於思科錯誤 ID CSCtx28970。 若要解決此問題,請退出 AnyConnect 應用程式並重新啟動。在重新啟動後,連線項目會再次顯示。
錯誤消息:TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER
AnyConnect 用戶端無法連接,並收到無法建立連線錯誤訊息。在 AnyConnect 事件記錄中,出現 TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER 錯誤。
解決方案
當頭端設定為具有龐大分割通道清單(約有 180 到 200 個項目)的分割通道,並且在群組-原則(例如 dns-伺服器)中設定一或多個其他用戶端屬性時,就會發生這種情況。
若要解決此問題,請完成以下步驟:
- 減少分割通道清單項目的數量。
- 使用此組態以停用 DTLS:
group-policy groupName attributes
webvpn
svc dtls none
如需詳細資訊,請參閱思科錯誤 ID CSCtc41770。
錯誤消息:"由於主機條目無效,連線嘗試失敗"
使用憑證驗證 AnyConnect 時,收到由於主機項目無效,連線嘗試失敗錯誤訊息。
解決方案
為了解決此問題,請嘗試以下其中一項可能的解決方法:
- 將 AnyConnect 升級至 3.0 版。
- 停用電腦上的 Cisco Secure Desktop。
如需詳細資訊,請參閱思科錯誤 ID CSCti73316。
錯誤:"如果配置永遠線上VPN,請確保您的伺服器證書能夠通過嚴格模式"
當您在 AnyConnect 上啟用永不中斷功能時,就會收到若您設定永不中斷的 VPN,請確認您的伺服器憑證可以通過嚴格模式錯誤訊息。
解決方案
此錯誤消息意味著如果要使用「永遠線上」功能,則需要在頭端配置有效的伺服器證書。缺乏有效的伺服器憑證,此功能就無法運作。「嚴格證書模式」是在AnyConnect本地策略檔案中設定的選項,以確保連線使用有效的證書。如果您在原則檔案中啟用此選項,並使用虛假的憑證連接,連線就會失敗。
錯誤:「Microsoft Windows HTTP 服務發生內部錯誤」
這個 Diagnostic AnyConnect Reporting Tool (DART) 會顯示一個失敗的嘗試:
******************************************
Date : 03/25/2014
Time : 09:52:21
Type : Error
Source : acvpnui
Description : Function: CTransportWinHttp::SendRequest
File: .\CTransportWinHttp.cpp
Line: 1170
Invoked Function: HttpSendRequest
Return Code: 12004 (0x00002EE4)
Description: An internal error occurred in the Microsoft
Windows HTTP Services
*****************************************
Date : 03/25/2014
Time : 09:52:21
Type : Error
Source : acvpnui
Description : Function: ConnectIfc::connect
File: .\ConnectIfc.cpp
Line: 472
Invoked Function: ConnectIfc::sendRequest
Return Code: -30015443 (0xFE36002D)
Description: CTRANSPORT_ERROR_CONN_UNKNOWN
******************************************
Date : 03/25/2014
Time : 09:52:21
Type : Error
Source : acvpnui
Description : Function: ConnectIfc::TranslateStatusCode
File: .\ConnectIfc.cpp
Line: 2999
Invoked Function: ConnectIfc::TranslateStatusCode
Return Code: -30015443 (0xFE36002D)
Description: CTRANSPORT_ERROR_CONN_UNKNOWN
Connection attempt failed. Please try again.
******************************************
此外,亦請參閱 Windows 電腦上的事件檢視器記錄。
解決方案
損毀的 Winsock 連線可能會導致這種情況發生。請使用此命令從命令提示字元重設連線,然後重新啟動 Windows 電腦:
netsh winsock reset
請參閱如何判斷並復原 Windows Server 2003、Windows XP 及 Windows Vista 中的 Winsock2 損毀情況知識庫文章,以瞭解更多資訊。
錯誤:「SSL 傳輸接收到安全通道失敗。 可能是安全閘道未支援密碼編譯組態導致。」
這個 Diagnostic AnyConnect Reporting Tool (DART) 會顯示一個失敗的嘗試:
******************************************
Date : 10/27/2014
Time : 16:29:09
Type : Error
Source : acvpnui
Description : Function: CTransportWinHttp::handleRequestError
File: .\CTransportWinHttp.cpp
Line: 854
The SSL transport received a Secure Channel Failure. May be a result of a unsupported crypto configuration on the Secure Gateway.
******************************************
Date : 10/27/2014
Time : 16:29:09
Type : Error
Source : acvpnui
Description : Function: CTransportWinHttp::SendRequest
File: .\CTransportWinHttp.cpp
Line: 1199
Invoked Function: CTransportWinHttp::handleRequestError
Return Code: -30015418 (0xFE360046)
Description: CTRANSPORT_ERROR_SECURE_CHANNEL_FAILURE
******************************************
Date : 10/27/2014
Time : 16:29:09
Type : Error
Source : acvpnui
Description : Function: ConnectIfc::TranslateStatusCode
File: .\ConnectIfc.cpp
Line: 3026
Invoked Function: ConnectIfc::TranslateStatusCode
Return Code: -30015418 (0xFE360046)
Description: CTRANSPORT_ERROR_SECURE_CHANNEL_FAILURE
Connection attempt failed. Please try again.
******************************************
解決方案
根據下列知識庫更新,Windows 8.1 不支援 RC4:
http://support2.microsoft.com/kb/2868725
使用指令「ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 des-sha1」設定 ASA 上之 SSL VPN 的 DES/3DES 密碼,或編輯用戶端電腦上的 Windows 登錄檔,如下所述:
https://technet.microsoft.com/en-us/library/dn303404.aspx
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
04-Apr-2018 |
初始版本 |
意見