AnyConnect、CSD/Hostscan和WebVPN的Java 7問題-故障排除指南

簡介

本文檔介紹如何對Cisco AnyConnect安全移動客戶端、思科安全案頭(CSD)/思科Hostscan和無客戶端SSL VPN (WebVPN)上的Java 7問題進行故障排除。

注意：標籤為調查的思科漏洞ID不限於所描述的症狀。如果遇到Java 7問題，請確保將AnyConnect客戶端版本升級到最新客戶端版本或至少升級到Cisco Connection Online (CCO)上可用的3.1維護版本3。

一般疑難排解

運行Java驗證器以檢查使用的瀏覽器是否支援Java。如果正確啟用了Java，請檢視Java控制檯日誌以分析問題。

Windows

此程式說明如何在Windows中啟用主控台記錄：

1. 打開Windows控制台，然後搜尋Java。
   
   
2. 按兩下Java（咖啡杯圖示）。便會顯示「Java控制檯」。
3. 按一下Advanced頁籤。
   
   
   1. 展開調試，然後選擇啟用跟蹤和啟用日誌記錄。
   2. 展開Java console，然後按一下Show console。
      
      

Mac

以下過程介紹了如何在Mac上啟用控制檯日誌：

1. 打開「系統首選項」，然後按兩下Java圖示（咖啡杯）。便會顯示「Java控制檯」。
   
   
   
   
2. 按一下Advanced頁籤。
   
   
   1. 在Java控制檯下，按一下Show console。
   2. 在Debugging下，按一下Enable tracing和Enable logging。
      
      

特定故障排除

AnyConnect

對於AnyConnect相關問題，收集診斷AnyConnect報告(DART)日誌以及Java控制檯日誌。

Windows

思科漏洞ID CSCuc55720（「當ASA上啟用3.1.1軟體套件時IE與Java 7崩潰」）是一個已知問題，即在執行WebLaunch並在頭端啟用AnyConnect 3.1時導致Internet Explorer崩潰。此錯誤已修正。

在將AnyConnect和Java 7的某些版本與Java應用一起使用時，可能會遇到問題。有關詳細資訊，請參閱思科漏洞ID CSCue48916「使用AnyConnect 3.1.00495或3.1.02026 & Java v7時的Java應用程式中斷」。

Java 7和IPv6套接字呼叫問題

如果在將Java Runtime Environment (JRE)升級到Java 7後仍無法連線AnyConnect，或者Java應用程式無法通過VPN隧道連線，請檢視Java控制檯日誌並查詢以下消息：

java.net.SocketException: Permission denied: connect
 at java.net.DualStackPlainSocketImpl.waitForConnect(Native Method)
 at java.net.DualStackPlainSocketImpl.socketConnect(Unknown Source)

這些日誌條目指示客戶端/應用程式進行IPv6呼叫。

此問題的一個解決方案是在乙太網介面卡和AnyConnect虛擬介面卡(VA)上停用IPv6（如果未使用）：

第二個解決方案是將Java配置為優先使用IPv4而不是IPv6。將系統屬性'java.net.preferIPv4Stack'設定為'true'，如以下範例所示：

• 將系統屬性的代碼增加到Java代碼中（針對客戶編寫的Java應用程式）：
  
  

  System.setProperty("java.net.preferIPv4Stack" , "true");

• 從命令列為system屬性增加代碼：
  
  

  -Djava.net.preferIPv4Stack=true

• 設定環境變數_JPI_VM_OPTIONS和_JAVA_OPTIONS以包含系統屬性：
  
  

  -Djava.net.preferIPv4Stack=true

如需詳細資訊，請參閱：

• 如何在Java程式碼中設定java.net.preferIPv4Stack=true？
• 如何強制java使用ipv4代替ipv6？

第三個解決方案是在Windows電腦上完全停用IPv6；請編輯以下登錄檔項：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\TCPIP6\Parameters

有關其他資訊，請參閱如何在Windows中停用IP第6版或其特定元件。

Java 7升級後的AnyConnect WebLaunch問題

Cisco JavaScript程式碼先前會尋找Sun作為Java廠商的值。但是，Oracle已依照JDK7： Java供應商屬性變更中的說明變更該值。此問題已由思科漏洞ID CSCub46241「AnyConnect weblaunch fails from Internet Explorer with Java 7」修復。

Mac

未報告任何問題。使用AnyConnect 3.1（使用WebLaunch/Safari/Mac 10.7.4/Java 7.10配置）進行的測試未顯示任何錯誤。

其他

Cisco AnyConnect上的Java 7應用問題

思科漏洞ID CSCue48916(「使用AnyConnect 3.1.00495或3.1.02026 & Java v7時的Java應用程式中斷」)已存檔。初步調查顯示問題在客戶端上不是Bug，而可能與Java虛擬機器(VM)配置有關。

以前，為了在AnyConnect 3.1(2026)客戶端上使用Java 7應用，您未選中IPv6虛擬介面卡設定。但是，現在必須完成此程式中的所有步驟：

1. 安裝AnyConnect版本3.1(2026)。
2. 解除安裝Java 7。
3. 重新啟動。
4. 安裝Java SE 6，更新38，可從Oracle網站獲得。
5. 導航到Java 6控制台設定，然後按一下Update 頁籤升級到最新版本的Java 7。
6. 打開命令提示符並輸入：
   
   

   setx _JAVA_OPTIONS -Djava.net.preferIPv4Stack=true

7. 使用AnyConnect登入，Java應用應該可以正常工作。

注意：此過程已經過Java 7更新9、10和11測試。

CSD/Hostscan

對於CSD/Hostscan相關問題，請收集DART日誌以及Java控制檯日誌。

要獲取DART日誌，必須將CSD日誌記錄級別設定為ASA上的調試：

1. 導航到ASDM > Configuration > Remote Access VPN > Secure Desktop Manager > Global Settings。
2. 打開CSD日誌記錄以調試思科自適應安全裝置管理器(ASDM)。
3. 使用DART來收集CSD/Hostscan日誌。
   
   

Windows

Hostscan容易受到崩潰的影響，類似於之前在Windows中對AnyConnect描述的崩潰(思科漏洞ID CSCuc55720)。Cisco Bug ID CSCuc48299（「HostScan Weblaunch上帶有Java 7的IE崩潰」）已解決Hostscan問題。

Mac

CSD版本3.5.x和Java 7的問題

在CSD 3.5.x中，所有WebVPN連線均失敗；這包括AnyConnect Web啟動。Java控制檯日誌未顯示任何問題：

Java Plug-in 10.10.2.12
Using JRE version 1.7.0_10-ea-b12 Java HotSpot(TM) 64-Bit Server VM
User home directory = /Users/rtpvpn
----------------------------------------------------
c:   clear console window
f:   finalize objects on finalization queue
g:   garbage collect
h:   display this help message
l:   dump classloader list
m:   print memory usage
o:   trigger logging
q:   hide console
r:   reload policy configuration
s:   dump system and deployment properties
t:   dump thread list
v:   dump thread stack
x:   clear classloader cache
0-5: set trace level to <n>
----------------------------------------------------

如果降級到JRE 6或將CSD升級到3.6.6020或更高版本，則Java控制檯日誌會顯示以下問題：

Java Plug-in 10.10.2.12
Using JRE version 1.7.0_10-ea-b12 Java HotSpot(TM) 64-Bit Server VM
User home directory = /Users/rtpvpn
----------------------------------------------------
c:   clear console window
f:   finalize objects on finalization queue
g:   garbage collect
h:   display this help message
l:   dump classloader list
m:   print memory usage
o:   trigger logging
q:   hide console
r:   reload policy configuration
s:   dump system and deployment properties
t:   dump thread list
v:   dump thread stack
x:   clear classloader cache
0-5: set trace level to <n>
----------------------------------------------------
CacheEntry[ https://rtpvpnoutbound6.cisco.com/CACHE/sdesktop/install/binaries/
   instjava.jar ]: updateAvailable=false,lastModified=Wed Dec 31 19:00:00 EST 
   1969,length=105313
Fri Oct 19 18:12:20 EDT 2012 Downloaded
  https://rtpvpnoutbound6.cisco.com/CACHE/sdesktop/hostscan/darwin_i386/cstub
  to /var/folders/zq/w7l9gxks7512fsl4vk07v9nc0000gn/T/848638312.tmp/cstub
Fri Oct 19 18:12:20 EDT 2012 file signature verification
  PASS: /var/folders/zq/w7l9gxks7512fsl4vk07v9nc0000gn/T/848638312.tmp/cstub
Fri Oct 19 18:12:20 EDT 2012 Spawned CSD stub.

解決方法是升級CSD或降級Java。因為思科建議您運行最新版本的CSD，所以應升級CSD，而不是降級Java，特別是因為Mac上的Java降級會很困難。

Mac 10.8上WebLaunch的Chrome和Safari問題

Chrome和Safari問題屬於預期行為：

• Chrome是32位瀏覽器，不支援Java 7。
• Chrome從來不是官方支援的WebLaunch瀏覽器。
• Mac 10.8在Safari上停用了Java 7，而且較舊版本的Java在預設情況下沒有啟用。

如果您已安裝Java 7，解析度如下：

• 使用Firefox。
• 在Safari上啟用Java 7：
  
  
  1. 驗證Mac上是否安裝了Java 7，並且已重新啟動Mac。打開Firefox，然後轉到Java Verifier。
  2. 打開Safari，然後再次轉到Java Verifier。現在您應該會看到此螢幕：
     
     
• 停用Java 7，並啟用Apple提供的Java SE 6。

提示：如果未安裝Java或安裝了較早版本的Java，您可能會在java.com上看到錯誤消息「Java blocked for this web site」（為此網站阻止Java）。有關安裝Java更新的資訊，請參閱Apple支援論壇上的2013年8月28日針對OS X提供的Java更新。

Mac 10.9上WebLaunch的Safari問題

如果您使用的是Mac 10.9並且已經啟用Java外掛(如Mac 10.8上的WebLaunch的Chrome和Safari問題部分所述)，WebLaunch可能會繼續失敗。所有的Java Applet都會啟動，但瀏覽器會繼續旋轉。如果已按照常規故障排除部分中所述啟用Java日誌，則日誌會快速填充，如下所示：

at java.lang.Thread.run(Thread.java:744)
Mon Dec 16 16:00:17 EST 2013 Failed to download cstub
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45

在日誌的前面尋找此型別的專案：

Mon Dec 16 16:00:17 EST 2013 Downloaded https://rave.na.sage.com/CACHE/
   sdesktop/hostscan/darwin_i386/manifest java.io.FileNotFoundException: 
   /Users/user1/.cisco/hostscan/bin/cstub (Operation not permitted) at 
   java.io.FileInputStream.open(Native Method)

這表示您遇到了思科漏洞ID CSCuj02425：「如果停用了java不安全模式，則OSX 10.9上的WebLaunch將失敗。」 要解決此問題，請修改Java首選項，使Java可以在不安全的模式下運行Safari：

1. 按一下Preferences。
   
   
   
   
2. 按一下Manage Website Settings。
   
   
   
   
3. 在安全頁籤中，選擇Java，並且請注意，預設情況下已選擇允許。
   
   
   
   
4. 將Allow更改為Run in Unsafe Mode。
   
   

WebVPN

對於與Java相關的WebVPN問題，請收集以下資料以進行故障排除：

• 來自show tech-support命令的輸出。
• 如常規故障排除部分所述，記錄帶有和不帶有自適應安全裝置(ASA)的Java控制檯。
• WebVPN捕獲。
• HTTP watch捕獲本地電腦上的ASA以及是否使用ASA。
• 在ASA和本地電腦上捕獲標準資料包。
  • 在本地電腦上，可以使用Wireshark完成這些捕獲。
  • 有關如何捕獲ASA上的流量的資訊，請參閱配置資料包捕獲。
• 透過ASA時下載到Java快取的所有jar檔案。以下是Java主控台的範例：
  
  

  Reading Signers from 8412 
   https://rtpvpnoutbound6.cisco.com/+CSCO+00756767633A2F2F7A2D73767972662E6
      E7067727A76687A2E6179++/mffta.jar
  C:\Users\wvoosteren\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41\
     6a0665e9-1f510559.idx

  在本示例中，6a0665e9-1f510559.idx是mffta.jar 7的快取版本。如果您無權訪問這些檔案，則可以在使用直接連線時從Java快取中收集它們。

測試設定可以加快解決速度。

Java 7 U51中的安全功能及其對WebVPN使用者的影響

最近宣佈的Java 7更新51 （2014年1月）更改已確定，預設安全滑塊需要代碼簽名和「許可權清單」屬性。總之，所有Java Applet都需要：

• 待簽署（Applet和Web Start應用程式）。
• 以設定資訊清單中的「許可權」屬性。

如果應用程式使用透過Web瀏覽器啟動的Java，則應用程式會受到影響。應用程式可從任何在Web瀏覽器外正常的地方執行。這對WevVPN意味著思科分發的所有客戶端外掛都可能受到影響。由於思科不維護或支援這些外掛，因此思科無法更改代碼簽名證書或小程式以確保其符合這些限制。正確的解決方案是使用ASA上的臨時代碼簽名證書。 ASA提供臨時代碼簽名證書以簽署Java Applet（用於Java重寫器和外掛）。臨時證書使Java Applet無需警告消息即可執行預期功能。ASA管理員應在臨時證書過期之前將其替換為受信任的證書頒發機構(CA)頒發的自己的代碼簽名證書。如果不可行，解決方法是完成以下步驟：

1. 您可以在最終客戶端電腦的Java設定上使用異常站點清單功能，以運行安全設定阻止的應用程式。有關執行此操作的步驟，請參閱Mac 10.9上WebLaunch的Safari問題。
2. 您也可以降低「Java安全性」設定。此設定也設定於使用者端機器的Java設定中，如下所示：
   

警告：使用這些變通方法仍會給你帶來一些錯誤，但Java不會像未採用變通方法時那樣阻止應用程式。

Windows

據報告，啟動Java Applet的應用程式在升級到Java 7後會對WebVPN進行故障切換。此問題是由於Java重寫程式缺乏安全雜湊演算法(SHA)-256支援造成的。思科漏洞ID CSCud54080（「對webvpn Java重寫程式的SHA-256支援」）已針對此問題存檔。

使用JRE7時，透過入口使用智慧通道啟動Java Applet的應用程式可能會失敗；這在64位元系統中最常見。在捕獲中，請注意Java VM以明文形式傳送資料包，而不是透過智慧隧道連線傳送到ASA。Cisco bug ID CSCue17876「Some java applet will not connect via smart tunnel on windows with jre1.7」解決了此問題。