排除ASDM啟動問題
目錄
簡介
本文檔介紹自適應安全裝置裝置管理器(ASDM)啟動問題的故障排除過程。
背景
本檔案是ASDM疑難排解系列的一部分,並附隨以下檔案:
Link1<>
Link2<>
連結3<>
排除ASDM啟動問題
問題1. ASDM上顯示「無法啟動裝置管理器」消息
嘗試使用ASDM連線到防火牆時,觀察到以下一個或多個症狀:
- ASDM上顯示錯誤「無法從啟動裝置管理器」消息:
- Java調試日誌顯示以下異常之一:
java.net.ConnectException: Connection timed out: connect
at java.net.DualStackPlainSocketImpl.waitForConnect(Native Method)
java.net.ConnectException: Connection refused: connect
at java.net.DualStackPlainSocketImpl.waitForConnect(Native Method)
Trying for ASDM Version file; url = https://192.0.2.1/admin/
java.io.FileNotFoundException: https://192.0.2.1/admin/version.prop
java.net.SocketException: Connection reset
at java.net.SocketInputStream.read(Unknown Source)
at java.net.SocketInputStream.read(Unknown Source)
at sun.security.ssl.SSLSocketInputRecord.read(Unknown Source)
要驗證此症狀,請啟用Java控制檯日誌:
疑難排解 — 建議動作
- 確保ASA、ASDM和作業系統版本相容。 請參閱思科安全防火牆ASA版本說明、思科安全防火牆ASDM版本說明、思科安全防火牆ASA相容性。
- 在ASDM託管的作業系統(OS)上,確保OS防火牆和其他安全軟體允許ASDM連線的資料包同時朝兩個方向(入口和出口)。
- 在ASDM託管的作業系統(OS)上,確保安全軟體(例如防病毒)和安全策略允許運行ASDM和Java軟體。
- 確保啟用了HTTP伺服器,並配置了正確的主機/介面:
# show run http
http server enable
http 192.0.2.0 255.255.255.0 management
由於Cisco錯誤ID CSCwc67687「ASA HA故障切換觸發HTTP伺服器重新啟動失敗和ASDM中斷」,http server enable命令可能會從運行配置中消失。
附註:此缺陷已在最近的ASDM軟體版本中修復。有關詳細資訊,請檢視缺陷詳細資訊。
- 確保ASDM映像在本地快閃記憶體上可用並且已配置:
# dir flash:
Directory of disk0:/
150 drwx 4096 05:55:01 Nov 14 2024 log
1074037795 -rw- 123665740 23:30:37 Oct 17 2024 asdm.bin
# show run asdm
asdm image disk0:/asdm.bin
no asdm history enable
- 如果要通過資料介面連線到ASA,請確保3DES/AES許可證可用:
# show ver | grep Encryption
Encryption hardware device : Cisco ASA Crypto on-board accelerator (revision 0x1)
Encryption-DES : Enabled
Encryption-3DES-AES : Enabled
- 如果在同一介面上啟用WebVPN,請確保為WebVPN和ASDM配置了不同的埠。更改WebVPN埠或更改HTTPS伺服器埠。
在此示例中,配置了WebVPN和ASDM訪問。WebVPN服務在預設HTTPS埠443上運行,ASDM的HTTPS埠配置為8443:
# show run webvpn
webvpn
enable outside <-- default HTTPS port 443
# show run http
http server enable 8443 <-- custom HTTPS port 8443
http 192.0.2.0 255.255.255.0 outside
- 確保網路中的中間裝置允許來自具有ASDM和防火牆的主機的連線。
潛在問題:
- 路由不正確
- NAT/埠轉發不正確
- 流量在傳輸路徑中被阻塞
從防火牆的角度來看,要確認連線,您可以在特定介面上配置資料包捕獲:
# show run http
http server enable
http 192.0.2.0 255.255.255.0 management
# cap capm interface management match tcp any any eq https
# show capture capm
138 packets captured
1: 14:20:44.355526 192.0.2.35.50590 > 198.51.100.141.443: S 3649403547:3649403547(0) win 64240
2: 14:20:44.356152 198.51.100.141.443 > 192.0.2.35.50590: S 0:0(0) ack 3649403548 win 32768
3: 14:20:44.357388 192.0.2.35.50590 > 198.51.100.141.443: . ack 1 win 64240
4: 14:20:44.384715 192.0.2.35.50590 > 198.51.100.141.443: P 3649403548:3649403918(370) ack 1 win 32768
5: 14:20:44.384806 198.51.100.141.443 > 192.0.2.35.50590: . ack 3649403918 win 32398
6: 14:20:44.385829 198.51.100.141.443 > 192.0.2.35.50590: P 1:760(759) ack 3649403918 win 32768
- 確保ASDM當前資源使用量不超過限制:
# show resource usage resource ASDM
Resource Current Peak Limit Denied Context
ASDM 1 1 5 0 admin
使用show conn all protocol tcp port <port>命令檢查活動ASDM連線的清單。確保提供HTTP伺服器所在的正確埠(show run http)。
# show conn all protocol tcp port 443
2 in use, 8 most used
TCP management 192.0.2.35:50620 NP Identity Ifc 198.51.100.141:443, idle 0:00:08, bytes 119188, flags UOB
或者,show asp table socket命令可用於驗證活動的ASDM連線。確保僅檢查與HTTP伺服器運行所在的埠的連線(show run http)。
# show asp table socket
Protocol Socket State Local Address Foreign Address
SSL 0027eb28 LISTEN 198.51.100.141:443 0.0.0.0:*
SSL 00305798 ESTAB 198.51.100.141:443 192.0.2.35:50620
clear conn all protocol tcp port <port> 命令可用於清除連線。
- 如果配置了management-access <interface>命令,並且ASDM通過虛擬專用網路連線(VPN)連線到<interface> IP,請刪除並重新新增management-access <interface>。這是思科錯誤ID CSCvu的解決方法60373
「ASA - Management-access無法通過隧道介面工作」。
- 檢查思科錯誤ID CSCwd04210 “ASA:ASDM會話停滯在CLOSE_WAIT中,導致缺少MGMT「 」。由於存在此缺陷,ASDM會話可能會以「與防火牆失去連線」消息終止,並且與防火牆的進一步連線可能會失敗。因應措施是重新載入防火牆。
- 檢查思科錯誤ID CSCwh32118 「由於HTTP會話停滯在CLOSE_WAIT中,已達到ASDM管理會話配額」。由於此缺陷,由於HTTP會話停滯在CLOSE_WAIT狀態,ASDM管理會話配額將到達。解決方法步驟:
- 檢查ASDM的當前資源使用情況和限制資源使用量:
# show resource usage resource ASDM
Resource Current Peak Limit Denied Context
ASDM 1 1 5 0 admin
- 如果當前值與限制相同,請檢查HTTPS會話的狀態:
# debug menu npshim -w
Handle State Intf
...
720108b6 CLOSE_WAIT
57835276 CLOSE_WAIT
58068272 CLOSE_WAIT
6ae93b92 CLOSE_WAIT
- 如果多個條目處於CLOSE_WAIT狀態,請使用debug menu pdm 3命令清除所有這些會話。
- 檢查show blocks命令輸出中的塊耗盡症狀,特別是LOW和CNT列中的最低值:
- 已用盡並恢復256和1550位元組的塊大小:
# show blocks
SIZE MAX LOW CNT
0 5700 5608 5700
4 900 899 899
80 5000 4575 5000
256 13568 0 13563
1550 50000 0 49974
- 256和1550位元組的塊大小已用盡,並且未恢復:
# show blocks
SIZE MAX LOW CNT
0 5700 5608 5700
4 900 899 899
80 5000 4575 5000
256 13568 0 0
1550 50000 0 0
請參閱Cisco錯誤ID CSCvv71435 「ASA 256和/或1550塊耗盡導致DMA記憶體未釋放分配」。
解決方法選項:
- 以高速率建立速率限制系統日誌消息。建立高速率消息的最常見消息ID是用於建立和斷開連線的消息,例如:
%ASA-6-302013: Built {inbound|outbound} TCP connection_id for interface:real-address/real-port (mapped-address/mapped-port) [(idfw_user)] to interface:real-address/real-port (mapped-address/mapped-port) [(idfw_user)] [(user)]
%ASA-6-302014: Teardown TCP connection id for interface :real-address /real-port [(idfw_user )] to interface :real-address /real-port [(idfw_user )] duration hh:mm:ss bytes bytes [reason [from teardown-initiator]] [(user )]
在這種情況下,可能的速率限制配置如下所示:
logging rate-limit 1 10000 message 302013
logging rate-limit 1 10000 message 302014
其他潛在消息包括:302015 / 302016 / 302017 / 302018 / 302020 / 302036 / 302303 / 302304 / 302305 / 302306.參考:logging rate-limit命令參考。
- 禁用正在以高速率建立的日誌消息:
no logging message 302013
no logging message 302014
- 被動選項是重新載入裝置以釋放分配的DMA記憶體。考慮使用其中一種預防措施來避免此問題再次發生。
- 檢查ASA控制檯中是否顯示類似這些行的日誌。在這種情況下,無法建立ASDM或SSH連線:
ERROR: FAIL to ALLOC the stack page 0xffffffffffffffff[size 36864] to 0x00007fa3b0c29000 errno (mmap:umap) 12:0Message #10 :
First MMAP Req/Updated 36864/45056 Front 0x00007fa3b0c28000 rtn 0x00007fa3b0c29000 back 0x00007fa3b0c32000
Message #11 : process_create: out of stack memory for name accept/ssh_2 size 32768 prio 3
Message #12 : _listen_ssh: failed to create thread for interface 2 port 22
請參閱Cisco錯誤ID CSCwc23844 「ASAv高CPU和堆疊記憶體分配錯誤,儘管可用記憶體超過30%」。 臨時解決方法是重新啟動防火牆。
附註:此缺陷已在最近的ASDM軟體版本中修復。有關詳細資訊,請檢視缺陷詳細資訊。
參考資料
- 《 Cisco Secure Firewall ASA發佈說明》
- Cisco Secure Firewall ASDM發行說明
- Cisco安全防火牆ASA相容性
- logging rate-limit命令參考
問題2.無法通過Java Web Launch-Starting訪問ASDM使用者介面
要驗證症狀,請啟用Java控制檯日誌:
Java控制檯日誌顯示如下消息:
NLPException[category: Download Error : Exception: java.io.FileNotFoundException: https://192.0.2.1/admin/public/asdm.jnlp : LaunchDesc: null
at com.sun.javaws.Main.launchApp(Unknown Source)
at com.sun.javaws.Main.continueInSecureThread(Unknown Source)
at com.sun.javaws.Main.access$000(Unknown Source)
at com.sun.javaws.Main$1.run(Unknown Source)
at java.lang.Thread.run(Unknown Source)
Caused by: java.io.FileNotFoundException: https://10.75.32.2/admin/public/asdm.jnlp
at sun.net.www.protocol.http.HttpURLConnection.getInputStream0(Unknown Source)
at sun.net.www.protocol.http.HttpURLConnection.access$200(Unknown Source)
at sun.net.www.protocol.http.HttpURLConnection$9.run(Unknown Source)
at sun.net.www.protocol.http.HttpURLConnection$9.run(Unknown Source)
at java.security.AccessController.doPrivileged(Native Method)
at java.security.AccessController.doPrivilegedWithCombiner(Unknown Source)
at sun.net.www.protocol.http.HttpURLConnection.getInputStream(Unknown Source)
疑難排解 — 建議動作
ASDM 7.18終止對Java Web Launch的支援 — 從ASDM 7.18開始,由於Oracle終止對JRE 8和Java網路啟動協定(JNLP)的支援,ASDM不再支援Java Web Start。 必須安裝ASDM啟動程式才能啟動ASDM。請參閱思科安全防火牆ASDM 7.18(x)的版本說明。
參考資料
問題3. ASDM停滯在「Please wait while ASDM is loading the current configuration from your device(ASDM正在從裝置載入當前配置,請稍候)」中
ASDM UI上顯示的錯誤為:
疑難排解 — 建議動作
這是思科錯誤ID CSCvv14818追蹤的已知缺陷 誤導性彈出視窗:ASDM正在從你的裝置載入當前配置,請稍候。
附註:此缺陷已在最近的ASDM軟體版本中修復。有關詳細資訊,請檢視缺陷詳細資訊。
問題4. ASDM啟動錯誤:JNLP檔案中的JAR資源不是由同一證書簽名的
ASDM UI上顯示的錯誤為:'無法啟動應用程式。'
ASDM Java日誌顯示:'JNLP檔案中的JAR資源不是由同一證書簽名的'
疑難排解 — 建議動作
這是Cisco錯誤ID CSCwc追蹤到的已知缺陷13294 ASA:無法使用帶有Java Web Launch的ASDM連線到ASA
附註:此缺陷已在最近的ASDM軟體版本中修復。有關詳細資訊,請檢視缺陷詳細資訊。
附註:ASDM Java Web Launch支援在7.18版本代碼中結束。從ASDM 7.18開始,由於Oracle不再支援JRE 8和Java網路啟動協定(JNLP),ASDM不再支援Java Web Start。 必須安裝ASDM啟動程式才能啟動ASDM。
參考
https://www.cisco.com/c/en/us/td/docs/security/asdm/7_17/release/notes/rn717.html
問題5. ASDM在載入裝置配置的77%時掛起
分析運行配置時,ASDM停滯在77%。
疑難排解 — 建議動作
這是思科錯誤ID CSCvh追蹤的已知缺陷02586 載入裝置配置的ASDM掛起率為77%
附註:此缺陷已在最近的ASDM軟體版本中修復。有關詳細資訊,請檢視缺陷詳細資訊。
問題6.無法訪問備用防火牆上的ASDM
疑難排解 — 建議動作
確保兩個防火牆都具有:
相同的ASA軟體映像,例如:
asa# show run boot
boot system disk0:/cisco-asa-fp1k.9.22.1.1.SPA
相同的ASDM軟體映像,例如:
asa# show asdm image
Device Manager image file, disk0:/asdm-7221.bin
問題7. ASDM在「軟體更新已完成」時掛起。
ASDM UI在「軟體更新已完成」處停滯。 phase
在ASDM Java日誌中,您將看到:
java.lang.NullPointerException
at vk.cz(vk.java:780)
at vk.b(vk.java:609)
at vk.<init>(vk.java:409)
at com.cisco.pdm.PDMApplet.start(PDMApplet.java:170)
at com.cisco.nm.dice.loader.Loader$1.run(Loader.java:416)
Exception in Starting Main window
Exception in thread "SGZ Loader: launchSgzApplet" java.lang.NullPointerException
at com.cisco.pdm.PDMApplet.start(PDMApplet.java:177)
at com.cisco.nm.dice.loader.Loader$1.run(Loader.java:416)
請注意vk、cz等。可以是任何字元,例如:
java.lang.NullPointerException
at t6.cr(t6.java:742)
at t6.b(t6.java:573)
at t6.<init>(t6.java:386)
at com.cisco.pdm.PDMApplet.start(PDMApplet.java:168)
at com.cisco.nm.dice.loader.Loader$1.run(Unknown Source)
Exception in Starting Main window
Exception in thread "SGZ Loader: launchSgzApplet" java.lang.NullPointerException
at com.cisco.pdm.PDMApplet.start(PDMApplet.java:175)
at com.cisco.nm.dice.loader.Loader$1.run(Unknown Source)
疑難排解 — 建議動作
確保ASDM使用者具有15級許可權:
asa# show run username
username test password ***** pbkdf2 privilege 3 <- this will not work
此命令有效:
asa# show run username
username test password ***** pbkdf2 privilege 15
問題8.分析運行配置時,ASA多情景上的ASDM掛起率為57%
ASDM UI停滯在57%。UI顯示:ASDM正在從你的裝置載入當前配置,請稍候。
疑難排解 — 建議動作
當滿足所有這些條件時,通常會出現這種情況:
- ASA處於多情景模式
- 有一個aaa-server組包含超過4台伺服器。
解決方案
減少組中的aaa-server數量,例如:
之前:
aaa-server ACS protocol tacacs+
aaa-server ACS (management) host 192.0.2.1
key *****
aaa-server ACS (management) host 192.0.2.2
key *****
aaa-server ACS (management) host 192.0.2.3
key *****
aaa-server ACS (management) host 192.0.2.4
key *****
aaa-server ACS (management) host 192.0.2.5
key *****
aaa-server ACS (management) host 192.0.2.6
key *****
變更:
asa(config)# no aaa-server ACS (management) host 192.0.2.5
asa(config)# no aaa-server ACS (management) host 192.0.2.6
之後:
aaa-server ACS protocol tacacs+
aaa-server ACS (management) host 192.0.2.1
key *****
aaa-server ACS (management) host 192.0.2.2
key *****
aaa-server ACS (management) host 192.0.2.3
key *****
aaa-server ACS (management) host 192.0.2.4
key *****
參考
問題9.無法訪問vASA上的ASDM
顯示許多這樣的消息:
Problem Details: ERROR: FAIL to ALLOC the stack page 0xffffffffffffffff[size 36864] to 0x00007ff62429c000 errno (mmap:umap) 12:0 First MMAP Req/Updated 36864/45056 Front 0x00007ff62429b000 rtn 0x00007ff62429c000 back 0x00007ff6242a5000
其他症狀:
- 「show cpu」輸出中的CPU使用率高,儘管「show cpu core」顯示利用率較低
- 控制檯中的堆疊記憶體分配錯誤
- 無法通過SSH連線到裝置
- SNMP輪詢失敗
這是Cisco錯誤ID CSCwc追蹤到的已知缺陷23844 ASAv高CPU和堆疊記憶體分配錯誤,儘管可用記憶體超過30%
附註:此缺陷已在最近的ASDM軟體版本中修復。有關詳細資訊,請檢視缺陷詳細資訊。
在Windows作業系統上排除與ASDM相關的故障
問題1.使用ASA + SFR時,ASDM不載入防火牆配置
ASDM UI上顯示的錯誤為:
'ASDM無法載入防火牆的配置。請檢查與裝置的連線,或稍後重試。'
疑難排解 — 建議動作
檢查ASDM發行說明。它們提到支援哪種OS:
相關部分:
螢幕截圖來自ASDM 7.18發行說明:
https://www.cisco.com/c/en/us/td/docs/security/asdm/7_18/release/notes/rn718.html
可以看到,Windows 11和2022不在清單中。
此外,從ASDM 7.16開始,在Windows Server 2016和Server 2019上,不支援FirePOWER模組的ASDM管理。或者,在使用ASDM進行ASA管理時,您可以使用FMC來管理FirePOWER模組。
疑難排解提示:檢查ASDM上的Java控制檯日誌:
如果作業系統不受支援,您會看到類似以下內容:
Caused by: java.lang.ExceptionInInitializerError: Exception com.teamdev.jxbrowser.chromium.internal.EnvironmentException: Unsupported operating system. Supported OS: Windows XP (SP2), 7, 8, 10, Vista, 2003 (SP1), 2008, 2012, Mac OS X & Linux. Current OS: Windows 11 [in thread "AWT-EventQueue-0"]
at com.teamdev.jxbrowser.chromium.internal.Environment.checkEnvironment(Unknown Source)
…
解決方案
因此,為了能夠使用ASDM管理ASA,您具有以下選項:
選項 1:從另一台較舊的主機(例如Windows 2010、Windows Server 2012等)管理ASA和FirePOWER模組。
選項 2:使用FMC管理FirePOWER模組並繼續使用ASDM管理ASA。
選項 3:關閉Firepower模組:
ASA5508# sw-module module sfr shutdown
Shutdown module sfr? [confirm]
Shutdown issued for module sfr.
選項 4:如果您不再計畫使用Firepower模組,可以解除安裝該模組:
ASA5508# sw-module module sfr uninstall
選項 5:使用Cisco TAC,套用思科錯誤ID CSCwj51536的解決方法 手動替換jxbrowser.jar檔案。請注意,此解決方法仍可能無法解決問題。在這種情況下,您需要考慮先前的選項。
問題2.下載FirePOWER軟體包時ASDM停滯
疑難排解 — 建議動作
根據Firepower相容性指南,ASA 9.8(4.45)+、9.12(4.50)+、9.14(4.14)+和9.16(3.19)+不支援ASDM進行FirePOWER模組管理;您必須使用FMC來管理這些版本的模組。這些ASA版本需要ASDM 7.18(1.152)或更高版本,但對ASA FirePOWER模組的ASDM支援在7.16後終止。
解決方案
因此,為了能夠使用ASDM管理ASA,您具有以下選項:
選項 1:從另一台較舊的主機(例如Windows 2010、Windows Server 2012等)管理ASA和FirePOWER模組。
選項 2:使用FMC管理FirePOWER模組並繼續使用ASDM管理ASA。
選項 3:關閉Firepower模組:
ASA5508# sw-module module sfr shutdown
關閉模組sfr?[確認]
模組sfr已關閉。
選項 4:如果您不再計畫使用Firepower模組,可以解除安裝該模組:
ASA5508# sw-module module sfr解除安裝
參考
問題3. Windows主機上顯示的錯誤消息「此應用程式無法在你的電腦上運行」
疑難排解 — 建議動作
安裝ASDM啟動程式時,Windows可以將ASDM快捷方式目標替換為Windows指令碼主機路徑,這將導致此錯誤。修復快捷方式目標:
- 選擇Start > Cisco ASDM-IDM Launcher,然後按一下右鍵Cisco ASDM-IDM Launcher應用程式。
- 選擇More > Open file location。Windows將開啟帶有快捷方式圖示的目錄。
- 按一下右鍵快捷方式圖示,然後選擇「屬性」。
- 將目標更改為:C:\Windows\System32\wscript.exe invisible.vbs run.bat(在末尾保留invisible.vbs run.bat,因為這些指令碼用於開啟ASDM)。
5.按一下OK。
參考
https://www.cisco.com/c/en/us/td/docs/security/asdm/7_22/release/notes/rn722.html
問題4. Windows找不到「javaw.exe」。請確保鍵入的名稱正確,然後重試。
疑難排解 — 建議動作
- 通常,此錯誤與電腦上丟失的Java有關。確保在Windows主機上安裝了相容的Java版本:https://www.java.com/en/download/help/windows_manual_download.html
https://www.cisco.com/c/en/us/td/docs/security/asdm/7_22/release/notes/rn722.html#id_25472
- 確保在Windows環境變數路徑中具有Java程式的準確路徑。
- 如果Java升級後出現問題,請考慮回滾Java版本。
- 確保ASDM Desktop(ASDM案頭)圖示指向正確的安裝路徑。如果沒有,請將其刪除並建立新的快捷方式。
問題5.「目標」框中的快捷方式「C:\Windows\system32\invisible.vbs」問題無效
顯示的錯誤:在「目標」框中指定的名稱「C:\Windows\system32\invisible.vbs」無效。請確保路徑和檔名正確。
在某些情況下,錯誤為:找不到指令碼檔案「C:\Windows\system32\invisible.vgs」。
疑難排解 — 建議動作
- 在Windows主機上安裝ASDM時,請確保您具有管理員許可權。在某些情況下,Windows使用者的Active Directory設定可以限制對在Windows上成功啟動ASDM所需的程式檔案位置的訪問。需要訪問以下目錄:
- 案頭資料夾
- C:\Windows\System32C:\Users\<使用者名稱>\.asdm
- C:\Program檔案(x86)\Cisco Systems
如果您的Active Directory正在限制目錄訪問,則需要向Active Directory管理員請求訪問許可權。
- 嘗試在Windows主機上安裝其他版本的Java。
參考資料
https://www.cisco.com/c/en/us/td/docs/security/asdm/7_18/release/notes/rn718.html#id_25476
問題6. Windows指令碼主機找不到指令碼檔案"C:\WINDOWS\system32\invisible.vbs"
嘗試啟動ASDM啟動程式時,出現以下錯誤:
疑難排解 — 建議動作
請遵循以下步驟:
- 重新啟動Windows主機並刪除/解除安裝ASDM啟動程式的所有例項。
- 重新安裝更新但仍相容的ASDM啟動程式版本。如果沒有較新的版本,請安裝以前的ASDM啟動程式。
- 確保已安裝正確的Java版本。
或者,您可以嘗試使用基於OpenJRE的ASDM安裝程式,因為它不需要在本地PC上安裝Oracle Java。
疑難排解 — 建議動作
請遵循以下步驟:
- 重新啟動Windows主機並刪除/解除安裝ASDM啟動程式的所有例項。
- 重新安裝更新但仍相容的ASDM啟動程式版本。如果沒有較新的版本,請安裝以前的ASDM啟動程式。
- 確保已安裝正確的Java版本。
或者,您可以嘗試使用基於OpenJRE的ASDM安裝程式,因為它不需要在本地PC上安裝Oracle Java。
問題7. ASDM在Windows Server 2022上無法正常工作
疑難排解 — 建議動作
編寫此文檔時,不支援Windows Server 2022。請檢視https://www.cisco.com/c/en/us/support/security/adaptive-security-appliance-asa-software/products-release-notes-list.html中的最新ASDM發行說明;如果未列出Windows Server 2022,請考慮使用受支援清單以外的作業系統。
問題8. ASDM UI字型太小
疑難排解 — 建議動作
請嘗試以下步驟:
- 查詢您安裝的javaw.exe(C:\ProgramData\Oracle\Java\javapath)或當ASDM運行開啟的工作管理員時查詢運行的服務位置:
- 按一下右鍵 — >屬性
- 轉到「相容性」頁籤
- 按一下「更改高DPI設定」
- 啟用「使用此設定來修復此程式的擴展問題,而不是設定中的擴展問題」覈取方塊
- 啟用「覆蓋高DPI縮放行為」覈取方塊,然後選擇「系統(增強)」:
之前:
之後:
問題9. Java錯誤
ASDM UI可以顯示以下一個或多個Java錯誤:錯誤:找不到java.dll
及/或:
錯誤:找不到Java SE運行時環境。
及/或:
錯誤:登錄檔項「Software\JavaSoft\Java Runtime Environment」\CurrentVersion」具有值「x.x」,但需要「x.x」。
疑難排解 — 建議動作
- 檢查是否安裝了其他版本的Java。
- 如果安裝了其他版本,請解除安裝所有Java版本。請確保也解除安裝Java 8。
提示:您可以在登錄檔中檢視此項:HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft\Java Runtime Environment(運行時環境),以確定已安裝的版本。
您還可以確認通過此金鑰完全解除安裝所有版本。
警告:使用Windows登錄檔時要小心!
- 重新安裝相容的Java版本。
問題10.後端中的ASDM版本7.19.1.94 openJRE版本檔案仍顯示OracleJRE版本
使用openJRE時的正常行為
通常,當安裝並開啟基於JRE的ASDM映像時,Java版本會反映此映像:
並且在此路徑下建立了一個「jre」資料夾:C:\Program檔案(x86)\Cisco Systems\ASDM\jre
您可以在此處找到包含有關Azul Zulu資訊的發行檔案:
IMPLEMENTOR="Azul Systems, Inc."
IMPLEMENTOR_VERSION="Zulu8.74.0.17-CA-win64"
JAVA_VERSION="1.8.0_392"
OS_NAME="Windows"
OS_VERSION="5.2"
OS_ARCH="amd64"
SOURCE=".:git:51a769a8708c"
OpenJRE的行為不正確
現在,問題在於,在一些ASDM版本(例如7.19.1.94)中,UI顯示:
C:\Program Files(x86)\Cisco Systems\ASDM\jre\release檔案顯示類似內容:
JAVA_VERSION="1.8.0_351"
OS_NAME="Windows"
OS_VERSION="5.2"
OS_ARCH="amd64"
SOURCE=".:git:c72692150ec4+"
BUILD_TYPE="commercial"
疑難排解 — 建議步驟
這是已知思科錯誤ID CSCwf74697 後端中的ASDM版本7.19.1.94 openJRE版本檔案仍顯示OracleJRE版本
附註:此缺陷已在最近的ASDM軟體版本中修復。有關詳細資訊,請檢視缺陷詳細資訊。
因應措施:
使用>= 7.18.1.161或>= 7.19.1.95 OpenJRE版本bin。
問題11. ASDM java錯誤「[錯誤] CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing」
症狀(兩者都必須為真):
- ASDM運行沒有問題。
- ASDM Java日誌顯示
0 [SGZ Loader: launchSgzApplet] ERROR com.cisco.pdm.headless.startup - CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing:
[ERROR] CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing messenger: cqq@1a3c930 46 [SGZ Loader: launchSgzApplet] ERROR com.cisco.pdm.headless.startup –
CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing messenger: cqq@1a3c930 CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing messenger: cqq@1a3c930 Env.isAsdmInHeadlessMode()-------------->false IO Exception occurs while reading the dap file. java.io.FileNotFoundException: https://192.0.2.1 /admin/flash/dap.xml
No CSD version
疑難排解 — 建議動作
這是Cisco錯誤ID CSCwe追蹤到的已知外觀缺陷28411 ASDM java錯誤「[錯誤] CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing」
附註:此缺陷已在最近的ASDM軟體版本中修復。有關詳細資訊,請檢視缺陷詳細資訊
排除ASDM連線故障
問題1.由於達到最大會話數,ASDM啟動失敗
協定http或使用者的「最大管理會話數已存在」。請稍後再試」錯誤訊息顯示在ASDM上:
在ASDM上的情景之間切換時,可能會顯示類似的錯誤。
疑難排解 — 建議動作
請參閱Cisco錯誤ID CSCwd04210:ASA:ASDM會話停滯在CLOSE_WAIT中,導致缺少MGMT「 」。 由於存在此缺陷,ASDM會話可能會以「與防火牆失去連線」消息終止,並且與防火牆的進一步連線可能會失敗。
附註:此缺陷已在最近的ASDM軟體版本中修復。有關詳細資訊,請檢視缺陷詳細資訊。
問題2.增加ASDM中的載入/連線時間
在運行思科錯誤ID CSCvw79912「思科自適應安全裝置管理器遠端代碼執行漏洞」的修復程式的版本中,ASDM初始連線/載入時間會增加。
疑難排解 — 建議動作
請參閱思科錯誤ID CSCwd58653 「ASDM initial connection/load time added」。
附註:此缺陷已在最近的ASDM軟體版本中修復。有關詳細資訊,請檢視缺陷詳細資訊。
排除ASDM記憶體相關問題
問題1.配置載入期間的ASDM使用者介面無響應和/或速度緩慢
運行ASDM時觀察到以下一個或多個症狀:
- 載入配置時,ASDM UI變得無響應和/或遲緩。
- 「ASDM無法載入防火牆的配置。請檢查與裝置的連線並稍後重試」錯誤消息如圖所示:
- 「Retrieval of Data(validating running configuration)(檢索資料(驗證運行配置))」消息顯示的時間較長,例如數小時。
- 在Java控制檯日誌中,顯示以下行:
Exception in thread "AWT-EventQueue-0" java.lang.OutOfMemoryError: Java heap space
Exception in thread "LoadConfigThread" java.lang.OutOfMemoryError: GC overhead limit exceeded
或
Exception in thread "AWT-EventQueue-0" java.lang.OutOfMemoryError: Java heap space
java.lang.reflect.InvocationTargetException
at java.awt.EventQueue.invokeAndWait(Unknown Source)
at java.awt.EventQueue.invokeAndWait(Unknown Source)
at javax.swing.SwingUtilities.invokeAndWait(Unknown Source)
at c1.f(c1.java:483)
at c1.setVisible(c1.java:455)
at ve.setVisible(ve.java:165)
at vd.d(vd.java:873)
at com.cisco.pdm.PDMApplet.populateLoginHistory(PDMApplet.java:268)
at com.cisco.pdm.PDMApplet.start(PDMApplet.java:233)
at com.cisco.nm.dice.loader.Loader$1.run(Loader.java:416)
Caused by: java.lang.OutOfMemoryError: Java heap space
要驗證此症狀,請啟用Java控制檯日誌:
疑難排解 — 建議動作
- 確保ASA、ASDM和作業系統版本相容。 請參閱思科安全防火牆ASA版本說明、思科安全防火牆ASDM版本說明、思科安全防火牆ASA相容性。
- 增加作業系統上的ASDM配置記憶體:
Windows
- 轉到ASDM安裝目錄,例如C:\Program Files(x86)\Cisco Systems\ASDM。
- 使用任意文本編輯器編輯run.bat檔案。
- 在以「start javaw.exe」開頭的行中,更改以「-Xmx」開頭的引數以指定所需的堆大小。例如,將其更改為-Xmx768M(768 MB)或-Xmx1G(1 GB)。
- 儲存run.bat文件。
Mac OS
- 按一下右鍵Cisco ASDM-IDM圖示,然後選擇顯示軟體包內容。
- 在Contents資料夾中,按兩下Info.plist檔案。如果安裝了Developer工具,將在屬性清單編輯器中開啟該工具。否則,它會在TextEdit中開啟。
- 在Java > VMOptions下,更改字首為"-Xmx"的字串以指定所需的堆大小。例如,將其更改為-Xmx768M(768 MB)或-Xmx1G(1 GB)。
- 如果此檔案被鎖定,您會看到以下錯誤消息:
- 按一下Unlock並儲存檔案。如果未看到解鎖對話方塊,請退出編輯器,按一下右鍵Cisco ASDM-IDM圖示,選擇Copy Cisco ASDM-IDM,然後將其貼上到您擁有寫許可權的位置,如案頭。然後更改此副本的堆大小。
參考資料
問題2. ASDM無法聯絡防火牆
錯誤「ASDM暫時無法聯絡防火牆」。 或啟動ASDM時顯示「無法啟動裝置管理器」:
- ASDM HTTPS連線的某些資料包在加速安全路徑(ASP)中丟棄,並帶(ctm-error)CTM返回錯誤丟棄原因:
# capture asp type asp-drop all buffer 33554432 match ip host 192.0.2.1 host 192.0.2.1 eq https
# show capture
capture asp type asp-drop all buffer 33554432 [Capturing - 587 bytes]
match ip host 192.0.2.1 host 192.0.2.2 eq https
# show cap asp
1 packet captured
1: 10:41:04.850648 192.0.2.1.56667 > 192.0.2.2.443: P 758423982:758424499(517) ack 2534033991 win 64440 Drop-reason: (ctm-error) CTM returned error
- 失敗塊的數量對於256和1550-size塊為非零,並且FAILED計數器增加:
# show block
SIZE MAX LOW CNT FAILED
0 2950 2865 2950 0
4 400 398 399 0
80 2500 2369 2500 0
256 6302 0 6274 50693
1550 22147 0 22111 769896
2048 8848 8844 8848 0
2560 2964 2962 2964 0
4096 100 99 100 0
8192 100 99 100 0
9344 100 99 100 0
16384 154 153 154 0
65664 16 16 16 0
- MEMPOOL_DMA 記憶體池中的可用記憶體量非常低,通常為幾個位元組或千位元組:
# show memory detail | begin MEMPOOL_DMA
MEMPOOL_DMA POOL STATS:
Non-mmapped bytes allocated = 230686720
Number of free chunks = 175
Number of mmapped regions = 0
Mmapped bytes allocated = 0
Max memory footprint = 230686720
Keepcost = 336
Max contiguous free mem = 21136
Allocated memory in use = 230548640
Free memory = 138080
疑難排解 — 建議動作
- 檢查Cisco錯誤ID CSCvv71435 「ASA 256和/或1550塊耗盡導致DMA記憶體未釋放分配」。缺陷症狀以較高的系統消息(如302013或302014)的速率被觀察到。
按照解決方法部分中的步驟操作。
- 檢查Cisco錯誤ID CSCwd58653 「ASDM initial connection/load time added」。ASDM升級到修復思科錯誤ID CSCvw79912「思科自適應安全裝置管理器遠端代碼執行漏洞」的版本後,ASDM初始連線/載入時間增加。
附註:思科錯誤ID CSCwd58653 和思科錯誤ID CSCvw79912 已在最近的ASDM軟體版本中修復。有關詳細資訊,請檢視缺陷詳細資訊。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
28-Nov-2024 |
初始版本 |
意見