客户端windows防火墙

AnyConnectVPN客户端故障排除指南-常见问题目录简介先决条件要求使用的组件故障排除过程安装和虚拟适配器问题连接断开或无法建立初始连接关于通过流量的问题AnyConnect崩溃问题分段/通过流量问题自动卸载发出填充团星FQDN备份服务器列表配置AnyConnect:损坏的驱动程序数据库问题修复失败的修复分析数据库错误消息Error:UnabletoUpdatetheSessionManagementDatabase解决方案1解决方案2Error:""Modulec:\ProgramFiles\Cisco\CiscoAnyConnectVPNClient\vpnapi.
dllfailedtoregister"解决方案Error:""AnerrorwasreceivedfromthesecuregatewayinresponsetotheVPNnegotiationrequest.
Pleasecontactyournetworkadministrator"解决方案Error:会话不可能建立.
sessionlimitof2reached警告消息.
解决方案1解决方案2Error:AnyconnectnotenabledonVPNserverwhiletryingtoconnectanyconnecttoASA解决方案Error:-%ASA-6-722036:Groupclient-groupUserxxxxIPx.
x.
x.
xTransmittinglargepacket1220(threshold1206)解决方案Error:安全网关拒绝代理程序的VPN连接或重新连接请求.
解决方案Error:"无法更新会话管理数据库"解决方案Error:""TheVPNclientdriverhasencounteredanerror"解决方案Error:"无法处理从xxx.
xxx.
xxx.
xxx的答复"解决方案Error:"请登陆已拒绝,未授权的连接机制,与您的管理员联系"解决方案Error:"损坏Anyconnect的包不可用或.
与您的系统管理员联系"解决方案Error:"在安全网关的AnyConnect包不能查找"解决方案Error:"通过远程桌面不支持安全VPN"解决方案Error:"服务器证书接收的或其一系列不遵照FIP.
VPN连接不会被建立"解决方案Error:"证书确认失败"解决方案Error:"VPNAgent服务遇到了问题并且需要关闭.
我们很抱歉不便"解决方案Error:"不能打开此安装包.
验证包存在"解决方案Error:"应用转换的错误.
验证指定的转换路径有效".
解决方案Error:""TheVPNclientdriverhasencounteredanerror"解决方案Error:"VPN重新连接导致另外配置设置.
VPN网络设置重初始化.
使用私有网络的应用程序可能需要恢复".
解决方案AnyConnect错误,当登陆时解决方案IE代理设置没有恢复,在Windows7后的AnyConnect断开解决方案Error:AnyConnect精华不可能启用,直到所有这些会话关闭.
解决方案Error:在InternetExplorer的Internet选项的Connection选项在得到连接隐藏到AnyConnect客户端以后.
解决方案Error:收到登录失败错误消息的少量用户,当其他能通过AnyConnectVPN成功连接解决方案Error:您查看的证书不配比与您尝试查看站点的名称.
解决方案不能启动从CSD穹顶的AnyConnect从Windows7计算机解决方案AnyConnect配置文件没获得复制对待机在故障切换以后解决方案AnyConnect客户端故障,如果InternetExplorer脱机解决方案错误消息:TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER解决方案错误消息:"连接尝试失败由于无效主机条目"解决方案Error:"请保证您的服务器证书能通过严格模式,如果配置不间断工作的VPN"解决方案Error:"失败的连接尝试"解决方案相关信息简介本文描述适用于应用程序不通过CiscoAnyConnectVPN客户工作的故障排除情况.
先决条件要求本文档没有任何特定的要求.
使用的组件本文档中的信息根据Cisco可适应安全工具(ASA)该运行版本8.
x.
本文档中的信息都是基于特定实验室环境中的设备编写的.
本文档中使用的所有设备最初均采用原始(默认)配置.
如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响.
故障排除过程此典型的故障排除情况适用于通过基于MicrosoftWindows的计算机的最终用户的CiscoAnyConnectVPN客户端不工作的应用程序.
这些部分提出以下问题并提供这些问题的解决方案:安装和虚拟适配器问题q连接断开或无法建立初始连接q关于通过流量的问题qAnyConnect崩溃问题q分段/通过流量问题q安装和虚拟适配器问题完成这些步骤:获取设备日志文件:WindowsXP/Windows2000:\Windows\setupapi.
logWindowsVista:注意:必须使隐藏文件夹可见,以便可以看到这些文件.
\Windows\Inf\setupapi.
app.
log\Windows\Inf\setupapi.
dev.
log如果在setupapi日志文件中看到错误,您可以将冗余设置为0x2000FFFF,如Windows知识库文章中所述.
注意条款告诉您设置它为0xFFFF,但是,如果添加高位值0x2,使记录日志更加快速.
1.
获取MSI安装程序日志文件:如果这是初始Web部署安装,则此日志位于每位用户的临时目录中.
WindowsXP/Windows2000:\DocumentsandSettings\\LocalSettings\Temp\WindowsVista:\Users\\AppData\Local\Temp\如果这是自动升级,则此日志在系统的临时目录中:\Windows\Temp文件名的格式为:anyconnect-win-x.
x.
xxxx-k9-install-yyyyyyyyyyyyyy.
log.
获取您要安装的客户端版本的最新文件.
x.
xxxx根据版本更改,例如2.
0.
0343;yyyyyyyyyyyyyy是安装的日期和时间.
2.
获取PC系统信息文件:从命令提示符/DOS框中键入:WindowsXP/Windows2000:winmsd/nfoc:\msinfo.
nfo3.
WindowsVista:msinfo32/nfoc:\msinfo.
nfo注意:在您键入到此提示符后,请等待.
可能需要二到五分钟完成文件.
通过命令提示符获取systeminfo文件转储:WindowsXP和WindowsVista:systeminfoc:\sysinfo.
txt参考的AnyConnect:损坏的驱动程序数据库问题,以调试驱动程序问题.
连接断开或无法建立初始连接如果遇到AnyConnect客户端连接问题,例如连接断开或无法建立初始连接,请获取这些文件:从ASA中获取配置文件,以确定配置中是否存在导致连接失败的问题:从ASA的控制台,键入writenetx.
x.
x.
x:ASAConfig.
txtx.
x.
x.
x是一TFTPserver的theIP在网络的地方.
或者从ASA的控制台,键入showrunning-config.
让屏幕上的配置完成,然后剪切并粘贴到文本编辑器并保存.
qASA事件日志:为了启用注册验证的ASA,WebVPN、安全套接字协议层(SSL)和SSLVPN客户端(SVC)事件,发出这些CLI命令:configterminalloggingenableloggingtimestamploggingclassauthconsoledebuggingloggingclasswebvpnconsoledebuggingloggingclasssslconsoledebuggingloggingclasssvcconsoledebugging产生AnyConnect会话并且保证失败可以被再次产生.
将控制台的日志输出捕获到文本编辑器并保存.
要禁用记录,请发出nologgingenable.
q来自客户端PC的Windows事件查看器的CiscoAnyConnectVPN客户端日志:q选择Start>Run.
输入:configterminalloggingenableloggingtimestamploggingclassauthconsoledebuggingloggingclasswebvpnconsoledebuggingloggingclasssslconsoledebuggingloggingclasssvcconsoledebugging右键单击CiscoAnyConnectVPN客户端日志,并选择将日志文件保存为AnyConnect.
evt.
注意:始终将其保存为.
evt文件格式.
如果用户不能连接AnyConnectVPN客户端,问题也许与在客户端PC启用的已建立远程桌面协议(RDP)会话或法塞特用户交换涉及.
用户可以看到AnyConnectprofilesettingsmandateasinglelocaluser,butmultiplelocalusersarecurrentlyloggedintoyourcomputer.
AVPNconnectionwillnotbeestablished错误消息出现在客户端PC上.
要解决此问题,请断开所有已建立的RDP会话并禁用快速用户切换.
注意:确保端口443没有阻塞,因此AnyConnect客户端能连接到ASA.
当用户不能将AnyConnectVPN客户端连接到ASA时,问题也许由AnyConnect客户端版本与ASA软件镜像版本不兼容导致.
这种情况下,用户会收到此错误消息:TheinstallerwasnotabletostarttheCiscoVPNclient,clientlessaccessisnotavailable.
要解决此问题,请升级AnyConnect客户端版本,以与ASA软件镜像兼容.
要验证兼容性,请参阅AnyConnect客户端发行版本注释的支持的安全设备和软件部分.
当用户不能从PC连接到AnyConnectVPN客户端时,问题可能由PC上的防病毒软件导致.
注意:在计算机必须安装AnyConnect,在您安装所有第三方防火墙/抗病毒(AV)前软件.
如果AnyConnect在任何第三方防火墙/防病毒软件以后安装,则AnyConnect不能连接.
为了解决此问题,请禁用所有个人firewall/AV的功能.
然后,请做一块零钱在AnyConnect虚拟适配器并且设法重新连接AnyConnect.
欲知更多信息,参考CiscoBugIDCSCsj91840和CSCti16453.
当您第一次登录AnyConnect时,登录脚本不运行.
如果断开连接再次登录,登录脚本会正常运行.
这是预料之中的行为.
当您将AnyConnectVPN客户端连接到ASA时,也许会收到此错误消息:UsernotauthorizedforAnyConnectClientaccess,contactyouradministrator.
当ASA中缺少AnyConnect镜像时,将会看到此错误.
一旦将镜像加载到ASA,AnyConnect就可以正常连接到ASA.
此错误可以由禁用的数据报传输传送层安全(DTL)解决.
去Configuration>远程访问VPN>网络(客户端)访问>AnyConnect连接配置文件并且非选定Enable(event)DTL复选框.
这禁用DTL.
当用户断开时,dartbundle文件表示此错误消息:TUNNELPROTOCOLDPDMGR_ERROR_NO_DPD_RESPONSE.
此错误意味DTL信道被撕毁的归结于对端死机检测(DPD)失败.
如果调整DPDKeepalive并且发出这些命令,此错误是解决的:webvpnsvckeepalive30svcdpd-intervalclient80svcdpd-intervalgateway80svcKeepalive和svcdpd-interval命令由anyconnectKeepalive和anyconnectDPD间隔命令替换分别在ASA版本8.
4(1)和以上如显示此处:webvpnanyconnectsslkeepalive15anyconnectdpd-intervalclient5anyconnectdpd-intervalgateway5关于通过流量的问题当问题检测与通过对私有网络的流量与一AnyConnect会话通过ASA时,请完成这些数据收集步骤:从控制台获取showvpn-sessiondbdetailsvcfilternameASA命令的输出.
如果输出显示FilterName:XXXXX,则收集showaccess-listXXXXX的输出.
验证访问列表XXXXX不会阻塞预计的通信流.
1.
从AnyConnectVPNClient>Statistics>Details>Export导出AnyConnect统计信息(AnyConnect-ExportedStats.
txt).
2.
检查nat语句的ASA配置文件.
如果网络地址转换(NAT)启用,这些必须豁免由于NAT,回到客户端的数据.
例如,要对NAT排除(nat0)来自AnyConnect池的IP地址,请在CLI上使用:webvpnanyconnectsslkeepalive15anyconnectdpd-intervalclient5anyconnectdpd-intervalgateway53.
确定是否需要针对设置启用隧道化默认网关.
传统默认网关是非解密流量的最后选用网关.
示例:!
---Routeoutside00isanincorrectstatement.
routeoutside0010.
145.
50.
1routeinside0010.
0.
4.
2tunneled例如,如果VPN客户端需要访问不在VPN网关的路由表里的资源,则数据包通过标准的默认网关路由.
VPN网关不需要完成内部路由表来解决此问题.
可以在此实例中使用tunneled关键字.
4.
如果AnyConnect流量由ASA的检查策略,丢弃请验证.
您可能豁免由AnyConnct客户端使用的特定应用程序,如果实现思科ASA模块化政策架构.
例如,您可能豁免从免税的小型协议用这些命令.
ASA(config)#policy-mapglobal_policy5.
ASA(config-pmap)#classinspection_defaultASA(config-pmap-c)#noinspectskinnyAnyConnect崩溃问题完成这些数据收集步骤:确保Microsoft实用程序DrWatson已启用.
为此,请选择"开始">"运行",然后运行Drwtsn32.
exe.
对此进行配置并单击OK:ASA(config)#policy-mapglobal_policyASA(config-pmap)#classinspection_defaultASA(config-pmap-c)#noinspectskinny当发生崩溃时,请从C:\DocumentsandSettings\AllUsers\ApplicationData\Microsoft\DrWatson收集.
log和.
dmp文件.
如果显示这些文件正在使用中,则请使用ntbackup.
exe.
1.
获取来自客户端PC的Windows事件查看器的CiscoAnyConnectVPN客户端日志:选择Start>Run.
输入:eventvwr.
msc/s右键单击CiscoAnyConnectVPN客户端日志,并选择将日志文件保存为AnyConnect.
evt.
注意:始终将其保存为.
evt文件格式.
2.
分段/通过流量问题一些应用程序(例如MicrosoftOutlook)不工作.
但是,隧道能通过其他流量,例如小ping.
这可为网络中的分段问题提供线索.
用户路由器是特别穷在信息包分段和重组.
尝试比例缩放设置ping为了确定是否失效在有些大小.
例如,ping-l500,ping-l1000,ping-l1500,ping-l2000.
推荐您配置体验分段的用户的一特殊组,并且设置SVC最大转换单元(MTU)此组的到1200.
这允许您修正遇到此问题的用户,而不影响更多的用户群.
问题一旦与AnyConnect连接,TCP连接就暂停.
解决方案要验证您的用户是否有分段问题,请调整ASA上AnyConnect客户端的mtu.
eventvwr.
msc/s自动卸载问题一旦连接终止,AnyConnectVPN客户端就自行卸载.
客户端日志显示"保持已安装"设置为已禁用.
解决方案尽管在自适应安全设备管理器(ASDM)上选择了保持已安装选项,AnyConnect仍自行卸载.
要解决此问题,请根据组策略配置svckeep-installerinstalled命令.
发出填充团星FQDN问题:AnyConnect客户端事前填充与主机名而不是集群完全合格的域名(FQDN).
当您有SSL的VPN和客户端尝试负载平衡集群设置连接到集群时,请求顺利地重定向对节点ASA和客户端登录.
在一些时间以后,当客户端设法再时连接到集群,集群FQDN在对条目的连接看不到.
反而,客户端重定向的节点ASA条目被看到.
解决方案这发生,因为AnyConnect客户端保留为时连接的主机名.
此行为被观察,并且归档了bug.
关于关于bug的完整详细信息,参考CiscoBugIDCSCsz39019.
建议的应急方案是升级CiscoAnyConnect对版本2.
5.
备份服务器列表配置万一用户选择的主服务器不可及的,备份服务器列表配置.
这在AnyConnect配置文件的备份服务器窗格定义.
完成这些步骤:下载AnyConnect配置文件编辑器(仅限注册用户).
文件名是AnyConnectProfileEditor2_4_1.
jar.
1.
创建一个XML文件用AnyConnect配置文件编辑器.
去服务器列表选项卡.
单击Add.
键入在HostnameField的主服务器.
在主机地址字段的备份服务器列表之下添加备份服务器.
然后,请单击添加.
2.
一旦有XML文件,您需要分配它对您在ASA使用的连接.
在ASDM,请选择Configuration>远程访问VPN>网络(客户端)访问>AnyConnect连接配置文件.
3.
选择您的配置文件并且单击编辑.
单击从默认组策略部分管理.
选择您的组政策并且单击编辑.
选择先进然后单击SSLVPN客户端.
单击New.
然后,您需要键入一名称对于配置文件和分配XML文件.
联络客户端给会话为了下载XML文件.
4.
AnyConnect:损坏的驱动程序数据库问题SetupAPI.
log文件中的此条目表示目录系统损坏:W239驱动程序签署类别列表"C:\WINDOWS\INF\certclas.
inf"wasmissingorinvalid.
Error0xfffffde5:UnknownError.
,假设所有设备类别都遵循驱动程序签署策略.
您还可能会收到以下错误消息:Error(3/17)UnabletostartVA,setupsharedqueue,orVAgaveupsharedqueue.
您能接收此登录客户端:"VPN".
修复此问题归结于CiscoBugIDCSCsm54689.
要解决此问题,请确保在您启动AnyConnect前已禁用路由和远程访问服务.
如果这不能解决问题,请完成这些步骤:以PC管理员身份打开命令提示符(在Vista上为提升的命令提示符).
1.
运行netstopCryptSvc.
2.
运行:eventvwr.
msc/s3.
当提示,请选择好为了尝试修复.
4.
退出命令提示符.
5.
重新启动.
6.
失败的修复如果修复失败,请完成这些步骤:以PC管理员身份打开命令提示符(在Vista上为提升的命令提示符).
1.
运行netstopCryptSvc.
2.
重命名%WINDIR%\system32\catroot2tocatroot2_old目录.
3.
退出命令提示符.
4.
重新启动.
5.
分析数据库您可以随时分析数据库以确定它是否有效.
以PC管理员身份打开命令提示符.
1.
运行:eventvwr.
msc/s有关详细信息,请参阅系统目录数据库完整性.
注意:参考的asapedia欲知更多信息.
2.
错误消息Error:UnabletoUpdatetheSessionManagementDatabase当SSLVPN通过Web浏览器连接时,将会出现UnabletoUpdatetheSessionManagementDatabase.
错误消息,并且ASA日志显示%ASA-3-211001:MemoryallocationErrorRAM.
解决方案1此问题归结于CiscoBugIDCSCsm51093.
要解决此问题,请重新加载ASA或将ASA软件升级到Bug中提及的临时版本.
参考的CiscoBugIDCSCsm51093欲知更多信息.
解决方案2此问题可以也是解决的,如果禁用在ASA的威胁检测,如果使用威胁检测.
Error:""Modulec:\ProgramFiles\Cisco\CiscoAnyConnectVPNClient\vpnapi.
dllfailedtoregister"当您使用膝上型计算机或PCs的时AnyConnect客户端,在安装期间,错误出现:eventvwr.
msc/s遇到此错误时,安装程序无法继续,将删除客户端.
解决方案这些是可能解决此错误的应急方案:最新的AnyConnect客户端用MicrosoftWindows2000正式不再支持.
这是2000计算机的注册问题.
请参阅AnyConnect发行版本注释的Windows要求部分.
q删除vmware应用程序.
一旦安装了AnyConnect,vmware应用程序即可添加回PC.
q将ASA添加到其受信任的站点.
有关详细信息,请参阅AnyConnect发行版本注释的将安全设备添加到受信任的站点列表部分.
q将这些文件从\ProgramFiles\Cisco\CiscoAnyconnect文件夹复制到新文件夹,并运行regsvr32vpnapi.
dll命令提示符:vpnapi.
dllvpncommon.
dllvpncommoncrypt.
dllq再镜像在laptop/PC的操作系统.
qAnyConnect客户端上与此错误相关的日志消息与此类似:eventvwr.
msc/sError:""AnerrorwasreceivedfromthesecuregatewayinresponsetotheVPNnegotiationrequest.
Pleasecontactyournetworkadministrator"当客户端设法连接到与CiscoAnyConnectVPN客户时的VPN,此错误接收.
从安全网关收到此消息:"Illegaladdressclass"或"Hostornetworkis0"或"Othererror"解决方案造成此问题的原因是ASA本地IP池耗尽.
当VPN池资源被耗尽,必须扩大IP池范围.
CiscoBugID是CSCsl82188为此问题被归档.
此错误通常出现,当地址分配的本地池用尽时,或者,如果32位子网掩码使用地址池.
应急方案是展开地址池和使用24位子网掩码池.
Error:会话不可能建立.
sessionlimitof2reached警告消息.
当您设法联络超过有AnyConnectVPN客户端的时两个客户端,您收到在客户端的错误消息和在ASA日志的一个警告消息状态sessionlimitof2reached警告消息.
我有ASA的AnyConnectessential许可证,ASA运行版本8.
0.
4.
解决方案1出现此错误的原因是ASA版本8.
0.
4不支持AnyConnectessential许可证.
您需要将ASA升级到版本8.
2.
2.
这将解决该错误.
注意:不管使用的许可证,如果会话限制达到,用户将收到错误消息.
解决方案2如果session-limit命令vpn-sessiondb的麦斯anyconnect高级版或精华限制用于定VPN会话限制允许设立,此错误能也出现.
如果会话限制设置作为两,则用户不能建立超过两个会话,即使安装的许可证支持更多会话.
设置会话限制为VPN会话数量要求为了避免此错误消息.
Error:AnyconnectnotenabledonVPNserverwhiletryingtoconnectanyconnecttoASA当您设法连接AnyConnect到ASA时,您接收VPN错误消息没Anyconnect.
解决方案如果启用在ASA的外部接口的AnyConnect与ASDM,此错误是解决的.
有关如何在外部接口启用AnyConnect的详细信息,请参阅启用SSLVPN客户端协议.
Error:-%ASA-6-722036:Groupclient-groupUserxxxxIPx.
x.
x.
xTransmittinglargepacket1220(threshold1206)%ASA-6-722036:ASA的日志中显示GroupUserIPTransmittinglargepacket1220(threshold1206)错误消息.
此日志意味着什么如何解决此问题解决方案此日志消息说明已向客户端发送了一个大型数据包.
数据包的源不能识别客户端的MTU.
这也可能是由于对不可压缩的数据进行了压缩所致.
解决方法是使用svccompressionnone命令关闭SVC压缩.
这将解决该问题.
Error:安全网关拒绝代理程序的VPN连接或重新连接请求.
当您连接给AnyConnect客户端时,此错误接收:"VPN".
当您连接给AnyConnect客户端时,此错误也接收:"0".
当您连接给AnyConnect客户端时,此错误也接收:"VPN".
解决方案路由器在重新加载以后未命中池配置.
您需要添加担心的配置回到路由器.
Router#showrun|inpooliplocalpoolSSLPOOL192.
168.
30.
2192.
168.
30.
254svcaddress-poolSSLPOO"VPN当AnyConnect移动性许可证未命中,"错误出现.
一旦许可证安装,问题是解决的.
Error:"无法更新会话管理数据库"当您设法在WebPortal时验证,此错误消息接收:"".
解决方案此问题与在ASA的存储器分配涉及.
当ASA版本是8.
2.
1时,此问题主要遇到.
最初,这要求其完整功能的512MBRAM.
参考在版本注释的内存需求部分.
作为一永久性应急方案,请升级内存对512MB.
您能定购"存储器升级工具包".
作为临时应急方案,请设法释放与这些步骤的内存:禁用威胁检测.
1.
禁用SVC压缩.
2.
重新加载ASA.
3.
Error:""TheVPNclientdriverhasencounteredanerror"当您设法连接到AnyConnect时,这是在客户端机器得到的错误消息.
解决方案为了解决此错误,请完成此步骤为了手工设置AnyConnectVPN代理程序到交互:用鼠标右键单击MyComputer>Manage>ServicesandApplications>Services>并且选择思科AnyConnectVPN代理程序.
1.
用鼠标右键单击属性,然后登录,并且选择允许服务与桌面呼应.
这设置注册类型值DWORD到110(默认是010)HKEY_LOCAL_MACHINE的\系统\Currentcontrolset\服务\vpnagent.
注意:如果将使用这,则首选是在此实例中使用.
MST转换.
这是因为,如果集手工这与这些2.
方法,它需要这在每安装/升级进程以后设置.
这就是为什么有需要识别引起此问题的应用程序.
当路由和远程访问服务(RRAS)时在WindowsPC启用,AnyConnect失效与VPN错误消息.
为了解决此问题,请确保路由和RRAS在开始AnyConnect前禁用.
参考CiscoBugIDCSCsm54689欲知更多信息.
Error:"无法处理从xxx.
xxx.
xxx.
xxx的答复"AnyConnect客户端不能连接到思科ASA.
在AnyConnect窗口的错误无法"xxx.
xxx.
xxx.
xxx"解决方案为了解决此错误,请尝试这些应急方案:从ASA删除WebVPN并且重新授权给它.
q更换端口号到444从存在的443并且重新授权给它在443.
q关于如何启用WebVPN和更换WebVPN的端口的更多信息,参考此解决方案.
Error:"请登陆已拒绝,未授权的连接机制,与您的管理员联系"AnyConnect客户端不能连接到思科ASA.
在AnyConnect窗口的错误是"".
解决方案此错误消息出现主要由于是不正确的配置问题或一不完整配置.
检查配置并且确保它是如所需求解决问题.
Error:"损坏Anyconnect的包不可用或.
与您的系统管理员联系"当您设法启动从Macintosh客户端的AnyConnect软件为了连接到ASA,此错误出现.
解决方案为了解决此,请完成这些步骤:上传麦金塔AnyConnect包对ASA的闪存.
关于此的更多信息,参考上载AnyConnect镜像.
1.
修改WebVPN配置为了指定使用的AnyConnect包.
Router#showrun|inpooliplocalpoolSSLPOOL192.
168.
30.
2192.
168.
30.
254svcaddress-poolSSLPOO2.
svc镜像命令由anyconnect镜像in命令ASA版本8.
4(1)和以上替换如显示此处:hostname(config)#webvpnhostname(config-webvpn)#anyconnectimagedisk0:/anyconnect-win-3.
0.
0527-k9.
pkg1hostname(config-webvpn)#anyconnectimagedisk0:/anyconnect-macosx-i386-3.
0.
0414-k9.
pkg2Error:"在安全网关的AnyConnect包不能查找"此错误在用户的Linux计算机导致,当设法连接到ASA时通过启动AnyConnect.
这是完整错误:"TheAnyConnectpackageonthesecuregatewaycouldnotbelocated.
Youmaybeexperiencingnetworkconnectivityissues.
Pleasetryconnectingagain.
"解决方案为了解决在客户端机器使用的此错误消息,请验证AnyConnect客户端是否支持操作系统(OS).
关于支持的软件的全部信息,参考在AnyConnect版本注释的SystemRequirements部分.
如果支持OS,则请验证,如果AnyConnect包在WebVPN配置里指定.
欲知更多信息,请参阅本文的Anyconnect包不可用或损坏的部分.
Error:"通过远程桌面不支持安全VPN"用户无法进行一远程桌面访问.
VPN错误消息出现.
解决方案此问题归结于这些CiscoBugID:CSCsu22088和CSCso42825.
如果升级AnyConnectVPN客户端,它能解决问题.
参考这些Bug欲知更多信息.
Error:"服务器证书接收的或其一系列不遵照FIP.
VPN连接不会被建立"当您尝试对VPN对ASA5505时,FIPVPN错误消息出现.
解决方案为了解决此错误,您必须禁用联邦信息处理标准(FIP)在AnyConnect本地策略文件.
此文件可能在C:\ProgramData\Cisco\CiscoAnyConnectVPN\AnyConnectLocalPolicy.
xml通常找到此文件没有在此路径被找到,则请寻找文件在不同的目录用一个路径例如C:\DocumentsandSettings\All\\AnyConnectVPNClient\AnyConnectLocalPolicy.
xml寻找xml文件,请做对此文件的变动如显示此处:更改说明:true到:false然后,请重新启动计算机.
用户必须有管理权限为了修改此文件.
Error:"证书确认失败"用户无法启动AnyConnect和收到错误.
解决方案证书验证工作与AnyConnect与IPSec客户端不同地比较了.
为了证书验证能工作,您必须导入客户端证书到您的浏览器和更改连接配置文件为了使用身份验证验证.
您也需要使此on命令您的ASA为了允许在外部接口将使用的SSL客户端证书:ssl证书验证接口外部端口443关于此命令的更多信息,参考SSL证书验证.
Error:"VPNAgent服务遇到了问题并且需要关闭.
我们很抱歉不便"当AnyConnect版本2.
4.
0202在WindowsXPPC时安装,终止在更新本地化文件,并且错误消息显示vpnagent.
exe发生故障.
解决方案此行为是登陆的CiscoBugIDCSCsq49102.
建议的应急方案是禁用Citrix客户端.
Error:"不能打开此安装包.
验证包存在"当AnyConnect下载时,此错误消息接收:"Windows"解决方案要解决此问题,请完成以下步骤:删除所有防病毒软件.
1.
禁用Windows防火墙.
2.
如果不Step1或2帮助,然后格式化计算机然后安装.
3.
如果问题仍然持续,请开TAC案例.
4.
Error:"应用转换的错误.
验证指定的转换路径有效".
在AnyConnect期间自动下载从ASA的此错误消息接收:"Contactyoursystemadministrator.
Theinstallerfailedwiththefollowingerror:Errorapplyingtransforms.
Verifythatthespecifiedtransformpathsarevalid.
"这是接收的错误消息,当连接与MacOS的时AnyConnect:"TheAnyConnectpackageonthesecuregatewaycouldnotbelocated.
Youmaybeexperiencingnetworkconnectivityissues.
Pleasetryconnectingagain.
"解决方案完成这些应急方案之一为了解决此问题:此错误的根本原因也许归结于一个损坏的MST转换文件(例如,导入).
执行这些步骤修复此:删除MST转换表.
配置MacOS的AnyConnect镜像在ASA.
1.
从ASDM,请跟随网络(客户端)访问>AnyConnect自定义>安装路径并且删除AnyConnect包文件.
确保包保持在网络(客户端)访问>Advanced>SSLVPN>客户端设置.
2.
如果两应急方案不解决问题,请与思科技术支持联系.
Error:""TheVPNclientdriverhasencounteredanerror"此错误接收:TheVPNclientdriverhasencounteredanerrorwhenconnectingthroughCiscoAnyConnectClient.
解决方案此问题可以是解决的,当您卸载AnyConnect客户端时,然后删除防病毒软件.
在此以后,请重新安装AnyConnect客户端.
如果此解决方法不工作,则请重新排版PC为了调整此问题.
Error:"VPN重新连接导致另外配置设置.
VPN网络设置重初始化.
使用私有网络的应用程序可能需要恢复".
当您设法启动AnyConnect时,此错误接收:"AVPNreconnectresultedindifferentconfigurationsetting.
TheVPNnetworksettingisbeingre-initialized.
Applicationsutilizingtheprivatenetworkmayneedtoberestarted.
"解决方案为了解决此错误,请使用此:"AVPNreconnectresultedindifferentconfigurationsetting.
TheVPNnetworksettingisbeingre-initialized.
Applicationsutilizingtheprivatenetworkmayneedtoberestarted.
"mtu命令的svc由anyconnect替换mtu命令在ASA版本8.
4(1)和以上如显示此处:hostname(config)#group-policyattributeshostname(config-group-policy)#webvpnhostname(config-group-webvpn)#anyconnectmtu500AnyConnect错误,当登陆时问题当它连接给客户端时,AnyConnect收到此错误:hostname(config)#group-policyattributeshostname(config-group-policy)#webvpnhostname(config-group-webvpn)#anyconnectmtu500解决方案如果做对AnyConnect配置文件的这些变动问题可以是解决的:添加此线路到AnyConnect配置文件:hostname(config)#group-policyattributeshostname(config-group-policy)#webvpnhostname(config-group-webvpn)#anyconnectmtu500IE代理设置没有恢复,在Windows7后的AnyConnect断开问题在Windows7,如果IE代理设置为自动地配置请检测设置和AnyConnect增加新的代理设置,IE代理设置没有恢复回到自动地在用户以后检测设置结束AnyConnect会话.
这导致需要为自动地配置的他们的代理设置检测设置的用户的LAN问题.
解决方案此行为是登陆的CiscoBugIDCSCtj51376.
建议的应急方案是升级对AnyConnect3.
0.
Error:AnyConnect精华不可能启用,直到所有这些会话关闭.
当您尝试启用AnyConnect精华许可证时,此错误消息在思科ASDM接收:Therearecurrently2clientlessSSLVPNsessionsinprogress.
AnyConnectEssentialscannotbeenableduntilallthesesessionsareclosed.
解决方案这是ASA的正常行为.
AnyConnect精华是一分开准许的SSLVPN客户端.
它在ASA完全地配置并且提供全双工AnyConnect功能,这些例外:没有CiscoSecureDesktop(CSD)(包括HostScan/穹顶/缓存擦净剂)q没有无客户端SSLVPNq可选Windows莫比尔支持q此许可证不可能使用在共享SSLVPN优质许可证的同时.
当您需要使用一个许可证时,您需要禁用其他.
Error:在InternetExplorer的Internet选项的Connection选项在得到连接隐藏到AnyConnect客户端以后.
在您连接给AnyConnect客户端后,在InternetExplorer的Internet选项的Connection选项隐藏.
解决方案这归结于MSIE代理扎锁木功能.
如果启用此功能,隐藏在微软InternetExplorer的Connections选项处于AnyConnectVPN会话的.
如果禁用功能,保持不变Connections选项的显示.
Error:收到登录失败错误消息的少量用户,当其他能通过AnyConnectVPN成功连接当其他能通过AnyConnectVPN时,成功连接一些个用户收到登录失败错误消息.
解决方案如果确保不要求预验证复选框被检查用户,此问题可以是解决的.
Error:您查看的证书不配比与您尝试查看站点的名称.
在AnyConnect配置文件更新期间,错误显示说证书无效.
这发生与仅Windows和在配置文件更新相位.
错误消息表示此处:Thecertificateyouareviewingdoesnotmatchwiththenameofthesiteyouaretryingtoview.
解决方案如果修改AnyConnect配置文件的服务器列表为了使用证书的FQDN,这可以是解决的.
这是XML配置文件的示例:Thecertificateyouareviewingdoesnotmatchwiththenameofthesiteyouaretryingtoview.
注意:如果有服务器的公网IP地址的一现有项例如,则请取消它并且保留服务器的仅FQDN(例如,不是但是).
不能启动从CSD穹顶的AnyConnect从Windows7计算机当AnyConnect从CSD穹顶时启动,不工作.
这在Windows尝试7台机器.
解决方案目前,因为不支持,这不是可能的.
AnyConnect配置文件没获得复制对待机在故障切换以后有ASA版本8.
4.
1软件的AnyConnect3.
0VPN客户端良好工作.
然而,在故障切换以后,没有AnyConnect配置文件相关的配置的复制.
解决方案此问题被观察了并且被记录了在CiscoBugIDCSCtn71662下.
临时应急方案是手工复制文件对备用装置.
AnyConnect客户端故障,如果InternetExplorer脱机当这发生时,AnyConnect事件日志包含条目类似于这些:Thecertificateyouareviewingdoesnotmatchwiththenameofthesiteyouaretryingtoview.
解决方案此行为被观察并且被记录在CiscoBugIDCSCtx28970下.
为了解决此,请离开AnyConnect应用程序并且重新启动.
连接项在重新启动以后再现.
错误消息:TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFERAnyConnect客户端不能连接,并且错误消息接收.
在AnyConnect事件日志,找到TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER错误.
解决方案这发生,当头端为与一张非常大分割隧道列表(近似180-200条目)时的分割隧道配置,并且一个或更多其他客户端属性在组政策配置,例如dns-server.
要解决此问题,请完成以下步骤:减少条目数量在分割隧道列表的.
1.
请使用此配置为了禁用DTL:Thecertificateyouareviewingdoesnotmatchwiththenameofthesiteyouaretryingtoview.
2.
欲知更多信息,参考CiscoBugIDCSCtc41770.
错误消息:"连接尝试失败由于无效主机条目"当AnyConnect验证与使用证书时,错误消息接收.
解决方案为了解决此问题,请尝试这些可能的解决方案之一:升级AnyConnect对版本3.
0.
q禁用在您的计算机的CiscoSecureDesktop.
q欲知更多信息,参考CiscoBugIDCSCti73316.
Error:"请保证您的服务器证书能通过严格模式,如果配置不间断工作的VPN"当您启用在AnyConnect时的不间断工作的功能,VPN错误消息接收.
解决方案此错误消息暗示,如果要使用不间断工作的功能,您需要在头端配置的一有效服务器证书.
没有有效的服务器证书,此功能不运作.
严格Cert模式是选项您在AnyConnect本地策略文件的集为了保证连接使用有效证书.
如果启用在策略文件的此选项并且连接一假证书,连接发生故障.
Error:"失败的连接尝试"此诊断AnyConnect报告工具(箭)显示一失败的尝试:Date:03/25/2014Time:09:52:21Type:ErrorSource:acvpnuiDescription:Function:CTransportWinHttp::SendRequestFile:.
\CTransportWinHttp.
cppLine:1170InvokedFunction:HttpSendRequestReturnCode:12004(0x00002EE4)Description:AninternalerroroccurredintheMicrosoftWindowsHTTPServicesDate:03/25/2014Time:09:52:21Type:ErrorSource:acvpnuiDescription:Function:ConnectIfc::connectFile:.
\ConnectIfc.
cppLine:472InvokedFunction:ConnectIfc::sendRequestReturnCode:-30015443(0xFE36002D)Description:CTRANSPORT_ERROR_CONN_UNKNOWNDate:03/25/2014Time:09:52:21Type:ErrorSource:acvpnuiDescription:Function:ConnectIfc::TranslateStatusCodeFile:.
\ConnectIfc.
cppLine:2999InvokedFunction:ConnectIfc::TranslateStatusCodeReturnCode:-30015443(0xFE36002D)Description:CTRANSPORT_ERROR_CONN_UNKNOWNConnectionattemptfailed.
Pleasetryagain.
并且,参考事件查看器注册Windows机器.
解决方案这能导致由于一损坏的Winsock连接.
重置从命令promt的连接用此命令并且重新启动您的Windows机器:netshwinsock重置参考如何从Winsock2损坏确定和恢复在Windows服务器2003年,在WindowsXP和在Windows比斯塔知识库文章欲知更多信息.
相关信息CiscoASA5500系列自适应安全设备qAnyConnectVPN客户端常见问题qCiscoSecureDesktop(CSD)常见问题qCiscoAnyConnectVPN客户端q技术支持和文档-CiscoSystemsq