PDF《AnyConnect VPN客户端故障排除指南-常见问题》

AnyConnect VPN客户端故障排除指南-常见问题 目录 简介 先决条件 要求 使用的组件 故障排除过程 安装和虚拟适配器问题 连接断开或无法建立初始连接 关于通过流量的问题 AnyConnect 崩溃问题 分段/通过流量问题 自动卸载 发出填充团星FQDN 备份服务器列表配置 AnyConnect :损坏的驱动程序数据库问题 修复 失败的修复 分析数据库 错误消息 Error:Unable to Update the Session Management Database 解决方案

1 解决方案

2 Error: Module c:Program FilesCiscoCisco AnyConnect VPN Clientvpnapi.

dll failed to register 解决方案 Error: An error was received from the secure gateway in response to the VPN negotiation request.Please contact your network administrator 解决方案 Error:会话不可能建立.session limit of

2 reached 警告消息. 解决方案

1 解决方案

2 Error:Anyconnect not enabled on VPN server while trying to connect anyconnect to ASA 解决方案 Error: - %ASA-6-722036 :Group client-group User xxxx IP x.x.x.x Transmitting large packet

1220 (threshold 1206) 解决方案 Error:安全网关拒绝代理程序的VPN连接或重新连接请求. 解决方案 Error: 无法更新会话管理数据库 解决方案 Error: The VPN client driver has encountered an error 解决方案 Error: 无法处理从xxx.xxx.xxx.xxx的答复 解决方案 Error: 请登陆已拒绝,未授权的连接机制,与您的管理员联系 解决方案 Error: 损坏Anyconnect的包不可用或.与您的系统管理员联系 解决方案 Error: 在安全网关的AnyConnect包不能查找 解决方案 Error: 通过远程桌面不支持安全VPN 解决方案 Error: 服务器证书接收的或其一系列不遵照FIP.VPN连接不会被建立 解决方案 Error: 证书确认失败 解决方案 Error: VPN Agent服务遇到了问题并且需要关闭.我们很抱歉不便 解决方案 Error: 不能打开此安装包.验证包存在 解决方案 Error: 应用转换的错误.验证指定的转换路径有效 . 解决方案 Error: The VPN client driver has encountered an error 解决方案 Error: VPN重新连接导致另外配置设置.VPN网络设置重初始化.使用私有网络的应用程序可能需 要恢复 . 解决方案 AnyConnect错误,当登陆时 解决方案 IE代理设置没有恢复,在Windows 7后的AnyConnect断开 解决方案 Error:AnyConnect精华不可能启用,直到所有这些会话关闭. 解决方案 Error:在Internet Explorer的Internet选项的Connection选项在得到连接隐藏到AnyConnect客户端以 后. 解决方案 Error:收到登录失败错误消息的少量用户,当其他能通过AnyConnect VPN成功连接 解决方案 Error:您查看的证书不配比与您尝试查看站点的名称. 解决方案 不能启动从CSD穹顶的AnyConnect从Windows 7计算机 解决方案 AnyConnect配置文件没获得复制对待机在故障切换以后 解决方案 AnyConnect客户端故障,如果Internet Explorer脱机 解决方案 错误消息:TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER 解决方案 错误消息: 连接尝试失败由于无效主机条目 解决方案 Error: 请保证您的服务器证书能通过严格模式,如果配置不间断工作的VPN 解决方案 Error: 失败的连接尝试 解决方案 相关信息 简介 本文描述适用于应用程序不通过Cisco AnyConnect VPN客户工作的故障排除情况. 先决条件 要求 本文档没有任何特定的要求. 使用的组件 本文档中的信息根据Cisco可适应安全工具(ASA)该运行版本8.x. 本文档中的信息都是基于特定实验室环境中的设备编写的.本文档中使用的所有设备最初均采用原 始(默认)配置.如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响. 故障排除过程 此典型的故障排除情况适用于通过基于 Microsoft Windows 的计算机的最终用户的 Cisco AnyConnect VPN 客户端不工作的应用程序.这些部分提出以下问题并提供这些问题的解决方案: 安装和虚拟适配器问题 q 连接断开或无法建立初始连接 q 关于通过流量的问题 q AnyConnect 崩溃问题 q 分段/通过流量问题 q 安装和虚拟适配器问题 完成这些步骤: 获取设备日志文件: Windows XP/Windows 2000: Windowssetupapi.log Windows Vista: 注意:必须使隐藏文件夹可见,以便可以看到这些文件. WindowsInfsetupapi.app.log WindowsInfsetupapi.dev.log 如果在 setupapi 日志文件中看到错误,您可以将冗余设置为 0x2000FFFF,如Windows 知识 库文章中所述.注意条款告诉您设置它为0xFFFF,但是,如果添加高位值0x2,使记录日志更 加快速. 1. 获取 MSI 安装程序日志文件: 如果这是初始 Web 部署安装,则此日志位于每位用户的临时目录中. Windows XP/Windows 2000: Documents and Settings\Local SettingsTemp Windows Vista: Users\AppDataLocalTemp 如果这是自动升级,则此日志在系统的临时目录中: WindowsTemp 文件名的格式为:anyconnect-win-x.x.xxxx-k9-install-yyyyyyyyyyyyyy.log.获取您要安装的客 户端版本的最新文件.x.xxxx 根据版本更改,例如 2.0.0343;

yyyyyyyyyyyyyy 是安装的日期 和时间. 2. 获取 PC 系统信息文件: 从命令提示符/DOS 框中键入: Windows XP/Windows 2000: winmsd /nfo c:msinfo.nfo 3. Windows Vista: msinfo32 /nfo c:msinfo.nfo 注意:在您键入到此提示符后,请等待.可能需要二到五分钟完成文件. 通过命令提示符获取 systeminfo 文件转储: Windows XP 和Windows Vista: systeminfo c:sysinfo.txt 参考的AnyConnect :损坏的驱动程序数据库问题,以调试驱动程序问题. 连接断开或无法建立初始连接 如果遇到 AnyConnect 客户端连接问题,例如连接断开或无法建立初始连接,请获取这些文件: 从ASA 中获取配置文件,以确定配置中是否存在导致连接失败的问题: 从ASA 的控制台,键入 write net x.x.x.x:ASA Config.txt x.x.x.x是一TFTP server的theIP在网络 的地方. 或者 从ASA 的控制台,键入 show running-config.让屏幕上的配置完成,然后剪切并粘贴到文本 编辑器并保存. q ASA 事件日志: 为了启用注册验证的ASA, WebVPN、安全套接字协议层(SSL)和SSL VPN客户端(SVC)事件 ,发出这些CLI命令: config terminal logging enable logging timestamp logging class auth console debugging logging class webvpn console debugging logging class ssl console debugging logging class svc console debugging 产生AnyConnect会话并且保证失败可以被再次产生.将控制台的日志输出捕获到文本编辑器并 保存. 要禁用记录,请发出 no logging enable. q 来自客户端 PC 的Windows 事件查看器的 Cisco AnyConnect VPN 客户端日志: q 选择Start >

Run. 输入: config terminal logging enable logging timestamp logging class auth console debugging logging class webvpn console debugging logging class ssl console debugging logging class svc console debugging 右键单击 Cisco AnyConnect VPN 客户端日志,并选择将日志文件保存为 AnyConnect.evt. 注意:始终将其保存为 .evt 文件格式. 如果用户不能连接AnyConnect VPN客户端,问题也许与在客户端PC启用的已建立远程桌面协议 (RDP)会话或法塞特用户交换涉及.用户可以看到 AnyConnect profile settings mandate a single local user, but multiple local users are currently logged into your computer.A VPN connection will not be established 错误消息出现在客户端 PC 上.要解决此问题,请断开所有已建立的 RDP 会话 并禁用快速用户切换. 注意:确保端口443没有阻塞,因此AnyConnect客户端能连接到ASA. 当用户不能将 AnyConnect VPN 客户端连接到 ASA 时,问题也许由 AnyConnect 客户端版本与 ASA 软件镜像版本不兼容导致.这种情况下,用户会收到此错误消息:The installer was not able to start the Cisco VPN client, clientless access is not available. 要解决此问题,请升级 AnyConnect 客户端版本,以与 ASA 软件镜像兼容.要验证兼容性,请参阅 AnyConnect 客户端发行版本注释的支持的安全设备和软件部分. 当用户不能从 PC 连接到 AnyConnect VPN 客户端时,问题可能由 PC 上的防病毒软件导致. 注意:在计算机必须安装AnyConnect,在您安装所有第三方防火墙/抗病毒(AV)前软件.如果 AnyConnect在任何第三方防火墙/防病毒软件以后安装,则AnyConnect不能连接.为了解决 此问题,请禁用所有个人firewall/AV的功能.然后,请做一块零钱在AnyConnect虚拟适配器 并且设法重新连接AnyConnect.欲知更多信息,参考Cisco Bug ID CSCsj91840和CSCti16453. 当您第一次登录 AnyConnect 时,登录脚本不运行.如果断开连接再次登录,登录脚本会正常运行 .这是预料之中的行为. 当您将 AnyConnect VPN 客户端连接到 ASA 时,也许会收到此错误消息:User not authorized for AnyConnect Client access, contact your administrator. 当ASA 中缺少 AnyConnect 镜像时,将会看到此错误.一旦将镜像加载到 ASA,AnyConnect 就可 以正常连接到 ASA. 此错误可以由禁用的数据报传输传送层安全(DTL)解决.去Configuration>

远程访问VPN >

网络(客户 端)访问>

AnyConnect连接配置文件并且非选定Enable (event) DTL复选框.这禁用DTL. 当用户断开时, dartbundle文件表示此错误消息:TUNNELPROTOCOLDPDMGR_ERROR_NO_DPD_RESPONSE .此 错误意味DTL信道被撕毁的归结于对端死机检测(DPD)失败.如果调整DPD Keepalive并且发出这些 命令,此错误是解决的: webvpn svc keepalive

30 svc dpd-interval client

80 svc dpd-interval gateway

80 svc Keepalive和svc dpd-interval命令由anyconnect Keepalive和anyconnect DPD间隔命令替换分别 在ASA版本8.4(1)和以上如显示此处: webvpn anyconnect ssl keepalive

15 anyconnect dpd-interval client

5 anyconnect dpd-interval gateway

5 关于通过流量的问题 当问题检测与通过对私有网络的流量与一AnyConnect会话通过ASA时,请完成这些数据收集步骤: 从控制台获取 show vpn-sessiondb detail svc filter name ASA 命令的输出.如果 输出显示 Filter Name:XXXXX,则收集 show access-list XXXXX 的输出.验证访问列表 XXXXX 不会阻塞预计的通信流. 1. 从AnyConnect VPN Client >

Statistics >

Details >

Export 导出 AnyConnect 统计信息 (AnyConnect-ExportedStats.txt). 2. 检查 nat 语句的 ASA 配置文件.如果网络地址转换(NAT)启用,这些必须豁免由于NAT,回到 客户端的数据.例如,要对 NAT 排除 (nat 0) 来自 AnyConnect 池的 IP 地址,请在 CLI 上使 用: ........