Fehlerbehebungsleitfaden für AnyConnect VPN-Client – häufige Probleme

Einleitung

Dieses Dokument beschreibt ein Fehlerbehebungsszenario, das für Anwendungen gilt, die über den Cisco AnyConnect VPN-Client nicht funktionieren.

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf einer Cisco Adaptive Security Appliance (ASA), auf der Version 8.x ausgeführt wird.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Fehlerbehebung

Dieses typische Fehlerbehebungsszenario gilt für Anwendungen, die nicht über den Cisco AnyConnect VPN-Client für Endnutzer mit Microsoft Windows-basierten Computern funktionieren. Diese Abschnitte behandeln folgende Probleme und bieten Lösungen dafür:

• Probleme bei der Installation und mit dem virtuellen Adapter
• Trennung der Verbindung oder Herstellung der Erstverbindung nicht möglich
• Probleme beim Weiterleiten von Datenverkehr
• Probleme mit Abstürzen von AnyConnect
• Fragmentierung/Probleme beim Weiterleiten von Datenverkehr

Probleme bei der Installation und mit dem virtuellen Adapter

Führen Sie diese Schritte aus:

1. Rufen Sie die Protokolldatei des Geräts ab:
   
   
   • Windows XP / Windows 2000:
     
     

     \Windows\setupapi.log

     
     
     
   • Windows Vista:
     
     

     Hinweis: Versteckte Ordner müssen sichtbar gemacht werden, damit diese Dateien angezeigt werden.

     
     
     

     \Windows\Inf\setupapi.app.log
     
         \Windows\Inf\setupapi.dev.log
     

     
     
     
   
   
   Wenn Sie Fehler in der Protokolldatei setupapi bemerken, können Sie die Ausführlichkeit (Verbosity) auf 0x2000FFFF erhöhen.
   
   
2. Rufen Sie die Protokolldatei des MSI-Installationsprogramms ab:
   
   Wenn es sich um eine anfängliche Web-Bereitstellungsinstallation handelt, befindet sich dieses Protokoll im temporären Verzeichnis des jeweiligen Benutzers.
   
   
   • Windows XP / Windows 2000:
     
     

     \Documents and Settings\<username>\Local Settings\Temp\
     

     
     
     
   • Windows Vista:
     
     

     \Users\<username>\AppData\Local\Temp\
     

     
     
     
   
   
   Wenn es sich um ein automatisches Upgrade handelt, befindet sich dieses Protokoll im temporären Verzeichnis des Systems:
   
   

   \Windows\Temp
   

   
   
   Der Dateiname ist in folgendem Format: anyconnect-win-x.x.xxxx-k9-install-yyyyyyyyyyyy.log. Rufen Sie die aktuellste Datei für die Version des Clients ab, die Sie installieren möchten. x.xxxx ändert sich je nach Version, z B. 2.0.0343, yyyyyyyyyyyyyy ist das Datum und die Uhrzeit der Installation.
   
   
3. Rufen Sie die Systeminformationsdatei des PCs ab:
   
   
   1. Geben Sie in einer Eingabeaufforderung/DOS-Box Folgendes ein:
      
      
      • Windows XP / Windows 2000:
        
        

        winmsd /nfo c:\msinfo.nfo
        

        
        
        
      • Windows Vista:
        
        

        msinfo32 /nfo c:\msinfo.nfo
        

        
        
        

      Hinweis: Warten Sie nach der Eingabe. Es kann zwischen zwei und fünf Minuten dauern, bis die Datei vollständig ist.

      
      
      
   2. Rufen Sie einen Auszug einer Systeminformationsdatei über eine Eingabeaufforderung ab:
      
      Windows XP und Windows Vista:
      
      

      systeminfo c:\sysinfo.txt
      

Lesen Sie AnyConnect: Corrupt Driver Database Issue, um das Treiberproblem zu beheben.

Trennung der Verbindung oder Herstellung der Erstverbindung nicht möglich

Wenn Verbindungsprobleme mit dem AnyConnect-Client auftreten, z. B. Verbindungstrennungen oder die Unfähigkeit, eine Erstverbindung herzustellen, rufen Sie folgende Dateien ab:

• Die Konfigurationsdatei aus der ASA, um zu bestimmen, ob ein Teil der Konfiguration den Verbindungsfehler verursacht:
  
  Geben Sie in der Konsole der ASA Folgendes ein: write net x.x.x.x:ASA-Config.txt. Dabei ist x.x.x.x die IP-Adresse eines TFTP-Servers im Netzwerk.
  
  ODER
  
  Geben Sie in der Konsole der ASA show running-config ein. Lassen Sie die Konfiguration auf dem Bildschirm durchlaufen, schneiden Sie sie aus, fügen Sie sie in einen Texteditor ein und speichern Sie sie.
  
  
• Die ASA-Ereignisprotokolle:
  
  
  1. Führen Sie folgende CLI-Befehle aus, um die Protokollierung von Authentifizierungs-, WebVPN-, Secure Sockets Layer (SSL)- und SSL-VPN-Client (SVC)-Ereignissen auf der ASA zu aktivieren:
     
     

     config terminal
     logging enable
     logging timestamp
     logging class auth console debugging
     logging class webvpn console debugging
     logging class ssl console debugging
     logging class svc console debugging

     
     
     
  2. Beginnen Sie eine AnyConnect-Sitzung und stellen Sie sicher, dass der Fehler reproduziert werden kann. Erfassen Sie die Protokollausgabe der Konsole in einem Texteditor und speichern Sie sie.
     
     
  3. Um die Protokollierung zu deaktivieren, geben Sie no logging enable ein.
     
     
  
  
  
• Das Cisco AnyConnect VPN-Client-Protokoll aus der Windows-Ereignisanzeige des Client-PCs:
  
  
  1. Wählen Sie Start > Ausführen.
     
     
  2. Eingabe
     
     

     eventvwr.msc /s

     
     
     
  3. Klicken Sie mit der rechten Maustaste auf das Cisco AnyConnect VPN Client-Protokoll und wählen Sie "Protokolldatei speichern als" AnyConnect.evt.
     
     

     Hinweis: Speichern Sie die Datei immer im Format der .evt-Datei.

Wenn der Benutzer keine Verbindung zum AnyConnect VPN-Client herstellen kann, hängt das Problem möglicherweise mit einer hergestellten Remote Desktop Protocol (RDP)-Sitzung oder auf dem Client-PC aktiviertem Fast User Switching zusammen. Der Benutzer kann sehen, das die AnyConnect-Profileinstellungen einen einzelnen lokalen Benutzer vorgeben, allerdings sind aktuell mehrere lokale Benutzer auf Ihrem Computer angemeldet. Fehlermeldung Es wird keine VPN-Verbindung hergestellt auf dem Client-PC. Um dieses Problem zu beheben, trennen Sie alle hergestellten RDP-Sitzungen und deaktivieren Sie Fast User Switching. Dieses Verhalten wird durch das Attribut Windows Logon Enforcement im Client-Profil gesteuert, allerdings gibt es derzeit keine Einstellung, die es einem Benutzer tatsächlich erlaubt, eine VPN-Verbindung herzustellen, während mehrere Benutzer gleichzeitig auf dem gleichen Computer angemeldet sind. Der Verbesserungsvorschlag CSCsx15061 wurde im Hinblick auf diese Funktion eingereicht.

Hinweis: Stellen Sie sicher, dass Port 443 nicht blockiert ist, damit der AnyConnect-Client eine Verbindung mit der ASA herstellen kann.

Wenn ein Benutzer den AnyConnect VPN-Client nicht mit der ASA verbinden kann, wird das Problem möglicherweise durch eine Inkompatibilität zwischen der AnyConnect-Client-Version und der Software-Image-Version der ASA verursacht. In diesem Fall erhält der Benutzer die folgende Fehlermeldung: Das Installationsprogramm konnte den Cisco VPN-Client nicht starten, der Client-lose Zugriff ist nicht verfügbar.

Um dieses Problem zu beheben, aktualisieren Sie die AnyConnect-Client-Version, damit sie mit dem ASA-Software-Image kompatibel ist.

Wenn Sie sich zum ersten Mal bei AnyConnect anmelden, wird das Anmeldeskript nicht ausgeführt. Wenn Sie die Verbindung trennen und sich erneut anmelden, wird das Anmeldeskript ordnungsgemäß ausgeführt. Dies ist das erwartete Verhalten.

Wenn Sie den AnyConnect VPN Client mit der ASA verbinden, wird möglicherweise folgende Fehlermeldung angezeigt: Benutzer nicht autorisiert für AnyConnect Client-Zugriff, wenden Sie sich an den Administrator.

Dieser Fehler wird angezeigt, wenn das AnyConnect-Image von der ASA fehlt. Sobald das Image auf die ASA geladen wurde, kann AnyConnect problemlos eine Verbindung zur ASA herstellen.

Dieser Fehler kann durch Deaktivieren von Datagram Transport Layer Security (DTLS) behoben werden. Navigieren Sie zu Konfiguration > Remote Access-VPN > Netzwerk-(Client)-Zugriff > AnyConnect-Verbindungsprofile und deaktivieren Sie das Kontrollkästchen DTLS aktivieren. Dadurch wird DTLS deaktiviert.

Die dartbundle-Dateien zeigen diese Fehlermeldung an, wenn die Verbindung des Benutzers getrennt wird: TUNNELPROTOCOLDPDMGR_ERROR_NO_DPD_RESPONSE:Das sichere Gateway hat nicht auf Pakete mit Dead Peer Detection reagiert. Dieser Fehler bedeutet, dass der DTLS-Kanal aufgrund eins Dead Peer Detection (DPD)-Fehlers beendet wurde. Dieser Fehler wird behoben, wenn Sie die DPD-Keepalives optimieren und folgende Befehle ausgeben:

webvpn
   svc keepalive 30
   svc dpd-interval client 80
   svc dpd-interval gateway 80

Die Befehle svc keepalive und svc dpd-interval werden in ASA-Version 8.4(1) und höher durch die Befehle anyconnect keepalive und anyconnect dpd-interval ersetzt, wie hier illustriert:

webvpn
anyconnect ssl keepalive 15
anyconnect dpd-interval client 5
anyconnect dpd-interval gateway 5

Probleme beim Weiterleiten von Datenverkehr

Wenn Probleme beim Weiterleiten von Datenverkehr an das private Netzwerk mit einer AnyConnect-Sitzung über die ASA erkannt werden, führen Sie folgende Schritte zur Datenerfassung durch:

1. Rufen Sie die Ausgabe des ASA-Befehls show vpn-sessiondb detail svc filter name <username> über die Konsole ab. Wenn die Ausgabe Filtername: XXXXX anzeigt, sammeln Sie die Ausgabe für show access-list XXXXX. Vergewissern Sie sich, dass der vorgesehene Datenverkehrsfluss durch access-list XXXXX nicht blockiert wird.
   
   
2. Exportieren Sie die AnyConnect-Statistiken aus AnyConnect VPN-Client > Statistiken > Details > Export (AnyConnect-ExportedStats.txt).
   
   
3. Überprüfen Sie die ASA-Konfigurationsdatei auf nat-Anweisungen. Wenn Network Address Translation (NAT) aktiviert ist, müssen darin Daten ausgeschlossen sein, die als Folge von NAT an den Client zurückgegeben werden. Zum Beispiel: Um die IP-Adressen aus dem AnyConnect-Pool aus NAT auszuschließen (nat 0), geben Sie Folgendes in der CLI ein:
   
   

   access-list in_nat0_out extended permit ip any 10.136.246.0 255.255.255.0
   ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
   nat (inside) 0 access-list in_nat0_out

   
   
   
4. Bestimmen Sie, ob das getunnelte Standardgateway für die Einrichtung aktiviert sein muss. Das traditionelle Standardgateway ist das Gateway of Last Resort für nicht entschlüsselten Datenverkehr.
   
   Beispiel:
   
   

   
   !--- Route outside 0 0 is an incorrect statement.
   
   route outside 0 0 10.145.50.1
   route inside 0 0 10.0.4.2 tunneled

   
   
   Muss der VPN-Client beispielsweise auf eine Ressource zugreifen, die sich nicht in der Routing-Tabelle des VPN-Gateways befindet, wird das Paket durch das Standardgateway geroutet. Das VPN-Gateway benötigt nicht die vollständige interne Routing-Tabelle, um dieses Problem zu beheben. In diesem Fall lautet das Schlüsselwort getunnelt.
   
   
5. Überprüfen Sie, ob der AnyConnect-Datenverkehr durch die Inspektionsrichtlinie der ASA verworfen wird. Sie können die konkrete Anwendung, die vom AnyConnect-Client verwendet wird, ausschließen, wenn Sie das modulare Richtlinien-Framework von Cisco ASA implementieren. Beispielsweise könnten Sie das Skinny-Protokoll mit diesen Befehlen ausschließen.
   
   

   ASA(config)# policy-map global_policy
   ASA(config-pmap)#  class inspection_default
   ASA(config-pmap-c)# no inspect skinny

Probleme mit Abstürzen von AnyConnect

Führen Sie folgende Datenerfassungsschritte aus:

1. Stellen Sie sicher, dass das Microsoft-Dienstprogramm Dr Watson aktiviert ist. Wählen Sie hierzu Start > Ausführen und führen Sie Drwtsn32.exe aus. Konfigurieren Sie dies und klicken Sie auf OK:
   
   

   Number of Instructions      : 25
   Number of Errors To Save    : 25
   Crash Dump Type             :  Mini
   Dump Symbol Table           : Checked
   Dump All Thread Contexts    : Checked
   Append To Existing Log File : Checked
   Visual Notification         : Checked
   Create Crash Dump File      : Checked

   
   
   Wenn der Absturz auftritt, rufen Sie die .log- und .dmp-Dateien unter C:\Dokumente und Einstellungen\Alle Benutzer\Application Data\Microsoft\Dr Watson ab. Wenn diese Dateien als in Verwendung angezeigt werden, verwenden Sie ntbackup.exe.
   
   
2. Rufen Sie das Cisco AnyConnect VPN-Client-Protokoll aus der Windows-Ereignisanzeige des Client-PCs ab:
   
   
   1. Wählen Sie Start > Ausführen.
      
      
   2. Eingabe
      
      

      eventvwr.msc /s

      
      
      
   3. Klicken Sie mit der rechten Maustaste auf das Cisco AnyConnect VPN Client-Protokoll und wählen Sie "Protokolldatei speichern als" AnyConnect.evt.
      
      

      Hinweis: Speichern Sie die Datei immer im Format der .evt-Datei.

Fragmentierung/Probleme beim Weiterleiten von Datenverkehr

Einige Anwendungen, z. B. Microsoft Outlook, funktionieren nicht. Allerdings ist der Tunnel in der Lage, anderen Datenverkehr weiterzuleiten, z. B. kleine Pings.

Dies kann Ihnen Anhaltspunkte zu einem Fragmentierungsproblem im Netzwerk liefern. Router für Privatanwender sind besonders schlecht bei der Fragmentierung und erneuten Zusammensetzung von Paketen.

Versuchen Sie es mit einer aufsteigenden Reihe von Pings, um festzustellen, ob es bei einer bestimmten Größe zum Ausfall kommt. Beispiel: ping -l 500, ping -l 1000, ping -l 1500, ping -l 2000.

Es wird empfohlen, eine spezielle Gruppe für Benutzer zu konfigurieren, bei denen es zur Fragmentierung kommt, und die maximale Übertragungseinheit (Maximum Transition Unit, MTU) für diese Gruppe auf 1200 festzulegen. Auf diese Weise können Sie Benutzern helfen, bei denen dieses Problem auftritt, ohne den Gesamtbestand an Benutzern zu beeinträchtigen.

Problem

TCP-Verbindungen hängen, sobald die Verbindung zu AnyConnect hergestellt ist.

Lösung

Um zu überprüfen, ob Ihr Benutzer ein Fragmentierungsproblem hat, passen Sie die MTU für AnyConnect-Clients auf der ASA an.

 ASA(config)#group-policy <name> attributes
                          webvpn
                              svc mtu 1200

Automatisch deinstallieren

Problem

Der AnyConnect VPN-Client deinstalliert sich selbst, sobald die Verbindung beendet wird. Die Client-Protokolle zeigen, dass "keep installed" deaktiviert ist.

Lösung

AnyConnect deinstalliert sich selbst, obwohl die Option keep installed im Adaptive Security Device Manager (ASDM) ausgewählt ist. Um dieses Problem zu beheben, konfigurieren Sie den Befehl svc keep-installer installed unter "group-policy".

Problem beim Ausfüllen des Cluster-FQDN

Problem: Auf dem AnyConnect-Client wird der Hostname anstelle des vollqualifizierten Domänennamens (FQDN) des Clusters eingetragen.

Wenn Sie einen Lastausgleichs-Cluster für SSL VPN eingerichtet haben und der Client versucht, eine Verbindung zum Cluster herzustellen, wird die Anfrage an die Knoten-ASA weitergeleitet und der Client meldet sich erfolgreich an. Wenn der Client nach einiger Zeit erneut versucht, eine Verbindung zum Cluster herzustellen, ist der Cluster-FQDN nicht in den Verbinden mit-Einträgen zu sehen. Stattdessen wird der Knoten-ASA-Eintrag angezeigt, an den der Client weitergeleitet wurde.

Lösung

Der Grund dafür ist, dass der AnyConnect-Client den Host-Namen beibehält, mit dem er zuletzt verbunden war. Dieses Verhalten wird beobachtet und ein Bug wurde eingereicht. Vollständige Details zum Bug finden Sie unter der Cisco Bug-ID CSCsz39019. Als Problemumgehung wird vorgeschlagen, ein Upgrade von Cisco AnyConnect auf Version 2.5 durchzuführen.

Konfiguration der Backup-Serverliste

Eine Backup-Serverliste wird für den Fall konfiguriert, dass der vom Benutzer ausgewählte Hauptserver nicht erreichbar ist. Dies wird im Bereich Backup-Server im AnyConnect-Profil definiert. Führen Sie diese Schritte aus:

1. Laden Sie den AnyConnect Profile Editor herunter (nur registrierte Kunden). Der Dateiname lautet AnyConnectProfileEditor2_4_1.jar.
   
   
2. Erstellen Sie mit dem AnyConnect Profile Editor eine XML-Datei.
   
   
   1. Rufen Sie die Registerkarte "Serverliste" auf.
      
      
   2. Klicken Sie auf Hinzufügen.
      
      
   3. Geben Sie den Hauptserver in das Feld Host-Name ein.
      
      
   4. Fügen Sie den Backup-Server unter der Backup-Serverliste in das Feld Host-Adresse ein. Klicken Sie dann auf Hinzufügen.
   
   
   
3. Sobald Sie die XML-Datei haben, müssen Sie sie der Verbindung zuweisen, die Sie auf der ASA verwenden.
   
   
   1. Wählen Sie in ASDM Konfiguration > Remote Access-VPN > Netzwerk-(Client)-Zugriff > AnyConnect-Verbindungsprofile.
      
      
   2. Wählen Sie Ihr Profil aus und klicken Sie auf Bearbeiten.
      
      
   3. Klicken Sie im Abschnitt "Standardgruppenrichtlinie" auf Verwalten.
      
      
   4. Wählen Sie Ihre Gruppenrichtlinie aus und klicken Sie auf Bearbeiten.
      
      
   5. Wählen Sie Erweitert und klicken Sie auf SSL VPN-Client.
      
      
   6. Klicken Sie auf Neu. Anschließend müssen Sie einen Namen für das Profil eingeben und die XML-Datei zuweisen.
   
   
   
4. Verbinden Sie den Client mit der Sitzung, um die XML-Datei herunterzuladen.

AnyConnect: Beschädigtes Problem mit der Treiberdatenbank

Dieser Eintrag in der Datei "SetupAPI.log" deutet darauf hin, dass das Katalogsystem fehlerhaft ist:

W239 Treibersignatur-Klassenliste "C:\WINDOWS\INF\certclas.inf" fehlt oder ist ungültig. Fehler 0xfffffde5: Unbekannter Fehler., vorausgesetzt, alle Geräteklassen unterliegen der Richtlinie für die Treibersignierung.

Sie können auch die folgende Fehlermeldung erhalten: Fehler (3/17): VA konnte nicht gestartet werden, gemeinsame Warteschlange wurde eingerichtet, oder VA hat die gemeinsame Warteschlange aufgegeben.

Sie können dieses Protokoll auf dem Client erhalten: "Beim VPN-Clienttreiber ist ein Fehler aufgetreten".

Reparatur

Dieses Problem ist auf Cisco Bug-ID CSCsm54689 zurückzuführen. Um dieses Problem zu beheben, stellen Sie sicher, dass Routing und Remote Access-Service deaktiviert sind, bevor Sie AnyConnect starten. Wenn das Problem dadurch nicht behoben wird, gehen Sie folgendermaßen vor:

1. Öffnen Sie als Administrator eine Eingabeaufforderung auf dem PC (Eingabeaufforderung mit erhöhten Rechten unter Vista).
   
   
2. Führen Sie net sop CryptSvc aus.
   
   
3. Ausgeführt:
   
   

   esentutl /p%systemroot%\System32\catroot2\
   {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb

   
   
   
4. Wenn Sie dazu aufgefordert werden, wählen Sie OK, um einen Reparaturversuch durchzuführen.
5. Beenden Sie die Eingabeaufforderung.
   
   
6. Starten Sie erneut.

Reparatur fehlgeschlagen

Wenn die Reparatur fehlschlägt, gehen Sie folgendermaßen vor:

1. Öffnen Sie als Administrator eine Eingabeaufforderung auf dem PC (Eingabeaufforderung mit erhöhten Rechten unter Vista).
   
   
2. Führen Sie net sop CryptSvc aus.
   
   
3. Benennen Sie das Verzeichnis in %WINDIR%\system32\catroot2 to catroot2_old um.
   
   
4. Beenden Sie die Eingabeaufforderung.
   
   
5. Starten Sie erneut.

Datenbank analysieren

Sie können die Datenbank jederzeit analysieren, um festzustellen, ob sie gültig ist.

1. Öffnen Sie als Administrator eine Eingabeaufforderung auf dem PC.
   
   
2. Ausgeführt:
   
   

   esentutl /g%systemroot%\System32\catroot2\
   {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb

   
   
   Weitere Informationen finden Sie unter Integrität der Systemkatalog-Datenbank.
   

Fehlermeldungen

Fehler: Die Sitzungsverwaltungsdatenbank konnte nicht aktualisiert werden.

Während das SSL VPN über einen Webbrowser verbunden ist, wird die Fehlermeldung Die Sitzungsverwaltungsdatenbank konnte nicht aktualisiert werden angezeigt, und in den ASA-Protokollen wird %ASA-3-211001: Memory allocation Error (Fehler bei der Speicherzuweisung) angezeigt. Die Adaptive Security Appliance konnte keinen RAM-Systemspeicher zuweisen.

Lösung 1

Dieses Problem ist auf Cisco Bug-ID CSCsm51093 zurückzuführen. Um dieses Problem zu beheben, laden Sie die ASA neu oder aktualisieren Sie die ASA-Software auf die im Bug aufgeführte Zwischenversion. Weitere Informationen finden Sie unter der Cisco Bug-ID CSCsm51093.

Lösung 2

Dieses Problem kann auch behoben werden, indem Sie die Bedrohungserkennung auf der ASA deaktivieren, wenn die Bedrohungserkennung verwendet wird.

Fehler: "Modul c:\Programme\Cisco\Cisco AnyConnect VPN Client\vpnapi.dll konnte nicht registriert werden"

Wenn Sie den AnyConnect-Client auf Laptops oder PCs verwenden, tritt während der Installation ein Fehler auf:

"Module C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnapi.dll failed
to register..."

Wenn dieser Fehler auftritt, kann das Installationsprogramm nicht vollständig ausgeführt werden, und der Client wird entfernt.

Lösung

Dies sind die möglichen Problemumgehungen, um diesen Fehler zu beheben:

• Der neueste AnyConnect-Client wird unter Microsoft Windows 2000 nicht mehr offiziell unterstützt. Es handelt sich um ein Registry-Problem auf dem Computer mit Windows 2000. 
  
  
• Entfernen Sie die VMware-Anwendungen. Sobald AnyConnect installiert ist, können die VMware-Anwendungen wieder auf dem PC hinzugefügt werden.
  
  
• Fügen Sie die ASA zu ihren vertrauenswürdigen Standorten hinzu. 
  
  
• Kopieren Sie diese Dateien aus dem Ordner \Programme\Cisco\CiscoAnyconnect in einen neuen Ordner und führen Sie den Befehl regsvr32 vpnapi.dll aus:
  
  
  • vpnapi.dll
  • vpncommon.dll
  • vpncommoncrypt.dll
  
  
  
• Bilden Sie das Betriebssystem auf dem Laptop/PC erneut ab.

Die Protokollmeldung im Zusammenhang mit diesem Fehler auf dem AnyConnect-Client sieht etwa so aus:

DEBUG: Error 2911:  Could not remove the folderC:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, ,
DEBUG: Error 2911:  Could not remove the folder C:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, ,
Info 1721. There is a problem with this Windows Installer package. A program required for
this install to complete could not be run. Contact your support personnel or package
vendor. Action: InstallHelper.exe, location: C:\Program Files\Cisco\Cisco AnyConnect VPN
Client\InstallHelper.exe, command: -acl "C:\Documents and Settings\All Users\Application
Data\Cisco\Cisco AnyConnect VPN Client\\" -r

Fehler: "Vom sicheren Gateway wurde als Antwort auf die VPN-Verhandlungsanfrage ein Fehler empfangen. Wenden Sie sich an Ihren Netzwerkadministrator"

Wenn Clients versuchen, eine Verbindung zum VPN mit dem Cisco AnyConnect VPN-Client herzustellen, wird dieser Fehler empfangen.

Diese Meldung wurde vom sicheren Gateway empfangen:

"Ungültige Adressklasse" oder "Host oder Netzwerk ist 0" oder "Anderer Fehler"

Lösung

Das Problem tritt aufgrund erschöpfter lokaler IP-Pools auf der ASA auf. Wenn die VPN-Pool-Ressource erschöpft ist, muss der IP-Poolbereich vergrößert werden.

Für dieses Problem wurde Cisco Bug-ID CSCsl82188 eingereicht. Dieser Fehler tritt in der Regel auf, wenn der lokale Pool für die Adressenzuweisung erschöpft ist oder wenn eine 32-Bit-Subnetzmaske für den Adresspool verwendet wird. Die Problemumgehung besteht darin, den Adresspool zu erweitern und eine 24-Bit-Subnetzmaske für den Pool zu verwenden.

Fehler: Die Sitzung konnte nicht hergestellt werden. Sitzungslimit von 2 erreicht.

Wenn Sie versuchen, mehr als zwei Clients mit dem AnyConnect VPN-Client zu verbinden, erhalten Sie die Fehlermeldung Anmeldung fehlgeschlagen auf dem Client und die Warnmeldung Sitzung konnte nicht hergestellt werden. Sitzungslimit von 2 erreicht. Ich habe die AnyConnect Essentials-Lizenz auf der ASA, auf der Version 8.0.4 ausgeführt wird.

Lösung 1

Dieser Fehler tritt auf, weil die AnyConnect Essentials-Lizenz von ASA Version 8.0.4 nicht unterstützt wird. Sie müssen ein Upgrade der ASA auf Version 8.2.2 durchführen. Dadurch wird der Fehler behoben.

Hinweis: Unabhängig von der verwendeten Lizenz erhält der Benutzer bei Erreichen des Sitzungslimits die Fehlermeldung login failed (Anmeldung fehlgeschlagen).

Lösung 2

Dieser Fehler kann auch auftreten, wenn der Befehl vpn-sessiondb max-anyconnect-premium-or-essentials-limit session-limit verwendet wird, um das Limit der zulässigen VPN-Sitzungen festzulegen. Wenn das Sitzungslimit auf zwei festgelegt wird, kann der Benutzer nicht mehr als zwei Sitzungen einrichten, auch wenn die installierte Lizenz mehr Sitzungen unterstützt. Legen Sie das Sitzungslimit auf die erforderliche Anzahl an VPN-Sitzungen fest, um diese Fehlermeldung zu vermeiden.

Fehler: AnyConnect ist auf dem VPN-Server nicht aktiviert, während versucht wird, eine Verbindung mit ASA herzustellen.

Sie erhalten die Fehlermeldung AnyConnect nicht auf dem VPN-Server aktiviert, wenn Sie versuchen, AnyConnect mit der ASA zu verbinden.

Lösung

Dieser Fehler wird behoben, wenn Sie AnyConnect auf der externen Schnittstelle der ASA mit ASDM aktivieren. Weitere Informationen zur Aktivierung von AnyConnect auf der externen Schnittstelle finden Sie bei den Hinweisen zum Konfigurieren von clientlosem SSL-VPN (WebVPN).

Fehler:- %ASA-6-722036: Gruppe Client-Gruppe Benutzer xxxx IP x.x.x.x Übertragen eines großen Pakets 1220 (Schwellenwert 1206)

Die Fehlermeldung %ASA-6-722036: Group < client-group > User < xxxx > IP < x.x.x.x> Transmitting large packet 1220 (threshold 1206) wird in den Protokollen der ASA angezeigt. Was bedeutet dieses Protokoll und wie wird dieses Problem behoben?

Lösung

Diese Protokollmeldung besagt, dass ein großes Paket an den Client gesendet wurde. Die Quelle des Pakets kennt die MTU des Clients nicht. Dies kann auch auf die Komprimierung nicht komprimierbarer Daten zurückzuführen sein. Die Problemumgehung besteht darin, die SVC-Komprimierung mit dem Befehl svc compression none zu deaktivieren. Dadurch wird das Problem behoben.

Fehler: Das sichere Gateway hat die VPN-Verbindungs- oder Verbindungsanforderung des Agenten abgelehnt.

Wenn Sie eine Verbindung mit dem AnyConnect-Client herstellen, wird folgender Fehler angezeigt: "Das sichere Gateway hat die VPN-Verbindungs- oder Verbindungsanforderung des Agenten zurückgewiesen. Eine erneute Verbindung erfordert eine erneute Authentifizierung und muss manuell gestartet werden. Wenn dieses Problem weiterhin besteht, wenden Sie sich an Ihren Netzwerkadministrator. Die folgende Nachricht wurde vom sicheren Gateway empfangen: no assigned address".

Dieser Fehler tritt auch auf, wenn Sie eine Verbindung mit dem AnyConnect-Client herstellen: "Das sichere Gateway hat den Verbindungsversuch abgelehnt. Ein neuer Verbindungsversuch mit demselben oder einem anderen sicheren Gateway ist erforderlich. Hierzu wird eine erneute Authentifizierung benötigt. Folgende Meldung wurde vom sicheren Gateway empfangen:Host oder Netzwerk ist 0".

Dieser Fehler tritt auch auf, wenn Sie eine Verbindung mit dem AnyConnect-Client herstellen: "Das sichere Gateway hat die VPN-Verbindungs- oder Wiederherstellungsanforderung des Agenten zurückgewiesen. Eine erneute Verbindung erfordert eine erneute Authentifizierung und muss manuell gestartet werden. Wenn dieses Problem weiterhin besteht, wenden Sie sich an den Netzwerkadministrator. Die folgende Nachricht wurde vom sicheren Gateway empfangen: "No License" (Keine Lizenz).

Lösung

Der Router hatte nach dem Neuladen keine Poolkonfiguration mehr. Sie müssen die betroffene Konfiguration wieder auf dem Router hinzufügen.

Router#show run | in pool

ip local pool SSLPOOL 192.168.30.2 192.168.30.254
   svc address-pool SSLPOO

Der Fehler "Das sichere Gateway hat die Anfrage zur VPN-Verbindung oder -Neuverbindung des Agenten abgelehnt. Eine erneute Verbindung erfordert eine erneute Authentifizierung und muss manuell gestartet werden. Wenn dieses Problem weiterhin besteht, wenden Sie sich an den Netzwerkadministrator. Die folgende Meldung wurde vom sicheren Gateway empfangen: "No License" (Keine Lizenz) tritt auf, wenn die AnyConnect-Mobilitätslizenz fehlt. Sobald die Lizenz installiert ist, wird das Problem behoben.

Fehler: "Die Sitzungsverwaltungsdatenbank konnte nicht aktualisiert werden."

Wenn Sie versuchen, sich in WebPortal zu authentifizieren, wird die folgende Fehlermeldung angezeigt: "Die Sitzungsverwaltungsdatenbank konnte nicht aktualisiert werden".

Lösung

Dieses Problem bezieht sich auf die Speicherzuweisung auf der ASA. Dieses Problem tritt vor allem dann auf, wenn die ASA-Version 8.2.1 ist. Ursprünglich erfordert dies 512 MB RAM für vollständige Funktionalität.

Als dauerhafte Problemumgehung können Sie den Arbeitsspeicher auf 512 MB erhöhen.

Als vorübergehende Problemumgehung können Sie versuchen, den Arbeitsspeicher folgendermaßen freizugeben:

1. Deaktivieren Sie die Bedrohungserkennung.
   
   
2. Deaktivieren Sie die SVC-Komprimierung.
   
   
3. Laden Sie die ASA neu.
   
   

Fehler: "Fehler beim VPN-Clienttreiber."

Dies ist eine Fehlermeldung auf dem Client-Computer, wenn Sie versuchen, eine Verbindung zu AnyConnect herzustellen.

Lösung

Um diesen Fehler zu beheben, führen Sie folgendes Verfahren durch, um den AnyConnect VPN-Agenten manuell auf "Interaktiv" festzulegen:

1. Klicken Sie mit der rechten Maustaste auf Mein Computer > Verwaltung > Services und Anwendungen > Services und wählen Sie den Cisco AnyConnect VPN-Agenten aus.
   
   
2. Klicken Sie mit der rechten Maustaste auf Eigenschaften, melden Sie sich an und wählen Sie die Option Dem Service die Interaktion mit dem Desktop erlauben.
   
   Damit wird der Registry-Typ-Wert DWORD für HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vpnagent auf 110 gesetzt (Standard: 010).
   
   

   Hinweis: Wenn dies verwendet werden soll, würde die Präferenz darin bestehen, die .MST-Transformation in dieser Instanz zu verwenden. Der Grund dafür ist, dass dies nach allen Installations-/Upgrade-Vorgängen festgelegt werden muss, wenn Sie dies mit diesen Methoden manuell festlegen. Daher muss die Anwendung identifiziert werden, die dieses Problem verursacht.

   
   
   Wenn der Routing- und RAS-Dienst (Routing and Remote Access Service) auf dem Windows-PC aktiviert ist, schlägt AnyConnect fehl. Der VPN-Clienttreiber hat einen Fehler gefunden. Fehlermeldung. Um dieses Problem zu beheben, stellen Sie sicher, dass Routing und RRAS deaktiviert sind, bevor Sie AnyConnect starten. Weitere Informationen finden Sie unter der Cisco Bug-ID CSCsm54689.

Fehler: "Antwort von xxx.xxx.xxx.xxx kann nicht verarbeitet werden"

AnyConnect-Clients können sich nicht mit einer Cisco ASA verbinden. Die Fehlermeldung im AnyConnect-Fenster lautet "Die Antwort von xxx.xxx.xxx.xxx kann nicht verarbeitet werden".

Lösung

Versuchen Sie die nachfolgenden Problemumgehungen, um den Fehler zu beheben:

• Entfernen Sie WebVPN aus der ASA und aktivieren Sie es erneut.<
  
  
• Ändern Sie die Portnummer von 443 zu 444 und aktivieren Sie es erneut auf 443.

Weitere Informationen zur Aktivierung von WebVPN und zur Änderung des Ports für WebVPN finden Sie in dieser Lösung.

Fehler: "Anmeldung verweigert, nicht autorisierter Verbindungsmechanismus, wenden Sie sich an Ihren Administrator"

AnyConnect-Clients können sich nicht mit einer Cisco ASA verbinden. Der Fehler im AnyConnect-Fenster lautet "Anmeldung verweigert, nicht autorisierter Verbindungsmechanismus, wenden Sie sich an Ihren Administrator".

Lösung

Diese Fehlermeldung tritt in der Regel aufgrund von Konfigurationsproblemen oder einer ungültigen oder unvollständigen Konfiguration auf. Überprüfen Sie die Konfiguration und stellen Sie sicher, dass es sich um die korrekte Konfiguration handelt, um das Problem zu beheben.

<

Fehler: "AnyConnect-Paket nicht verfügbar oder beschädigt. Wenden Sie sich an Ihren Systemadministrator"

Dieser Fehler tritt auf, wenn Sie versuchen, die AnyConnect-Software über einen Macintosh-Client zu starten, um eine Verbindung zur ASA herzustellen.

Lösung

Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:

1. Laden Sie das Macintosh AnyConnect-Paket in den Flash-Speicher der ASA hoch.
   
   
2. Ändern Sie die WebVPN-Konfiguration, um das verwendete AnyConnect-Paket festzulegen.
   
   

   webvpn
    svc image disk0:/anyconnect-macosx-i386-2.3.2016-k9.pkg 2
    svc image disk0:/anyconnect-macosx-powerpc-2.3.2016-k9.pkg 3

   
   
   Der Befehl svc image wird in ASA Version 8.4(1) und höher durch den Befehl anyconnect image ersetzt, wie hier illustriert:
   
   

   hostname(config)#webvpn
   
   hostname(config-webvpn)#anyconnect image disk0:/
   anyconnect-win-3.0.0527-k9.pkg 1
   
   hostname(config-webvpn)#anyconnect image disk0:/
   anyconnect-macosx-i386-3.0.0414-k9.pkg 2

Fehler: "Das AnyConnect-Paket auf dem sicheren Gateway konnte nicht gefunden werden."

Dieser Fehler wird auf dem Linux-Computer des Benutzers verursacht, wenn er versucht, eine Verbindung zur ASA herzustellen, indem AnyConnect gestartet wird. Hier ist der vollständige Fehler:

"The AnyConnect package on the secure gateway could not be located. You may
be experiencing network connectivity issues. Please try connecting again."

Lösung

Um diese Fehlermeldung zu beheben, überprüfen Sie, ob das auf dem Client-Computer verwendete Betriebssystem (OS) vom AnyConnect-Client unterstützt wird. 

Wenn das OS unterstützt wird, überprüfen Sie, ob das AnyConnect-Paket in der WebVPN-Konfiguration festgelegt ist. Weitere Informationen finden Sie im Abschnitt AnyConnect-Paket nicht verfügbar oder beschädigt in diesem Dokument.

Fehler: "Sicheres VPN über Remote-Desktop wird nicht unterstützt"

Benutzer können keinen Remote-Desktop-Zugriff durchführen. Die Fehlermeldung "Secure VPN über Remote-Desktop wird nicht unterstützt" wird angezeigt.

Lösung

Das Problem ist auf die folgenden Cisco Bug-IDs zurückzuführen: CSCsu22088 und CSCso42825. Das Problem kann durch ein Upgrade des AnyConnect VPN-Clients behoben werden. Weitere Informationen finden Sie in diesen Bugs.

Fehler: "Das empfangene Serverzertifikat oder seine Kette entspricht nicht FIPS. Es wird keine VPN-Verbindung hergestellt"

Wenn Sie versuchen, eine VPN-Verbindung zur ASA 5505 herzustellen, wird die Fehlermeldung Das empfangene Serverzertifikat oder seine Kette ist nicht FIPS-konform. Es wird keine VPN-Verbindung hergestellt angezeigt.

Lösung

Um diesen Fehler zu beheben, müssen Sie die Federal Information Processing Standards (FIPS) in der Datei AnyConnect Local Policy deaktivieren. Diese Datei finden Sie normalerweise unter C:\Programme\Cisco\Cisco AnyConnect VPN Client\AnyConnectLocalPolicy.xml. Wenn diese Datei unter diesem Pfad nicht zu finden ist, suchen Sie die Datei in einem anderen Verzeichnis mit einem Pfad wie C:\Dokumente und Einstellungen\AlleBenutzer\Application Data\Cisco AnyConnectVPNClient\AnyConnectLocalPolicy.xml. Sobald Sie die XML-Datei gefunden haben, nehmen Sie Änderungen an dieser Datei vor, wie hier illustriert:

Ändern Sie die Phrase:

<FipsMode>true</FipsMode>

Zu:

<FipsMode>false</FipsMode>

Starten Sie dann den Computer neu. Benutzer benötigen Administratorrechte, um diese Datei ändern zu können.

Fehler: "Fehler bei der Zertifikatsvalidierung"

Benutzer können AnyConnect nicht starten und erhalten die Meldung Fehler bei der Validierung des Zertifikats.

Lösung

Die Zertifikatsauthentifizierung funktioniert in AnyConnect anders als im IPSec-Client. Damit die Zertifikatsauthentifizierung funktioniert, müssen Sie das Client-Zertifikat in Ihren Browser importieren und das Verbindungsprofil ändern, um die Zertifikatsauthentifizierung verwenden zu können. Außerdem müssen Sie folgenden Befehl auf Ihrer ASA aktivieren, damit SSL-Client-Zertifikate auf der externen Schnittstelle verwendet werden können:

ssl certificate-authentication interface outside port 443

Fehler: "Problem beim VPN-Agent-Dienst. Der Dienst muss geschlossen werden. Bitte entschuldigen Sie die Unannehmlichkeiten"

Wenn AnyConnect Version 2.4.0404 auf einem PC mit Windows XP installiert ist, wird die Aktualisierung von Lokalisierungsdateien beendet und eine Fehlermeldung besagt, dass vpnagent.exe fehlschlägt.

Lösung

Dieses Verhalten wurde in der Cisco Bug-ID CSCsq49102 protokolliert. Die vorgeschlagene Problemumgehung besteht darin, den Citrix-Client zu deaktivieren.

Fehler: "Dieses Installationspaket konnte nicht geöffnet werden. Überprüfen Sie, ob das Paket vorhanden ist"

Wenn AnyConnect heruntergeladen wird, wird folgende Fehlermeldung empfangen:

"Wenden Sie sich an Ihren Systemadministrator. Das Installationsprogramm ist mit folgendem Fehler fehlgeschlagen: Dieses Installationspaket konnte nicht geöffnet werden. Überprüfen Sie, ob das Paket vorhanden ist und ob Sie darauf zugreifen können, oder wenden Sie sich an den Anwendungsanbieter, um sicherzustellen, dass es sich um ein gültiges Windows Installer-Paket handelt."

Lösung

Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:

1. Entfernen Sie sämtliche Antivirus-Software.
   
   
2. Deaktivieren Sie die Windows-Firewall.
   
   
3. Wenn weder Schritt 1 noch 2 helfen, formatieren Sie den Computer und führen Sie die Installation dann durch.
   
   
4. Wenn das Problem weiterhin besteht, öffnen Sie ein TAC-Ticket.

Fehler: "Fehler beim Anwenden der Transformation. Überprüfen Sie, ob die angegebenen Transformationspfade gültig sind."

Diese Fehlermeldung wird beim automatischen Download von AnyConnect von der ASA empfangen:

"Contact your system administrator. The installer failed with the following error:
Error applying transforms. Verify that the specified transform paths are valid."

Dies ist die Fehlermeldung, die bei der Verbindung mit AnyConnect für MacOS empfangen wird:

"The AnyConnect package on the secure gateway could not be located. You may be
experiencing network connectivity issues. Please try connecting again."

Lösung

Führen Sie eine der folgenden Problemumgehungen durch, um dieses Problem zu beheben:

1. Die Ursache dieses Fehlers ist möglicherweise eine beschädigte MST-Übersetzungsdatei (z. B. importiert). Gehen Sie folgendermaßen vor, um dies zu beheben:
   
   
   1. Entfernen Sie die MST-Übersetzungstabelle.
      
      
   2. Konfigurieren Sie das AnyConnect-Image für MacOS in der ASA.
   
   
   
2. Folgen Sie im ASDM dem Pfad Netzwerk-(Client)-Zugriff > AnyConnect benutzerdefiniert > Installationen und löschen Sie die AnyConnect-Paketdatei. Stellen Sie sicher, dass das Paket in Netzwerk-(Client)-Zugriff > Erweitert > SSL-VPN > Client-Einstellungen bleibt.

Wenn das Problem durch keine dieser Problemumgehungen behoben wird, wenden Sie sich an den technischen Support von Cisco.

Fehler: "Fehler beim VPN-Clienttreiber."

Dieser Fehler wird empfangen:

The VPN client driver has encountered an error when connecting through Cisco
AnyConnect Client.

Lösung

Dieses Problem kann behoben werden, wenn Sie den AnyConnect-Client deinstallieren und dann die Antivirus-Software entfernen. Installieren Sie anschließend den AnyConnect-Client neu. Wenn diese Lösung nicht funktioniert, formatieren Sie den PC neu, um dieses Problem zu beheben.

Fehler: "Bei einer erneuten VPN-Verbindung wurden andere Konfigurationseinstellungen vorgenommen. Die VPN-Netzwerkeinstellung wird neu initialisiert. Anwendungen, die das private Netzwerk nutzen, müssen möglicherweise wiederhergestellt werden."

Dieser Fehler wird empfangen, wenn Sie versuchen, AnyConnect zu starten:

"A VPN reconnect resulted in different configuration setting. The VPN network
setting is being re-initialized. Applications utilizing the private network may
need to be restarted."

Lösung

Verwenden Sie Folgendes, um diesen Fehler zu beheben:

group-policy <Name> attributes
			webvpn
				svc mtu 1200

Der Befehl svc mtu wird in ASA Version 8.4(1) und höher durch den Befehl anyconnect mtu ersetzt, wie hier illustriert:

hostname(config)#group-policy <Name> attributes

hostname(config-group-policy)#webvpn

hostname(config-group-webvpn)#anyconnect mtu 500

AnyConnect-Fehler beim Anmelden

Problem

AnyConnect empfängt diesen Fehler, wenn es sich mit dem Client verbindet:

The VPN connection is not allowed via a local proxy. This can be changed
through AnyConnect profile settings.

Lösung

Das Problem kann behoben werden, wenn Sie diese Änderungen am AnyConnect-Profil vornehmen:

Fügen Sie diese Zeile zum AnyConnect-Profil hinzu:

<ProxySettings>IgnoreProxy</ProxySettings><
AllowLocalProxyConnections>
false</AllowLocalProxyConnections>

IE-Proxy-Einstellung wird nach der Trennung von AnyConnect unter Windows 7 nicht wiederhergestellt

Problem

Wenn die IE-Proxy-Einstellung unter Windows 7 mit Einstellungen automatisch erkennen konfiguriert ist und AnyConnect eine neue Proxy-Einstellung übermittelt, wird die IE-Proxy-Einstellung nicht wieder auf Einstellungen automatisch erkennen zurückgesetzt, nachdem der Benutzer die AnyConnect-Sitzung beendet. Dies verursacht LAN-Probleme für Benutzer, die die Proxy-Einstellung Einstellungen automatisch erkennen benötigen.

Lösung

Dieses Verhalten wurde in der Cisco Bug-ID CSCtj51376 protokolliert. Als Problemumgehung wird vorgeschlagen, ein Upgrade auf AnyConnect 3.0 durchzuführen.

Fehler: AnyConnect Essentials kann erst aktiviert werden, wenn alle Sitzungen geschlossen wurden.

Diese Fehlermeldung wird auf Cisco ASDM empfangen, wenn Sie versuchen, die AnyConnect Essentials-Lizenz zu aktivieren:

There are currently 2 clientless SSL VPN sessions in progress. AnyConnect
Essentials can not be enabled until all these sessions are closed.

Lösung

Dies ist das normale Verhalten der ASA. AnyConnect Essentials ist ein separat lizenzierter SSL VPN-Client. Er ist vollständig auf der ASA konfiguriert und bietet den gesamten Funktionsumfang von AnyConnect mit folgenden Ausnahmen:

• Kein Cisco Secure Desktop (CSD) (einschließlich HostScan/Vault/Cache Cleaner)
  
  
• Kein Client-loses SSL VPN
  
  
• Optionale Windows Mobile-Unterstützung
  
  

Diese Lizenz kann nicht gleichzeitig mit der Shared SSL VPN Premium-Lizenz verwendet werden. Wenn Sie eine Lizenz verwenden möchten, müssen Sie die andere deaktivieren.

Fehler: Die Registerkarte "Verbindung" der Internet-Option von Internet Explorer wird ausgeblendet, nachdem eine Verbindung mit dem AnyConnect-Client hergestellt wurde.

Die Registerkarte Verbindung unter der Option Internet in Internet Explorer wird ausgeblendet, nachdem eine Verbindung zum AnyConnect-Client hergestellt wurde.

Lösung

Dies ist auf die Funktion msie-proxy lockdown zurückzuführen. Wenn Sie diese Funktion aktivieren, blendet sie die Registerkarte "Verbindungen" in Microsoft Internet Explorer für die Dauer einer AnyConnect VPN-Sitzung aus. Wenn Sie die Funktion deaktivieren, bleibt die Anzeige der Registerkarte "Verbindungen" unverändert.

Fehler: Wenige Benutzer erhalten die Fehlermeldung "Login Failed" (Anmeldung fehlgeschlagen), wenn andere Benutzer erfolgreich über AnyConnect VPN eine Verbindung herstellen können.

Einige Benutzer erhalten die Fehlermeldung "Anmeldung fehlgeschlagen", während andere sich über AnyConnect VPN erfolgreich verbinden können.

Lösung

Dieses Problem kann behoben werden, wenn Sie sicherstellen, dass das Kontrollkästchen Keine Vorabauthentifizierung erforderlich für die Benutzer aktiviert ist.

Fehler: Das angezeigte Zertifikat stimmt nicht mit dem Namen der Website überein, die Sie anzeigen möchten.

Während der Aktualisierung des AnyConnect-Profils wird ein Fehler angezeigt, der besagt, dass das Zertifikat ungültig ist. Dies geschieht nur bei Windows und während der Profilaktualisierung. Die Fehlermeldung wird hier angezeigt:

The certificate you are viewing does not match with the name of the site
you are trying to view.

Lösung

Dies kann gelöst werden, wenn Sie die Serverliste des AnyConnect-Profils ändern, um den FQDN des Zertifikats zu verwenden.

Dies ist ein Beispiel für das XML-Profil:

<ServerList>

 <HostEntry>

    <HostName>vpn1.ccsd.net</HostName>

 </HostEntry>

</ServerList>

Hinweis: Wenn ein vorhandener Eintrag für die öffentliche IP-Adresse des Servers vorhanden ist, z. B. <HostAddress>, entfernen Sie ihn, und behalten Sie nur den FQDN des Servers bei (z. B. <HostName> aber nicht <Host Address>).

AnyConnect kann auf einem Windows 7-Computer nicht über den CSD-Vault gestartet werden

Wenn AnyConnect über den CSD-Vault gestartet wird, funktioniert es nicht. Dies wird auf Windows 7-Computern versucht.

Lösung

Dies ist derzeit nicht möglich, da es nicht unterstützt wird.

AnyConnect-Profil wird nach dem Failover nicht auf dem Standby repliziert

Der AnyConnect 3.0 VPN-Client mit ASA-Software Version 8.4.1 funktioniert einwandfrei. Allerdings findet nach dem Failover keine Replikation der mit dem AnyConnect-Profil verbundenen Konfiguration statt.

Lösung

Diese Problem wurde beobachtet und unter der Cisco Bug-ID CSCtn71662 protokolliert. Die vorübergehende Problemumgehung besteht darin, die Dateien manuell in die Standby-Einheit zu kopieren.

AnyConnect-Client stürzt ab, wenn Internet Explorer offline geht

Wenn das passiert, enthält das AnyConnect-Ereignisprotokoll Einträge wie diese:

Description : Function:
CAdapterNetworkStateIfc::SetConnectedStateToConnected
File: .\AdapterNetworkStateIfc.cpp
Line: 147
Invoked Function: InternetSetOption
Return Code: 12010 (0x00002EEA)
Description: The length is incorrect for the option type

Description : Function: CTransportWinHttp::InitTransport
File: .\CTransportWinHttp.cpp
Line: 252
Invoked Function: CConnectedStateIfc::SetConnectedStateToConnected
Return Code: -25362420 (0xFE7D000C)
Description: CADAPTERNETWORKSTATEIFC_ERROR_SET_OPTION

Lösung

Dieses Verhalten wird beobachtet und wurde unter der Cisco Bug-ID CSCtx28970 protokolliert. Um dies zu beheben, beenden Sie die AnyConnect-Anwendung und starten Sie sie neu. Die Verbindungseinträge werden nach dem Neustart erneut angezeigt.

Fehlermeldung: TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER

Der AnyConnect-Client kann keine Verbindung herstellen und die Fehlermeldung Es kann keine Verbindung hergestellt werden wird angezeigt. Im AnyConnect-Ereignisprotokoll ist der Fehler TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER zu finden.

Lösung

Dies geschieht, wenn das Headend für Split-Tunneling mit einer sehr großen Split-Tunnel-Liste konfiguriert ist (ca. 180–200 Einträge) und mindestens ein anderes Client-Attribut in der Gruppenrichtlinie konfiguriert ist, z. B. DNS-Server.

Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:

1. Reduzieren Sie die Anzahl der Einträge in der Split-Tunnel-Liste.
   
   
2. Verwenden Sie diese Konfiguration, um DTLS zu deaktivieren:
   
   

   group-policy groupName attributes
     webvpn
       svc dtls none

Weitere Informationen finden Sie unter der Cisco Bug-ID CSCtc41770.

Fehlermeldung: "Verbindungsversuch schlug aufgrund eines ungültigen Hosteintrags fehl"

Die Fehlermeldung Der Verbindungsversuch ist aufgrund eines ungültigen Host-Eintrags fehlgeschlagen wird empfangen, während AnyConnect unter Verwendung eines Zertifikats authentifiziert wird.

Lösung

Versuchen Sie eine der folgenden möglichen Lösungen, um dieses Problem zu beheben:

• Aktualisieren Sie AnyConnect auf Version 3.0.
• Deaktivieren Sie Cisco Secure Desktop auf Ihrem Computer.

Weitere Informationen finden Sie unter der Cisco Bug-ID CSCti73316.

Fehler: "Stellen Sie sicher, dass Ihre Serverzertifikate den strikten Modus passieren können, wenn Sie ein stets verfügbares VPN konfigurieren."

Wenn Sie die Always-on-Funktion auf AnyConnect aktivieren, wird die Fehlermeldung Stellen Sie sicher, dass Ihre Serverzertifikate den strikten Modus bestehen können, wenn Sie stets verfügbares VPN konfigurieren empfangen.

Lösung

Diese Fehlermeldung deutet darauf hin, dass Sie ein gültiges, auf dem Headend konfiguriertes Serverzertifikat benötigen, wenn Sie die Always-on-Funktion verwenden möchten. Ohne ein gültiges Serverzertifikat können Sie diese Funktion nicht nutzen. Der strikte Zertifikatsmodus ist eine Option, die Sie in der lokalen Richtliniendatei von AnyConnect festlegen, um sicherzustellen, dass die Verbindungen ein gültiges Zertifikat nutzen. Wenn Sie diese Option in der Richtliniendatei aktivieren und eine Verbindung mit einem gefälschten Zertifikat herstellen, schlägt die Verbindung fehl.

Fehler: "Interner Fehler in den Microsoft Windows HTTP-Diensten"

Dieses Diagnostic AnyConnect Reporting Tool (DART) zeigt einen fehlgeschlagenen Versuch an:

******************************************
Date        : 03/25/2014
Time        : 09:52:21
Type        : Error
Source      : acvpnui

Description : Function: CTransportWinHttp::SendRequest
File: .\CTransportWinHttp.cpp
Line: 1170
Invoked Function: HttpSendRequest
Return Code: 12004 (0x00002EE4)
Description: An internal error occurred in the Microsoft 
Windows HTTP Services 
*****************************************
Date        : 03/25/2014
Time        : 09:52:21
Type        : Error
Source      : acvpnui

Description : Function: ConnectIfc::connect
File: .\ConnectIfc.cpp
Line: 472
Invoked Function: ConnectIfc::sendRequest
Return Code: -30015443 (0xFE36002D)
Description: CTRANSPORT_ERROR_CONN_UNKNOWN
******************************************
Date        : 03/25/2014
Time        : 09:52:21
Type        : Error
Source      : acvpnui

Description : Function: ConnectIfc::TranslateStatusCode
File: .\ConnectIfc.cpp
Line: 2999
Invoked Function: ConnectIfc::TranslateStatusCode
Return Code: -30015443 (0xFE36002D)
Description: CTRANSPORT_ERROR_CONN_UNKNOWN
Connection attempt failed.  Please try again.

******************************************

Sehen Sie sich auch die Protokolle der Ereignisanzeige auf dem Windows-Computer an.

Lösung

Dies kann durch eine fehlerhafte Winsock-Verbindung verursacht werden. Setzen Sie die Verbindung über die Eingabeaufforderung mit diesem Befehl zurück und starten Sie Ihren Windows-Computer neu:

netsh winsock reset

Weitere Informationen finden Sie im Wissensdatenbank-Artikel So erkennen Sie eine Beschädigung von Winsock2 in Windows Server 2003, Windows XP und Windows Vista und beheben diese.

Fehler: "Die SSL-Übertragung hat einen sicheren Kanalfehler empfangen.  Dies wird möglicherweise durch eine nicht unterstützte Krypto-Konfiguration auf dem sicheren Gateway verursacht."

Dieses Diagnostic AnyConnect Reporting Tool (DART) zeigt einen fehlgeschlagenen Versuch an:

******************************************
Date        : 10/27/2014
Time        : 16:29:09
Type        : Error
Source      : acvpnui

Description : Function: CTransportWinHttp::handleRequestError
File: .\CTransportWinHttp.cpp
Line: 854
The SSL transport received a Secure Channel Failure.  May be a result of a unsupported crypto configuration on the Secure Gateway.

******************************************
Date        : 10/27/2014
Time        : 16:29:09
Type        : Error
Source      : acvpnui

Description : Function: CTransportWinHttp::SendRequest
File: .\CTransportWinHttp.cpp
Line: 1199
Invoked Function: CTransportWinHttp::handleRequestError
Return Code: -30015418 (0xFE360046)
Description: CTRANSPORT_ERROR_SECURE_CHANNEL_FAILURE

******************************************
Date        : 10/27/2014
Time        : 16:29:09
Type        : Error
Source      : acvpnui

Description : Function: ConnectIfc::TranslateStatusCode
File: .\ConnectIfc.cpp
Line: 3026
Invoked Function: ConnectIfc::TranslateStatusCode
Return Code: -30015418 (0xFE360046)
Description: CTRANSPORT_ERROR_SECURE_CHANNEL_FAILURE
Connection attempt failed.  Please try again.
******************************************

Lösung

Laut folgendem KB-Update wird RC4 unter Windows 8.1 nicht unterstützt:

http://support2.microsoft.com/kb/2868725

Konfigurieren Sie entweder die DES/3DES-Chiffren für SSL VPN auf der ASA mit dem Befehl "ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 des-sha1" ODER bearbeiten Sie die Windows Registry-Datei auf dem Client-Computer, wie unten beschrieben:

https://technet.microsoft.com/en-us/library/dn303404.aspx

Zugehörige Informationen

• Cisco Adaptive Security Appliances der Serie ASA 5500
• AnyConnect VPN-Client – häufig gestellte Fragen
• Cisco Secure Desktop (CSD) – häufig gestellte Fragen
• Cisco AnyConnect VPN-Client
• Technischer Support und Dokumentation für Cisco Systeme