Guide de dépannage de client VPN AnyConnect – Problèmes fréquents

Introduction

Le présent document décrit un scénario de dépannage pour les applications qui ne fonctionnent pas avec Cisco AnyConnect VPN Client.

Conditions préalables

Exigences

Aucune exigence spécifique n'est associée à ce document.

Composants utilisés

Les renseignements présentés dans ce document portent sur un appareil de sécurité adaptatif (ASA) de Cisco qui exécute la version 8.x.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Processus de dépannage

Ce scénario typique de dépannage s'applique aux applications qui ne fonctionnent pas par le Cisco AnyConnect VPN Client pour des utilisateurs avec les ordinateurs Microsoft Windows. Ces sections traitent et fournissent des solutions aux problèmes :

• Problèmes d'installation et d'adaptateur virtuel
• Déconnexion ou incapacité d'établir la connexion initiale
• Problèmes avec le trafic de passage
• Problèmes de pannes d'AnyConnect
• Fragmentation/problèmes avec le trafic de passage

Problèmes d'installation et d'adaptateur virtuel

Procédez comme suit :

1. Obtenez le fichier journal de périphériques :
   
   
   • Windows XP / Windows 2000 :
     
     

     \Windows\setupapi.log

     
     
     
   • Windows Vista :
     
     

     Remarque : les dossiers masqués doivent être rendus visibles pour que ces fichiers soient visibles.

     
     
     

     \Windows\Inf\setupapi.app.log
     
         \Windows\Inf\setupapi.dev.log
     

     
     
     
   
   
   Si vous voyez des erreurs dans le fichier journal setupapi, vous pouvez augmenter la verbosité à 0x2000FFFF.
   
   
2. Obtenez le fichier journal d'installateur MSI :
   
   S'il s'agit d'une installation de déploiement Web initiale, ce journal est situé dans le répertoire temp de l'utilisateur.
   
   
   • Windows XP / Windows 2000 :
     
     

     \Documents and Settings\<username>\Local Settings\Temp\
     

     
     
     
   • Windows Vista :
     
     

     \Users\<username>\AppData\Local\Temp\
     

     
     
     
   
   
   Si c'est une mise à niveau automatique, ce journal est situé dans le répertoire temp du système :
   
   

   \Windows\Temp
   

   
   
   Le nom de fichier est au format suivant : anyconnect-win-x.x.xxxx-k9-install-yyyyyyyyyyy.log. Obtenez le fichier le plus récent pour la version du client que vous voulez installer. x.xxxx change selon la version, comme 2.0.0343, et yyyyyyyyyyyyyy est la date et l'heure de l'installation.
   
   
3. Obtenez le fichier d'information système de PC :
   
   
   1. Depuis une zone d'invite de commande/DOS, tapez ceci :
      
      
      • Windows XP / Windows 2000 :
        
        

        winmsd /nfo c:\msinfo.nfo
        

        
        
        
      • Windows Vista :
        
        

        msinfo32 /nfo c:\msinfo.nfo
        

        
        
        

      Remarque : après avoir tapé dans cette invite, attendez. Cela peut prendre entre deux et cinq minutes pour terminer le fichier.

      
      
      
   2. Obtenez un vidage de fichier systeminfo depuis une invite de commande :
      
      Windows XP et Windows Vista :
      
      

      systeminfo c:\sysinfo.txt
      

Référez-vous à AnyConnect : Problème de base de données de pilote corrompu afin de déboguer le problème de pilote.

Déconnexion ou incapacité d'établir la connexion initiale

Si vous rencontrez des problèmes de connexion avec le client AnyConnect, comme des déconnexions ou l'incapacité d'établir une connexion initiale, obtenez ces fichiers :

• Le fichier de configuration d'ASA afin de déterminer si quelque chose dans la configuration entraîne la panne de connexion :
  
  Dans la console de l’ASA, entrez write net x.x.x.x:ASA-Config.txt (x.x.x.x correspond à l’adresse IP d’un serveur TFTP sur le réseau).
  
  OU
  
  Depuis la console de l'ASA, tapez show running-config. Laissez la configuration se terminer à l'écran, puis coupez et collez dans un éditeur de texte, puis enregistrez.
  
  
• Les journaux d'événements ASA :
  
  
  1. Pour activer la journalisation des événements liés à l’authentification, au RPV Web, au protocole SSL (Secure Sockets Layer) et au client RPV SSL (CRS) sur l’ASA, exécutez ces commandes dans l’interface de ligne de commande :
     
     

     config terminal
     logging enable
     logging timestamp
     logging class auth console debugging
     logging class webvpn console debugging
     logging class ssl console debugging
     logging class svc console debugging

     
     
     
  2. Ouvrez une session AnyConnect et veillez à ce qu’il soit possible de reproduire le problème. Saisissez la sortie de journalisation de la console dans un éditeur de texte, puis enregistrez.
     
     
  3. Afin de désactiver la journalisation, émettez no logging enable.
     
     
  
  
  
• Le journal de Cisco AnyConnect VPN Client de l'observateur d'événements Windows du PC client :
  
  
  1. Choisissez Start > Run.
     
     
  2. Saisissez :
     
     

     eventvwr.msc /s

     
     
     
  3. Cliquez avec le bouton droit de la souris sur le journal Cisco AnyConnect VPN Client, puis sélectionnez Save Log File as AnyConnect.evt.
     
     

     Remarque : enregistrez-le toujours au format de fichier .evt.

Si l’utilisateur ne peut pas se connecter par l’intermédiaire du client RPV AnyConnect, le problème résulte peut-être du fait qu’une session à distance est ouverte sur l’ordinateur du client ou que la fonction de changement rapide d’utilisateur y est activée. L'utilisateur peut voir que les paramètres de profil AnyConnect imposent un seul utilisateur local, mais des utilisateurs locaux multiples sont actuellement connectés à votre ordinateur. Message d'erreur Aucune connexion VPN ne sera établie sur le PC client. Afin de résoudre ce problème, déconnectez n'importe quelle session RDP établie et désactivez la commutation rapide d'utilisateur. Ce comportement est contrôlé par l’attribut d’obligation d’ouverture de session de Windows dans le profil client. Toutefois, il n’existe actuellement aucun paramètre qui permette à un utilisateur d’établir une connexion VPN lorsque plusieurs utilisateurs sont connectés simultanément sur le même appareil. La demande d’amélioration CSCsx15061 a été déposée concernant cette fonctionnalité.

Remarque : assurez-vous que le port 443 n'est pas bloqué afin que le client AnyConnect puisse se connecter à l'ASA.

Quand un utilisateur ne peut pas connecter le client VPN d'AnyConnect à l'ASA, le problème peut être causé par une incompatibilité entre la version du client d'AnyConnect et la version d'image du logiciel ASA. Dans ce cas, l'utilisateur reçoit le message d'erreur suivant : Le programme d'installation n'a pas pu démarrer le client VPN Cisco, l'accès sans client n'est pas disponible.

Afin de résoudre ce problème, mettez à niveau la version du client d'AnyConnect pour être compatible avec l'image du logiciel ASA.

Lorsque vous vous connectez pour la première fois à AnyConnect, le script de connexion ne s’exécute pas. Si vous vous déconnectez, puis que vous vous reconnectez, le script de connexion s’exécute correctement. C'est le comportement prévu.

Lorsque vous connectez le client VPN AnyConnect à l'ASA, vous pouvez recevoir cette erreur : Utilisateur non autorisé pour l'accès au client AnyConnect, contactez votre administrateur.

Cette erreur se produit lorsque l’image AnyConnect est absente de l’ASA. Une fois que l’image est chargée sur l’ASA, AnyConnect peut s’y connecter sans problème.

Il est possible de résoudre cette erreur en désactivant le protocole de sécurité de la couche de transmission Datagram (DTLS). Allez à Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles (configuration > RPV d’accès à distance > accès réseau [client] > profils de connexion AnyConnect) et décochez la case Enable DTLS (activer le DTLS). Vous désactivez ainsi le protocole DTLS.

Les fichiers du jeu de fléchettes affichent ce message d'erreur lorsque l'utilisateur est déconnecté : TUNNELPROTOCOLDPDMGR_ERROR_NO_DPD_RESPONSE : La passerelle sécurisée n'a pas pu répondre aux paquets de détection d'homologue mort. Cette erreur signifie que le canal DTLS est interrompu en raison de l’échec du protocole Dead Peer Detection (DPD). Pour résoudre cette erreur, vous devez modifier légèrement les messages de connexion active DPD et saisir les commandes suivantes :

webvpn
   svc keepalive 30
   svc dpd-interval client 80
   svc dpd-interval gateway 80

Les commandes svc keepalive et svc dpd-interval sont remplacées par les commandes anyconnect keepalive et anyconnect dpd-interval respectivement dans la version 8.4(1) et les versions ultérieures de l’ASA, comme l’illustre la figure suivante :

webvpn
anyconnect ssl keepalive 15
anyconnect dpd-interval client 5
anyconnect dpd-interval gateway 5

Problèmes avec le trafic de passage

Si des problèmes surviennent au moment du transfert de trafic vers le réseau privé alors qu’une session AnyConnect est ouverte sur l’ASA, effectuez les étapes suivantes pour recueillir des données :

1. Obtenez la sortie de la commande show vpn-sessiondb detail svc filter name <username> ASA depuis la console. Si la sortie affiche Filter Name: XXXXX, alors collectez la sortie pour show access-list XXXXX. Vérifiez que access-list XXXXX ne bloque pas le flux de trafic voulu.
   
   
2. Exportez les statistiques AnyConnect à partir d'AnyConnect VPN Client > Statistics > Details > Export (AnyConnect-ExportedStats.txt).
   
   
3. Vérifiez les instructions nat dans le fichier de configuration ASA. Si la fonction de traduction d’adresses de réseau (NAT) est activée, celles-ci doivent exclure les données renvoyées au client à la suite de la NAT. Par exemple, pour que NAT exempte (nat 0) les adresses IP du pool AnyConnect, utilisez ceci sur le CLI :
   
   

   access-list in_nat0_out extended permit ip any 10.136.246.0 255.255.255.0
   ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
   nat (inside) 0 access-list in_nat0_out

   
   
   
4. Déterminez si la passerelle par défaut par tunnel doit être activée pour la configuration. La passerelle par défaut traditionnelle est celle du dernier recours pour le trafic non déchiffré.
   
   Exemple :
   
   

   
   !--- Route outside 0 0 is an incorrect statement.
   
   route outside 0 0 10.145.50.1
   route inside 0 0 10.0.4.2 tunneled

   
   
   Par exemple, si le client VPN doit accéder à une ressource qui n'est pas dans la table de routage de la passerelle VPN, le paquet est routé par la passerelle par défaut standard. La passerelle VPN n'a pas besoin de la table de routage interne complète afin de résoudre ceci. Le mot clé tunneled peut être utilisé dans ce cas.
   
   
5. Vérifiez si la politique d’inspection de l’ASA exclut le trafic vers AnyConnect. Vous pourriez exclure l’application particulière utilisée par le client AnyConnect si vous installez le Modular Policy Framework de Cisco ASA. Par exemple, vous pourriez exclure le protocole Skinny à l’aide des commandes suivantes.
   
   

   ASA(config)# policy-map global_policy
   ASA(config-pmap)#  class inspection_default
   ASA(config-pmap-c)# no inspect skinny

Problèmes de pannes d'AnyConnect

Effectuez les étapes suivantes pour recueillir des données :

1. Assurez-vous que l'utilitaire Microsoft Dr Watson est activé. Pour ce faire, choisissez Start > Run, puis exécutez Drwtsn32.exe. Configurez ceci et cliquez sur OK :
   
   

   Number of Instructions      : 25
   Number of Errors To Save    : 25
   Crash Dump Type             :  Mini
   Dump Symbol Table           : Checked
   Dump All Thread Contexts    : Checked
   Append To Existing Log File : Checked
   Visual Notification         : Checked
   Create Crash Dump File      : Checked

   
   
   Quand la panne se produit, récupérez les fichiers .log et .dmp depuis C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson. Si ces fichiers semblent être en service, alors utilisez ntbackup.exe.
   
   
2. Obtenez le journal de Cisco AnyConnect VPN Client de l'observateur d'événements Windows du PC client :
   
   
   1. Choisissez Start > Run.
      
      
   2. Saisissez :
      
      

      eventvwr.msc /s

      
      
      
   3. Cliquez avec le bouton droit de la souris sur le journal Cisco AnyConnect VPN Client, puis sélectionnez Save Log File as AnyConnect.evt.
      
      

      Remarque : enregistrez-le toujours au format de fichier .evt.

Fragmentation/problèmes avec le trafic de passage

Quelques applications, telles que Microsoft Outlook, ne fonctionnent pas. Cependant, le tunnel peut transmettre tout autre trafic comme de petits messages Ping.

Ceci peut fournir des indices quant à un problème de fragmentation dans le réseau. Les routeurs grand public ne sont pas particulièrement efficaces quand il s’agit de fragmenter et de réassembler des paquets.

Faites un essai à l’aide d’un ensemble de signaux (ping) de force croissante pour déterminer si un échec survient. Par exemple, utilisez les signaux suivants : -l 500, -l 1000, -l 1500 et -l 2000.

Il est recommandé de configurer un groupe spécial pour les utilisateurs ayant éprouvé des problèmes de fragmentation, ainsi que de régler à 1200 la valeur de l’unité de transmission maximale (MTU) du CRS pour ce groupe. Ceci vous permet de corriger les utilisateurs qui rencontrent ce problème, sans affecter la base d'utilisateurs plus large.

Problème

Blocage des connexions TCP une fois établies avec AnyConnect.

Solution

Afin de vérifier si votre utilisateur a un problème de fragmentation, réglez le mtu pour les clients d'AnyConnect sur l'ASA.

 ASA(config)#group-policy <name> attributes
                          webvpn
                              svc mtu 1200

Désinstallez automatiquement

Problème

Le client VPN d'AnyConnect se désinstalle une fois que la connexion se termine. Les journaux du client montrent que l'option keep installed est désactivée.

Solution

AnyConnect se désinstalle en dépit du fait que l'option keep installed est sélectionnée sur ASDM (Adaptive Security Device Manager). Afin de résoudre ce problème, configurez la commande svc keep-installer installed sous group-policy.

Problème au moment d’indiquer le nom de domaine complet de la grappe

Problème : le client AnyConnect est prérempli avec le nom d'hôte au lieu du nom de domaine complet (FQDN) du cluster.

Lorsque vous avez configuré une grappe d’équilibrage de charge pour un RPV exploitant le protocole SSL et que le client tente de se connecter à la grappe, la demande est redirigée vers le nœud ASA et le client réussit à se connecter. Après un certain temps, lorsque le client tente de se connecter de nouveau à la grappe, le nom de domaine complet de la grappe n’apparaît pas dans les entrées de connexion. C’est plutôt l’entrée du nœud ASA vers lequel le client a été redirigé qui s’affiche.

Solution

Cette situation se produit parce que le client AnyConnect conserve le nom de l’hôte auquel il s’est connecté la dernière fois. Ce comportement a été observé et un bogue a été enregistré. Pour obtenir plus de détails, consultez le bogue Cisco CSCsz39019. La solution proposée consiste à mettre à niveau Cisco AnyConnect vers la version 2.5.

Configuration de la liste de serveurs de sauvegarde

Une liste de serveurs de sauvegarde est configurée dans le cas où le serveur principal sélectionné par l’utilisateur n’est pas accessible. Pour dresser une liste de serveurs de sauvegarde, ouvrez le volet Backup Server (serveur de sauvegarde) dans le profil AnyConnect. Procédez comme suit :

1. Téléchargez l’éditeur de profils AnyConnect (clients inscrits seulement). Le nom du fichier est AnyConnectProfileEditor2_4_1.jar.
   
   
2. Créez un fichier XML à l’aide de l’éditeur de profils AnyConnect.
   
   
   1. Accédez à l’onglet de la liste de serveurs.
      
      
   2. Cliquez sur Add.
      
      
   3. Tapez le nom du serveur principal dans le champ Hostname (nom d’hôte).
      
      
   4. Ajoutez le serveur de sauvegarde sous la liste de serveurs de sauvegarde dans le champ Host address (adresse de l’hôte). Puis, cliquez sur Add (ajouter).
   
   
   
3. Après avoir créé le fichier XML, vous devez l’assigner à la connexion que vous utilisez sur l’ASA.
   
   
   1. Dans le gestionnaire des appareils de sécurité adaptatifs (ASDM), sélectionnez Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles (configuration > RPC d’accès à distance > accès réseau [client] > profils de connexion AnyConnect).
      
      
   2. Sélectionnez votre profil et cliquez sur Edit (modifier).
      
      
   3. Cliquez sur Manage (gérer) dans la section des politiques de groupe par défaut.
      
      
   4. Sélectionnez votre politique de groupe, puis cliquez sur Edit(modifier).
      
      
   5. Sélectionnez Advanced (avancé), puis cliquez sur SSL VPN Client (client RPV SSL).
      
      
   6. Cliquez sur New. Ensuite, vous devez nommer votre profil et l’assigner au fichier XML.
   
   
   
4. Connectez le client à la session afin de télécharger le fichier XML.

AnyConnect : problème de base de données de pilotes corrompus

Cette entrée dans le fichier SetupAPI.log suggère que le système de catalogue est altéré :

La liste de classe de signature du pilote W239 " C:\WINDOWS\INF\certclas.inf" était manquante ou non valide. Erreur 0xfffffde5 : erreur inconnue., en supposant que toutes les classes de périphériques sont soumises à la stratégie de signature de pilote.

Vous pouvez également recevoir ce message d'erreur : Error(3/17) : Unable to start VA, setup shared queue, or VA given up shared queue.

Vous pouvez recevoir ce journal sur le client : "Le pilote du client VPN a rencontré une erreur".

Réparation

Ce problème est causé par le bogue Cisco CSCsm54689. Afin de résoudre ce problème, assurez-vous que le service de routage et d'accès distant est désactivé avant de démarrer AnyConnect. Si ceci ne résout pas le problème, complétez ces étapes :

1. Ouvrez une invite de commande en tant qu'administrateur sur le PC (invite élevée sur Vista).
   
   
2. Exécutez net stop CryptSvc.
   
   
3. Exécutez la commande :
   
   

   esentutl /p%systemroot%\System32\catroot2\
   {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb

   
   
   
4. Lorsque le système vous y invite, cliquez sur OK pour tenter la réparation.
5. Quittez l'invite de commande.
   
   
6. Redémarrez.

Échec de la réparation

Si la réparation échoue, complétez ces étapes :

1. Ouvrez une invite de commande en tant qu'administrateur sur le PC (invite élevée sur Vista).
   
   
2. Exécutez net stop CryptSvc.
   
   
3. Renommez le répertoire %WINDIR%\system32\catroot2 en catroot2_old.
   
   
4. Quittez l'invite de commande.
   
   
5. Redémarrez.

Analysez la base de données

Vous pouvez analyser la base de données à tout moment afin de déterminer si elle est valide.

1. Ouvrez une invite de commande en tant qu'administrateur sur le PC.
   
   
2. Exécutez la commande :
   
   

   esentutl /g%systemroot%\System32\catroot2\
   {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb

   
   
   Référez-vous à Intégrité de la base de données de catalogue système pour plus d'informations.
   

Messages d'erreur

Erreur : Impossible de mettre à jour la base de données de gestion de session

Lorsque le VPN SSL est connecté via un navigateur Web, le message d'erreur Unable to Update the Session Management Database. s'affiche et les journaux ASA affichent %ASA-3-211001 : Memory allocation Error. L’appareil de sécurité adaptatif n’a pas pu allouer de mémoire système RAM.

Solution 1

Ce problème est causé par le bogue Cisco CSCsm51093. Afin de résoudre ce problème, rechargez le logiciel ASA ou mettez-le à niveau à la version intermédiaire mentionnée dans le bogue. Reportez-vous à l’ID de bogue Cisco CSCsm51093 pour en savoir plus.

Solution 2

Il est possible de résoudre ce problème en désactivant la fonction de détection des menaces sur l’ASA, le cas échéant.

Erreur : "Le module c:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnapi.dll n'a pas pu s'enregistrer"

Lorsque vous utilisez le client AnyConnect sur un ordinateur portable ou un ordinateur personnel, une erreur se produit lors de l’installation :

"Module C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnapi.dll failed
to register..."

Quand vous rencontrez cette erreur, l'installateur ne peut pas avancer et le client est retiré.

Solution

Voici les solutions de contournement possibles pour résoudre cette erreur :

• La dernière version du client AnyConnect n’est plus officiellement prise en charge par Microsoft Windows 2000. C'est un problème de Registre avec l'ordinateur 2000. 
  
  
• Supprimez les applications de vmware. Une fois qu'AnyConnect est installé, des applications de vmware peuvent être rajoutées au PC.
  
  
• Ajoutez ASA à leurs sites de confiance. 
  
  
• Copiez ces fichiers du dossier \ProgramFiles\Cisco\CiscoAnyconnect vers un nouveau dossier et exécutez l'invite de commande regsvr32 vpnapi.dll :
  
  
  • vpnapi.dll
  • vpncommon.dll
  • vpncommoncrypt.dll
  
  
  
• Réinstallez l’image du système d’exploitation sur l’ordinateur portable ou l’ordinateur personnel.

Le message du journal lié à cette erreur sur le client AnyConnect est semblable à ceci :

DEBUG: Error 2911:  Could not remove the folderC:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, ,
DEBUG: Error 2911:  Could not remove the folder C:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, ,
Info 1721. There is a problem with this Windows Installer package. A program required for
this install to complete could not be run. Contact your support personnel or package
vendor. Action: InstallHelper.exe, location: C:\Program Files\Cisco\Cisco AnyConnect VPN
Client\InstallHelper.exe, command: -acl "C:\Documents and Settings\All Users\Application
Data\Cisco\Cisco AnyConnect VPN Client\\" -r

Erreur : "Une erreur a été reçue de la passerelle sécurisée en réponse à la demande de négociation VPN. Veuillez contacter votre administrateur réseau »

Lorsque les clients essaient de se connecter au RPV à l’aide du client RPV Cisco AnyConnect, cette erreur se produit.

Ce message a été reçu de la passerelle sécurisée :

« Illegal address class » ou « Host or network is 0 » ou « Other error »

Solution

Le problème se pose en raison de l'épuisement de pool IP local ASA. Lorsque les ressources du groupe du RPV sont épuisées, le groupe d’adresses IP doit être élargi.

Le bogue Cisco CSCsl82188 a été enregistré pour ce problème. Cette erreur survient généralement lorsque le groupe local à partir duquel on attribue les adresses est vide, ou si un masque de sous-réseau de 32 bits est utilisé pour le groupe d’adresses. La solution consiste à élargir le groupe d’adresses et à utiliser un masque de sous-réseau de 24 bits.

Erreur : impossible d'établir la session. limite de session de 2 atteinte.

Lorsque vous essayez de connecter plus de deux clients au client RPV AnyConnect, vous recevez le message d’erreur Login Failed (échec de la connexion) sur le client, ainsi qu’un message d’avertissement dans les journaux de l’ASA qui indique que la session n’a pas pu être établie. limite de session de 2 atteinte. Je dispose de la licence AnyConnect essential sur ASA, qui exécute la version 8.0.4.

Solution 1

Cette erreur se produit parce que la licence AnyConnect essential n'est pas prise en charge par ASA version 8.0.4. Vous devez mettre à niveau ASA vers la version 8.2.2. Ceci résout l'erreur.

Remarque : quelle que soit la licence utilisée, si la limite de session est atteinte, l'utilisateur recevra le message d'erreur échec de connexion.

Solution 2

Cette erreur peut également se produire si la commande vpn-sessiondb max-anyconnect-premium-or-essentials-limit session-limit est utilisée pour définir la limite de sessions RPV autorisées. Si la limite de sessions est définie à deux, alors l’utilisateur ne peut pas établir plus de deux sessions même si la licence installée prend en charge plus de sessions. Définissez la limite au nombre de sessions RPV requises afin d’éviter ce message d’erreur.

Erreur : Anyconnect non activé sur le serveur VPN lors de la tentative de connexion anyconnect à ASA

Vous recevez le message d’erreur Anyconnect not enabled on VPN server (Anyconnect n’est pas activé sur le serveur RPV) lorsque vous essayez de connecter AnyConnect à l’ASA.

Solution

Pour résoudre cette erreur, activez AnyConnect sur l’interface externe de l’ASA à l’aide du gestionnaire des appareils de sécurité adaptatifs (ASDM). Pour plus d’informations sur l’activation d’AnyConnect sur l’interface externe, reportez-vous à la section sur la configuration du VPN SSL sans client (WebVPN) sur l’ASA.

Erreur : - %ASA-6-722036 : Groupe client-groupe Utilisateur xxxx IP x.x.x.x Transmission du paquet volumineux 1220 (seuil 1206)

Le message d'erreur %ASA-6-722036 : Group < client-group > User < xxxx > IP < x.x.x.x> Transmitting large packet 1220 (threshold 1206) s'affiche dans les journaux de l'ASA. Que signifie ce journal et comment est-ce résolu ?

Solution

Ce message du journal déclare qu'un grand paquet a été envoyé au client. La source du paquet ne reconnaît pas le MTU du client. Ceci peut également être dû à la compression de données incompressibles. La solution de contournement consiste à désactiver la compression SVC avec la commande svc compression none. Ceci résout le problème.

Erreur : la passerelle sécurisée a rejeté la demande de connexion ou de reconnexion VPN de l'agent.

Lorsque vous vous connectez au client AnyConnect, cette erreur est reçue : "La passerelle sécurisée a rejeté la demande de connexion ou de reconnexion VPN de l'agent. A new connection requires re-authentication and must be started manually. Please contact your network administrator if this problem persists. Le message suivant a été reçu de la passerelle sécurisée : « no assign address ».

Cette erreur est également reçue lorsque vous vous connectez au client AnyConnect : "La passerelle sécurisée a rejeté la tentative de connexion. A new connection attempt to the same or another secure gateway is needed, which requires re-authentication. Le message suivant a été reçu de la passerelle sécurisée :L'hôte ou le réseau est 0.

Cette erreur est également reçue lorsque vous vous connectez au client AnyConnect : "La passerelle sécurisée a rejeté la demande de connexion ou de reconnexion VPN de l'agent. A new connection requires a re-authentication and must be started manually. Please contact the network administrator if the problem persists. Le message suivant a été reçu de la passerelle sécurisée : « No License ».

Solution

La configuration de groupe était absente du routeur après le rechargement. Vous devez ajouter la configuration en question au routeur.

Router#show run | in pool

ip local pool SSLPOOL 192.168.30.2 192.168.30.254
   svc address-pool SSLPOO

L’erreur "The secure gateway has rejected the agent's vpn connect or reconnect request. A new connection requires a re-authentication and must be started manually. Please contact the network administrator if the problem persists. Le message suivant a été reçu de la passerelle sécurisée : erreur No License » se produit lorsque la licence de mobilité AnyConnect est manquante. Une fois la licence installée, le problème est résolu.

Erreur : "Impossible de mettre à jour la base de données de gestion de session"

Lorsque vous essayez de vous authentifier dans WebPortal, ce message d'erreur est reçu : "Unable to update the session management database".

Solution

Ce problème est lié à l’allocation de mémoire sur l’ASA. Ce problème est fréquent lorsque l’ASA fonctionne sous la version 8.2.1. Normalement, pour que l’ASA fonctionne correctement, il a besoin d’une RAM de 512 Mo.

Comme solution permanente, augmentez la mémoire à 512 Mo.

Comme solution temporaire, essayez de libérer de la mémoire en effectuant les étapes suivantes :

1. Désactivez la fonction de détection des menaces.
   
   
2. Désactivez la compression du CRS.
   
   
3. Rechargez l’ASA.
   
   

Erreur : "Le pilote du client VPN a rencontré une erreur"

Il s’agit d’un message d’erreur qui s’affiche sur l’ordinateur client lorsque vous tentez de vous connecter à AnyConnect.

Solution

Pour résoudre cette erreur, exécutez cette procédure et réglez manuellement l’agent RPV AnyConnect à Interactive (interactif) :

1. Faites un clic droit sur My Computer > Manage > Services and Applications > Services (mon ordinateur > gérer > services et applications > services) et sélectionnez l’agent RPV Cisco AnyConnect.
   
   
2. Faites un clic droit sur Properties (propriétés). Connectez-vous, puis sélectionnez Allow service to interact with the desktop (autoriser le service à interagir avec le PC de bureau).
   
   Vous définissez ainsi la valeur DWORD du registre à 110 (la valeur par défaut est 010) pour HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vpnagent.
   
   

   Remarque : si cette option doit être utilisée, la préférence sera d'utiliser la transformation .MST dans cette instance. car si vous configurez manuellement cette valeur à l’aide de ces méthodes, vous devrez la reconfigurer après chaque processus d’installation ou de mise à jour. C’est pourquoi il est nécessaire de désigner l’application qui cause ce problème.

   
   
   Lorsque le service RRAS (Routing and Remote Access Service) est activé sur le PC Windows, AnyConnect échoue avec le message Le pilote du client VPN a rencontré une erreur. error. Pour résoudre ce problème, assurez-vous que le service RRAS est désactivé avant de lancer AnyConnect. Consultez le bogue Cisco CSCsm54689 pour obtenir plus de renseignements.

Erreur : "Impossible de traiter la réponse de xxx.xxx.xxx.xxx"

Les clients AnyConnect ne parviennent pas à se connecter à un ASA de Cisco. L’erreur qui s’affiche dans la fenêtre AnyConnect est la suivante : "Unable to process response from xxx.xxx.xxx.xxx" (impossible de traiter la réponse de xxx.xxx.xxx.xxx).

Solution

Pour résoudre cette erreur, essayez ces solutions de contournement :

• Supprimez le WebVPN de l’ASA et réactivez-le.
  
  
• Réglez le numéro de port à 444, puis réinitialisez-le à 443.

Pour obtenir de plus amples renseignements sur la façon d’activer le RPV Web et d’en modifier le port, consultez cette Solution.

Erreur : "Connexion refusée, mécanisme de connexion non autorisé, contactez votre administrateur"

Les clients AnyConnect ne parviennent pas à se connecter à un ASA de Cisco. L’erreur qui s’affiche dans la fenêtre AnyConnect est la suivante : "Login Denied , unauthorized connection mechanism , contact your administrator" (ouverture de session refusée. Mécanisme de connexion non autorisé. Communiquez avec votre administrateur).

Solution

Ce message d’erreur s’affiche principalement en raison de problèmes de configuration (configuration inappropriée ou incomplète). Pour résoudre le problème, assurez-vous que la configuration est appropriée.

<

Erreur : "Package Anyconnect indisponible ou endommagé. Communiquez avec votre administrateur de système. »

Cette erreur se produit lorsque vous essayez de lancer le logiciel AnyConnect à partir d’un client Macintosh pour vous connecter à un ASA.

Solution

Pour résoudre ce problème, effectuez les étapes suivantes :

1. Téléchargez le progiciel AnyConnect du client Macintosh sur le disque à mémoire flash de l’ASA.
   
   
2. Modifiez la configuration du RPV Web afin d’indiquer le progiciel AnyConnect qui est utilisé.
   
   

   webvpn
    svc image disk0:/anyconnect-macosx-i386-2.3.2016-k9.pkg 2
    svc image disk0:/anyconnect-macosx-powerpc-2.3.2016-k9.pkg 3

   
   
   La commande svc image est remplacée par la commande anyconnect image dans la version 8.4(1) et les versions ultérieures de l’ASA, comme l’illustre la figure suivante :
   
   

   hostname(config)#webvpn
   
   hostname(config-webvpn)#anyconnect image disk0:/
   anyconnect-win-3.0.0527-k9.pkg 1
   
   hostname(config-webvpn)#anyconnect image disk0:/
   anyconnect-macosx-i386-3.0.0414-k9.pkg 2

Erreur : "Le package AnyConnect sur la passerelle sécurisée est introuvable"

Cette erreur se produit sur la machine Linux de l’utilisateur lorsqu’il tente de se connecter à l’ASA en lançant AnyConnect. Voilà l’erreur complète :

"The AnyConnect package on the secure gateway could not be located. You may
be experiencing network connectivity issues. Please try connecting again."

Solution

Pour résoudre ce message d’erreur, vérifiez si le système d’exploitation utilisé sur l’ordinateur client est pris en charge par le client AnyConnect. 

Si le système d’exploitation est pris en charge, vérifiez si le progiciel AnyConnect est spécifié dans la configuration du RPV Web. Consultez la section Progiciel AnyConnect non disponible ou corrompu du présent document pour obtenir plus de renseignements.

Erreur : "Le VPN sécurisé via le bureau à distance n'est pas pris en charge"

Les utilisateurs ne sont pas en mesure d’accéder à distance au RPV. Le message d’erreur Secure VPN via remote desktop is not supported (l’accès à distance au RPV sécurisé n’est pas pris en charge) s’affiche.

Solution

Ce problème est dû aux ID de bogue Cisco suivants : CSCsu22088 et CSCso42825. Pour résoudre ce problème, vous pouvez mettre à niveau le client RPV AnyConnect. Consultez ces bogues pour obtenir plus de renseignements.

Erreur : "Le certificat de serveur reçu ou sa chaîne n'est pas conforme à FIPS. Impossible d’établir une connexion au RPV. »

Lorsque vous tentez d’établir une connexion au RPV à partir de l’ASA 5505, le message d’erreur The server certificate received or its chain does not comply with FIPS. A VPN connection will not be established (le certificat de serveur reçu ou sa chaîne n’est pas conforme aux normes FIPS. Impossible d’établir une connexion au RPV) s’affiche.

Solution

Pour résoudre cette erreur, vous devez désactiver les normes Federal Information Processing Standards (FIPS) dans le fichier de politiques local AnyConnect. Ce fichier se trouve généralement dans le répertoire C:\ProgramData\Cisco\Cisco AnyConnect VPN Client\AnyConnectLocalPolicy.xml. Si le fichier ne se trouve pas à cet endroit, cherchez-le dans un autre répertoire, par exemple : C:\Documents and Settings\All Users\Application Data\Cisco AnyConnectVPNClient\AnyConnectLocalPolicy.xml. Une fois que vous avez localisé le fichier XML, modifiez-le comme suit :

Remplacez la phrase :

<FipsMode>true</FipsMode>

Par :

<FipsMode>false</FipsMode>

Ensuite, redémarrez l’ordinateur. Les utilisateurs doivent disposer des autorisations nécessaires pour modifier ce fichier.

Erreur : "Échec de validation du certificat"

Les utilisateurs sont incapables de lancer AnyConnect et reçoivent le message d’erreur « Certificate Validation Failure » (échec de la validation de certificat).

Solution

L’authentification par certificat fonctionne différemment avec AnyConnect et avec le client IPSec. Afin que l’authentification par certificat fonctionne, vous devez importer le certificat du client dans votre navigateur Web et modifier le profil de connexion afin d’utiliser l’authentification par certificat. Vous devez également activer cette commande sur votre ASA afin de permettre l’utilisation des certificats des clients SSL sur l’interface externe :

SSL certificate-authentication interface outside port 443

Erreur : "Le service d'agent VPN a rencontré un problème et doit se fermer. Nous sommes désolés des inconvénients. »

Lorsque la version 2.4.0202 d’AnyConnect est installée sur un ordinateur de bureau sous Windows XP, il s’arrête à la mise à jour des fichiers de localisation et un message d’erreur indique l’échec du vpnagent.exe.

Solution

Ce comportement est consigné sous l’ID de bogue CSCsq49102 de Cisco. La solution proposée consiste à désactiver le client Citrix.

Erreur : "Impossible d'ouvrir ce package d'installation. Vérifiez que le programme existe. »

Une fois AnyConnect téléchargé, le message d’erreur suivant s’affiche :

"Contact your system administrator. Le programme d'installation a échoué avec l'erreur suivante : Ce package d'installation n'a pas pu être ouvert. Verify that the package exists and that you can access it, or contact the application vendor to verify that this is a valid Windows Installer package. » (Communiquez avec votre administrateur de système. L’installation n’a pas pu être effectuée à cause de l’erreur suivante : Ce programme d’installation n’a pas pu être ouvert. Vérifiez que le programme existe et que vous pouvez y accéder, ou communiquez avec le fournisseur de l’application pour vérifier qu’il s’agit bien d’un programme Windows Installer valide.)

Solution

Pour résoudre ce problème, effectuez les étapes suivantes :

1. Supprimez tout logiciel antivirus.
   
   
2. Désactivez le pare-feu Windows.
   
   
3. Si ni l’étape 1 ni l’étape 2 ne fonctionne, formatez l’ordinateur puis relancez l’installation.
   
   
4. Si le problème persiste, ouvrez une demande de soutien technique.

Erreur : "Erreur lors de l'application des transformations. Vérifiez que les chemins de transformation spécifiés sont valides. »

Ce message d’erreur apparaît pendant le téléchargement automatique de AnyConnect par l’ASA :

"Contact your system administrator. The installer failed with the following error:
Error applying transforms. Verify that the specified transform paths are valid."

Il s’agit du message d’erreur qui apparaît lors de la connexion avec AnyConnect pour MacOS :

"The AnyConnect package on the secure gateway could not be located. You may be
experiencing network connectivity issues. Please try connecting again."

Solution

Choisissez l’une de ces solutions pour résoudre ce problème :

1. La cause première de cette erreur peut être un fichier de traduction MST corrompu (importé, par exemple). Effectuez les étapes suivantes pour résoudre ce problème :
   
   
   1. Supprimez la table de traduction du fichier MST.
      
      
   2. Configurez l’image d’AnyConnect pour MacOS dans l’ASA.
   
   
   
2. À partir de l’ASDM, allez à Network (Client) Access > AnyConnect Custom > Installs (réseau (client) > personnalisation AnyConnect > installations), puis supprimez le fichier de progiciel Anyconnect. Assurez-vous que le progiciel demeure à l’emplacement Network (Client) Access > Advanced > SSL VPN > Client Setting (accès réseau (client) > Avancé > RPV SSL > Paramètres client).

Si aucune de ces solutions ne résout le problème, contactez l’assistance technique Cisco.

Erreur : "Le pilote du client VPN a rencontré une erreur"

Cette erreur apparaît :

The VPN client driver has encountered an error when connecting through Cisco
AnyConnect Client.

Solution

Ce problème peut être résolu en désinstallant le client AnyConnect, puis en supprimant le logiciel de protection antivirus. Ensuite, réinstallez le client AnyConnect. Si cette solution ne fonctionne pas, reformatez le PC afin de résoudre ce problème.

Erreur : "Une reconnexion VPN a entraîné un paramètre de configuration différent. Les paramètres du RPV sont en cours de réinitialisation. Il sera peut-être nécessaire de restaurer les applications qui utilisent le réseau privé. »

Cette erreur apparaît lorsque vous essayez de lancer AnyConnect :

"A VPN reconnect resulted in different configuration setting. The VPN network
setting is being re-initialized. Applications utilizing the private network may
need to be restarted."

Solution

Pour résoudre cette erreur, utilisez la solution suivante :

group-policy <Name> attributes
			webvpn
				svc mtu 1200

La commande svc mtu est remplacée par la commande anyconnect mtu en version 8.4(1) ou suivantes de l’ASA, comme montré ici :

hostname(config)#group-policy <Name> attributes

hostname(config-group-policy)#webvpn

hostname(config-group-webvpn)#anyconnect mtu 500

Erreur lors de l’ouverture d’une session sur AnyConnect

Problème

AnyConnect reçoit cette erreur lorsqu’il se connecte au Client :

The VPN connection is not allowed via a local proxy. This can be changed
through AnyConnect profile settings.

Solution

Le problème peut être résolu si vous apportez ces modifications au profil AnyConnect :

Ajoutez cette ligne dans le profil AnyConnect :

<ProxySettings>IgnoreProxy</ProxySettings><
AllowLocalProxyConnections>
false</AllowLocalProxyConnections>

Les paramètres de proxy d’Internet Explorer ne sont pas restaurés après la déconnexion d’AnyConnect sur Windows 7

Problème

Dans Windows 7, si le paramètre de proxy de IE est configuré pour détecter automatiquement les paramètres et qu’AnyConnect tente d’autoriser un nouveau paramètre de proxy, le paramètre de proxy d’IE n’est pas restauré à la détection automatique des paramètres après que l’utilisateur ait fermé la session AnyConnect. Cela entraîne des problèmes relatifs au réseau local pour les utilisateurs qui ont besoin que leurs paramètres de proxy soient configurés pour détecter automatiquement les paramètres.

Solution

Ce comportement est consigné sous l’ID de bogue CSCtj51376 de Cisco. La solution proposée consiste à mettre à niveau vers AnyConnect 3.0.

Erreur : AnyConnect Essentials ne peut pas être activé tant que toutes ces sessions ne sont pas fermées.

Ce message d’erreur apparaît sur l’ADSM de Cisco lorsque vous tentez d’activer la licence d’AnyConnect Essentials :

There are currently 2 clientless SSL VPN sessions in progress. AnyConnect
Essentials can not be enabled until all these sessions are closed.

Solution

Il s’agit d’une réaction normale de l’ASA. AnyConnect Essentials est un client sous licence RPV SSL distincte. Il est entièrement configuré sur l’ASA et offre les mêmes fonctions qu’AnyConnect, à ces exceptions près :

• Pas de Cisco Secure Desktop (CSD) (y compris HostScan/Vault/Cache Cleaner)
  
  
• Pas de connexion au RPV SSL sans client
  
  
• Assistance Windows Mobile en option
  
  

Cette licence ne peut pas être utilisée en même temps que la licence RPV SSL partagée principale. Lorsque vous devez utiliser une licence, vous devez désactiver l’autre.

Erreur : l'onglet Connexion de l'option Internet d'Internet Explorer est masqué après la connexion au client AnyConnect.

L’onglet Connexions de la fenêtre Options Internet d’Internet Explorer est masqué une fois votre connexion au client AnyConnect établie.

Solution

Ce problème est dû à la fonction de confinement du proxy d’Internet Explorer. Si vous activez cette fonction, l’onglet Connexions de Microsoft Internet Explorer sera masqué pour la durée d’une session RPV d’AnyConnect. Si vous désactivez la fonction, l’onglet Connexions s’affiche comme d’habitude.

Erreur : peu d'utilisateurs reçoivent le message d'erreur Échec de connexion lorsque d'autres utilisateurs peuvent se connecter correctement via AnyConnect VPN

Quelques utilisateurs reçoivent un message indiquant que la connexion a échoué, alors que d’autres peuvent se connecter par l’intermédiaire du RPV d’AnyConnect.

Solution

Ce problème peut être résolu si vous vous assurez que la case ne pas exiger l’authentification préalable est cochée pour les utilisateurs.

Erreur : le certificat que vous consultez ne correspond pas au nom du site que vous essayez d'afficher.

Au cours de la mise à jour du profil AnyConnect, un message d’erreur s’affiche pour indiquer que le certificat n’est pas valide. Cela ne se produit qu’avec Windows, à la phase de mise à jour de profil. Le message d’erreur est le suivant :

The certificate you are viewing does not match with the name of the site
you are trying to view.

Solution

Ce problème peut être résolu si vous modifiez la liste des serveurs du profil AnyConnect afin d’utiliser le nom de domaine complet du certificat.

Voici un échantillon de profil XML :

<ServerList>

 <HostEntry>

    <HostName>vpn1.ccsd.net</HostName>

 </HostEntry>

</ServerList>

Remarque : s'il existe une entrée pour l'adresse IP publique du serveur telle que <HostAddress>, supprimez-la et conservez uniquement le nom de domaine complet du serveur (par exemple, <HostName> mais pas <Host Address>).

Impossible de démarrer AnyConnect à partir de la voûte CSD sur une machine qui exploite Windows 7

Lorsqu’AnyConnect est lancé à partir de la voûte CSD, il ne fonctionne pas. Cela se produit sur des ordinateurs qui exploitent Windows 7.

Solution

Actuellement, ce n’est pas possible, car il n’est pas pris en charge.

Le profil AnyConnect n’est pas dupliqué sur le serveur de secours après une panne.

Le client RPV d’AnyConnect 3.0 associé à la version 8.4.1 de l’ASA fonctionne très bien. Toutefois, après une panne, il n’y a aucune reproductibilité relative à la configuration connexe du profil AnyConnect.

Solution

Ce problème a été observé et est consigné sous l’ID de bogue CSCtn71662 de Cisco. La solution temporaire consiste à copier manuellement les fichiers dans l’unité de secours.

Le client AnyConnect plante si Internet Explorer passe en mode hors connexion.

Lorsque cela se produit, le journal des événements d’AnyConnect présente des entrées semblables à celles-ci :

Description : Function:
CAdapterNetworkStateIfc::SetConnectedStateToConnected
File: .\AdapterNetworkStateIfc.cpp
Line: 147
Invoked Function: InternetSetOption
Return Code: 12010 (0x00002EEA)
Description: The length is incorrect for the option type

Description : Function: CTransportWinHttp::InitTransport
File: .\CTransportWinHttp.cpp
Line: 252
Invoked Function: CConnectedStateIfc::SetConnectedStateToConnected
Return Code: -25362420 (0xFE7D000C)
Description: CADAPTERNETWORKSTATEIFC_ERROR_SET_OPTION

Solution

Ce comportement a été observé et est consigné sous l’ID de bogue CSCtx28970 de Cisco. Pour résoudre ce problème, quittez l’application AnyConnect pour la relancer. Les entrées de connexion réapparaîtront après la relance.

Message d'erreur : TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER

Le client AnyConnect ne parvient pas à se connecter et le message d’erreur Unable to establish a connection (impossible d’établir une connexion) apparaît. Dans le journal des événements AnyConnect, le message d’erreur TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER apparaît.

Solution

Cela se produit lorsque la tête de réseau est configurée pour une tunnellisation fractionnée avec une très grande liste de tunnels de fractionnement (environ 180 à 200 entrées) et qu’un ou plusieurs autres attributs client sont configurés dans la politique de groupe, par exemple un serveur de noms de domaine (DNS).

Pour résoudre ce problème, exécutez les étapes suivantes :

1. Réduisez le nombre d’entrées dans la liste de tunnels de fractionnement.
   
   
2. Utilisez cette configuration afin de désactiver le protocole DTLS :
   
   

   group-policy groupName attributes
     webvpn
       svc dtls none

Pour en savoir plus, reportez-vous à l’ID de bogue CSCtc41770 de Cisco.

Message d'erreur : "La tentative de connexion a échoué en raison d'une entrée d'hôte non valide"

Le message d’erreur Connection attempt has failed due to invalid host entry (échec de la tentative de connexion en raison d’une entrée hôte non valide) apparaît alors qu’AnyConnect est authentifié à l’aide d’un certificat.

Solution

Pour résoudre ce problème, essayez l’une ou l’autre de ces solutions possibles :

• Mettez AnyConnect à niveau vers la version 3.0.
• Désactivez Cisco Secure Desktop sur votre ordinateur.

Pour en savoir plus, reportez-vous à l’ID de bogue CSCti73316 de Cisco.

Erreur : "Assurez-vous que vos certificats de serveur peuvent passer en mode strict si vous configurez un VPN toujours actif"

Lorsque vous activez la fonction Always-On sur AnyConnect, le message d’erreur Ensure your server certificates can pass strict mode if you configure always-on VPN (veillez à ce que vos certificats de serveur puissent passer mode strict si vous configurez un RPV permanent) apparaît.

Solution

Ce message d’erreur signifie que si vous souhaitez utiliser la fonction Always-On, vous avez besoin d’un certificat de serveur valide configuré sur la tête de réseau. Sans certificat de serveur valide, cette fonction ne fonctionne pas. Le mode de certificat strict est une option à configurer dans le fichier de politique AnyConnect local afin d’assurer que la connexion utilise un certificat valide. Si vous activez cette option dans le fichier de politique et que vous vous connectez avec un faux certificat, la connexion échoue.

Erreur : "Une erreur interne s'est produite dans les services HTTP Microsoft Windows"

L’outil DART (demande d’autorisation des écarts) d’AnyConnect présente une tentative infructueuse :

******************************************
Date        : 03/25/2014
Time        : 09:52:21
Type        : Error
Source      : acvpnui

Description : Function: CTransportWinHttp::SendRequest
File: .\CTransportWinHttp.cpp
Line: 1170
Invoked Function: HttpSendRequest
Return Code: 12004 (0x00002EE4)
Description: An internal error occurred in the Microsoft 
Windows HTTP Services 
*****************************************
Date        : 03/25/2014
Time        : 09:52:21
Type        : Error
Source      : acvpnui

Description : Function: ConnectIfc::connect
File: .\ConnectIfc.cpp
Line: 472
Invoked Function: ConnectIfc::sendRequest
Return Code: -30015443 (0xFE36002D)
Description: CTRANSPORT_ERROR_CONN_UNKNOWN
******************************************
Date        : 03/25/2014
Time        : 09:52:21
Type        : Error
Source      : acvpnui

Description : Function: ConnectIfc::TranslateStatusCode
File: .\ConnectIfc.cpp
Line: 2999
Invoked Function: ConnectIfc::TranslateStatusCode
Return Code: -30015443 (0xFE36002D)
Description: CTRANSPORT_ERROR_CONN_UNKNOWN
Connection attempt failed.  Please try again.

******************************************

Consultez également les journaux d’événements sur l’ordinateur qui exploite Windows.

Solution

Cela pourrait être causé par une connexion corrompue à Winsock. Réinitialisez la connexion à partir de l’invite de commande suivante, puis redémarrez votre ordinateur sous Windows :

netsh winsock reset

Reportez-vous à la base de connaissances How to determine and to recover from Winsock2 corruption in Windows Server 2003, in Windows XP, and in Windows Vista (comment reconnaître la corruption de Winsock2 dans Windows Server 2003, Windows XP et dans Windows Vista et comment s’en remettre) pour en savoir plus.

Erreur : "Le transport SSL a reçu une erreur de canal sécurisé.    May be a result of a unsupported crypto configuration on the Secure Gateway. »  (le transport SSL a reçu un échec de canal sécurisé. C’est peut-être le résultat d’une configuration de chiffrement non prise en charge sur la passerelle sécurisée)

L’outil DART (demande d’autorisation des écarts) d’AnyConnect présente une tentative infructueuse :

******************************************
Date        : 10/27/2014
Time        : 16:29:09
Type        : Error
Source      : acvpnui

Description : Function: CTransportWinHttp::handleRequestError
File: .\CTransportWinHttp.cpp
Line: 854
The SSL transport received a Secure Channel Failure.  May be a result of a unsupported crypto configuration on the Secure Gateway.

******************************************
Date        : 10/27/2014
Time        : 16:29:09
Type        : Error
Source      : acvpnui

Description : Function: CTransportWinHttp::SendRequest
File: .\CTransportWinHttp.cpp
Line: 1199
Invoked Function: CTransportWinHttp::handleRequestError
Return Code: -30015418 (0xFE360046)
Description: CTRANSPORT_ERROR_SECURE_CHANNEL_FAILURE

******************************************
Date        : 10/27/2014
Time        : 16:29:09
Type        : Error
Source      : acvpnui

Description : Function: ConnectIfc::TranslateStatusCode
File: .\ConnectIfc.cpp
Line: 3026
Invoked Function: ConnectIfc::TranslateStatusCode
Return Code: -30015418 (0xFE360046)
Description: CTRANSPORT_ERROR_SECURE_CHANNEL_FAILURE
Connection attempt failed.  Please try again.
******************************************

Solution

Selon la mise à jour suivante de la base de connaissances, Windows 8.1 ne prend pas en charge RC4 :

http://support2.microsoft.com/kb/2868725

Configurez les chiffrements DES/3DES pour le VPN SSL sur l’ASA à l’aide de la commande « ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 des-sha1 » ou modifiez le fichier de registre Windows sur l’ordinateur client conformément aux indications ci-dessous :

https://technet.microsoft.com/en-us/library/dn303404.aspx

Informations connexes

• Dispositifs de sécurité adaptatifs de la gamme Cisco ASA 5500
• Client VPN AnyConnect - Forum Aux Questions
• Cisco Secure Desktop (CSD) - Forum Aux Questions
• Cisco AnyConnect VPN Client
• Assistance et documentation techniques - Cisco Systems