Problemas do Java 7 com AnyConnect, CSD/Hostscan e WebVPN – Guia de solução de problemas

Opções de download

  • PDF     (1.3 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.3 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (681.9 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:15 de julho de 2014
ID do documento:117097

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve como solucionar problemas com o Java 7 no Cisco AnyConnect Secure Mobility Client, Cisco Secure Desktop (CSD)/Cisco Hostscan e VPN SSL sem cliente (WebVPN).

Observação: as IDs de bug da Cisco marcadas como investigativas não se restringem aos sintomas descritos. Se você enfrentar problemas com o Java 7, certifique-se de atualizar a versão do cliente AnyConnect para a versão mais recente do cliente ou, pelo menos, para a versão 3.1 de manutenção disponível no Cisco Connection Online (CCO).

Troubleshooting Geral

Execute o Verificador Java para verificar se o Java é suportado nos navegadores em uso. Se o Java estiver habilitado corretamente, revise os logs do console Java para analisar o problema.

Windows

Este procedimento descreve como ativar os logs de console no Windows:

  1. Abra o Painel de Controle do Windows e procure por Java.

  2. Clique duas vezes em Java (o ícone da xícara de café). O Painel de controle Java é exibido.
  3. Clique na guia Advanced.

    1. Expanda Depuração e selecione Ativar rastreamento e Ativar registro.
    2. Expanda console Java e clique em Mostrar console.

Mac

Este procedimento descreve como ativar os logs de console em um Mac:

  1. Abra Preferências do sistema e clique duas vezes no ícone Java (xícara de café). O Painel de controle Java é exibido.



  2. Clique na guia Advanced.

    1. Em Console Java, clique em Mostrar console.
    2. Em Depuração, clique em Ativar rastreamento e Ativar registro.

Troubleshooting Específico

AnyConnect

Para problemas relacionados ao AnyConnect, colete os logs do relatório do AnyConnect de diagnóstico (DART), bem como os logs do console Java.

Windows

O bug da Cisco ID CSCuc55720, "IE trava com Java 7 quando o pacote 3.1.1 está habilitado no ASA", era um problema conhecido, em que o Internet Explorer trava quando um WebLaunch era executado e o AnyConnect 3.1 estava habilitado no headend. Este bug foi corrigido.

Você pode encontrar problemas ao usar algumas versões do AnyConnect e Java 7 com aplicativos Java. Para obter mais informações, consulte o bug da Cisco ID CSCue48916, "Java App(s) Break when using AnyConnect 3.1.00495 or 3.1.02026 & Java v7."

Problemas com chamadas de soquete Java 7 e IPv6

Se o AnyConnect não se conectar mesmo após a atualização do Java Runtime Environment (JRE) para Java 7, ou se um aplicativo Java não conseguir se conectar pelo túnel VPN, revise os logs do console Java e procure estas mensagens:

java.net.SocketException: Permission denied: connect
 at java.net.DualStackPlainSocketImpl.waitForConnect(Native Method)
 at java.net.DualStackPlainSocketImpl.socketConnect(Unknown Source)

Essas entradas de registro indicam que o cliente/aplicativo faz chamadas IPv6.

Uma solução para esse problema é desabilitar o IPv6 (se não estiver em uso) no adaptador Ethernet e no AnyConnect Virtual Adapter (VA):


Uma segunda solução é configurar o Java para preferir o IPv4 ao IPv6. Defina a propriedade do sistema 'java.net.preferIPv4Stack' como 'true', conforme mostrado nestes exemplos:

  • Adicione o código da propriedade do sistema ao código Java (para aplicativos Java escritos pelo cliente): 

    System.setProperty("java.net.preferIPv4Stack" , "true");
  • Adicione o código para a propriedade de sistema a partir da linha de comando:

    -Djava.net.preferIPv4Stack=true
  • Defina as variáveis de ambiente _JPI_VM_OPTIONS e _JAVA_OPTIONS para incluir a propriedade do sistema:

    -Djava.net.preferIPv4Stack=true

Para obter informações adicionais, consulte:

Uma terceira solução é desabilitar completamente o IPv6 em máquinas Windows; edite esta entrada de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\TCPIP6\Parameters

Para obter informações adicionais, consulte Como desativar o IP versão 6 ou seus componentes específicos no Windows.

Problemas com o AnyConnect WebLaunch após atualização do Java 7

O código JavaScript da Cisco procurava anteriormente a Sun como o valor para o fornecedor Java. No entanto, a Oracle alterou esse valor conforme descrito em JDK7: alterações na propriedade do fornecedor Java. Esse problema foi corrigido pela ID de bug da Cisco CSCub46241, "AnyConnect weblaunch fail from Internet Explorer with Java 7" (O AnyConnect weblaunch falha no Internet Explorer com Java 7).

Mac

Nenhum problema foi relatado. Os testes com o AnyConnect 3.1 (com a configuração WebLaunch / Safari / Mac 10.7.4 / Java 7.10) não mostram erros.

Diversos

Problemas com aplicativos Java 7 no Cisco AnyConnect

O bug da Cisco ID CSCue48916, "Java App(s) Break when using AnyConnect 3.1.00495 or 3.1.02026 & Java v7," foi arquivado. A investigação inicial indica que os problemas não são um bug no lado do cliente, mas podem estar relacionados à configuração da máquina virtual Java (VM).

Anteriormente, para usar aplicativos Java 7 no cliente AnyConnect 3.1(2026), você desmarcou as configurações do adaptador virtual IPv6. No entanto, agora é necessário concluir todas as etapas neste procedimento:

  1. Instale o AnyConnect versão 3.1(2026).
  2. Desinstalar Java 7.
  3. Reinicialização.
  4. Instale o Java SE 6, atualização 38, disponível no site da Oracle.
  5. Navegue até as configurações do painel de controle do Java 6 e clique na guia Atualizar para atualizar para a versão mais recente do Java 7.
  6. Abra um prompt de comando e digite:

    setx _JAVA_OPTIONS -Djava.net.preferIPv4Stack=true
  7. Faça login com o AnyConnect, e os aplicativos Java devem funcionar.

Observação: este procedimento foi testado com as atualizações 9, 10 e 11 do Java 7.

CSD/Hostscan

Para problemas relacionados a CSD/Hostscan, colete os logs do DART, bem como os logs do console Java.

Para obter os registros do DART, o nível de registro do CSD deve ser transformado em depuração no ASA:

  1. Navegue para ASDM > Configuration > Remote Access VPN > Secure Desktop Manager > Global Settings.
  2. Ative o registro CSD para depuração no Cisco Adaptive Security Device Manager (ASDM).
  3. Use o DART para coletar os logs de CSD/Hostscan.

Windows

O Hostscan é susceptível a travamentos semelhantes aos descritos anteriormente para o AnyConnect no Windows (ID do Cisco bug CSCuc5720). O problema do hostscan foi resolvido pela ID de bug da Cisco CSCuc48299, "IE com travamentos do Java 7 no HostScan Weblaunch".

Mac

Problemas com as versões 3.5.x e Java 7 do CSD

No CSD 3.5.x, todas as conexões WebVPN falham; isso inclui lançamentos na Web do AnyConnect. Os registros do console Java não revelam nenhum problema:

Java Plug-in 10.10.2.12
Using JRE version 1.7.0_10-ea-b12 Java HotSpot(TM) 64-Bit Server VM
User home directory = /Users/rtpvpn
----------------------------------------------------
c:   clear console window
f:   finalize objects on finalization queue
g:   garbage collect
h:   display this help message
l:   dump classloader list
m:   print memory usage
o:   trigger logging
q:   hide console
r:   reload policy configuration
s:   dump system and deployment properties
t:   dump thread list
v:   dump thread stack
x:   clear classloader cache
0-5: set trace level to <n>
----------------------------------------------------

Se você fizer o downgrade para o JRE 6 ou atualizar o CSD para a versão 3.6.6020 ou posterior, os logs do console Java revelarão os problemas:

Java Plug-in 10.10.2.12
Using JRE version 1.7.0_10-ea-b12 Java HotSpot(TM) 64-Bit Server VM
User home directory = /Users/rtpvpn
----------------------------------------------------
c:   clear console window
f:   finalize objects on finalization queue
g:   garbage collect
h:   display this help message
l:   dump classloader list
m:   print memory usage
o:   trigger logging
q:   hide console
r:   reload policy configuration
s:   dump system and deployment properties
t:   dump thread list
v:   dump thread stack
x:   clear classloader cache
0-5: set trace level to <n>
----------------------------------------------------
CacheEntry[ https://rtpvpnoutbound6.cisco.com/CACHE/sdesktop/install/binaries/
   instjava.jar ]: updateAvailable=false,lastModified=Wed Dec 31 19:00:00 EST 
   1969,length=105313
Fri Oct 19 18:12:20 EDT 2012 Downloaded
  https://rtpvpnoutbound6.cisco.com/CACHE/sdesktop/hostscan/darwin_i386/cstub
  to /var/folders/zq/w7l9gxks7512fsl4vk07v9nc0000gn/T/848638312.tmp/cstub
Fri Oct 19 18:12:20 EDT 2012 file signature verification
  PASS: /var/folders/zq/w7l9gxks7512fsl4vk07v9nc0000gn/T/848638312.tmp/cstub
Fri Oct 19 18:12:20 EDT 2012 Spawned CSD stub.

A solução é atualizar o CSD ou rebaixar o Java. Como a Cisco recomenda que você execute a versão mais recente do CSD, você deve atualizar o CSD, em vez de fazer downgrade do Java, especialmente porque um downgrade do Java pode ser difícil em um Mac.

Problemas com o Chrome e o Safari com WebLaunch no Mac 10.8

Problemas com o Chrome e o Safari são o comportamento esperado:

  • O Chrome é um navegador de 32 bits e não suporta Java 7.
  • O Chrome nunca foi um navegador oficialmente compatível com o WebLaunch.
  • O Mac 10.8 desativou o uso do Java 7 no Safari, e versões mais antigas do Java não são ativadas por padrão.

Se você já tem o Java 7 instalado, as resoluções são:

Dica: se você não tiver o Java instalado ou tiver uma versão mais antiga do Java, provavelmente verá a mensagem de erro 'Java bloqueado para este site' em java.com . Consulte as atualizações Java disponíveis para o OS X em 28 de agosto de 2013 no fórum de suporte da Apple para obter informações sobre a instalação de atualizações Java.

Problemas com Safari com WebLaunch no Mac 10.9

Se você estiver no Mac 10.9 e já tiver o plug-in Java habilitado (conforme descrito na seção Problemas com o Chrome e o Safari com WebLaunch no Mac 10.8), o WebLaunch poderá continuar a falhar. Todos os miniaplicativos Java são iniciados, mas o navegador simplesmente continua a girar. Se os logs Java estiverem ativados conforme descrito na seção Solução de problemas gerais, os logs serão preenchidos rapidamente conforme mostrado aqui:

at java.lang.Thread.run(Thread.java:744)
Mon Dec 16 16:00:17 EST 2013 Failed to download cstub
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45

Procure este tipo de entrada anteriormente no registro:

Mon Dec 16 16:00:17 EST 2013 Downloaded https://rave.na.sage.com/CACHE/
   sdesktop/hostscan/darwin_i386/manifest java.io.FileNotFoundException: 
   /Users/user1/.cisco/hostscan/bin/cstub (Operation not permitted) at 
   java.io.FileInputStream.open(Native Method)

Isso indica que você está encontrando o bug da Cisco ID CSCuj02425, "WebLaunch on OSX 10.9 fail if java unsafe mode is disabled" (O WebLaunch no OSX 10.9 falhará se o modo não seguro java estiver desativado). Para solucionar esse problema, modifique as preferências de Java para que o Java possa ser executado no modo não seguro para o Safari:

  1. Clique em Preferências.



  2. Clique em Gerenciar Configurações do Site.



  3. Na guia Security, selecione Java e observe que Allow está selecionado por padrão.



  4. Altere Allow para Run in Unsafe Mode.

WebVPN

Para problemas de WebVPN relacionados ao Java, colete esses dados para fins de solução de problemas:

  • Saída do comando show tech-support.
  • Os registros do console Java com e sem o Adaptive Security Appliance (ASA) conforme explicado na seção Solução de problemas gerais.
  • Capturas de WebVPN.
  • Capturas de observação HTTP na máquina local com e sem o ASA.
  • Capturas de pacotes padrão no ASA e na máquina local.
  • Todos os arquivos jar baixados para o cache Java ao passar pelo ASA. Este é um exemplo do console Java: 

    Reading Signers from 8412 
     https://rtpvpnoutbound6.cisco.com/+CSCO+00756767633A2F2F7A2D73767972662E6
        E7067727A76687A2E6179++/mffta.jar
    C:\Users\wvoosteren\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41\
       6a0665e9-1f510559.idx
    Neste exemplo, 6a0665e9-1f510559.idx é a versão em cache do mffta.jar 7. Se você não tiver acesso a esses arquivos, poderá coletá-los do cache Java ao usar a conexão direta.

Uma configuração de teste pode agilizar a resolução.

Recursos de segurança no Java 7 U51 e como isso afeta os usuários do WebVPN

As alterações anunciadas recentemente para a atualização 51 do Java 7 (janeiro de 2014) estabeleceram que o controle deslizante de segurança padrão requer assinaturas de código e o atributo Permissions Manifest. Em resumo, todos os miniaplicativos Java exigem:

  • a ser assinado (miniaplicativos e aplicativos Web Start).
  • para definir o atributo "Permissions" no Manifesto.

Os aplicativos serão afetados se ele usar Java iniciado por meio de um navegador da Web. Os aplicativos são executados em qualquer lugar fora de um navegador da Web. Isso significa que para o WevVPN, todos os plug-ins de cliente distribuídos pela Cisco podem ser afetados. Como esses plug-ins não são mantidos ou suportados pela Cisco, a Cisco não pode fazer alterações no certificado de assinatura de código ou no miniaplicativo para garantir que ele esteja em conformidade com essas restrições. A solução adequada para isso é usar o certificado temporário de assinatura de código no ASA. Os ASAs fornecem um certificado temporário de assinatura de código para assinar miniaplicativos Java (para rewriter e plug-ins Java). O certificado temporário permite que miniaplicativos Java executem suas funções desejadas sem uma mensagem de aviso. Os administradores do ASA devem substituir o certificado temporário antes que ele expire por seu próprio certificado de assinatura de código emitido por uma autoridade de certificação (CA) confiável. Se essa não for uma opção viável, a solução alternativa é concluir estas etapas:

  1. Você pode usar o recurso Lista de sites de exceção nas configurações Java da máquina cliente final para executar os aplicativos bloqueados pelas configurações de segurança. As etapas para fazer isso são descritas em Problemas com o Safari com WebLaunch no Mac 10.9.
  2. Você também pode reduzir as configurações de segurança do Java. Essa configuração também é definida nas configurações Java da máquina cliente, conforme mostrado aqui:

Aviso: o uso dessas soluções ainda apresenta alguns erros, mas o Java não bloqueia o aplicativo como faria sem as soluções no local.

Windows

Os aplicativos que iniciam miniaplicativos Java foram relatados como fazendo failover do WebVPN após uma atualização para o Java 7. Esse problema é causado pela falta de suporte a Algoritmo de Hash Seguro (SHA)-256 para o reescritor Java. O bug da Cisco ID CSCud54080, "Suporte SHA-256 para webvpn Java rewriter," foi arquivado para este problema.

Os aplicativos que iniciam os miniaplicativos Java pelo portal com o Smart Tunnel podem falhar quando o JRE7 é usado; isso é mais comum em sistemas de 64 bits. Nas capturas, observe que a Java VM envia os pacotes em texto claro, não através da conexão de túnel inteligente para o ASA. Isso foi solucionado pelo bug da Cisco ID CSCue17876, "Some java applets won't connect via smart tunnel on windows with jre1.7."

Histórico de revisões

Revisão Data de publicação Comentários
1.0
17-Dec-2013
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos