本文档介绍了一个故障排除场景，适用于无法通过 Cisco AnyConnect VPN 客户端运行的应用。

本文档没有任何特定的要求。

本文档中的信息基于运行 8.x 版本的思科自适应安全设备 (ASA)。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

此典型的故障排除情况适用于通过基于 Microsoft Windows 的计算机的最终用户的 Cisco AnyConnect VPN 客户端不工作的应用程序。这些部分提出以下问题并提供这些问题的解决方案：

请完成以下步骤：

注意：必须使隐藏文件夹可见，才能查看这些文件。

如果您在 setupapi 日志文件中看到错误，可以将信息详细程度设置提高为“0x2000FFFF”。

如果这是初始 Web 部署安装，则此日志位于每位用户的临时目录中。

如果这是自动升级，则此日志在系统的临时目录中：

文件名的格式为：anyconnect-win-x.x.xxxx-k9-install-yyyyyyyyyyyyyy.log。获取您要安装的客户端版本的最新文件。x.xxxx 根据版本更改，例如 2.0.0343；yyyyyyyyyyyyyy 是安装的日期和时间。

注意：键入此提示后，请等待。可能需要二到五分钟完成文件。

Windows XP 和 Windows Vista：

要调试驱动程序问题，请参阅AnyConnect：损坏的驱动程序数据库问题。

如果遇到 AnyConnect 客户端连接问题，例如连接断开或无法建立初始连接，请获取这些文件：

从 ASA 控制台键入 write net x.x.x.x:ASA-Config.txt，其中 x.x.x.x 是 TFTP 服务器在网络中的 IP 地址。

或者

从 ASA 的控制台，键入 show running-config。让屏幕上的配置完成，然后剪切并粘贴到文本编辑器并保存。

注：请始终将其保存为.evt文件格式。

如果用户无法与 AnyConnect VPN 客户端连接，则问题可能与已建立的远程桌面协议 (RDP) 会话或客户端 PC 上启用的快速用户切换有关。用户可以看到 AnyConnect profile settings mandate a single local user, but multiple local users are currently logged into your computer.A VPN connection will not be established 错误消息出现在客户端 PC 上。要解决此问题，请断开所有已建立的 RDP 会话并禁用快速用户切换。此行为由客户端配置文件中的 Windows 登录实施属性控制，但当前没有相关设置实际允许用户在多个用户同时登录同一台计算机时建立 VPN 连接。增强请求CSCsx15061 无法处理此功能。

注：确保端口443未被阻止，以便AnyConnect客户端可以连接到ASA。

当用户不能将 AnyConnect VPN 客户端连接到 ASA 时，问题也许由 AnyConnect 客户端版本与 ASA 软件镜像版本不兼容导致。在这种情况下，用户收到以下错误消息：The installer was not able to start the Cisco VPN client， clientless access is not available。

要解决此问题，请升级 AnyConnect 客户端版本，以与 ASA 软件镜像兼容。

当用户首次登录 AnyConnect 时，登录脚本不会运行。如果断开连接并再次登录，登录脚本将正常运行。这是预料之中的行为。

将AnyConnect VPN客户端连接到ASA时，您可能会收到以下错误： User not authorized for AnyConnect Client access， contact your administrator。

当 ASA 中缺少 AnyConnect 镜像时，将会看到此错误。一旦将镜像加载到 ASA，AnyConnect 就可以正常连接到 ASA。

此错误可以通过禁用数据报传输层安全 (DTLS) 来解决。转到配置 > 远程接入 VPN > 网络（客户端）接入 > AnyConnect 连接配置文件并取消选中启用 DTLS 复选框。这将禁用 DTLS。

当用户断开连接时，dartbundle文件会显示以下错误消息：TUNNELPROTOCOLDPDMGR_ERROR_NO_DPD_RESPONSE：安全网关无法响应失效对等体检测数据包。此错误意味着 DTLS 信道由于失效对等体检测 (DPD) 故障而中断。如果您调整 DPD 保持连接并发出以下命令，则会解决此错误：

在 ASA 版本 8.4 (1) 及更高版本中，svc keepalive 和 svc dpd-interval 命令分别应替换为 anyconnect keepalive 和 anyconnect dpd-interval 命令，如下所示：

如果在 ASA 上通过 AnyConnect 会话将流量传递到专用网络时检测到问题，请完成以下数据收集步骤：

示例：

例如，如果 VPN 客户端需要访问不在 VPN 网关的路由表里的资源，则数据包通过标准的默认网关路由。VPN 网关不需要完成内部路由表来解决此问题。可以在此实例中使用 tunneled 关键字。

完成以下数据收集步骤：

当发生崩溃时，请从 C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson 收集 .log 和 .dmp 文件。如果显示这些文件正在使用中，则请使用 ntbackup.exe。

注：请始终将其保存为.evt文件格式。

一些应用程序（例如 Microsoft Outlook）不工作。但是，隧道能通过其他流量，例如小 ping。

这可为网络中的分段问题提供线索。消费路由器尤其不擅长数据包分段和重组。

尝试一组 ping 操作，逐步扩大范围，以确定它是否会在达到特定大小时操作失败。例如，ping -l 500、ping -l 1000、ping -l 1500、ping -l 2000。

建议为遇到分段的用户配置特殊组，并将该组的 SVC 最大传输单元 (MTU) 设置为 1200。这允许您修正遇到此问题的用户，而不影响更多的用户群。

问题

一旦与 AnyConnect 连接，TCP 连接就暂停。

解决方案

要验证您的用户是否有分段问题，请调整 ASA 上 AnyConnect 客户端的 mtu。

问题

一旦连接终止，AnyConnect VPN 客户端就自行卸载。客户端日志显示“保持已安装”设置为已禁用。

解决方案

尽管在自适应安全设备管理器 (ASDM) 上选择了保持已安装选项，AnyConnect 仍自行卸载。要解决此问题，请根据组策略配置 svc keep-installer installed 命令。

问题：AnyConnect客户端已预填充主机名，而不是集群完全限定域名(FQDN)。

如果您为 SSL VPN 设置了负载均衡集群并且客户端尝试连接集群，该请求将被重定向到 ASA 节点并且客户端成功登录。一段时间后，当客户端再次尝试连接集群时，连接到条目中不显示集群 FQDN，而是显示客户端已重定向到的 ASA 节点条目。

解决方案

发生这种情况的原因是 AnyConnect 客户端会保留最后一次连接的主机名。系统我们已观察到此行为，并报告了漏洞。有关该漏洞的完整详细信息，请参阅思科漏洞 ID CSCsz39019。建议的解决方法是将思科 AnyConnect 升级到版本 2.5。

配置备份服务器列表的目的是为了防止用户选择的主服务器无法访问。请在 AnyConnect 配置文件的备份服务器窗格中定义此配置。请完成以下步骤：

SetupAPI.log 文件中的此条目表示目录系统损坏：

W239 驱动程序签名类别列表“C:\WINDOWS\INF\certclas.inf”缺失或无效。错误0xfffffde5：未知错误。假设所有设备类都受驱动程序签名策略约束。

您还可以收到此错误消息：Error(3/17)：无法启动VA、设置共享队列或VA放弃共享队列。

您可以在客户端上收到此日志：“VPN客户端驱动程序遇到错误”。

此问题是由于思科漏洞 ID CSCsm54689 引起的。要解决此问题，请确保在您启动 AnyConnect 前已禁用路由和远程访问服务。如果这不能解决问题，请完成这些步骤：

如果修复失败，请完成这些步骤：

您可以随时分析数据库以确定它是否有效。

有关详细信息，请参阅系统目录数据库完整性。

当SSL VPN通过Web浏览器连接时，会出现Unable to Update the Session Management Database.错误消息，并且ASA日志显示%ASA-3-211001: Memory allocation Error。自适应安全设备无法分配 RAM 系统内存。

此问题是由于思科漏洞 ID CSCsm51093 引起的。要解决此问题，请重新加载 ASA 或将 ASA 软件升级到 Bug 中提及的临时版本。请参阅Cisco Bug ID CSCsm51093 。

如果使用了威胁检测，则禁用 ASA 上的威胁检测也可以解决此问题。

如果在笔记本电脑或 PC 上使用 AnyConnect 客户端，安装过程中会出现错误：

遇到此错误时，安装程序无法继续，将删除客户端。

这些是可能解决此错误的应急方案：

AnyConnect 客户端上与此错误相关的日志消息与此类似：

当客户端尝试使用思科 AnyConnect VPN 客户端连接 VPN 时，将收到此错误。

从安全网关收到此消息：

“Illegal address class”或“Host or network is 0”或“Other error”

造成此问题的原因是 ASA 本地 IP 池耗尽。由于 VPN 池资源耗尽，必须扩大 IP 池范围。

针对此问题报告的思科漏洞 ID 是 CSCsl82188。如果用于分配的本地地址池资源耗尽，或者将 32 位子网掩码用于地址池，通常会出现此错误。解决方法是扩展地址池，并为池使用 24 位子网掩码。

当您尝试通过 AnyConnect VPN 客户端连接两个以上的客户端时，客户端上会收到登录失败错误消息，并且 ASA 日志中会出现无法建立会话警告消息。session limit of 2 reached 警告消息。我有 ASA 的 AnyConnect essential 许可证，ASA 运行版本 8.0.4。

出现此错误的原因是 ASA 版本 8.0.4 不支持 AnyConnect essential 许可证。您需要将 ASA 升级到版本 8.2.2。这将解决该错误。

注意：无论使用何种许可证，如果达到会话限制，用户都将收到login failed错误消息。

如果使用 vpn-sessiondb max-anyconnect-premium-or-essentials-limit session-limit 命令设置允许建立的 VPN 会话数量限制，也会出现此错误。如果会话限制设置为两个，则即使安装的许可证支持更多会话，用户也无法建立两个以上的会话。请将会话限制设置为所需的 VPN 会话数，以避免出现此错误消息。

尝试将 Anyconnect 连接到 ASA 时，会收到 VPN 服务器上未启用 Anyconnect 错误消息。

如果通过 ASDM 在 ASA 的外部接口上启用 AnyConnect，则可以解决此错误。有关如何在外部接口上启用 AnyConnect 的详细信息，请参阅在 ASA 上配置无客户端 SSL VPN (WebVPN)。

ASA的日志中显示%ASA-6-722036: Group < client-group > User < xxxx > IP < x.x.x.x> Transmitting large packet 1220(threshold 1206)错误消息。此日志意味着什么？如何解决此问题？

此日志消息说明已向客户端发送了一个大型数据包。数据包的源不能识别客户端的 MTU。这也可能是由于对不可压缩的数据进行了压缩所致。解决方法是使用 svc compression none 命令关闭 SVC 压缩。这将解决该问题。

当您连接到AnyConnect客户端时，会收到以下错误：“安全网关已拒绝代理的vpn连接或重新连接请求。”(The secure gateway has rejected the agent’s vpn connect or reconnect request.)新连接需要重新进行身份验证，并且必须手动启动。如果此问题仍然存在，请与网络管理员联系。从安全网关收到了以下消息：no assigned address"。

当您连接到AnyConnect客户端时，也会收到此错误：“安全网关已拒绝连接尝试。需要尝试与同一安全网关或其他安全网关建立新连接，必须重新进行身份验证。从安全网关收到了以下消息：主机或网络为0"。

当您连接到AnyConnect客户端时，也会收到此错误：“安全网关已拒绝代理的vpn连接或重新连接请求。”(The secure gateway has rejected the agent’s vpn connect or reconnect request.)新连接需要重新进行身份验证，并且必须手动启动。如果问题仍然存在，请与网络管理员联系。从安全网关收到以下消息：No License"。

重新加载后，路由器缺少池配置。您需要将相关配置重新添加到路由器中。

“安全网关拒绝了代理的 VPN 连接或重新连接请求。新连接需要重新进行身份验证，并且必须手动启动。如果问题仍然存在，请与网络管理员联系。从安全网关收到以下消息：AnyConnect移动许可证缺失时，出现No License（无许可证）错误。安装许可证后，便可解决问题。

当您尝试在WebPortal中进行身份验证时，会收到以下错误消息：“无法更新会话管理数据库”。

此问题与 ASA 上的内存分配有关。如果 ASA 版本为 8.2.1，通常会遇到此问题。最初，需要使用 512MB RAM 才能实现完整功能。

要永久解决此问题，请将内存升级到 512MB。

作为临时解决方法，请尝试通过以下步骤释放内存：

尝试连接 AnyConnect 时，客户端计算机上会收到此错误消息。

为了解决此错误，请完成以下步骤，手动将 AnyConnect VPN 代理设置为交互式：

这会将 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vpnagent 的注册表类型值 DWORD 设置为 110（默认值为 010）。

注意：如果要使用此项，则首选在此实例中使用.MST转换。这是因为如果您使用这些方法手动设置此选项，则每次安装/升级流程后都需要设置此选项。因此，您需要确定导致此问题的应用。

在Windows PC上启用路由和远程访问服务(RRAS)时，AnyConnect失败，并且VPN客户端驱动程序遇到错误。错误消息。为了解决此问题，请确保在启动 AnyConnect 之前禁用路由和 RRAS。有关详细信息，请参阅思科漏洞 ID CSCsm54689。

AnyConnect 客户端无法连接到思科 ASA。AnyConnect 窗口中显示的错误是“无法处理来自 xxx.xxx.xxx.xxx 的响应”。

要解决此错误，请尝试以下解决方法：

如果这些解决方法都无法解决问题，请与思科技术支持部门联系。

收到此错误：

可以通过以下方法解决此问题：在卸载 AnyConnect 客户端时，删除防病毒软件，然后重新安装 AnyConnect 客户端。如果此解决方案不起作用，则重新格式化 PC 以解决此问题。

尝试启动 AnyConnect 时，收到此错误：

要解决此错误，请使用以下解决方法：

在 ASA 版本 8.4(1) 及更高版本中，svc mtu 命令应替换为 anyconnect mtu 命令，如下所示：

hostname(config-group-webvpn)#anyconnect mtu 500

问题

AnyConnect 在连接到客户端时收到此错误：

如果对 AnyConnect 配置文件进行如下更改，则可以解决此问题：

将此行添加到 AnyConnect 配置文件中：

问题

在 Windows 7 中，如果将 IE 代理设置配置为自动检测设置，并且 AnyConnect 向下推送新的代理设置，则在用户结束 AnyConnect 会话后，IE 代理设置不会恢复为自动检测设置。如果用户需要将代理设置配置为自动检测设置，则在这种情况下会遇到局域网问题。

思科漏洞 ID CSCtj51376 中记录了此行为。建议的解决方法是升级到 AnyConnect 3.0。

尝试启用 AnyConnect 基础版许可证时，会在思科 ASDM 上收到此错误消息：

这是 ASA 的正常行为。AnyConnect 基础版是拥有单独许可的 SSL VPN 客户端。它全部在 ASA 上配置，并提供完整的 AnyConnect 功能，以下情况下例外：

此许可证不能与共享 SSL VPN 高级许可证同时使用。当您需要使用其中一个许可证时，需要禁用其他许可。

连接到 AnyConnect 客户端后，Internet Explorer 的 Internet 选项中的连接选项卡会隐藏起来。

这是由于 msie-proxy lockdown 功能导致的。启用此功能，将会在 AnyConnect VPN 会话期间隐藏 Microsoft Internet Explorer 中的“连接”选项卡。如果禁用此功能，则不会更改“连接”选项卡的显示会保持不变。

很多用户能够通过 AnyConnect VPN 成功连接，有少数用户则会收到“登录失败”错误消息。

确保为用户选中了不要求预先身份验证复选框，则可以解决此问题。

在 AnyConnect 配置文件更新过程中，系统显示一个错误，指出证书无效。此问题仅在 Windows 上更新配置文件的过程中出现。该错误消息显示如下：

如果修改 AnyConnect 配置文件的服务器列表以使用证书的 FQDN，则可以解决此问题。

以下是 XML 配置文件的示例：

vpn1.ccsd.net

注：如果服务器的公有IP地址存在条目，如，则将其删除并仅保留服务器的FQDN(例如，，但不保留)。

从 CSD Vault 启动 AnyConnect 时，AnyConnect 不运行。该操作是在 Windows 7 计算机上尝试执行的。

目前无法执行该操作，因为不受支持。

AnyConnect 3.0 VPN 客户端可以与 ASA 版本 8.4.1 软件配合使用。但是，在故障切换之后，没有与 AnyConnect 配置文件相关的配置复制。

此问题已被发现并记录在思科漏洞 ID CSCtn71662 下。临时解决方法是手动将文件复制到备用单元设备。

发生这种情况时，AnyConnect 事件日志包含与以下内容类似的条目：

Description : Function: CTransportWinHttp::InitTransportFile: .\CTransportWinHttp.cppLine: 252Invoked Function: CConnectedStateIfc::SetConnectedStateToConnectedReturn Code: -25362420 (0xFE7D000C)Description: CADAPTERNETWORKSTATEIFC_ERROR_SET_OPTION

此行为已被发现并记录在思科漏洞 ID CSCtx28970 下。为了解决这个问题，请退出 AnyConnect 应用并重启。重启后，连接条目会重新显示。

AnyConnect 客户端无法连接，并且收到无法建立连接错误消息。在 AnyConnect 事件日志中，发现 TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER 错误。

如果头端的分离隧道配置了非常大的分离隧道列表（大约 180-200 个条目），并且在组策略（如 dns-server）中配置了一个或多个其他客户端属性，则会出现此错误。

要解决此问题，请完成以下步骤：

有关详细信息，请参阅思科漏洞 ID CSCtc41770。

使用证书对 AnyConnect 进行身份验证时，会收到由于主机条目无效，连接尝试失败错误消息。

为了解决此问题，请尝试以下任一解决方案：

有关详细信息，请参阅思科漏洞 ID CSCti73316。

在 AnyConnect 上启用“永远在线”功能时，会收到如果您配置了永远在线 VPN，请确保您的服务器证书可以通过严格模式错误消息。

此错误消息意味着，如果要使用“永远在线”功能，您需要在头端配置一个有效的服务器证书。如果没有有效的服务器证书，此功能将无法正常运行。“严格证书模式”是您在 AnyConnect 本地策略文件中设置的选项，目的是确保连接使用有效的证书。如果在策略文件中启用此选项并使用假证书进行连接，则连接将失败。

以下 AnyConnect 诊断报告工具 (DART) 显示一次失败的尝试：

Description : Function: CTransportWinHttp::SendRequestFile: .\CTransportWinHttp.cppLine: 1170Invoked Function: HttpSendRequestReturn Code: 12004 (0x00002EE4)Description: An internal error occurred in the Microsoft Windows HTTP Services *****************************************Date : 03/25/2014Time : 09:52:21Type : ErrorSource : acvpnui

Description : Function: ConnectIfc::connectFile: .\ConnectIfc.cppLine: 472Invoked Function: ConnectIfc::sendRequestReturn Code: -30015443 (0xFE36002D)Description: CTRANSPORT_ERROR_CONN_UNKNOWN******************************************Date : 03/25/2014Time : 09:52:21Type : ErrorSource : acvpnui

Description : Function: ConnectIfc::TranslateStatusCodeFile: .\ConnectIfc.cppLine: 2999Invoked Function: ConnectIfc::TranslateStatusCodeReturn Code: -30015443 (0xFE36002D)Description: CTRANSPORT_ERROR_CONN_UNKNOWNConnection attempt failed. Please try again.

******************************************

另外，请参阅 Windows 计算机上的事件查看器日志。

这可能是由于 Winsock 连接损坏造成的。请使用以下命令通过从命令提示符下使用以下命令重置连接，然后重启 Windows 计算机：

netsh winsock reset

有关详细信息，请参阅如何在 Windows Server 2003、Windows XP 和 Windows Vista 中确定 Winsock2 损坏并恢复 Winsock2 知识库文章。

以下 AnyConnect 诊断报告工具 (DART) 显示一次失败的尝试：

Description : Function: CTransportWinHttp::handleRequestErrorFile: .\CTransportWinHttp.cppLine: 854The SSL transport received a Secure Channel Failure.  May be a result of a unsupported crypto configuration on the Secure Gateway.

******************************************Date        : 10/27/2014Time        : 16:29:09Type        : ErrorSource      : acvpnui

Description : Function: CTransportWinHttp::SendRequestFile: .\CTransportWinHttp.cppLine: 1199Invoked Function: CTransportWinHttp::handleRequestErrorReturn Code: -30015418 (0xFE360046)Description: CTRANSPORT_ERROR_SECURE_CHANNEL_FAILURE

******************************************Date        : 10/27/2014Time        : 16:29:09Type        : ErrorSource      : acvpnui

Description : Function: ConnectIfc::TranslateStatusCodeFile: .\ConnectIfc.cppLine: 3026Invoked Function: ConnectIfc::TranslateStatusCodeReturn Code: -30015418 (0xFE360046)Description: CTRANSPORT_ERROR_SECURE_CHANNEL_FAILUREConnection attempt failed.  Please try again.******************************************

根据以下 KB 更新，Windows 8.1 不支持 RC4：

http://support2.microsoft.com/kb/2868725

使用命令“ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 des-sha1”在 ASA 上为 SSL VPN 配置 DES / 3DES 密码，或者编辑客户端计算机上的 Windows 注册表文件，如下所述：

https://technet.microsoft.com/en-us/library/dn303404.aspx