2016-06-18 05:17 PM
こんにちは
ASA5540 + OS:9.16(11) + AnyConnect:3.1.08009の構成で、エンドユーザにSSL-VPNサービスを提供しています。
6/15以降、急に接続できないユーザが増え始めました。
・タイミング的には、Windows Updateの後から接続不良多発とのエンドユーザからの申告が多い
・1~2時間後に再度テストすると接続できるようになります。
・特定のPCで発生するわけではなく、ランダムに発生する。
・接続に問題が発生するPCは、同時接続中の接続数のうち1%程度
・しかし、ランダムにいろいろなPCで事象が発生するので、
接続不具合を経験したPCの台数ののべ数は増加傾向
どなたか、類似の事象を経験している方はいますでしょうか。
■状況
1.中途半端な接続
ASDMのモニタリングや、show vpn-sessiondb anyconnectコマンドの出力でみると
親トンネルのみ存在して、TLSトンネル/DTLSトンネルが生成されていない接続が複数存在する。
とりあえず接続開始から30分以上経過したものは、見込みがないと判断してログオフ(切断)しています。
(親トンネルという言い方は、↓を参照しました。
「AnyConnect に関する FAQ: トンネル、再接続動作、および非アクティビティ タイマー」
http://www.cisco.com/cisco/web/support/JP/112/1120/1120375_116312-qanda-anyconnect-00.html)
2.クライアントPCでのAnyConnect Downloaderに関するエラー
エンドユーザへの確認や、エンドユーザに取得してもらったDARTログを確認すると、
PCで実行したAnyConnect Downloader(acvpndownloader.exe)が ASA5540と通信するところで
エラーを起こしているパターンが多いです。
(DARTログの抜粋を添付します)
仮にAnyConnect Downloaderの動作が原因とすると、切り分けとして、一時的にAnyConnect Downloaderを止めることが考えれます。
手順としてはAnyConnectLocalPolicy.xml→Bypass Downloaderの設定をfalseからtrueに変更すればよく、
自分のPCで試すとバイパスするようにはなりましたが、これをエンドユーザに展開していいものか気になっています。
(AnyConnectLocalPolicy.xmlについては↓を参照しました。
Cisco AnyConnect Secure Mobility Client Administrator Guide, Release 3.1の
Chapter: Enabling FIPS and Additional Security in the Local Policy
http://www.cisco.com/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect31/administration/guide/anyconnectadmin31/ac09localpolicy.html#88035
)
3.show asp dropの結果
show asp dropでは、
SVC Module does not have a session for reinjection (mp-svc-no-channel)
SVC Module is does not have a session (mp-svc-no-session)
など気になる項目のヒット件数が数万以上あるのが気になりますが(前回の再起動から3か月経過)、
まだ、captureコマンドで調べられていない状況です。(本番稼働機のため、承認をもらうのに手続きが必要)
■環境
・1台のASA5540での同時接続数500~700と結構多い環境です。(セッションタイムアウト時間を長く設定しているためです。)
・ASA5540・PCともに、AnyConnectのバージョンは同一で3.1.08009です。
・エンドユーザーは、プロキシがないネットワーク環境(家庭用と大差ない環境)から接続してくるパターンが多いです。
VPN接続時に、エンドユーザの社内NWのプロキシの接続情報が、クライアントPCに設定されます。
・AnyConnect Downloaderは内部でWinHTTPを使用しているようですが、PCにはWinHTTP用のプロキシは設定されていません。
(コマンドプロンプトのnetsh winhttp show proxyコマンドで確認)
よろしくお願いします。
2016-06-21 10:47 PM
こんにちは、vpndownloader でエラーになると、親トンネルだけになるので、被疑となりそうな場所は当たっていそうですね。vpndlownloader では新規でTLSが開始されるので、そのあたりのパケットキャプチャのほか、添付いただいた DARTのエラー前後の出力も見てみたいですが、おそらく何かおかしな動きが見えたとしても、その調査を結局しなければならないので、影響の大きさも鑑みて個人的には代理店やメーカに早めにお問い合わせされることをお勧めします。
2016-07-11 03:41 PM
hamburger14 さん
こんにちは。athirano1です。こちらについても返信ありがとうございます。
以下のいずれかの方法で回避できることがわかりました。
1.6/15に配信されたWindows UpdateのうちKB3161949(https://support.microsoft.com/ja-jp/kb/3161949)をアンインストールする。
2.KB3161949をアンインストールしない場合は、レジストリを変更する。
(WinHTTPがPAC ファイルを要求する動作について、KB3161949適用で動作が変更になったため、以前の動作に戻すようなレジストリ編集をおこなう)
3.AnyConnectのClient Profileを変更して、接続時にPCのプロキシ設定を参照しないようにする
4.インターネットエクスプローラのプロキシ設定を全てオフにする
5.サービス(vpnagent.exe)を再起動した後に接続を再試行する。
PCのインターネットエクスプローラにて「自動構成スクリプトを使用する」の設定を有効にして社内サーバからPACファイルをダウンロードするように設定してあります。(VPN接続後に意味を持つ設定です。)
社内サーバアクセス試行時には、まず名前解決を試みますが、VPN接続前は当然無駄な試行です。
無駄な試行をおこなった後に、アプリケーションvpnui.exeは、「サービスvpnagent.exeが応答しない」と判断することがあるようです。DARTログにもTimeout waiting for Agent to respondというログや、PUBLICPROXIES_ERROR_NO_INSTANCEというログがありました。
必ず再現するのではなく、Windowsログイン直後のHDDアクセスランプが激しく点滅している時に起こりやすいです。
シスコ社とマイクロソフトの両方に問い合わせましたが、両社とも「OSとアプリケーションにまたがった問題であるため、何とも回答できない。こちらでは情報を持っていない。」というような回答でした。
今のところ、対応策としては上記の3.を予定しています。(AnyConnectのClientProfileを変更して、PCのプロキシ設定を参照しないようにする変更)
この対応での懸念事項としては、クライアントPCでの安全なClientProfileのアップデートです。
(単なる上書きですと、フォルダ:C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\Profileのアクセス権設定にも依存しますが、ASAからPCにClientProgfileをプッシュする際に、File Move Errorを起こしてユーザにとって大問題となるためです。
別名ファイルにしてプッシュすると、ユーザからは「2つ目の接続先が現れた」と、これまた混乱の元になります。)
ということで、実際の変更作業の方法は検討中ですが、問題は概ね解消の方向に向かっている、といったところです。
ありがとうございました。
エキスパートの回答、ステップバイステップガイド、最新のトピックなどお気に入りのアイデアを見つけたら、あとで参照できるように保存しましょう。
コミュニティは初めてですか?これらのヒントを活用してスタートしましょう。 コミュニティの活用方法 新メンバーガイド