Dieses Dokument enthält Informationen zu einer Fehlermeldung im Cisco Adaptive Security Device Manager (ASDM).
Dieses in der Cisco Support Community bereitgestellte Video zeigt, wie Sie einige der häufigsten ASDM-Zugriffsprobleme beheben:
Es gibt keine spezifischen Anforderungen für dieses Dokument.
Die Informationen in diesem Dokument basieren auf Cisco ASDM 5.0 und höher.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).
Wenn Sie im ASDM auf die Registerkarte Configuration (Konfiguration) klicken, wird möglicherweise die folgende Fehlermeldung angezeigt: "Sie sind nur zum Zugriff auf die Home- und Überwachungsansichten berechtigt".
Der Fehler tritt aufgrund der Benutzerberechtigung auf. Öffnen Sie die PIX/ASA CLI-Eingabeaufforderung, und erstellen Sie den neuen Benutzer und das neue Kennwort mit der vollen Berechtigung 15, wie hier gezeigt:
ASA(config)#username cisco password cisco123 priv 15
Mit der vollständigen Privilegstufe können Sie sich beim ASDM anmelden.
Wenn Sie versuchen, die ASDM-Schnittstelle auszuführen, weist das Abbild "Ihre Firewall" eine Null-Versionsnummer auf, die vom ASDM-Fehler nicht unterstützt wird.
Derselbe Fehler in FWSM wird angezeigt wie:
Your FWSM image has a version number unknown which is not supported by ASDM
Dieser Fehler wird durch einen der folgenden Gründe verursacht:
Kein ASDM-Image im Flash-Speicher
Keine aaa-bezogene Konfiguration für ASDM-Zugriff über http
Inkompatible Java-Version
Überprüfen Sie, ob das kompatible ASDM-Image im Flash-Speicher vorhanden ist, und geben Sie dann den Speicherort des Images an:
ASA(config)#show asdm image
ASA(config)#asdm image flash:asdm-XXX.bin
Geben Sie den Befehl aaa für den ASDM-Zugriff über http:
ASA(config)#aaa authentication http consoleLOCAL
Überprüfen Sie, ob die Java-Version kompatibel ist. Führen Sie dann ein entsprechendes Upgrade/Downgrade der Java-Version durch, und installieren Sie JRE.
Wenn Sie versuchen, über eine VPN-Verbindung auf den ASDM zuzugreifen, stellen Sie sicher, dass der Befehl management-access <Name der ASDM-Zugriffsschnittstelle> auf der ASA konfiguriert ist. Wenn beispielsweise über die interne Schnittstelle auf den ASDM zugegriffen wird, verwenden Sie den Befehl management-access Inside.
Wenn Sie eine 64-Bit-Java-Version unter Windows verwenden, führt dies zum Ausfall des ASDM Launchers, und der Launcher wird nicht ausgeführt.
Dieses Problem ist in Cisco Bug-ID CSCtb86774 dokumentiert (nur für registrierte Kunden).
Die Problemumgehung besteht darin, den ASDM über den Webbrowser auszuführen.
Dieses Protokoll wird angezeigt, wenn Sie versuchen, ASDM zu laden (das nicht geladen werden kann):
%ASA-7-725014: SSL lib error. Function: SSL3_GET_CLIENT_HELLO Reason: no shared cipher
Um dieses Problem zu beheben, verwenden Sie einen alternativen oder zusätzlichen Verschlüsselungsalgorithmus und den Befehl ssl encryption:
ASA(config)# ssl encryption rc4-sha1 ASA(config)# ssl encryption rc4-md5
Diese Fehlermeldung wird angezeigt, wenn Sie auf den ASDM zugreifen:
Um dieses Problem zu beheben, überprüfen Sie, ob ein kompatibles ASDM-Image im Flash-Speicher vorhanden ist:
ASA#show asdm image
Dieses Problem wird durch den Cisco Bug CSCsm39805 verursacht (nur registrierte Kunden). Daher kann ASDM nicht gestartet werden.
Um dieses Problem zu beheben, greifen Sie über die CLI auf die ASA zu, und weisen Sie dem HTTP-Server zu, einen anderen Port zu überwachen.
Beispiel 1:
ASA(config)#no http server enable ASA(config)#http server enable 444
Beispiel 2:
ASA(config)#no http server enable 8923 ASA(config)#http server enable 8924
Dieses Problem wird durch den Cisco Bug CSCsr89144 (nur für registrierte Kunden) in ASA verursacht, der seit mehr als einem Jahr mit ASDM 6.0.3 oder 6.1 ausgeführt wird. Daher kann ASDM nicht gestartet werden.
Dieser Fehler kann durch erneutes Laden der ASA behoben werden.
Dieses Problem tritt auf, wenn ein Benutzer versucht, über ASDM eine Verbindung mit dem ASA-Gerät herzustellen.
Laden Sie die ASA neu.
Dieses Problem wird durch den Cisco Bug CSCsx39786 (nur für registrierte Kunden) in ASA mit ASA 7.2.4 und ASDM 5.2.4 verursacht. Daher kann ASDM nicht gestartet werden.
Downgrade auf Java 6 Update 7.
Der Benutzer kann den VPN-Tunnel nicht mithilfe von ASDM zurücksetzen.
Wählen Sie Monitoring > VPN > VPN Statistics > VPN Session aus, und wählen Sie Active Tunnel und melden Sie sich ab, um den Tunnel zurückzusetzen.
ASDM kann aufgrund einer nicht übereinstimmenden Java-Version nicht gestartet werden.
Um diesen Fehler zu vermeiden, gehen Sie wie folgt vor:
Downgrade der Java-Version auf Version 6, Update 7.
Bearbeiten Sie die Konfigurationsdatei für den adsm-launcher, und ändern Sie den Java-Pfad zu dem Ordner, der die Datei jvm.dll enthielt.
Der Trefferzähler von ASDM zeigt keinen Wert an, einschließlich 0.
ASDM sendet immer eine Anforderung für alle ACLs in einer HTTP-Server-Anforderungszeichenfolge an FWSM. Das FWSM-Gerät kann die superlange Anforderung an seinen HTTPS-Server nicht vom ASDM verarbeiten, verfügt nicht über ausreichend Pufferspeicher und beendet die Anforderung schließlich. Wenn zu viele Zugriffslisten vorhanden sind, wird die Anforderung von ASDM an das FWSM zu lang, als dass das FWSM sie verarbeiten könnte. Daher erhält er nicht die richtige Antwort. Dies ist ein erwartetes Verhalten in Bezug auf die Funktionen von ASDM und FWSM. Die Bugs CSCta01974 (nur registrierte Kunden) und CSCsz14320 (nur registrierte Kunden) wurden gemeldet, um dieses Verhalten ohne bekannte Problemumgehung zu beheben. Eine vorübergehende Problemumgehung besteht darin, die ACL-Treffer über die CLI zu überwachen.
Es gibt mehrere andere Bugs, die dieses Problem beheben und durch einen anderen Bug ersetzt werden, CSCsl15055 (nur registrierte Kunden) . Dieser Fehler zeigt, dass das Problem in 6.1(1.54) behoben ist. Für FWSM ist die feste ASDM-Version 6.2.1F. Das Problem wurde behoben, indem angepasst wurde, wie der ASDM die ACL-Informationen vom FWSM abfragt. Anstatt eine große, lange Anforderungszeichenfolge zu senden, die alle Zugriffslisteninformationen enthält, teilt der ASDM diese nun in mehrere aussagekräftige Anforderungen auf und sendet sie zur Verarbeitung an den FWSM.
Hinweis: Der Zugriffslisteneintrag für die Trefferanzahl in FWSM wird ab Version 4.0 unterstützt.
Der Benutzer kann nicht auf ASDM zugreifen, wenn die SSL-Verschlüsselungsstufe auf dem PC auf AES256-SHA1 festgelegt ist.
Dieses Problem tritt auf, wenn der Befehl ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1 verwendet wird, der die Verschlüsselungsstufe auf AES256-SHA1 festlegt. Das Problem kann durch Entfernen dieses Befehls oder durch Installieren der JCE-Version von Java behoben werden, sodass der PC mit AES 256 kompatibel wird.
Beim Bearbeiten eines vorhandenen Netzwerkobjekts mit ASDM Version 6.4.5 wird das Objekt aus der Liste aller Objekte entfernt, wenn Sie auf OK klicken.
Downgraden Sie auf ASDM Version 6.2.4, um dieses Problem zu beheben.
Der Benutzer empfängt den ASDM, der nicht geladen werden kann. Unverbundene Sockets nicht implementiert. Fehlermeldung beim Zugriff auf den ASDM.
Diese Fehlermeldung ist das Ergebnis einer Inkompatibilität zwischen der ASDM-Version und der Java-Version und wird unter der Cisco Bug-ID CSCsv12681 protokolliert (nur für registrierte Kunden).
Führen Sie eine der folgenden Methoden aus, um dieses Problem zu beheben:
Führen Sie ein Upgrade des ASDM auf Version 6.2 oder höher durch.
Geben Sie als Java-Version Java 6 Update 7 an.
Leistungsprobleme beim ASDM, wenn die Konfiguration auf einem Windows-Computer 512 KB überschreitet.
ASDM unterstützt eine maximale Konfigurationsgröße von 512 KB. Wenn Sie diesen Wert überschreiten, können Leistungsprobleme auftreten. Wenn Sie beispielsweise die Konfiguration laden, zeigt das Statusdialogfeld den Prozentsatz der abgeschlossenen Konfiguration an. Bei großen Konfigurationen wird die Inkrementierung jedoch gestoppt, und der Betrieb scheint unterbrochen zu werden, obwohl die Konfiguration möglicherweise noch von ASDM verarbeitet wird. In diesem Fall sollten Sie eine Erhöhung des ASDM-System-Heap-Speichers in Betracht ziehen.
Um die Größe des ASDM-Heaps zu erhöhen, ändern Sie die Verknüpfung des Launchers.
Führen Sie diese Schritte aus:
Klicken Sie mit der rechten Maustaste auf die Verknüpfung für den ASDM-IDM Launcher, und wählen Sie Eigenschaften.
Klicken Sie auf die Registerkarte Verknüpfung.
Ändern Sie im Feld Ziel das Argument mit dem Präfix -Xmx, um die gewünschte Heapgröße anzugeben. Ändern Sie ihn beispielsweise in -Xmx768m für 768 MB oder -Xmx1g für 1 GB. Weitere Informationen zu diesem Parameter finden Sie unter dem Thema Xmx in diesem Oracle-Dokument.
Hinweis: Diese Lösung gilt nur für Windows-PCs.
Nach dem Upgrade auf Java 1.6.0_18 generiert ASDM 6.2 den folgenden Fehler:
Ihre aktuelle Java-Speicher-Heap-Größe beträgt weniger als 512 MB. Sie müssen die Größe des Java-Speicher-Heaps erhöhen, bevor Sie auf die IPS-Funktion zugreifen können.
Um dieses Problem zu beheben, müssen Sie die Speicherspezifikation auf 512 MB erhöhen:
Verwenden Sie den ASDM-Launcher unter Windows:
Für ASDM-Versionen kleiner/gleich 6.2 - Klicken Sie mit der rechten Maustaste auf das ASDM-Launcher-Symbol auf dem Desktop, und ändern Sie den Zielzeichenfolgenwert von -Xmx256m in -Xmx512m.
Bei ASDM-Versionen über 6.2 - Wechseln Sie zur Datei C:\Program Files\Cisco Systems\ASDM\asdm-launcher.config, und aktualisieren Sie die Zeichenfolge -Xmx256m auf -Xmx512m.
Verwenden Sie die Option ASDM ausführen unter Windows/Linux:
Wenn die Option ASDM ausführen ausgewählt ist, erhalten Sie eine Option zum Herunterladen der Datei asdm.jnlp oder zum Aufrufen des ASDM mithilfe von Java Webstart. Nachdem Sie die Datei asdm.jnlp heruntergeladen haben, bearbeiten Sie sie, um den Wert für "max-heap-size" von 256m auf 512m zu ändern. Dann rufen Sie die Datei asdm.jnlp mit Java Webstart auf, um ASDM aufzurufen.
Weitere Informationen finden Sie unter der Cisco Bug-ID CSCtf21045 (nur für registrierte Kunden).
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
28-Apr-2009 |
Erstveröffentlichung |