In diesem Abschnitt werden verschiedene SSL VPN-Plus-Probleme und deren Behebung erläutert.

Problem

  • SSL VPN-Plus-Authentifizierung schlägt fehl.

  • Installation des SSL VPN-Plus Client schlägt fehl.

  • Eine der folgenden Fehlermeldungen angezeigt:

    • Das Windows-Fenster für Netzwerkeigenschaften ist geöffnet!! Um die Installation fortzusetzen, schließen Sie das Windows-Fenster für die Netzwerkeigenschaften.

    • Treiberinstallation aus folgendem Grund fehlgeschlagen: E000024B. Führen Sie einen Systemneustart durch.

    • Die Installation ist fehlgeschlagen. Beim Installationsprogramm ist ein Fehler aufgetreten, sodass die Installation nicht durchgeführt werden kann. Wenden Sie sich an den Hersteller der Software, um Unterstützung zu erhalten.

Ursache

Die mögliche Ursache kann ein Problem mit der Installation, mit der Authentifizierung oder mit der Kommunikation sein. Jeder Schritt enthält Anleitungen oder eine entsprechende Referenz, mit denen Sie mögliche Ursachen beseitigen und korrigierende Maßnahmen wie erforderlich vornehmen können. Die Schritte werden in der für die Isolierung des Problems und für die Ermittlung der entsprechenden Lösung am geeignetsten erscheinenden Reihenfolge aufgeführt.

Prozedur

  1. Probleme bei der Installation von SSL VPN-Plus Client: Stellen Sie sicher, dass das Betriebssystem von SSL VPN Client unterstützt wird. Weitere Informationen finden Sie im Abschnitt zu SSL VPN-Plus im Dokument Administratorhandbuch für NSX.
    1. Für Windows 8.1 – Das automatisch heruntergeladene Installationsprogramm wird standardmäßig blockiert. Speichern Sie das Installationsprogramm, heben Sie dessen Blockierung auf und führen Sie es anschließend aus.
    2. Für SSL VPN Client – Installieren Sie SSL VPN Client auf dem Endbenutzercomputer. Die Installation erfordert Administratorrechte.
    3. Für SSL VPN Portal – Sie benötigen für den Zugriff darauf einen beliebigen Browser mit aktivierten Cookies und aktiviertem JavaScript.
  2. Authentifizierungsprobleme: Überprüfen Sie die folgenden Einstellungen:
    1. Stellen Sie sicher, dass der externe Authentifizierungsserver von NSX Edgeaus erreichbar ist. Pingen Sie in NSX Edge den Authentifizierungsserver an und überprüfen Sie, ob der Server erreichbar ist.
    2. Überprüfen Sie die Konfiguration des externen Authentifizierungsservers mithilfe von Tools wie LDAP-Browser und stellen Sie fest, ob die Konfiguration funktioniert. Es können mithilfe des LDAP-Browsers nur LDAP- und AD-Authentifizierungsserver überprüft werden.
    3. Stellen Sie sicher, dass für den lokalen Authentifizierungsserver die niedrigste Priorität festgelegt ist, wenn diese im Authentifizierungsprozess konfiguriert wird.
    4. Wenn Sie Active Directory (AD) verwenden, legen Sie dafür den no-ssl-Modus fest und führen Sie die Paketerfassung für die Schnittstelle durch, von der der Active Directory-Server erreichbar ist.
    5. Wenn die Authentifizierung erfolgreich im Syslog-Server durchgeführt wurde, wird eine Meldung folgender Art angezeigt: Log Output - SVP_LOG_NOTICE, 10-28-2013,09:28:39,Authentication,a,-,-,10.112.243.61,-,PHAT,,SUCCESS,,,10-28-2013,09:28:39,-,-,,,,,,,,,,-,,-,
    6. Wenn die Authentifizierung im Syslog-Server fehlschlägt, wird eine Meldung folgender Art angezeigt: Log Output - SVP_LOG_NOTICE, 10-28-2013,09:28:39,Authentication,a,-,-,10.112.243.61,-,PHAT,,FAILURE,,,10-28-2013,09:28:39,-,-,,,,,,,,,,-,,-,
  3. Kommunikationsprobleme:
    • Stellen Sie sicher, dass der SSL VPN-Prozess ausgeführt wird:

    1. Melden Sie sich bei der Edge-Appliance von der Befehlszeilenschnittstelle an. Weitere Informationen finden Sie im Dokument Befehlszeilenschnittstellen-Referenz zu NSX.
    2. Führen Sie den Befehl show process monitor aus und suchen Sie den Prozess sslvpn.
    3. Führen Sie den Befehl show service network-connections aus und prüfen Sie, ob der Prozess sslvpn auf Port 443 aufgelistet ist.
    • SSL VPN Portal/SSL VPN-Plus Client zeigt folgende Meldung an: Maximale Anzahl an Benutzern wurde erreicht/Die für die SSL VPN-Plus-Lizenz maximal zulässige Anzahl von Benutzern ist angemeldet. Versuchen Sie es später erneut oder Lesen von SSL ist fehlgeschlagen.

    1. Um dieses Problem zu beheben, erhöhen Sie weiter die Anzahl gleichzeitiger Benutzer (Concurrent Users, CCU), indem Sie den NSX Edge-Formfaktor von niedriger zu höher (Änderung von kompakt zu groß) ändern. Weitere Informationen finden Sie im Dokument Administratorhandbuch für NSX. Beachten Sie, dass die verbundenen Benutzer vom VPN getrennt werden, wenn Sie diesen Vorgang durchführen.
    • Auf Back-End-Anwendungen kann nicht zugegriffen werden.

    1. Das Back-End-Netzwerk (privates Netzwerk) und der IP-Pool dürfen sich nicht im selben Subnetz befinden.
    2. Melden Sie sich bei der Edge-Befehlszeilenschnittstelle (CLI) an und führen Sie für die Schnittstelle na0 eine Paketerfassung durch Ausführung des Befehls debug packet capture interface na0 durch.
      Anmerkung:

      Die Paketerfassung wird weiter im Hintergrund ausgeführt, bis Sie die Erfassung durch Ausführung des Befehls no debug packet capture interface na0 beenden.

    3. Wenn die TCP-Optimierung nicht aktiviert ist, überprüfen Sie die Firewallregeln.
    4. Für den Nicht-TCP-Datenverkehr stellen Sie sicher, dass für das Back-End-Netzwerk das Standard-Gateway als interne Schnittstelle des Edge festgelegt ist.
    5. Für den Linux-Client melden Sie sich bei dem Linux-System an, auf dem SSL VPN Client installiert ist, und führen Sie die Paketerfassung für die Schnittstelle tap0 oder für den virtuellen Adapter durch Ausführung des Befehls tcpdump -i tap0 -s 1500 -w filepath durch.
    • Die SSL VPN Portal-Seite wird nicht korrekt dargestellt.

    1. Wenn Englisch nicht als Sprache festgelegt ist, wählen Sie für die Sprache Englisch aus und überprüfen Sie, ob das Problem damit behoben ist.
    2. Überprüfen Sie, ob die AES-Verschlüsselung auf dem SSL VPN-Server aktiviert ist. Einige Browser wie z. B. Internet Explorer 8 unterstützen die AES-Verschlüsselung nicht.
    • Folgende Befehle sind für die Fehlerbehandlung bei Kommunikationsproblemen hilfreich:

      • Um den SSL VPN-Status zu prüfen, führen Sie den Befehl show service sslvpn-plus aus.

      • Um die SSL VPN-Statistiken zu prüfen, führen Sie den Befehl show service sslvpn-plus stats aus.

      • Um miteinander verbundene VPN-Clients zu prüfen, führen Sie den Befehl show service sslvpn-plus tunnels aus.

      • Um Sitzungen zu prüfen, führen Sie den Befehl show service sslvpn-plus sessions aus.