AnyConnect VPN Client に関する FAQ

CscTsWebDocs · ‎2011-03-29

概要
トラブルシューティング
1) ASA 8.x: AnyConnect VPN Client トラブルシューティングテクニカルノート
関連情報

概要

このドキュメントには、Cisco AnyConnect VPN Client に関連する FAQ（よくあるご質問とその回答）が記載されています。ドキュメントの表記規則については、「シスコテクニカルティップスの表記法」を参照してください。

Q. AnyConnect クライアントを使用するにはどのレベルの権限が必要ですか。

A. 初回インストール時には管理者権限が必要です。ただし、その後のアップグレードでは、管理者レベルの権限は必要ありません。

一般ユーザ（権限が制限されたユーザ）が AnyConnect をインストールできるようにするための機能は備わっていません。

Q. AnyConnect をインストールまたはアップグレードした後、再起動する必要がありますか。

A. いいえ。IPsec VPN Client と異なり、AnyConnect のインストール後またはアップグレード後に再起動する必要はありません。

Q. AnyConnect weblaunch インストールは 64 ビットブラウザ（Internet Explorer など）でサポートされますか。

A. 64 ビット IE ブラウザでは、weblaunch を使用して AnyConnect をインストールできません。

Q. 同一 PC 上で、他社製の IPSec クライアントや SSL VPN クライアントと AnyConnect を同時に実行できますか。

A. はい。ただし、すべての AnyConnect バージョンに以下の規則が適用されます。

サードパーティ製品が無効になっており、以下に該当する場合、AnyConnect クライアントは正常に機能します。

サードパーティソフトウェアの非動作時にアクティブなままになる WinSock LSP をインストールしない。
サードパーティソフトウェアの非動作時にアクティブなままになるローカル http プロキシをインストールしない。
サードパーティソフトウェアの非動作時にトラフィックを傍受し続けるドライバをインストールしない。

さらに、物理インターフェイスの MTU に対する制約がパフォーマンス低下につながる可能性もあります。

Q. AnyConnect weblaunch を実行した場合、AnyConnect セッションの確立後にブラウザを開いままにするのはなぜですか。

A. いくつかの理由があります。

AnyConnect トンネル/セッションを開始した後でも、ユーザは Clientless ポータルを引き続き使用できます。
現在のブラウザは、1 つのプロセスで複数のウィンドウが表示されるタブ型ウィンドウを採用しています。したがって、AnyConnect エージェントがブラウザプロセスを強制終了すると、Clientless ポータルのタブだけでなく、そのプロセスのすべてのタブ/ウィンドウが失われてしまいます。

注：現在のところ、AnyConnect トンネルの確立時にブラウザプロセスを強制終了する機能はありません。SSL VPN Client（SVC 1.x）はこの機能をサポートしていました。

Q. Adaptive Security Appliance（ASA）が新しい AnyConnect バージョンへ自動的にアップロードされるのを防ぐ方法はありますか。

A. バージョン 2.3.0.185 より前の AnyConnect にはありません。バージョン 2.3.0.185 以上には、クライアントが自動的にアップグレードされないようにする機能が備わっています。そのためには、プロファイル Autoupdate パラメータを使用します。これらのプリファレンスオプションについてはリリースノートを参照してください。

http://www.cisco.com/en/US/docs/security/vpn_client/anyconnect/anyconnect23/release/notes/anyconnect23rn.html#wp908334

Q. AnyConnect バージョン 2.x 以上は、Adaptive Security Appliance（ASA）バージョン 8.X 以上と併用できますか。

A. 一般に、AnyConnect バージョン 2.x および 3.x は ASA バージョン 8.x と相互に互換性があります。

一部の機能は特定の AnyConnect バージョンおよび ASA バージョンでのみ利用できます。詳しくは、VPN プラットフォームの互換性に関するドキュメント（http://www.cisco.com/en/US/partner/products/ps6120/products_device_support_tables_list.html）を参照してください。

Q. AnyConnect および Clientless SSL VPN は、ASA でどのような認証方式をサポートしていますか。

A. Radius、LDAP、TACACS、Kerberos、NT Domain（NTLM）、RSA/SDI、ローカル、およびデジタル証明書。AAA と証明書の組み合わせ。AAA サーバサポート（http://www.cisco.com/en/US/docs/security/asa/asa80/configuration/guide/aaa.html#wp1059666）を参照してください。

ASA バージョン 8.2 を使用する場合、SSL VPN リモートアクセス（Clientless および AnyConnect）はセカンダリ/二重認証をサポートします。たとえば、RSA/OTP + LDAP 認証、証明書 + RSA/OTP + LDAP などを使用できます。

注：AnyConnect 常時接続機能では証明書を使用する必要があります。管理ガイドの常時接続要件の章を参照してください。

http://www.cisco.com/en/US/docs/security/vpn_client/anyconnect/anyconnect25/administration/guide/ac03features.html#wp1230383

Q. AnyConnect および Clientless SSL VPN は再認証メカニズムをサポートしますか。

A. AnyConnect クライアントおよび Clientless SSL VPN は、現在のところ、状態評価や鍵変更（rekeying）に伴う再認証をサポートしていません。

注：VPN IPSec クライアント（従来の IKev1）は鍵変更時の再認証をサポートしています。

Q. Anyconnectはユーザ（パーソナルストア）とマシン両方のデジタル証明証をサポートしますか。

A. はい。AnyConnect バージョン 2.3 では、マシン証明書の認証で管理者権限を必要としません。

Q. セッションを確立した後、スタンドアロンの AnyConnect SSL VPN クライアントでブラウザと URL を起動する方法がありますか。

A. はい。URL ページを設定するには、グループポリシーの webvpn パラメータで homepage オプションを使用します。次に例を示します。

ホームページ値https://myportal.company.com

Q. AnyConnect に関するドキュメントをどこで入手できますか。

A. 関連ドキュメントを http://www.cisco.com/en/US/products/ps8411/tsd_products_support_series_home.html で参照できます。

Q. Secure Socket Layer（SSL）VPN（AnyConnect/Clientless）は、Novell Linux Desktop シンクライアントエディション上で正常に動作することが確認されていますか。

A. シスコでは、この Linux エディションでのテストを行っていません。リリースノートに記載されている前提条件を満たしていることを確認した上で、AnyConnect を試してみてください。正式には認められていませんが、システムが前提条件が満たしていれば正常に機能する可能性があります。Clientless SSL VPN については、一部のブラウザ要件を満たしていれば問題ありません。

詳細については、サポートされている VPN プラットフォーム（http://www.cisco.com/en/US/partner/docs/security/asa/compatibility/asa-vpn-compatibility.html#wp157434）を参照してください。

Q. AnyConnect クライアントのインストールに失敗します（エラー 1722）。なぜですか。

A. AnyConnect のインストールが失敗し、次のエラーが表示されます。 MSI (s) (D8:70) [14:59:10:750]: Product: Cisco AnyConnect VPN Client

-- Error 1722. There is a problem with this Windows Installer package

A program run as part of the setup did not finish as expected. Contact

your support personnel or package vendor. Action VACon_Install,

location: C:\Program Files\Cisco\Cisco AnyConnect VPN Client\VACon.exe, command:

- install "C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnva.inf" VPNVA

1722 エラーは、MSI アクション障害の汎用コードです。この場合、MSI ログで明らかなように、Virtual Adapter のインストーラに障害が発生しています。（インストーラログでは問題を特定できない可能性があるので）デバイスログとシステム情報を収集してください。

Q. AnyConnect 2.4 クライアントから IOS ヘッドエンドへの接続に失敗し、「証明書に問題があります。VPN 接続は確立されません」というメッセージが表示されます。

A. この問題の主な原因は以下の不具合です。
CSCtb73337 AnyConnect 2.4 does not work with IOS if cert not trusted/name mismatch
http://tools.cisco.com/Support/BugToolKit/search/getBugDetails.do?method=fetchBugDetails&bugId=CSCtb73337

イベントビューアの AnyConnect ログに以下のメッセージが表示されます。
Description: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

これは、ヘッドエンドとしての Anyconnect 2.4 と IOS にのみ関係します。

IOS の修正済みバージョンにアップグレードするか、この不具合の回避方法に従ってください。

http://tools.cisco.com/Support/BugToolKit/search/getBugDetails.do?method=fetchBugDetails&bugId=CSCtb73337

Q. AnyConnect クライアントには「ダイヤラランチャ」がないのですか。

A. AnyConnect Start Before Logon（SBL）では、ダイヤラおよびサードパーティアプリケーションのランチャはサポートされていません。

Q. Datagram Transport Layer Security（DTLS）はどのプラットフォームでサポートされていますか。

A. DTLS は WIN2K、XP、Vista、Mac OS、および Linux でサポートされています。

Q. DTLS は、32 ビットと 64 ビット両方のプラットフォームでサポートされますか。

A. はい。

Q. AnyConnect は MIPS プラットフォームをサポートしていますか。

A. 現時点ではサポートしていません。

Q. SSL トンネルと DTLS トンネルの違いはなんですか。それぞれどのようなトラフィックを処理するのですか。

A. SSL トンネルは、ASA に最初に作成される TCP トンネルです。これが完全に確立されると、クライアントは UDP DTLS トンネルのネゴシエートを試行します。DTLS トンネルの確立中は、データが SSL トンネルを通過する可能性があります。DTLS トンネルが完全に確立された時点で、すべてのデータが DTLS トンネルへ移行し、SSL トンネルは予備の制御チャネルトラフィックでのみ使用されるようになります。UDP に何か発生した場合は DTLS トンネルが解除され、すべてのデータが再び SSL トンネルを通過します。

データの送信方法は極めて動的に決定されます。ネットワークにバインドされた各データパケットを処理する際、SSL 接続を使用するか、DTLS 接続を使用するかを判断するポイントがコード内に存在します。その時点で DTLS 接続が正常な場合、パケットは DTLS 接続経由で送信されます。それ以外の場合、パケットは SSL接続経由で送信されます。

最初に SSL 接続が確立され、この接続を介してデータが渡されている間に、DTLS 接続の確立が試行されます。DTLS 接続が確立されると、前述したコード内の判断ポイントにより、SSL 接続ではなく DTLS 接続経由でのパケット送信が開始されます。一方、制御パケットは常に SSL 経由で送信されます。

重要なのは、接続が正常と見なされるかどうかです。信頼性の低い DTLS プロトコルを使用しており、DTLS 接続の品質が何らかの理由で低下した場合、Dead Peer Detection（DPD）が発生するまでクライアントにはこの状況が分かりません。したがって、接続は正常であると認識されたままなので、その短い時間内に DTLS 接続上のデータが失われます。DPD が発生すると、データは即座に SSL 接続経由に切り替わり、DTLS 再接続が試行されます。

ASA は、データを最後に受信した接続を経由してデータを送信します。したがって、クライアントが「DTLS 接続は正常ではない」と判断し、SSL 接続経由でのデータ送信を開始した場合、ASA は SSL 接続で応答します。データを DTLS 接続で受信すると、ASA は再び DTLS 接続を使用します。

Q. SOCKS タイププロキシをサポートする方法はありますか。

A. SOCKS タイプのプロキシでは、AnyConnect はサポートされません。SOCKS は HTTPS プロキシではないため、Cisco は SOCKS プロキシをサポートしていません。

AnyConnect は、"HTTPS" プロキシ（具体的には HTTPS 1.1）を介して SSL モードで動作します。また、認証に Basic または NTLM を使用する認証プロキシも利用できます。

拡張 IE 設定で、[use https 1.1 for proxies] を有効にする必要があります。

Q. 1 台の VPN ヘッドエンドが故障した場合、AnyConnect は別の VPN ヘッドエンド（バックアップサーバ）を探索できますか。

A. はい。プロファイル（CSCsj88360）の BackupServerList オプションで指定します。AnyConnect プロファイルに以下のエントリを追加し、ASA グループポリシーからクライアントへそれを渡します。

<HostName>Primary Server</HostName>

</BackupServerList>

</HostEntry>

</ServerList>

Q. AnyConnect および SSL バージョン（TLSv1、SSLV3）の要件は何ですか。

A. AnyConnect を使用するには、ASA が TLSv1 トラフィックを受け入れるように設定し、TLSV1.0 に合わせてブラウザを設定する必要があります。TLSv1.0 は、SSLv3 より安全な最新プロトコルです。

AnyConnect クライアントは、「ssl server-version」の ASA 設定と接続を確立できません。

ssl server-version sslv3
ssl server-version sslv3-only (CSCsh76698)

ssl server-version が Any に設定されている場合、ASA は TLSv1（AnyConnect）と SSLv3（Clientless）の組み合わせをサポートできます。

Q. ユーザが VPN 経由で接続したときネットワークドライブを自動的にマッピングし、ユーザが VPN を切断した時点でそれらの接続を解除する方法はありますか。

A. いいえ。そのような機能はクライアントに備わっていません。

Q. AnyConnect はプロキシサーバを使用して接続し、DTLS は使用しません。なぜですか。

A. AnyConnect SSL VPN クライアントは、ブラウザ（Internet Explorer のみ）で設定されたプロキシサーバを使用できます。ただし、接続する際、DTLS（UDP）トンネルはネゴシエートしません。DTLS が使用する UDP パケットに対してはプロキシサーバを設定できないので、この方法で接続するときは TLS（TCP）のみが使用されます。

Q. AnyConnect は Cisco IOS® デバイスでサポートされますか。

A. はい。ただし AnyConnect Premium のみです。現在のところ、Essentials は IOS でサポートされていません。

新しいセキュリティ機能に関するリリースノート 12.4 に記載されているように、Cisco IOS ソフトウェアリリース 12.4(15)T の時点ではブラウザ起動モードのみがサポートされています。

Cisco IOS ソフトウェアリリース 12.4(20)T の時点では、スタンドアロンモードもサポートされます。詳細は『SSL VPN リモートユーザガイド』を参照してください。

注：

現時点では IOS が低遅延 DTLS プロトコルをサポートしていないため、SSL のみの TLS 接続になります（SVC と同様）。
12.4(20)T より前のリリースでは、IOS デバイスでのクライアントキープアライブがサポートされていません。
切断の原因となり得るハードウェア暗号化のアップデートは、87x プラットフォームの 12.4(T2) で解決されています。
現在、Start Before Logon は IOS でサポートされていません。
現在、AnyConnect Essentials は IOS でサポートされていません。

Q. AnyConnect クライアントは IPSec VPN リモートアクセスクライアントトンネル（tunnel-over-tunnel）で動作しますか。また逆の場合はどうですか。

A. 正式にはサポートされていません。動作しない理由は、IPsec クライアントと AnyConnect クライアントはいずれも、それぞれのバーチャルアダプタにトラフィックをルーティングしようとするからです。IPSec クライアントは、IM レイヤで AnyConnect トラフィックを傍受します。

注：Clientless SSL VPN トラフィックは、フルトンネルリモートアクセスクライアント（AnyConnect または IPSec）および Site to Site IPSec を介して渡すことができます。

Q. AnyConnect クライアントは、トンネル/スプリットトンネルポリシーをどのように実施および監視しますか。

A. AnyConnect は 2 つの方法でトンネルポリシーを実施します。

1) ルートのモニタリングと修復（ルートテーブルを変更した場合など）。AnyConnect は設定された状態に戻します。

2) フィルタリング（フィルタエンジンをサポートしているプラットフォーム）。何らかのルートインジェクションが可能な場合でも、フィルタによってパケットがブロックされます。

Q. AnyConnect（または Clientless SSL VPN）ユーザは、AnyConnect クライアント自身からパスワード管理やパスワード変更を「開始」できますか。

A. いいえ。AnyConnect にはパスワードを開始するためのオプションが備わっていません。

MSCHAPv2 RADIUS の有効期限が切れた場合、または Lightweight Directory Access Protocol（LDAP）のパスワードが期限切れとなった場合、必ずヘッドエンドからパスワード変更がトリガーされます。ユーザがネットワークにログインしていれば（Start Before Login）、通常どおり Ctrl + Alt + Delete キーを押すことで Active Directory（AD）パスワードを変更できます。

Q. AnyConnect は単一アドレスのプールをサポートしますか。ASA による Port Address Translation（PAT: ポートアドレス変換）が必要な場合、ネットワーク内ではすべてのリモートクライアントがは単一アドレスとして示され、送信元 TCP ポート番号によって識別されますか。

A. IPSec フルトンネルクライアントと同様、AnyConnect SSL VPN クライアントにはそれぞれ一意な IP アドレスを割り当てる必要があります。したがって、この場合は AnyConnect に PAT プールが適用されません。Linksys/IOS 871 ルータ/ASA 5505 PAT を経由することは AnyConnect にとって問題ではありません。

Q. AnyConnect では、証明書のリスト（SSL VPN Clientless で使用できる証明書など）をポップアップ表示できますか。

A. ユーザに証明書の選択を求めるポップアップはありません。この機能の改良は CSCsk56537 でトラッキングされます。管理者向けの当面の解決策として、AnyConnect Profile XML ファイルで証明書照合の選択基準を指定する方法があります。「Configuring the Certificate Match Attribute」(証明書照合属性の設定)を参照してください。

アップデート： AnyConnect バージョン 2.4 では、ユーザがリストから証明書を選択できるようになりました。『2.4 管理ガイド』を参照してください。

Q. VPN セッションフェイルオーバー（SSL）により、セッションを切断することなく 2 つのインターネットサービスプロバイダ（ISP）間で処理を引き継ぐことができます。たとえば、お客様が ISP 1 経由で SSL VPN で通信を行っている場合、ISP 1 がダウンしても ISP 2 を経由して接続されるので、パケット（VPN セッション）を失わずにすみます。このような処理は Cisco デバイスでも可能ですか。

A. ヘッドエンドでのデュアル ISP を意味しているのであれば、可能ではありません。ただし、リモートでのデュアル ISP を指しているのであれば、SSL VPN は失われた接続を再開できます。接続が中断された場合、AnyConnect は再接続を試行します。この処理は自動的に行われます。ASA でのセッションが有効である限り、AnyConnect による物理的な接続の再確立が可能あればセッションが再開されます。

Q. 2 つのトンネルを同時に作成し、ネットワーク接続後に一方のトンネルがダウンした場合、VPN クライアントをもう一方のトンネルへ自動的に切り替える機能が SSL VPN に備わっていますか。

A. SSL VPN では、複数のトンネルを同時に作成し、一方がダウンしたときもう一方へ切り替えることはできません。

Q. AnyConnect は Java および許可を必要としますか。

A. AnyConnect クライアントから Web ベースで接続したり、インストールしたりするには、ActiveX または Java は必要になります。ActiveX の場合、ユーザは Web ブラウザにインストールするためのアクセス権が必要です（または ActiveX がプリインストールされている可能性があります）。ActiveX がサポートされていないか使用されていない場合、Java が試行されます。Java ランタイム環境バージョン 1.4.x 以上が必要になります。Java 実装はアプレットであり、ブラウザベースです（ダウンロードではありません）。

最初の接続では、ActiveX または Java を使用して AnyConnect クライアントソフトウェアがインストールされます。そのためには管理権限が必要です。その後の接続では、（クライアントをアップグレードする場合でも）管理者権限は必要ありません。管理者権限がユーザに与えられていない場合に備え、クライアントにはスタンドアロンインストーラが用意されています。

Q. AnyConnect スタンドアロンモードを使用するには、システムに Internet Explorer（IE）をインストールする必要がありますか。

A. 簡単なテストにより、システムから IE を削除しても AnyConnect スタンドアロンモードが正常に機能することが確認されています。

Q. DHCP サーバは、DNS サーバおよび WINS サーバを AnyConnect クライアントへ割り当てることができますか。

A. DHCP 割り当てでは、クライアントに IP アドレスが割り当てられるだけです。DNS や WINS のようなパラメータはグループポリシー設定から割り当てられ、DHCP からは実施されません。

Q. セッションでは、DTLS と TLS のアイドルタイムアウトがどのように渡されますか。

A. DTLS トンネルがアクティブな場合、アイドルタイムアウトが影響するのはこのトンネルだけです。SSL トンネルを通過する制御チャネルトラフィックはほとんど存在しないため、これはほぼ常にアイドルであり、アクティブな DTLS トンネルが存在する場合は除外されます。UDP に何か発生した場合は、DTLS トンネルが解除され、アイドルタイムアウトが SSL トンネルに適用されます。

残念ながら、ほとんどの Windows PC では真に「アイドル」な状態は発生しないため、多くのユーザはアイドルタイムアウトが動作していないと考えています。アイドルタイムアウトに「データしきい値」を作成する考えもありますが、これにも注意が必要です。 Windows PC を真にアイドル状態にするためには、PC の物理インターフェイスの Network Config から Microsoft Networking と File and Print Sharing を削除する必要があります。

Q. AnyConnect インストールログファイルはどこに保存されますか。

A. 各 OS におけるインストールログの格納場所は以下のとおりです。

Windows 2000 および XP：

Windows では 2 つの場所にインストールログが格納されます。

新規インストールの場合、USER の temp ディレクトリに格納されます。このディレクトリを検索するには、Windows XP または Windows 2000 で [スタート]、[ファイル名を指定して実行] を選択し（Vista の場合は検索ウィンドウを開いて）、%TEMP% と入力します。次に [OK] をクリックするか、Enter キーを押します。
アップグレードの場合、このファイルは SYSTEM の temp ディレクトリに格納されます（通常は %SYSTEMDRIVE%\temp または %SYSTEMROOT%\temp にありますが、他の場所に配置されている場合もあります）。このファイルの形式は、WinSetup-Release-2.0install-21333219012007.log のようになります。

Vista：

ログは <ドライブ:>Users\<ユーザ>AppData-Local-Temp に保存されます。

Linux

ログは /opt/cisco/vpn に保存されます。

MAC OS

ログは /opt/cisco/vpn に保存されます。

Q. さまざまな AnyConnect ファイル（プロファイル、プリファレンス、モジュール）の格納場所は?

A. 各バージョンの AnyConnect 管理者ガイドを参照してください。

http://www.cisco.com/en/US/products/ps8411/prod_maintenance_guides_list.html

たとえば、バージョン 3.0 の AnyConnect ファイルは以下の場所にあります。

http://www.cisco.com/en/US/docs/security/vpn_client/anyconnect/anyconnect30/administration/guide/ac02asaconfig.html#wp1239181

Q. Q. AnyConnect が VPN 接続を確立した後、ログインスクリプトを実行できますか。（VPN を利用するかどうかにかかわらず）コンピュータを起動するたびに Start Before Logon（SBL）を実行するのではなく、企業ネットワークへ接続するときだけログインスクリプトを処理できると便利です。

A. このような SBL の使用を除き、AnyConnect には、接続後にログインスクリプトを実行する機能は用意されていません。

アップデート： AnyConnenct バージョン 2.4 では、VPN セッションを確立する前後にスクリプトを起動できます。詳細についてはリリースノートを参照してください。

Q. Microsoft プロキシを使用している場合、SSL VPN Client 経由で ASA VPN コンセントレータに接続するときに、「None of the authentication protocols offered by the proxy server are supported.」（プロキシサーバが提供する認証プロトコルはいずれもサポートされません）というというエラーが表示されます。なぜですか。

A. 通常、このエラーメッセージは、SSL VPN Client でサポートされていない認証メカニズムを使用するようにプロキシサーバが設定されていることを意味しています。

AnyConnect は、HTTPS プロキシ（具体的には HTTPS 1.1）を介して SSL モードで動作します。また、Basic や NT LAN Manager（NTLM）を使用する認証プロキシも使用できます。プロキシサーバを使用するときは、NTLM を使用することをお勧めします。

AnyConnect Client での Internet Explorer プロキシ

Internet Explorer でプロキシを設定している場合、AnyConnect クライアントを使用するには [Use HTTP 1.1 through proxy connections] 設定を有効にする必要があります。このオプションを設定しない場合、AnyConnect クライアント接続は行われません。

Internet Explorer の [ツール] メニューから [インターネットオプション] を選択します。[詳細設定] タブをクリックし、[HTTP 1.1 設定] の下にある [プロキシ接続で HTTP 1.1 を使用する] にチェックマークを付けます。

この IE 設定は AnyConnect にどのように影響しますか。

SVC と同様、AnyConnect は WinInet を使用してプリトンネル接続を行います。この接続は、初期認証とアップデートのダウンロードを実行するときに使用されます。WinInet は、Internet Explorer が内部で使用するプログラムインターフェイスです。WinInet の設定は IE のオプションメニューに表示されます。このメニュー項目の 1 つが [プロキシ接続で HTTP 1.1 を使用する] です。

したがって、VPNDownloader がヘッドエンドに接続して検証を実行するときは、WinInet API が使用されます。これは、実行されるプリトンネル処理の一部です。

実際のデータトンネルは、WinInet を使用しない別のチャンネルを介して行われます。それは、「ProxyIP:ProxyTCPPort」についてのみ把握している別のチャンネルです。

つまり、AnyConnect GUI、VPNDownloader、およびブラウザの起動は、トンネル接続のネゴシエーションを目的とした IE の拡張と考えることができます。ただし、すべてのトンネルデータは WinInet を使用しない別のチャンネルで実行されます。

Q. ASA SSL VPN（AnyConnect クライアントまたは Clientless）は、QOS および帯域幅管理機能をサポートしますか。

A. いいえ。ASA SSL VPN はこれらの機能をサポートしません。以下を設定しようとするとエラーが発生します。

ASA(config)# tunnel-group a1 type webvpn

ASA(config)# tunnel-group a1 webvpn-attributes

ASA(config-tunnel-webvpn)# class-map c1

ASA(config-cmap)# match tunnel-group a1

ASA(config-cmap)# match flow ip destination-address

ASA(config-cmap)# policy-map p1

ASA(config-pmap)# class c1

ASA(config-pmap-c)# police output 100000

ERROR: tunnel with WEBVPN attributes doesn't support police!

ASA (config-pmap-c) #

Q. リモートユーザにクライアントをダウンロードするよう指示するにはどうすればよいですか。

A. セキュリティアプライアンスを有効にして、SSL VPN クライアントのユーザにクライアントをダウンロードするよう指示します。その場合、グループポリシー webvpn またはユーザ名 webvpn 設定モードから svc ask コマンドを使用します：no] svc ask {none | enable [default {webvpn | svc} timeout value]}

svc ask enable コマンドは、クライアントをダウンロードするか、またはクライアントレス接続のポータルページへ移動するようリモートユーザに指示し、ユーザからの応答を無期限に待ちます。

svc ask enable default svc - クライアントを即座にダウンロードします。
svc ask enable default webvpn - 即座にポータルページへ移動します。
Ssvc ask enable default svc timeout value - -クライアントをダウンロードするか、またはポータルページへ移動するようリモートユーザに指示し、決められた時間だけデフォルト操作（クライアントのダウンロード）を待ちます。
svc ask enable default webvpn timeout value - クライアントをダウンロードするか、またはポータルページへ移動するようリモートユーザに指示し、決められた時間だけデフォルト操作（ポータルページの表示）を待ちます。

詳細については、AnyConnect 管理者ガイド（http://www.cisco.com/en/US/docs/security/vpn_client/anyconnect/anyconnect23/administration/23admin2.html#wp999826）を参照してください。

Q. AnyConnect 再接続（接続の維持）とはどのような動作ですか。

A. 接続が中断された場合、AnyConnect は再接続を試みます。現在のところ、これは設定可能な機能ではなく、自動的に行われます（CSCsl52873 を参照）。ASA 上のセッションが有効であり、AnyConnect が物理的な接続を再確立できる場合は、セッションが再開されます。AnyConnect が再接続を試みる時間は、[Disconnect Timeout] パラメータとしてクライアントに保存されています。デフォルトでは、グループポリシーのアイドルタイムアウトまたは最大接続時間（いずれか値が小さい方）に設定されます。機能拡張要求 CSCsl52873 は、ダイナミックアクセスポリシーまたはグループポリシーのパラメータとして、[Disconnect Timeout] を ASA プラットフォームに実装することを要求しています。

再接続機能が必要でない場合は、グループポリシーのアイドルタイムアウトに小さい値を設定することによって、再接続のスリープと再開を防ぐことができます。

注：たとえば、エンドポイントで複数のインターフェイス（有線/有線と 3G）が有効になっており、IP アドレスが割り当てられている場合、ワイヤレスで確立した AnyConnect セッションが中断すると、AnyConnect によって再接続され、初期セッションが 3G で維持されます。

Q. 再接続の際、AnyConnect Virtual Adapter（VA）でフラップが発生するのですか。あるいはルーティングテーブルが変更されるのですか。

A. 低レベルでの再接続ではどちらも発生しません。これは、SSL または DTLS のみの再接続です。放棄されるまで、これらは約 30 秒間続きます。DTLS が失敗した場合は単に放棄されるだけです。SSL が失敗すると、高レベルの再接続が行われます。高レベルの再接続では、ルーティングが完全に再実行されます。再接続に割り当てられたクライアントアドレスまたは VA に影響を与える他の設定パラメータは変更されず、VA は無効になりません。

Q. AyConnect SBL は、ディスク全体を暗号化するソフトウェア（Encryption Anywhere、PointSec、PGP など）に対応していますか。

A. はい。AnyConnect バージョン 2.2 からサポートされています。

Q. AnyConnect 2.x は、x86（32ビット）と x64（64ビット）の Vista、Windows 7、および MAC OSX 10.6.x をサポートしていますか。

A. サポートされている VPN プラットフォーム（http://www.cisco.com/en/US/partner/docs/security/asa/compatibility/asa-vpn-compatibility.html#wp157434を）を参照してください。

Q. AnyConnect はモバイルデバイスでサポートされていますか。

A. はい。AnyConnect バージョン 2.3 にはモバイルサポートが追加されました。サポート対象プラットフォームに関するリリースノート（http://www.cisco.com/en/US/docs/security/vpn_client/anyconnect/anyconnect23/release/notes/anyconnect23rn.html#wp878382）を参照してください。

Q. AnyConnect は USB デバイス、または USB デバイス上の VM でサポートされていますか。

A. いいえ。現在、このような構成はサポートされていません。

Q. モバイルライセンスの仕組みと申し込み方法を教えてください。

A. モバイルライセンスは、既存の SSL 正規ユーザーに追加される固定ライセンスです。Premium SSL VPN ライセンスまたは AnyConnect Essentials ライセンスと併用できます。既存のユニットについてこのランセンスをご希望の場合は、部品番号 L-ASA-AC-M-55XX を使用してください。XX はモデル番号（05、10、20、40、50、80）です。新しいデバイスの購入時に、このライセンスをオプションとして追加することもできます（ASA-AC-M-55XX）。

Q. AnyConnect モバイルライセンスは、AnyConnect Essentials クライアントと Premium クライアントの両方に対応していますか。

A. はい。

Q. ASAで、AnyConnect Essentials のクライアント/ライセンスと Premium のクライアント/ライセンスを同時に使用できますか。

A. いいえ。どちらか一方だけです。

AnyConnect Essentials ライセンスでは、AnyConnect クライアントを使用して Adaptive Security Appliance に接続すると同時に、SSL VPN セッションのプラットフォーム制限をサポートできます。たとえば、ASA 5505 では 25 のセッションを使用できます。Cisco Secure Desktop およびクライアントレス SSL VPN はサポートされません。AnyConnect Essentials ライセンスは、AnyConnect Premium SSL VPN（すべてのタイプ）および Advanced Endpoint Connection ライセンスと互換性がありません。デフォルトでは、上記のライセンスの代わりに AnyConnect Essentials ライセンスが使用されます。ただし、設定に no anyconnect-essentials コマンドを追加して AnyConnect Essentials ライセンスを無効にすれば、その他のライセンスを使用できます。

詳細については、ライセンスガイド（http://www.cisco.com/en/US/partner/docs/security/asa/asa82/license/license82.html#wp179742）を参照してください。

Q. AnyConnect Essentials は IOS（ISR、7200 など）でサポートされますか。

A. 現時点ではサポートされません。今後のサポートへ向け、現在評価中です。

Q. クライアントのデジタル証明書があと X 日で期限切れになるとき、それについてのメッセージや警告をエンドユーザに表示する機能が AnyConnect に備わっていますか。

A. IPSec クライアントにはこの機能が備わっています。ただし、現在のところ、AnyConnect SSL VPN クライアントはこの機能をサポートしていません。今後のサポートを検討中です（CSCsx65066）。

Q. ユーザが各自の AD 証明書を使用して AnyConnect Start Before Login（SBL）にログインしたとき、それらの証明書は AnyConnect から Windows へ透過的に渡されますか。つまり、Windows に対して再び資格情報を入力しなくても、ユーザは自動的にログインできますか。

A. 現在、このような SSO 機能はサポートされていません。今後のサポートへ向け、現在検討中です（CSCsm08815-SBL：資格情報を MS ログインへ渡す）。

Q. ASA VPN サーバに到達できない場合や、エンドポイント PC が特定の IP サブネットにある場合など、AnyConnect Start Before Login（SBL）が実行されないようにできますか。

A. いいえ。現時点ではできません。将来はこの機能がサポートされる予定です（CSCso83167）。

Q. AnyConnect API は Windows Mobile 5/6 デバイスサポートしますか。

A. 現在のところ、AnyConnect API は Windows Mobile をサポートしていません。

Q. AnyConnect はバーチャルキーボード機能をサポートしますか。

A. いいえ。この機能は Clientless（ブラウザモード）の SSL VPN でのみ使用できます。該当する場合、CSD キーストロークロガーを有効にすればパスワードキャプチャを特定できます。

Q. RDP セッションで AnyConnect を起動できますか。

A. はい。この機能は AnyConnect バージョン2.3.254 で導入されました。

Q. アプリケーション（Outlook など）を起動/終了したとき、AnyConnect を自動的に開始/終了できますか。

A. 現時点ではサポートされていません。AnyConnect 2.4 は AnyConnect を起動する前後、または停止する前後に実行できる起動スクリプトをサポートしているので、通常はこの機能を利用できます。

Q. AnyConnect クライアントは Apple IPhone で利用できますか。

A.はい。 Apple IPhone 向けの AnyConnectは App Store で入手できます。

トラブルシューティング

Q. AnyConnect に問題が発生した場合、どのように対処すればよいですか。

A. 以下を参照してください。

トラブルシューティング情報を収集する AnyConnect 診断レポーティングツール（DART）の使用方法

http://www.cisco.com/en/US/docs/security/vpn_client/anyconnect/anyconnect30/administration/guide/ac12managemonitortbs.html#wp1058615

1) ASA 8.x: AnyConnect VPN Client トラブルシューティングテクニカルノート

2) AnyConnect 2.4 は、Windows 上の AnyConnect 診断レポーティングツール（DART）を使用して以下の情報を取得します。

DART ユーティリティが収集するデータには以下が含まれます。
        a) すべてのイベントログ
        b) クライアント OS MSINFO ファイル
        c) minidump クラッシュファイル
        d) setupapi および webinstall ログ
        e) csd ログと hostscan ログ (csd を使用する場合)

f) 関連するレジストリファイル

DART の詳細については、AnyConnect 管理ガイドのトラブルシューティングセクションを参照してください。

3) 最新のガイドライン、警告、システム要件などについては、AnyConnect リリースノートを参照してください。

http://www.cisco.com/en/US/docs/security/vpn_client/anyconnect/anyconnect24/release/notes/anyconnect24rn.html