AnyConnect リリース 4.6.x は 4.xのバグのメンテナンス パスになります。AnyConnect 4.0、4.1、4.2、4.3、4.4、および 4.5 を使用している場合、将来の不具合修正によるメリットを得るには AnyConnect 4.6… ゲートウェイに SHA-1 アイデンティティ証明書を持たせないことと、中間証明書を SHA-1 ではないものにすることを強くお勧めします。, Microsoft は、当初のレコードの計画とタイミングを変更しました。Microsoft は環境が 2017 年 2 月の変更によって影響を受けるかどうかをテストする方法の詳細を公開しました。シスコでは、SHA-1 セキュア ゲートウェイまたは中間証明書を使用しているか古いバージョンの AnyConnect を実行している場合に AnyConnect の正常な動作を保証できません。, 利用可能な修正をすべて確実に適用するために、AnyConnect の現在のメンテナンス リリースで常に最新の状態に保つことをお勧めします。AnyConnect 4.x 以降の最新バージョンは、アクティブな AnyConnect Plus、Apex、および レジストリ キーに追加し、この値を 1 に設定することが含まれます。この変更により、Local Security Authority(LSA)が Cisco Network Access Manager などのクライアントにマシン パスワードを提供できるようになります。これは、Windows Log Trace file)] を 0(無効)に変更する場合は、予期どおりの結果を得るために AnyConnect サービスを再起動する必要があります。, macOS 10.9 以降を使用しており、ISE ポスチャを使用する場合は、問題を回避するために次の作業を行う必要があります。, キャプティブ ポータル アプリケーションを無効にします。無効にしない場合は、検出プローブがブロックされ、アプリケーションはポスチャ前の ACL 状態のままになります。, macOS 上の Firefox 証明書ストアは、任意のユーザがストアの内容を変更することを許可するアクセス権を使用して保存されます。これにより、未認可のユーザまたはプロセスが不正な CA を信頼されたルート ストアに追加することが可能になります。AnyConnect リソースへの接続など特定のタスクをログオン前に実行することができます。PLAP では、サポートされている Windows オペレーティング システムすべてに対して SBL 機能を提供します。PLAP は、vpnplap.dll を使用する 32 の信用を廃止する長期的な計画を持っていますが、Microsoft の現在のアドバイザリでは、これに関する詳細やタイミングは提供されていません。その廃止の正確な日付によっては、いつでも AnyConnect の古いバージョンの多くが動作しなくなる可能性があります。詳細については、Microsoft のアドバイザリを参照してください。, (Windows 7、8、および 8.1 ユーザの場合)クライアントが認証に SHA512 証明書を使用すると、証明書が使用されていることがクライアント ログに記録されていても認証は失敗します。ASA ログには、AnyConnect によって証明書が送信されていないことが正しく示されます。これらのバージョンの VPN 接続が開始されるようにすることができます。, TND を使用している場合でも、ユーザが手動で VPN 接続を確立することは可能です。信頼ネットワークの中でユーザが手動で開始した VPN 接続は解除されません。TND で VPN セッションが接続解除されるのは、最初に非信頼ネットワークにいたユーザが信頼ネットワークに移動した場合だけです。たとえば、ユーザが自宅で ドライバ(trend micro common firewall driver)] をオフにすると、この問題を回避できます。, サポートされているマルウェア対策製品およびファイアウォール製品のどれもが、最終スキャン時間情報をレポートしません。HostScan では次の内容がレポートされます。, IPv6 が有効になっており、プロキシ設定の自動検出が Internet Explorer で有効になっているか現在のネットワーク環境でサポートされていない場合、Windows で再接続に時間がかかることがあります。回避策として、プロキシの自動検出が現在のネットワーク環境でサポートされていない場合は、VPN クラスタ メンバーを必ず追加するようにしてください。, クライアント プロファイルにバックアップ クラスタ メンバーのアドレスを指定する場合は、ASDM を使用してロード バランシング バックアップ サーバ リストを追加します。手順は次のとおりです。, ロード バランシング クラスタのマスター デバイスであるサーバを選択し、[編集(Edit)] をクリックします。, いずれかのロード バランシング クラスタ メンバーの FQDN または IP アドレスを入力します。, Always-Onポリシーに優先して適用される除外規定を設定できます。たとえば、特定のユーザに対して他社との VPN セッションを確立できるようにしつつ、企業外資産に対してはAlways-On VPN ポリシーを除外するという場合があります。, ASA のグループ ポリシーおよびダイナミック アクセス ポリシーで設定された除外規定は Always-On ポリシーを上書きします。ポリシーの割り当てに使用される一致基準に従って例外を指定します。AnyConnect ポリシーでは Always-On が有効になっているが、ダイナミック アクセス ポリシーまたはグループ ポリシーでは無効になっている場合、各新規セッションの確立に関するダイナミック アクセス ポリシーまたはグループ ポリシーが基準と一致すれば、クライアントでは現在以降の VPN 9.7.1.24(またはそれ以降)、9.8.2.28(またはそれ以降)、または 9.9.2.1(またはそれ以降)へのアップグレードが必要です。詳細については、『AnyConnect Secure Mobility Client Administrator Guide, Release 4.6』の「VPN Authentication Using SAML」を参照してください。, AnyConnect HostScan 4.6.05003 はメンテナンス リリースで、HostScan モジュールに対する更新だけが含まれています。AnyConnect ソフトウェア自体の更新は、このリリースには含まれていません。このリリースで はゲートウェイから送信されるプロキシ設定を適用し、それ以降の HTTP トラフィックはそのプロキシ設定の影響を受けます。, AnyConnect は、一部のルータによるパケット フラグメントを受信およびドロップする場合があり、その結果、一部の Web トラフィックが通過できなくなります。, この問題を回避するには MTU の値を小さくします。推奨値は 1200 です。次に、CLI を使用してこれを実行する例を示します。, ASDM を使用して MTU を設定するには、[設定(Configuration)] > [ネットワーク(クライアント)アクセス(Network (Client) Access)] > [グループ ポリシー(Group Policies)] > [追加(Add)] または [編集(Edit)] > [詳細(Advanced)] > [SSL VPN クライアント(SSL VPN Client)] の順に選択します。, DTLS に関してデッド ピア検出(DPD)が有効になっている場合、クライアントは自動的にパス MTU を決定します。以前に ASA を使用して MTU を減らした場合は、設定をデフォルト値(1406)に戻す必要があります。トンネルの確立時に、クライアントは、特別な 60 秒ごとにランダムに生成します。SDI は Security Dynamics 社製テクノロジーの略称で、ハードウェアとソフトウェアの両方のトークンを使用する、この 1 回限定利用のパスワード生成テクノロジーを意味します。, 通常、ユーザはツール トレイの [AnyConnect] アイコンをクリックし、接続する接続プロファイルを選択してから、認証ダイアログボックスに適切なクレデンシャルを入力することで AnyConnect に接続します。ログイン(チャレンジ)ダイアログボックスは、ユーザが属するトンネル バージョンで DHE 暗号を無効にする必要があります。, Media Access Control Security(MACsec)規格は 2 台の MACsec 対応デバイス間のパケットの認証と暗号化の IEEE 802.1AE 規格です。AnyConnect ネットワーク アクセス マネージャは、エンタープライズ Sysdev 11911272)のために、Creators Editor(RS2)にアップグレードには、まずネットワーク アクセス マネージャ モジュールをアンインストールする必要があります。アップグレード後にモジュールを再インストールできます。このエラーに関する こんにちは ASA5545X+ASA OS 9.6系+AnyConnect4.5系で、エンドユーザーにSSL-VPNサービスを提供しています。 ユーザーから、AnyConnectの代わりにWindows標準のVPNクライアントソフトを使用する運用にしたいという要望がありました。 ・OSはWindows10 … ボタンを含む赤色のダイアログがユーザに表示されます。, [安全を確保(Keep Me Safe)] をクリックすると、接続が解除されます。, [設定の変更(Change Settings)] をクリックすると、AnyConnect の [詳細(Advanced)] > [VPN] > [プリファレンス(Preferences)] ダイアログが開きます。ここで、ユーザは非信頼サーバへの接続を有効にできます。現在の接続の試行がキャンセルされます。, ユーザが、[信頼されていないサーバへの接続をブロック(Block connections to untrusted servers)] をオフにして、証明書に関する問題が CA が信頼できないことのみである場合、次回ユーザがこのセキュア ゲートウェイに接続しようとするときは、ユーザに証明書ブロック エラーのダイアログは表示されず、次のダイアログのみが表示されます。, ユーザが [常にこの VPN サーバを信頼し、証明書をインポートする(Always trust this VPN server and import the certificate)] をオンにしている場合、このセキュア ゲートウェイへの今後の接続時に、ユーザの続行を確認するプロンプトは表示されません。, ユーザが、AnyConnect の [詳細(Advanced)] > [VPN] > [設定(Preferences)] で [信頼されていないサーバへの接続をブロック(Block connections to untrusted servers)] をオンにしている場合、または、ユーザの設定が注意事項と制約事項の項で説明されているモードのリストのいずれかの条件と一致する場合、AnyConnect は無効なサーバ証明書を拒否します。, クライアントが無効なサーバ証明書を受け入れると、その証明書はクライアントの証明書ストアに保存されます。以前は、証明書のサムプリントだけが保存されました。ユーザが無効なサーバ証明書を常に信頼してインポートすることを選択した場合のみ、無効な証明書が保存されることに注意してください。, エンド ユーザの安全性が自動的に損なわれる管理上の優先操作はありません。先行するセキュリティ上の判断をエンド ユーザから完全に排除するには、ユーザのローカル ポリシー ファイルで [厳格な証明書トラスト(Strict Certificate Trust)] を有効にします。[厳格な証明書トラスト(Strict Certificate Trust)] が有効である場合、ユーザにはエラー メッセージが表示され、接続が失敗します。ユーザ プロンプトは表示されません。, ローカル ポリシー ファイルでの厳格な証明書トラストの有効化については、ローカル ポリシー パラメータと値の「AnyConnect ローカル ポリシー パラメータと値」の項を参照してください。, AnyConnect VPN クライアント プロファイルで [常時接続(Always On)] が有効になっており、適用されたグループ ポリシーまたは DAP によりオフにされていない。, ユーザ名とパスワードを使用して AAA でユーザを認証するか、デジタル証明書で認証するか(または、その両方を使用するか)を指定する必要があります。証明書のみの認証を設定すると、ユーザはデジタル証明書で接続でき、ユーザ ID とパスワードを入力する必要がなくなります。, 複数のグループを使用する環境で証明書のみの認証をサポートする場合は、複数のグループ URL をプロビジョニングします。各グループ URL には、さまざまなクライアント プロファイルとともに、グループ固有の証明書マップを作成するためのカスタマイズ済みデータの一部が含まれます。たとえば、ASA VPN 接続を確立した後で会社に移動すると、この VPN セッションは TND によって接続解除されます。, TND は AnyConnect VPN クライアント プロファイルで設定します。ASA の設定の変更は必要ありません。AnyConnect が信頼ネットワークと非信頼ネットワークの間の遷移を認識したときに実施するアクションまたはポリシーを指定する必要があります。また、信頼ネットワークおよび信頼サーバを特定する必要があります。, TND 機能は AnyConnect GUI を制御し、接続を自動的に開始するため、GUI を常に実行している必要があります。ユーザが GUI を終了した場合、TND によって VPN 接続が自動的に開始されることはありません。, さらに AnyConnect で Start Before Logon(SBL)が実行されている場合は、ユーザが信頼ネットワークの中に移動した時点で、コンピュータ上に表示されている SBL ウィンドウが自動的に閉じます。, Always-Onが設定されているかどうかにかかわらず、Trusted Network Detection は、IPv4 ネットワークおよび IPv6 ネットワーク経由での ASA への IPv6 および IPv4 VPN 接続でサポートされています。, ユーザ コンピュータ上に複数のプロファイルがあると、TND 設定が異なっている場合には問題になることがあります。, ユーザが過去に TND 対応のプロファイルを受け取っていた場合、システムをリスタートすると、AnyConnect は最後に接続されたセキュリティ アプライアンスへの接続を試みますが、これが目的の動作ではないことがあります。別のセキュリティ アプライアンスに接続するには、そのヘッドエンドを手動で接続解除してから、再接続する必要があります。この問題を回避する手段としては、次のような対策が考えられます。, 社内ネットワーク上にあるすべての ASA にロードされるクライアント プロファイルで、TND を有効にする。, すべての ASA がリストされた 1 つのプロファイルをホスト エントリ セクションに作成し、このプロファイルをすべての ASA にロードする。, 複数の異なるプロファイルが必要ない場合は、すべての ASA のプロファイルに同じプロファイル名を使用する。既存のプロファイルは各 ASA により上書きされます。, Linux 上で TND を使用するには、ネットワーク マネージャがインストールされてターゲット(RHEL/Ubuntu)デバイス上で正しく実行されていることと、ネットワーク インターフェイスがネットワーク マネージャによって管理されていることが必要です。, VPN プロファイル エディタを開き、ナビゲーション ペインから [プリファレンス(Part 2)(Preferences (Part 2))] を選択します。, [自動 VPN ポリシー(Automatic VPN Policy)] を選択します。, [信頼されたネットワークポリシー(Trusted Network Policy)] を選択します。, これは、ユーザが社内ネットワーク(信頼ネットワーク)内に存在する場合にクライアントが実行するアクションです。次のオプションがあります。, [接続解除(Disconnect)]:(デフォルト)クライアントは、信頼ネットワークで VPN 接続を終了します。, [接続(Connect)]:クライアントは、信頼ネットワークで VPN 接続を開始します。, [何もしない(Do Nothing)]:クライアントは、信頼ネットワークでアクションを実行しません。[信頼されたネットワークポリシー(Trusted Network Policy)] と [信頼されていないネットワークポリシー(Untrusted グループおよびユーザ名で行う次回のログインからは、ラベルが [Passcode] のフィールドが表示されます。, RSASecureIDIntegration プロファイル設定は、次の 3 つの値のいずれかになります。, Automatic:クライアントはまず 1 つの方式を試行し、それが失敗したら別の方式を試行します。デフォルトでは、ユーザ入力がトークン パスコード(HardwareToken)として処理され、これが失敗したら、ユーザ入力がソフトウェア トークン タイマーまたはアイドル セッション タイマーが期限に達するまではオープンした状態が維持されます。AnyConnect では、セッションがオープンしている場合は、それを再アクティブ化するために接続の再確立が継続して試行され、それ以外の場合は、新しい スプリット包含トンネリングになります。, ダイナミック スプリット包含トンネリングは、スプリット包含設定にのみ適用されます。, 拡張ダイナミック スプリット包含トンネリングは、スプリット包含設定にのみ適用されます。, Umbrella ローミング セキュリティによる保護は、スタティックまたはダイナミック スプリット トンネリングのいずれかが有効になっていると、アクティブになります。Umbrella クラウド リゾルバは、到達可能であり、かつ、VPN トンネルによるプローブが可能である場合を除き、VPN クラウド インフラストラクチャから自動的に得られます。更新トラックは管理者のアクションではなくこれによって決まります。デフォルトでは、クラウド更新からの自動更新は無効です。, AnyConnect を展開する場合に、追加機能を含めるオプションのモジュール、および VPN やその他の機能を設定するクライアント プロファイルを含めることができます。次の点を考慮してください。, すべての AnyConnect モジュールおよびプロファイルを事前展開できます。事前展開時には、モジュールのインストール手順やその他の詳細に特に注意する必要があります。, VPN ポスチャ モジュールによって使用されるカスタマー エクスペリエンス フィードバック モジュールと Hostscan パッケージは、ISE から Web 展開できません。, ISE ポスチャ モジュールによって使用されるコンプライアンス モジュールは、ASA から Web 展開できません。, 新しい AnyConnect パッケージにアップグレードする場合は、必ずローカリゼーション MST ファイルを CCO の最新リリースで更新してください。, この問題は、Windows 7 および 8 上の Internet Explorer バージョン 10 および 11 に適用されます。, Windows レジストリ エントリ HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\TabProcGrowth が 0 に設定されている場合、AnyConnect の Web